Integracja EDR Agent z KATA (EDR)

EDR Agent instalowany jest na stacjach roboczych i serwerach w infrastrukturze informatycznej organizacji. Na tych komputerach EDR Agent stale monitoruje procesy, otwarte połączenia sieciowe i modyfikowane pliki oraz wysyła dane monitorujące do serwera za pomocą komponentu Central Node.

Aby zintegrować się z EDR (KATA), należy dodać komponent Endpoint Detection and Response (KATA) oraz skonfigurować EDR Agent.

W celu zapewnienia działania Endpoint Detection and Response (KATA) muszą być spełnione następujące warunki:

Kaspersky Anti Targeted Attack Platform w wersji 5.0 lub nowszej.
Kaspersky Security Center w wersji 14.2 lub nowszej. We wcześniejszych wersjach Kaspersky Security Center nie ma możliwości aktywowania funkcji Endpoint Detection and Response (KATA).

Integracja z Endpoint Detection and Response (KATA) obejmuje następujące etapy:

Aktywowanie Endpoint Detection and Response (KATA)
Musisz zakupić osobną licencję dla korzystania z EDR (KATA) (dodatek Kaspersky Endpoint Detection and Response (KATA)).

Funkcja będzie dostępna po dodaniu oddzielnego klucza dla Kaspersky Endpoint Detection and Response (KATA). Zasady udzielania licencji dla autonomicznej funkcjonalności Endpoint Detection and Response (KATA) są takie same jak w przypadku udzielania licencji dla Kaspersky Endpoint Security.

Upewnij się, że funkcja EDR (KATA) znajduje się w licencji i jest uruchomiona w lokalnym interfejsie aplikacji.
Łączenie z węzłem centralnym
Kaspersky Anti Targeted Attack Platform wymaga ustanowienia zaufanego połączenia między Kaspersky Endpoint Security a komponentem Central Node. Aby skonfigurować zaufane połączenie, musisz użyć certyfikatu TLS. Możesz uzyskać certyfikat TLS w konsoli Kaspersky Anti Targeted Attack Platform (zobacz instrukcje w Pomoc Kaspersky Anti Targeted Attack Platform). Następnie musisz dodać certyfikat TLS do Kaspersky Endpoint Security (zobacz instrukcje poniżej).

Dodanie certyfikatu TLS do Kaspersky Endpoint Security

Domyślnie Kaspersky Endpoint Security sprawdza tylko certyfikat TLS węzła centralnego. Aby połączenie było bezpieczniejsze, możesz dodatkowo włączyć weryfikację komputera na Węźle Centralnym (uwierzytelnianie dwukierunkowe). Aby włączyć tę weryfikację, musisz włączyć uwierzytelnianie dwukierunkowe w ustawieniach węzła centralnego i Kaspersky Endpoint Security. Aby korzystać z uwierzytelniania dwukierunkowego, potrzebujesz również kontener kryptograficzny. Kontener kryptograficzny to archiwum PFX z certyfikatem i kluczem prywatnym. Kontener kryptograficzny można uzyskać w konsoli Kaspersky Anti Targeted Attack Platform (zobacz instrukcje w pliku Pomoc Kaspersky Anti Targeted Attack Platform).

