Integracja wbudowanego agenta z EDR / NDR (KATA)

Aby uzyskać integrację z EDR/NDR (KATA), należy dodać odpowiedni komponent: Endpoint Detection and Response (KATA) lub Network Detection and Response (KATA). Możesz wybrać komponent do integracji z EDR / NDR (KATA) podczas instalacji lub aktualizacji, a także przy użyciu zadania Zmiana składników aplikacji.

Komponenty EDR Optimum, EDR Expert i EDR (KATA) nie są ze sobą kompatybilne.

W celu użycia platformy EDR / NDR (KATA) spełnione muszą być następujące warunki:

• EDR (KATA): Kaspersky Anti Targeted Attack Platform w wersji 5.0 lub nowszej.
• NDR (KATA): Kaspersky Anti Targeted Attack Platform w wersji 6.0 lub nowszej.
• Kaspersky Security Center w wersji 14.2 lub nowszej. We wcześniejszych wersjach Kaspersky Security Center nie ma możliwości aktywowania funkcjonalności integracji platformy EDR / NDR (KATA).
• Aplikacja jest aktywowana, a funkcjonalność jest objęta licencją.
• Komponenty Endpoint Detection and Response (KATA) oraz Network Detection and Response (KATA) są włączone.
• Komponenty aplikacji zapewniające działanie EDR/NDR (KATA) są włączone i działają. Działanie EDR / NDR (KATA) zapewniają następujące komponenty:
  • Ochrona plików.
  • Ochrona WWW.
  • Ochrona poczty.
  • Ochrona przed exploitami.
  • Wykrywanie zachowań.
  • Ochrona przed włamaniami.
  • Ochrona AMSI.
  • Skanowanie w tle.
  • Kaspersky Security Network.

Integracja z Endpoint Detection and Response (KATA) obejmuje następujące etapy:

1. Instalowanie komponentów Endpoint Detection and Response (KATA) oraz Network Detection and Response (KATA)

   Możesz wybrać komponent EDR (KATA) i NDR (KATA) podczas instalacji lub aktualizacji, a także przy użyciu zadania Zmiana składników aplikacji.

   Musisz ponownie uruchomić komputer, aby dokończyć aktualizację aplikacji o nowe komponenty.

2. Aktywacja Endpoint Detection and Response (KATA) i Network Detection and Response (KATA)

   W celu korzystania z EDR (KATA) i NDR (KATA) musisz zakupić osobną licencję (na przykład dodatek Kaspersky Endpoint Detection and Response (KATA)).

   Funkcjonalność ta będzie dostępna po dodaniu oddzielnego klucza obejmującego funkcjonalność EDR (KATA) i NDR (KATA). W rezultacie na komputerze dodanych zostanie kilka kluczy: klucz dla Kaspersky Endpoint Security i klucze dla Kaspersky Endpoint Detection and Response (KATA) i Network Detection and Response (KATA).

   Zasady udzielania licencji dla autonomicznej funkcjonalności EDR (KATA) i NDR (KATA) są takie same jak w przypadku udzielania licencji dla Kaspersky Endpoint Security.

   Upewnij się, że funkcjonalność EDR (KATA) i NDR (KATA) znajduje się w licencji i jest uruchomiona w lokalnym interfejsie aplikacji.

3. Łączenie z węzłem centralnym

   Kaspersky Anti Targeted Attack Platform wymaga ustanowienia zaufanego połączenia między Kaspersky Endpoint Security a komponentem Central Node. Aby skonfigurować zaufane połączenie, musisz użyć certyfikatu TLS. Możesz uzyskać certyfikat TLS w konsoli Kaspersky Anti Targeted Attack Platform (zobacz instrukcje w Pomoc Kaspersky Anti Targeted Attack Platform). Następnie musisz dodać certyfikat TLS do Kaspersky Endpoint Security (zobacz instrukcje poniżej).

