KEA-KES migrációs útmutató az EDR számára (KATA)

A 12.1-es verzióval kezdődően a Kaspersky Endpoint Security for Windows már tartalmaz egy beépített ügynököt a Kaspersky Endpoint Detection and Response összetevő kezelésére a Kaspersky Anti Targeted Attack Platform megoldás részeként. Az EDR-rel (KATA) való együttműködéshez már nincs szükség külön Kaspersky Endpoint Agent alkalmazásra. A Kaspersky Endpoint Agent minden funkcióját a Kaspersky Endpoint Security végzi. A Kaspersky Anti Targeted Attack Platform kiszolgálók terhelése változatlan marad.

Amikor olyan számítógépeken telepíti a Kaspersky Endpoint Security alkalmazást, amelyekre telepítve van a Kaspersky Endpoint Agent, a Kaspersky Anti Targeted Attack Platform (EDR) megoldás továbbra is együttműködik a Kaspersky Endpoint Security termékkel. Ezen túlmenően a Kaspersky Endpoint Agent is eltávolításra kerül a számítógépről. A Kaspersky Endpoint Security 12.1 vagy újabb verzióra történő frissítésekor a rendszer ugyanígy viselkedik.

A Kaspersky Endpoint Security nem kompatibilis a Kaspersky Endpoint Agent szolgáltatással. Ezeket az alkalmazásokat nem telepítheti ugyanarra a számítógépre.

A következő feltételeknek kell teljesülniük ahhoz, hogy a Kaspersky Endpoint Security az Endpoint Detection and Response (KATA) részeként működjön:

• Kaspersky Anti Targeted Attack Platform 4.1 vagy újabb verzió.
• Kaspersky Security Center 13.2 vagy újabb verzió (beleértve a Network Agentet is). A Kaspersky Security Center korábbi verzióiban nem lehetett aktiválni az Endpoint Detection and Response (KATA) szolgáltatást.

A [KES+KEA] konfiguráció [KES+beépített ügynök] EDR-be (KATA) történő migrálásának lépései

1. A Kaspersky Endpoint Security felügyeleti bővítményének frissítése

   Az EDR (KATA) összetevő a Kaspersky Endpoint Security felügyeleti bővítmény 12.1 vagy újabb verziójával felügyelhető. A Kaspersky Security Center konzol típusától függően frissítse a felügyeleti bővítményt az adminisztrációs konzolon (MMC) vagy a webes bővítményt a Web Console-on.

2. Házirendek és a feladatok áttelepítése

   A Kaspersky Endpoint Agent beállításainak átvitele a Kaspersky Endpoint Security for Windows megoldásba. A következők közül választhat:

   • Varázsló a Kaspersky Endpoint Agent termékről a Kaspersky Endpoint Security termékre történő áttelepítéshez. A Kaspersky Endpoint Agent termékről a Kaspersky Endpoint Security termékre történő áttelepítést segítő varázsló csak a Web Console-ban működik

     A szabályzat- és feladatbeállítások áttelepítése a Kaspersky Endpoint Agent szolgáltatásból a Kaspersky Endpoint Security szolgáltatásba a Web Console-on

     A Web Console fő ablakában válassza a Operations → Migration from Kaspersky Endpoint Agent lehetőséget.

     Ezzel futtatja a szabályzat- és feladatáttelepítési varázslót. Kövesse a varázsló utasításait.

     1. lépés. Szabályzat áttelepítése

     Az áttelepítési varázsló új szabályzatot hoz létre, amely egyesíti a Kaspersky Endpoint Security és a Kaspersky Endpoint Agent szabályzatainak beállításait. A listában válassza ki azokat a Kaspersky Endpoint Agent szabályzatokat, amelyek beállításait egyesíteni szeretné a Kaspersky Endpoint Security szabályzatával. Kattintson a Kaspersky Endpoint Agent szabályzatára, és válassza ki azt a Kaspersky Endpoint Security szabályzatot, amellyel egyesíteni szeretné a beállításokat. Győződjön meg arról, hogy a megfelelő szabályzatokat választotta, és folytassa a következő lépéssel.

