EDR Agent est installé sur les postes de travail et les serveurs de l'infrastructure informatique de l'organisation. Sur ces ordinateurs, EDR Agent surveille en permanence les processus, les connexions réseau ouvertes et les fichiers en cours de modification, et envoie les données de surveillance au serveur avec le module Central Node.
Pour intégrer EDR (KATA), vous devez activer le module Endpoint Detection and Response (KATA) et configurer EDR Agent.
Les conditions suivantes doivent être remplies pour que Endpoint Detection and Response (KATA) fonctionne :
Kaspersky Anti Targeted Attack Platform version 5.0 ou toute version ultérieure.
Kaspersky Security Center version 14.2 ou toute version ultérieure. Dans les versions antérieures de Kaspersky Security Center, il est impossible d'activer la fonctionnalité Endpoint Detection and Response (KATA).
L'intégration avec Endpoint Detection and Response (KATA) comprend les étapes suivantes :
Activation du composant Endpoint Detection and Response (KATA)
Vous devez acheter une licence distincte pour EDR (KATA) (module complémentaire de Kaspersky Endpoint Detection and Response (KATA)).
La fonction sera disponible après avoir ajouté une clé distincte pour Kaspersky Endpoint Detection and Response (KATA). La licence de la fonctionnalité autonome Endpoint Detection and Response (KATA) est la même que celle de Kaspersky Endpoint Security.
Kaspersky Anti Targeted Attack Platform requiert l'établissement d'une connexion sécurisée entre Kaspersky Endpoint Security et le module Central Node. Pour configurer une connexion sécurisée, vous devez utiliser un certificat TLS. Vous pouvez obtenir un certificat TLS dans la console Kaspersky Anti Targeted Attack Platform (voir les instructions dans l'aide de Kaspersky Anti Targeted Attack Platform). Ensuite, vous devez ajouter le certificat TLS à Kaspersky Endpoint Security (voir les instructions ci-dessous).
Ajouter un certificat TLS à Kaspersky Endpoint Security
Par défaut, Kaspersky Endpoint Security vérifie uniquement le certificat TLS du module Central Node. Pour rendre la connexion plus sécurisée, vous pouvez en outre activer la vérification de l'ordinateur sur le module Central Node (authentification bidirectionnelle). Pour activer cette vérification, vous devez activer l'authentification bidirectionnelle dans les paramètres du module Central Node et de Kaspersky Endpoint Security. Pour utiliser l'authentification bidirectionnelle, vous aurez également besoin d'un conteneur crypto. Un conteneur crypto est une archive PFX contenant un certificat et une clé privée. Vous pouvez obtenir un conteneur crypto dans la console Kaspersky Anti Targeted Attack Platform (voir les instructions dans l'aide de Kaspersky Anti Targeted Attack Platform).
Ouvrez la Console d'administration de Kaspersky Security Center.
Dans l'arborescence de la console, sélectionnez Stratégies.
Sélectionnez la stratégie requise et ouvrez les propriétés de la stratégie d'un double-clic.
Dans la fenêtre de la stratégie, sélectionnez Detection and Response et sélectionnez le module que vous souhaitez configurer : Endpoint Detection and Response (KATA) ou Network Detection and Response (KATA).
Cochez la case correspondante : Endpoint Detection and Response (KATA) ou Network Detection and Response (KATA).
Cliquez sur Paramètres de connexion aux serveurs KATA.
Configurez la connexion au serveur :
Délai d'attente (s.). Délai maximal de réponse du serveur Central Node. À l'expiration du délai, Kaspersky Endpoint Security essaie de se connecter à un autre serveur Central Node.
Certificat TLS du serveur. Certificat TLS permettant d'établir une connexion sécurisée avec le serveur Central Node. Vous pouvez obtenir un certificat TLS dans la console Kaspersky Anti Targeted Attack Platform (voir les instructions dans l'aide de Kaspersky Anti Targeted Attack Platform).