   

   Dodanie certyfikatu TLS do Kaspersky Endpoint Security

   Domyślnie Kaspersky Endpoint Security sprawdza tylko certyfikat TLS węzła centralnego. Aby połączenie było bezpieczniejsze, możesz dodatkowo włączyć weryfikację komputera na Węźle Centralnym (uwierzytelnianie dwukierunkowe). Aby włączyć tę weryfikację, musisz włączyć uwierzytelnianie dwukierunkowe w ustawieniach węzła centralnego i Kaspersky Endpoint Security. Aby korzystać z uwierzytelniania dwukierunkowego, potrzebujesz również kontener kryptograficzny. Kontener kryptograficzny to archiwum PFX z certyfikatem i kluczem prywatnym. Kontener kryptograficzny można uzyskać w konsoli Kaspersky Anti Targeted Attack Platform (zobacz instrukcje w pliku Pomoc Kaspersky Anti Targeted Attack Platform).

   Jak połączyć komputer Kaspersky Endpoint Security z Węzłem centralnym przy użyciu Konsoli administracyjnej (MMC)

   1. Otwórz Konsolę administracyjną Kaspersky Security Center.
   2. W drzewie konsoli wybierz Zasady.
   3. Wybierz żądany profil i kliknij go dwukrotnie, aby otworzyć właściwości profilu.
   4. W oknie zasad wybierz Detection and Response i wybierz komponent, który chcesz skonfigurować: Endpoint Detection and Response (KATA) lub Network Detection and Response (KATA).
   5. Zaznacz odpowiednie pole wyboru: Endpoint Detection and Response (KATA) lub Network Detection and Response (KATA).
   6. Kliknij Ustawienia na potrzeby łączenia z serwerami KATA.
   7. Skonfiguruj połączenie z serwerem:
      • Limit czasu (sek). Maksymalny limit czasu odpowiedzi serwera węzła centralnego. Po przekroczeniu limitu czasu Kaspersky Endpoint Security próbuje połączyć się z innym serwerem węzła centralnego.
      • Certyfikat TLS serwera. Certyfikat TLS do nawiązania zaufanego połączenia z serwerem Central Node. Możesz uzyskać certyfikat TLS w konsoli Kaspersky Anti Targeted Attack Platform (zobacz instrukcje w Pomoc Kaspersky Anti Targeted Attack Platform).
      • Zastosuj uwierzytelnianie dwukierunkowe. Uwierzytelnianie dwukierunkowe podczas nawiązywania bezpiecznego połączenia między Kaspersky Endpoint Security a węzłem centralnym. Aby korzystać z uwierzytelniania dwukierunkowego, musisz włączyć uwierzytelnianie dwukierunkowe w ustawieniach węzła centralnego, a następnie uzyskać kryptokontener i ustawić hasło chroniące kryptokontener. Kontener kryptograficzny to archiwum PFX z certyfikatem i kluczem prywatnym. Kontener kryptograficzny można uzyskać w konsoli Kaspersky Anti Targeted Attack Platform (zobacz instrukcje w pliku Pomoc Kaspersky Anti Targeted Attack Platform). Po skonfigurowaniu ustawień węzła centralnego należy również włączyć uwierzytelnianie dwukierunkowe w ustawieniach Kaspersky Endpoint Security i załadować chroniony hasłem kontener kryptograficzny.

        Kontener szyfrowania musi być zabezpieczony hasłem. Nie ma możliwości dodania kontenera szyfrowania z pustym hasłem.

   8. Kliknij OK.
   9. Dodaj serwery węzła centralnego. W tym celu należy określić adres serwera (IPv4, IPv6) oraz port do połączenia z serwerem.
   10. W razie potrzeby skonfiguruj telemetrię.
   11. Zapisz swoje zmiany.