     2. lépés. Feladatok áttelepítése

     Az áttelepítési varázsló nem támogatja az EDR (KATA) feladatokat. Átugorhatja ezt a lépést.

     3. lépés. A varázsló befejezése

     Lépjen ki a varázslóból. A varázsló eredményeként egy új Kaspersky Endpoint Security házirend jön létre. A szabályzat egyesíti a Kaspersky Endpoint Security és a Kaspersky Endpoint Agent beállításait. A szabályzat neve <Kaspersky Endpoint Security policy name> és <Kaspersky Endpoint Agent policy name>. Az új házirend Inactive állapotot kap. A folytatáshoz módosítsa a Kaspersky Endpoint Agent és a Kaspersky Endpoint Security szabályzatok állapotát Inactive értékre, és aktiválja az új egyesített szabályzatot.

     A Web Console áttelepítési varázslója kihagyja a következő házirend-beállításokat, és nem telepíti át őket:

     • Beállítások módosításának tilalma – Settings for connecting to KATA servers („lakat”).

       Alapértelmezés szerint a beállítások módosíthatók (a „lakat” nyitva van). Ezért a beállítások nem kerülnek alkalmazásra a számítógépen. Meg kell tiltania a beállítások módosítását, és be kell zárnia a „lakatot”.

     • Kriptotároló.

       Ha kétirányú hitelesítést használ a Központi csomópont kiszolgálóihoz való csatlakozáshoz, akkor újra fel kell vennie a kriptotárolót.

     Mivel az áttelepítés varázsló nem telepíti át ezeket a beállításokat, előfordulhat, hogy a számítógép Central Node-kiszolgálókhoz való csatlakoztatásakor hibák lépnek fel. A hibák kijavításához meg kell nyitnia a házirend-tulajdonságokat, és konfigurálnia kell a kapcsolat beállításait.

   • A standard Házirend és feladatok kötegelt konvertálási varázslója. A Házirendek és feladatok kötegelt konvertálási varázslója csak az Adminisztrációs konzolon (MMC) érhető el. A Házirendek és feladatok kötegelt konvertálási varázslójával kapcsolatos további részletekért olvassa el a következőt: Kaspersky Security Center Súgó.

   Annak érdekében, hogy a Kaspersky Endpoint Security megfelelően működjön a kiszolgálókon, ajánlatott a kiszolgáló működése szempontjából fontos fájlokat hozzáadni a megbízható zónához. SQL-kiszolgálók esetén MDF- és LDF-adatbázisfájlokat kell hozzáadnia. A Microsoft Exchange kiszolgálókhoz CHK-, EDB-, JRS-, LOG- és JSL-fájlokat kell hozzáadnia. Használhat maszkokat, pl. C:\Program Files (x86)\Microsoft SQL Server\*.mdf.

   Az EDR telemetriai kizárásai nem kerülnek át a Kaspersky Endpoint Agent házirendből a Kaspersky Endpoint Security házirendbe. A Kaspersky Endpoint Security saját kizárási eszközökkel rendelkezik – megbízható alkalmazások. A Kaspersky Endpoint Security működése úgy van optimalizálva, hogy az egyedi EDR telemetriai kizárások hiánya ne okozzon további terhelést a számítógépen a Kaspersky Endpoint Agenthez képest. A Kaspersky Endpoint Security a telemetriát nemcsak az EDR (KATA), hanem az alkalmazásvédelmi összetevők működéséhez is használja. Ezért nincs szükség egyedi EDR telemetriai kizárások átvitelére. Ha a számítógép teljesítményének csökkenését tapasztalja, ellenőrizze az alkalmazás működését (lásd az 7. lépést: A teljesítmény ellenőrzése).

