Tích hợp EDR Agent với KATA (EDR)

EDR Agent được cài đặt trên các máy trạm và máy chủ trong cơ sở hạ tầng CNTT của tổ chức. Trên các máy tính này, EDR Agent sẽ liên tục giám sát các tiến trình, kết nối mạng mở và các tập tin đang bị sửa đổi, đồng thời gửi dữ liệu giám sát đến máy chủ có thành phần Nút trung tâm.

Để tích hợp với EDR (KATA), bạn phải bật thành phần Endpoint Detection and Response (KATA) và cấu hình EDR Agent.

Phải đáp ứng các điều kiện sau đây để Endpoint Detection and Response (KATA) hoạt động:

• Kaspersky Anti Targeted Attack Platform phiên bản 5.0 trở lên.
• Kaspersky Security Center phiên bản 14.2 trở lên. Không thể kích hoạt tính năng Endpoint Detection and Response (KATA) trong các phiên bản trước của Kaspersky Security Center.

Tích hợp với thành phần Endpoint Detection and Response (KATA) liên quan tới các bước sau:

1. Kích hoạt Endpoint Detection and Response (KATA)

   Bạn cần mua một giấy phép riêng cho EDR (KATA) (Phần bổ trợ Kaspersky Endpoint Detection and Response (KATA)).

   Tính năng này sẽ khả dụng sau khi bạn thêm một khóa riêng cho Kaspersky Endpoint Detection and Response (KATA). Việc cấp giấy phép cho chức năng Endpoint Detection and Response (KATA) độc lập cũng giống như việc cấp giấy phép cho Kaspersky Endpoint Security.

   Đảm bảo rằng chức năng EDR (KATA) được gộp trong giấy phép và đang chạy trong giao diện cục bộ của ứng dụng.

2. Kết nối với Nút trung tâm

   Kaspersky Anti Targeted Attack Platform yêu cầu thiết lập kết nối được tin tưởng giữa Kaspersky Endpoint Security và thành phần Nút trung tâm. Để cấu hình kết nối được tin tưởng, bạn phải sử dụng chứng chỉ TLS. Bạn có thể lấy chứng chỉ TLS trong bảng điều khiển Kaspersky Anti Targeted Attack Platform (xem hướng dẫn trong Trợ giúp của Kaspersky Anti Targeted Attack Platform). Sau đó, bạn phải thêm chứng chỉ TLS vào Kaspersky Endpoint Security (xem hướng dẫn bên dưới).

   

   Thêm chứng chỉ TLS vào Kaspersky Endpoint Security

   Theo mặc định, Kaspersky Endpoint Security chỉ kiểm tra chứng chỉ TLS của Nút trung tâm. Để cho kết nối bảo mật hơn, bạn có thể kích hoạt thêm xác minh máy tính trên Nút trung tâm (xác thực hai chiều). Để bật cơ chế xác minh này, bạn phải bật xác thực hai chiều trong thiết lập của Nút trung tâm và Kaspersky Endpoint Security. Để sử dụng xác thực hai chiều, bạn cũng sẽ cần một bộ chứa mã hóa. Một bộ chứa mã hóa là kho lưu trữ PFX có chứng chỉ và khóa riêng. Bạn có thể nhận một bộ chứa mã hóa trong bảng điều khiển Kaspersky Anti Targeted Attack Platform (xem hướng dẫn trong Trợ giúp của Kaspersky Anti Targeted Attack Platform).

   Cách kết nối máy tính Kaspersky Endpoint Security với Nút trung tâm bằng Bảng điều khiển quản trị (MMC)

   1. Mở Bảng điều khiển quản trị Kaspersky Security Center.
   2. Trong cây bảng điều khiển, hãy chọn Policies.
   3. Chọn chính sách cần thiết và nhấn đúp để mở các thuộc tính chính sách.
   4. Trong cửa sổ chính sách, hãy chọn Detection and Response → Endpoint Detection and Response (KATA).
   5. Chọn hộp kiểm Endpoint Detection and Response (KATA).
   6. Nhấn vào Settings for connecting to KATA servers.
   7. Cấu hình kết nối máy chủ:
      • Timeout. Thời gian chờ phản hồi tối đa của máy chủ Nút trung tâm. Khi hết thời gian chờ, Kaspersky Endpoint Security sẽ cố gắng kết nối với một máy chủ Nút trung tâm khác.
      • Server TLS certificate. Chứng chỉ TLS để thiết lập kết nối được tin tưởng với máy chủ Nút trung tâm. Bạn có thể lấy chứng chỉ TLS trong bảng điều khiển Kaspersky Anti Targeted Attack Platform (xem hướng dẫn trong Trợ giúp của Kaspersky Anti Targeted Attack Platform).
      • Use two-way authentication. Xác thực hai chiều khi thiết lập kết nối bảo mật giữa Kaspersky Endpoint Security và Nút trung tâm. Để sử dụng xác thực hai chiều, bạn cần bật xác thực hai chiều trong cài đặt Nút trung tâm, sau đó lấy bộ chứa mã hóa và đặt mật khẩu để bảo vệ bộ chứa mã hóa. Một bộ chứa mã hóa là kho lưu trữ PFX có chứng chỉ và khóa riêng. Bạn có thể nhận một bộ chứa mã hóa trong bảng điều khiển Kaspersky Anti Targeted Attack Platform (xem hướng dẫn trong Trợ giúp của Kaspersky Anti Targeted Attack Platform). Sau khi cấu hình thiết lập Nút trung tâm, bạn cũng cần bật xác thực hai chiều trong thiết lập của Kaspersky Endpoint Security và tải bộ chứa mã hóa được bảo vệ bằng mật khẩu.