Utiliser l'authentification bidirectionnelle. Authentification bidirectionnelle lors de l'établissement d'une connexion sécurisée entre Kaspersky Endpoint Security et Central Node. Pour utiliser l'authentification bidirectionnelle, vous devez activer l'authentification bidirectionnelle dans les paramètres du Central Node, puis obtenir un crypto-conteneur et définir un mot de passe pour protéger le crypto-conteneur. Un conteneur crypto est une archive PFX contenant un certificat et une clé privée. Vous pouvez obtenir un conteneur crypto dans la console Kaspersky Anti Targeted Attack Platform (voir les instructions dans l'aide de Kaspersky Anti Targeted Attack Platform). Après avoir configuré les paramètres du Central Node, vous devez également activer l'authentification bidirectionnelle dans les paramètres de Kaspersky Endpoint Security et charger un crypto-conteneur protégé par mot de passe.
Le conteneur crypto doit être protégé par un mot de passe. Il n'est pas possible d'ajouter de conteneur crypto avec un mot de passe vide.
Cliquez sur le bouton OK.
Ajoutez des serveurs Central Node. Pour ce faire, indiquez l'adresse du serveur (IPv4, IPv6) et le port de connexion au serveur.
Vous pouvez ajouter plusieurs adresses de serveur de nœud central. Kaspersky Endpoint Security tente de se connecter au serveur à partir de la première adresse IP. Si une connexion ne peut être établie, Kaspersky Endpoint Security tente de se connecter à la deuxième adresse IP de la liste et ainsi de suite.
Dans la fenêtre principale de Web Console, sélectionnez Ressources (Appareils) → Stratégies et profils.
Cliquez sur le nom de la stratégie de Kaspersky Endpoint Security.
La fenêtre des propriétés de la stratégie s'ouvre.
Sélectionnez l'onglet Paramètres de l'application.
Accédez à la section Detection and Response et sélectionnez le module que vous souhaitez configurer : Endpoint Detection and Response (KATA) ou Network Detection and Response (KATA).
Activez le commutateur correspondant : Endpoint Detection and Response (KATA) ACTIVÉ ou Network Detection and Response (KATA) ACTIVÉ.
Cliquez sur Paramètres de connexion aux serveurs KATA.
Configurez la connexion au serveur :
Délai d'attente (s.). Délai maximal de réponse du serveur Central Node. À l'expiration du délai, Kaspersky Endpoint Security essaie de se connecter à un autre serveur Central Node.
Certificat TLS du serveur. Certificat TLS permettant d'établir une connexion sécurisée avec le serveur Central Node. Vous pouvez obtenir un certificat TLS dans la console Kaspersky Anti Targeted Attack Platform (voir les instructions dans l'aide de Kaspersky Anti Targeted Attack Platform).
Utiliser l'authentification bidirectionnelle. Authentification bidirectionnelle lors de l'établissement d'une connexion sécurisée entre Kaspersky Endpoint Security et Central Node. Pour utiliser l'authentification bidirectionnelle, vous devez activer l'authentification bidirectionnelle dans les paramètres du Central Node, puis obtenir un crypto-conteneur et définir un mot de passe pour protéger le crypto-conteneur. Un conteneur crypto est une archive PFX contenant un certificat et une clé privée. Vous pouvez obtenir un conteneur crypto dans la console Kaspersky Anti Targeted Attack Platform (voir les instructions dans l'aide de Kaspersky Anti Targeted Attack Platform). Après avoir configuré les paramètres du Central Node, vous devez également activer l'authentification bidirectionnelle dans les paramètres de Kaspersky Endpoint Security et charger un crypto-conteneur protégé par mot de passe.
Le conteneur crypto doit être protégé par un mot de passe. Il n'est pas possible d'ajouter de conteneur crypto avec un mot de passe vide.
Cliquez sur le bouton OK.
Ajoutez des serveurs Central Node. Pour ce faire, indiquez l'adresse du serveur (IPv4, IPv6) et le port de connexion au serveur.
Vous pouvez ajouter plusieurs adresses de serveur de nœud central. Kaspersky Endpoint Security tente de se connecter au serveur à partir de la première adresse IP. Si une connexion ne peut être établie, Kaspersky Endpoint Security tente de se connecter à la deuxième adresse IP de la liste et ainsi de suite.
Par conséquent, l'ordinateur est ajouté à la console Kaspersky Anti Targeted Attack Platform. Vérifiez l'état de fonctionnement du module en consultant le Rapport sur l'état des modules de l'application. Vous pouvez également consulter l'état de fonctionnement d'un module dans les rapports de l'interface locale de Kaspersky Endpoint Security. Le module Endpoint Detection and Response (KATA) sera ajouté à la liste des modules de Kaspersky Endpoint Security.