3. Az EDR (KATA) funkció licencelése

   A Kaspersky Endpoint Security aktiválásához a Kaspersky Anti Targeted Attack Platform megoldás részeként külön licenc szükséges a Kaspersky Endpoint Detection and Response (KATA) kiegészítőhöz. A kulcsot a Add key feladat segítségével veheti fel. Ennek eredményeképpen a rendszer két kulcsot ad hozzá az alkalmazáshoz: Kaspersky Endpoint Security és Kaspersky Endpoint Detection and Response (KATA).

   A Kaspersky Endpoint Detection and Response (KATA) bővítmény licencének aktiválása korábban aktivált EDR Optimum vagy EDR Expert funkciókkal rendelkező számítógépeken a következő speciális szempontokat foglalja magában:

   • Ha kulcsfájlt használ a Kaspersky Endpoint Security EDR Optimum vagy EDR Expert funkciókat tartalmazó licenceléséhez, akkor nem aktiválhat önálló Kaspersky Endpoint Detection and Response (KATA) kiegészítő licencet. A licenceléshez áttérhet az aktiváló kód használatára, vagy kapcsolatba léphet a szolgáltatójával, hogy új kulcsfájlt kapjon a Kaspersky Endpoint Security és az EDR funkciók aktiválásához. A szolgáltató egy vagy több kulcsfájlt biztosít a licenceléshez.
   • Ha kulcsfájlt használ a Kaspersky Endpoint Security EDR Optimum vagy EDR Expert funkciókat nem tartalmazó licenceléséhez, akkor aktiválhat önálló Kaspersky Endpoint Detection and Response (KATA) kiegészítő licencet a kulcsfájlok újbóli kiadása nélkül.
   • Ha aktiváló kódot használ a licenceléshez, a Kaspersky aktiválási kiszolgálója automatikusan újból kiadja a kulcsokat, és az EDR (KATA) funkciók automatikusan elérhetővé válnak. Ebben az esetben az EDR Optimum és az EDR Expert letiltásra kerül.
   • A Kaspersky Endpoint Security legfeljebb két aktív kulcs hozzáadását teszi lehetővé: Kaspersky Endpoint Security-kulcs és kiegészítő típusú kulcs. Legfeljebb két tartalék kulcsot is hozzáadhat. Egy Kaspersky Endpoint Security-tartalékkulcsot és egy kiegészítő típusú tartalékkulcsot.
4. A Kaspersky Endpoint Security alkalmazás telepítése/frissítése

   Az alkalmazás telepítése vagy frissítése során az EDR (KATA) funkciók áttelepítéséhez ajánlott a távoli telepítési feladat használata. Távoli telepítési feladat létrehozásakor a telepítőcsomag beállításaiban ki kell választania az EDR (KATA) összetevőt.

   Az alkalmazást a következő módszerekkel is frissítheti:

   • A Kaspersky frissítési szolgáltatás használatával.
   • Helyben, a Telepítővarázsló segítségével.

   A Kaspersky Endpoint Security támogatja az összetevők automatikus kiválasztását az alkalmazásfrissítés során az olyan számítógép esetében, amelyre a Kaspersky Endpoint Agent alkalmazás telepítve van. Az összetevők automatikus kiválasztása az alkalmazás frissítését végző felhasználói fiók engedélyeitől függ.

   Ha a Kaspersky Endpoint Security frissítése a rendszerfiók (SYSTEM) alatt található EXE- vagy MSI-fájl használatával történik, a Kaspersky Endpoint Security hozzáférést kap a Kaspersky-megoldások aktuális licenceihez. Ezért ha a számítógépen telepítve van a Kaspersky Endpoint Agent és aktiválva van az EDR (KATA) megoldás, a Kaspersky Endpoint Security telepítője automatikusan konfigurálja az összetevők készletét, és kiválasztja az EDR (KATA) összetevőt. Ezáltal a Kaspersky Endpoint Security a beépített ügynök használatára vált, és eltávolítja a Kaspersky Endpoint Agent ügynököt. Az MSI-telepítő rendszerfiók (SYSTEM) alatti futtatása általában a Kaspersky frissítési szolgáltatása keretében történő frissítéskor vagy egy telepítőcsomag Kaspersky Security Centerrel végzett telepítésekor zajlik.