   Jak połączyć komputer Kaspersky Endpoint Security z węzłem centralnym przy użyciu Web Console

   1. W oknie głównym Web Console wybierz Urządzenia → Profile zasad.
   2. Kliknij nazwę zasady Kaspersky Endpoint Security.

      Zostanie otwarte okno właściwości profilu.

   3. Wybierz zakładkę Ustawienia aplikacji.
   4. Przejdź do sekcji Detection and Response i wybierz komponent, który chcesz skonfigurować: Endpoint Detection and Response (KATA) lub Network Detection and Response (KATA).
   5. Włącz odpowiedni przełącznik: Endpoint Detection and Response (KATA) WŁĄCZONE lub Network Detection and Response (KATA) WŁĄCZONE.
   6. Kliknij Ustawienia na potrzeby łączenia z serwerami KATA.
   7. Skonfiguruj połączenie z serwerem:
      • Limit czasu (sek). Maksymalny limit czasu odpowiedzi serwera węzła centralnego. Po przekroczeniu limitu czasu Kaspersky Endpoint Security próbuje połączyć się z innym serwerem węzła centralnego.
      • Certyfikat TLS serwera. Certyfikat TLS do nawiązania zaufanego połączenia z serwerem Central Node. Możesz uzyskać certyfikat TLS w konsoli Kaspersky Anti Targeted Attack Platform (zobacz instrukcje w Pomoc Kaspersky Anti Targeted Attack Platform).
      • Zastosuj uwierzytelnianie dwukierunkowe. Uwierzytelnianie dwukierunkowe podczas nawiązywania bezpiecznego połączenia między Kaspersky Endpoint Security a węzłem centralnym. Aby korzystać z uwierzytelniania dwukierunkowego, musisz włączyć uwierzytelnianie dwukierunkowe w ustawieniach węzła centralnego, a następnie uzyskać kryptokontener i ustawić hasło chroniące kryptokontener. Kontener kryptograficzny to archiwum PFX z certyfikatem i kluczem prywatnym. Kontener kryptograficzny można uzyskać w konsoli Kaspersky Anti Targeted Attack Platform (zobacz instrukcje w pliku Pomoc Kaspersky Anti Targeted Attack Platform). Po skonfigurowaniu ustawień węzła centralnego należy również włączyć uwierzytelnianie dwukierunkowe w ustawieniach Kaspersky Endpoint Security i załadować chroniony hasłem kontener kryptograficzny.

        Kontener szyfrowania musi być zabezpieczony hasłem. Nie ma możliwości dodania kontenera szyfrowania z pustym hasłem.

   8. Kliknij OK.
   9. Dodaj serwery węzła centralnego. W tym celu należy określić adres serwera (IPv4, IPv6) oraz port do połączenia z serwerem.
   10. W razie potrzeby skonfiguruj telemetrię.
   11. Zapisz swoje zmiany.

   Możesz także dodać certyfikat TLS lokalnie przy użyciu wiersza polecenia.

   W rezultacie komputer zostanie dodany do konsoli Kaspersky Anti Targeted Attack Platform. Sprawdź stan działania komponentów, przeglądając Raport dotyczący stanu komponentów aplikacji. Stan działania komponentów można sprawdzić także w raportach, w lokalnym interfejsie Kaspersky Endpoint Security. Komponenty Endpoint Detection and Response (KATA) i Network Detection and Response (KATA) zostaną dodane do listy komponentów Kaspersky Endpoint Security.

   Począwszy od Kaspersky Endpoint Security 12.6 for Windows, możesz monitorować stan komponentu EDR (KATA) w konsoli administracyjnej Kaspersky Security Center Administration Console (MMC). Bieżący status komponentu jest wyświetlany we właściwościach komputera w kolumnie Stan czujnika Endpoint Sensor (Uruchomiona, Uruchamianie, Zatrzymana, Wstrzymana, Niepowodzenie, Brak danych z urządzenia). Konsola Web Console nie wyświetla statusu Endpoint Sensor.

Przejdź do góry