        Bộ chứa mã hóa phải được bảo vệ bằng mật khẩu. Không thể thêm bộ chứa mã hóa có mật khẩu trống.

   8. Nhấn vào OK.
   9. Thêm máy chủ Nút trung tâm. Để thực hiện, hãy chỉ định địa chỉ máy chủ (IPv4, IPv6) và cổng để kết nối với máy chủ.
   10. Lưu các thay đổi của bạn.

   Cách kết nối máy tính Kaspersky Endpoint Security với Nút trung tâm bằng Bảng điều khiển web

   1. Trong cửa sổ chính của Bảng điều khiển web, hãy chọn Devices → Policies & profiles.
   2. Nhấn vào tên của chính sách Kaspersky Endpoint Security.

      Cửa sổ thuộc tính chính sách sẽ được mở ra.

   3. Chọn thẻ Application settings.
   4. Vào Detection and Response → Endpoint Detection and Response (KATA).
   5. Bật nút bật/tắt Endpoint Detection and Response (KATA) ENABLED.
   6. Nhấn vào Settings for connecting to KATA servers.
   7. Cấu hình kết nối máy chủ:
      • Timeout. Thời gian chờ phản hồi tối đa của máy chủ Nút trung tâm. Khi hết thời gian chờ, Kaspersky Endpoint Security sẽ cố gắng kết nối với một máy chủ Nút trung tâm khác.
      • Server TLS certificate. Chứng chỉ TLS để thiết lập kết nối được tin tưởng với máy chủ Nút trung tâm. Bạn có thể lấy chứng chỉ TLS trong bảng điều khiển Kaspersky Anti Targeted Attack Platform (xem hướng dẫn trong Trợ giúp của Kaspersky Anti Targeted Attack Platform).
      • Use two-way authentication. Xác thực hai chiều khi thiết lập kết nối bảo mật giữa Kaspersky Endpoint Security và Nút trung tâm. Để sử dụng xác thực hai chiều, bạn cần bật xác thực hai chiều trong cài đặt Nút trung tâm, sau đó lấy bộ chứa mã hóa và đặt mật khẩu để bảo vệ bộ chứa mã hóa. Một bộ chứa mã hóa là kho lưu trữ PFX có chứng chỉ và khóa riêng. Bạn có thể nhận một bộ chứa mã hóa trong bảng điều khiển Kaspersky Anti Targeted Attack Platform (xem hướng dẫn trong Trợ giúp của Kaspersky Anti Targeted Attack Platform). Sau khi cấu hình thiết lập Nút trung tâm, bạn cũng cần bật xác thực hai chiều trong thiết lập của Kaspersky Endpoint Security và tải bộ chứa mã hóa được bảo vệ bằng mật khẩu.

        Bộ chứa mã hóa phải được bảo vệ bằng mật khẩu. Không thể thêm bộ chứa mã hóa có mật khẩu trống.

   8. Nhấn vào OK.
   9. Thêm máy chủ Nút trung tâm. Để thực hiện, hãy chỉ định địa chỉ máy chủ (IPv4, IPv6) và cổng để kết nối với máy chủ.
   10. Lưu các thay đổi của bạn.

   Kết quả là máy tính được thêm vào bảng điều khiển Kaspersky Anti Targeted Attack Platform. Kiểm tra trạng thái hoạt động của thành phần bằng cách xem Application components status report. Bạn cũng có thể xem trạng thái hoạt động của một thành phần trong mục báo cáo trong giao diện cục bộ của Kaspersky Endpoint Security. Thành phần Endpoint Detection and Response (KATA) sẽ được thêm vào danh sách các thành phần của Kaspersky Endpoint Security.

Về đầu trang