   Ha a Kaspersky Endpoint Security frissítése emelt szintű jogosultsággal nem rendelkező felhasználói fiók alatt található MSI-fájl használatával történik, a Kaspersky Endpoint Security nem kap hozzáférést a Kaspersky-megoldások aktuális licenceihez. Ebben az esetben a Kaspersky Endpoint Security automatikusan kiválasztja az összetevőket a Kaspersky Endpoint Agent összetevőinek készlete alapján. Ezután a Kaspersky Endpoint Security a beépített ügynök használatára vált, és eltávolítja a Kaspersky Endpoint Agent ügynököt.

   A Kaspersky Endpoint Security támogatja a frissítést a számítógép újraindítása nélkül. Az alkalmazásfrissítési módot a házirend tulajdonságaiban választhatja ki.

5. Az alkalmazás működésének ellenőrzése

   Ha az alkalmazás telepítése vagy frissítése után a Kaspersky Security Center konzolon a számítógép állapota Critical:

   • Győződjön meg arról, hogy a számítógépen telepítve van a 13.2 vagy újabb verziójú hálózati ügynök.
   • Ellenőrizheti a beépített ügynök működési állapotát az Application components status report megtekintésével. Ha egy összetevő állapota Not installed, telepítse az összetevőt az Change application components feladattal. Ha egy összetevőnél Nem vonatkozik rá licenc állapot van érvényben, győződjön meg arról, hogy aktiválta a beépített ügynök funkciót.
   • Ügyeljen arra, hogy elfogadja a Kaspersky Security Network nyilatkozatot a Kaspersky Endpoint Security for Windows új házirendjében.
6. A Kaspersky Anti Targeted Attack Platform kiszolgálóval való kapcsolat ellenőrzése

   A Kaspersky Anti Targeted Attack Platform kiszolgálóval való kapcsolat ellenőrzése. Ehhez:

   1. Ellenőrizze, hogy rendelkezik-e érvényes tanúsítvánnyal.
   2. Ellenőrizze a kiszolgálói kapcsolat beállításait.
   3. Ellenőrizze az eseménynaplót.

      Ha létrejön a kapcsolat a kiszolgálóval, az alkalmazás a Successful connection to the Kaspersky Anti Targeted Attack Platform server eseményt küldi el. Ha nincs sikeres kapcsolódási esemény, és nincsenek hibás kapcsolódási események, ellenőrizze az eseménynapló beállításait, és engedélyezze az eseményküldést az Endpoint Detection and Response (KATA) számára.

   A kiszolgálókapcsolat állapota nem befolyásolja a számítógép állapotát a Kaspersky Security Center konzolon. Ezért, ha nincs kapcsolat a kiszolgálóval, a számítógép továbbra is rendelkezhet az OK állapottal. Nézze meg az eseménynaplót a kiszolgálóval való kapcsolat ellenőrzéséhez.

7. A teljesítmény ellenőrzése

   Ha a számítógép teljesítménye lelassult egy alkalmazás telepítése vagy frissítése után, optimalizálhatja az adatátvitelt. Ehhez:

   1. Tiltsa le az EDR (KATA) összetevőt és ellenőrizze, hogy a teljesítményromlás az EDR (KATA) miatt következett-e be.
   2. Megbízható alkalmazások esetén kapcsolja ki a telemetriai adatok gyűjtését a konzol bemeneti műveleteinél (alapértelmezés szerint engedélyezve van).
   3. A számítógép teljesítményét csökkentő alkalmazásokat felveheti a megbízható alkalmazások listájára.
   4. Vegye fel a kapcsolatot a Kaspersky Terméktámogatással. A támogatási szakértők segítenek a telemetriai szűrés konfigurálásában a Kaspersky Anti Targeted Attack Platformon. Ez csökkenti az adatforgalom mennyiségét. Ha a számítógép teljesítményét egy bizonyos alkalmazás befolyásolja, csatolja a kéréshez az adott alkalmazás terjesztőcsomagját.