Настройка совместной работы с EPP-приложениями

Kaspersky Industrial CyberSecurity for Networks может получать и обрабатывать данные, которые поступают от приложений "Лаборатории Касперского", выполняющих функции защиты рабочих станций и серверов. Эти приложения входят в состав системы защиты конечных устройств (англ. Endpoint Protection Platform, EPP) и устанавливаются на конечные устройства внутри IT-инфраструктуры организации.

Передачу данных от EPP-приложений осуществляют программные компоненты Endpoint Agent. В зависимости от используемого EPP-приложения функции Endpoint Agent может выполнять следующее программное обеспечение:

• Программа Kaspersky Endpoint Agent. Эта программа устанавливается на рабочие станции и серверы в IT-инфраструктуре организации дополнительно к используемому EPP-приложению, которое поддерживает Kaspersky Endpoint Agent (например, Kaspersky Industrial CyberSecurity for Nodes).
• Программные модули, встроенные в EPP-приложение. Программные модули, выполняющие функции Endpoint Agent, встроены в Kaspersky Industrial CyberSecurity for Linux Nodes тех версий, с которыми поддерживается работа Kaspersky Industrial CyberSecurity for Networks в режиме интеграции.

С использованием полученных данных от EPP-приложений Kaspersky Industrial CyberSecurity for Networks позволяет выполнять различные действия на устройствах с Endpoint Agent.

Для установки соединений с Kaspersky Endpoint Agent на устройствах с устаревшими операционными системами (например, Windows 7) в Kaspersky Industrial CyberSecurity for Networks могут использоваться устаревшие и потенциально уязвимые протоколы и алгоритмы шифрования. Если в вашей сети отсутствуют устройства с устаревшими операционными системами или с такими устройствами не требуется устанавливать соединения, рекомендуется выключить использование устаревших и потенциально уязвимых протоколов и алгоритмов шифрования в Kaspersky Industrial CyberSecurity for Networks. Для получения дополнительной информации вы можете обратиться в Службу технической поддержки.

Максимальное количество компьютеров, от которых поддерживается получение и обработка данных от EPP-приложений – 1000.

Данные от компьютеров с программными компонентами Endpoint Agent поступают в Kaspersky Industrial CyberSecurity for Networks через серверы интеграции. Функции сервера интеграции может выполнять любой узел с установленным компонентом Kaspersky Industrial CyberSecurity for Networks (Сервер или сенсор). Для интеграции с Endpoint Agent вам нужно добавить серверы интеграции на те узлы, которые будут получать данные от компьютеров с Endpoint Agent.

Функции сервера интеграции на узле Kaspersky Industrial CyberSecurity for Networks реализует сервис интеграции с EPP-приложениями – kics4net-epp-proxy. Пакет для установки этого сервиса входит в комплект поставки Kaspersky Industrial CyberSecurity for Networks.

При поступлении данных от Endpoint Agent на сервер интеграции программа может выполнять следующие действия:

• регистрировать события по технологии EPP (события защиты рабочих станций и серверов);
• добавлять в таблицу устройств те устройства, на которых установлены EPP-приложения (а также устройства, с которыми были двусторонние взаимодействия этих устройств);
• обновлять в таблице устройств сведения об устройствах, на которых установлены EPP-приложения (например, версия операционной системы, сведения о модели или производителе);
• отображать на узлах карты сетевых взаимодействий и топологической карты специальные значки, обозначающие наличие EPP-приложений и состояния подключения этих приложений;
• отображать на карте сетевых взаимодействий соединения, в которых одной из сторон взаимодействия является устройство с установленным EPP-приложением (при этом для отображения сведений о таких соединениях приоритет имеют данные, полученные из трафика от точек мониторинга);
• контролировать оборудование на устройствах;
• регистрировать сетевые сеансы.

С помощью программных компонентов Endpoint Agent вы можете выполнять следующие действия при работе с Kaspersky Industrial CyberSecurity for Networks:

• сканирования устройств в рамках заданий аудита настроек и уязвимостей и заданий контроля конфигураций;
• запускать действия по реагированию при регистрации событий по технологии EPP, если для этих событий построены цепочки развития угроз в Endpoint Agent.

Компьютеры с Endpoint Agent устанавливают защищенные соединения с серверами интеграции по протоколу HTTPS. Для обеспечения безопасности соединений используются сертификаты, выданные Сервером Kaspersky Industrial CyberSecurity for Networks. В соединениях могут использоваться следующие сертификаты:

• Сертификат сервера интеграции. Этот сертификат проверяет компьютер с Endpoint Agent при каждой установке соединения. Соединение не устанавливается до успешного завершения проверки сертификата.
• Сертификат клиента. Этот сертификат используется для аутентификации клиентов сервера интеграции, которыми являются компьютеры с Endpoint Agent. Один и тот же сертификат клиента может использоваться несколькими компьютерами с Endpoint Agent. По умолчанию сервер интеграции не выполняет проверку сертификатов клиентов, но вы можете ее включить для усиления защиты соединений.

Доставка сертификатов и открытых ключей на компьютеры с Endpoint Agent выполняется с помощью Kaspersky Security Center. Для загрузки этих данных в Kaspersky Security Center используется файл свертки, который нужно создать в Kaspersky Industrial CyberSecurity for Networks после добавления сервера интеграции.

Настраивать получение данных от EPP-приложений могут только пользователи с ролью Администратор.

В этом разделе Сценарий подготовки к получению данных от EPP-приложений Добавление сервера интеграции Создание файла свертки для клиентов сервера интеграции Таблица серверов интеграции Включение и выключение сервера интеграции Изменение параметров сервера интеграции Удаление сервера интеграции

В начало