Jak połączyć komputer Kaspersky Endpoint Security z Węzłem centralnym przy użyciu Konsoli administracyjnej (MMC)
1. W oknie głównym Web Console wybierz Zasoby (urządzenia) → Profile zasad.
2. Kliknij nazwę zasady Kaspersky Endpoint Security.
  Zostanie otwarte okno właściwości profilu.
3. Wybierz zakładkę Ustawienia aplikacji.
4. Przejdź do sekcji Detection and Response i wybierz komponent, który chcesz skonfigurować: Endpoint Detection and Response Expert (on-premise) lub Network Detection and Response (KATA).
5. Zaznacz odpowiednie pole wyboru: Endpoint Detection and Response Expert (on-premise) lub Network Detection and Response (KATA).
6. Kliknij Ustawienia połączenia.
7. Skonfiguruj połączenie z serwerem:
  - Limit czasu (sek). Maksymalny limit czasu odpowiedzi serwera węzła centralnego. Po przekroczeniu limitu czasu Kaspersky Endpoint Security próbuje połączyć się z innym serwerem węzła centralnego.
  - Certyfikat serwera. Certyfikat TLS do nawiązania zaufanego połączenia z serwerem Central Node. Możesz uzyskać certyfikat TLS w konsoli Kaspersky Anti Targeted Attack Platform (zobacz instrukcje w Pomoc Kaspersky Anti Targeted Attack Platform).
  - Zastosuj uwierzytelnianie dwukierunkowe. Uwierzytelnianie dwukierunkowe podczas nawiązywania bezpiecznego połączenia między Kaspersky Endpoint Security a serwerem Central Node. Aby korzystać z uwierzytelniania dwukierunkowego, musisz włączyć uwierzytelnianie dwukierunkowe w ustawieniach serwera Central Node, a następnie uzyskać kontener szyfrowania i ustawić hasło chroniące kontener szyfrowania. Kontener kryptograficzny to archiwum PFX z certyfikatem i kluczem prywatnym. Kontener kryptograficzny można uzyskać w konsoli Kaspersky Anti Targeted Attack Platform (zobacz instrukcje w pliku Pomoc Kaspersky Anti Targeted Attack Platform). Po skonfigurowaniu ustawień węzła centralnego należy również włączyć uwierzytelnianie dwukierunkowe w ustawieniach Kaspersky Endpoint Security i załadować chroniony hasłem kontener kryptograficzny.
    Kontener szyfrowania musi być zabezpieczony hasłem. Nie ma możliwości dodania kontenera szyfrowania z pustym hasłem.
8. Kliknij OK.
9. Dodaj serwery węzła centralnego. W tym celu należy określić adres serwera (IPv4, IPv6) oraz port do połączenia z serwerem.
  Można dodać wiele adresów serwera węzła centralnego dla EDR (KATA). Kaspersky Endpoint Security próbuje nawiązać połączenie z serwerem pod pierwszym adresem IP. Jeśli nie uda się nawiązać połączenia, Kaspersky Endpoint Security spróbuje połączyć się z serwerem pod drugim adresem IP itd.
10. W razie potrzeby skonfiguruj telemetrię.
11. Zapisz swoje zmiany. Aby zastosować zasady na komputerach, zamknij kłódki .
Jak połączyć komputer Kaspersky Endpoint Security z węzłem centralnym przy użyciu Web Console
1. W oknie głównym Web Console wybierz Zasoby (urządzenia) → Profile zasad.
2. Kliknij nazwę zasady Kaspersky Endpoint Security.
  Zostanie otwarte okno właściwości profilu.
3. Wybierz zakładkę Ustawienia aplikacji.
4. Przejdź do sekcji Konfiguracja wbudowanych agentów i wybierz komponent, który chcesz skonfigurować: Endpoint Detection and Response Expert (on-premise) lub Network Detection and Response (KATA).
5. Włącz odpowiedni przełącznik: WŁĄCZONO Endpoint Detection and Response Expert (on-premise) lub Network Detection and Response (KATA) WŁĄCZONE.
6. Aby skonfigurować EDR (KATA), wybierz Endpoint Detection and Response (KATA) z listy rozwiązań.
7. Kliknij Ustawienia połączenia.
8. Skonfiguruj połączenie z serwerem:
  - Limit czasu (sek). Maksymalny limit czasu odpowiedzi serwera węzła centralnego. Po przekroczeniu limitu czasu Kaspersky Endpoint Security próbuje połączyć się z innym serwerem węzła centralnego.
  - Certyfikat serwera. Certyfikat TLS do nawiązania zaufanego połączenia z serwerem Central Node. Możesz uzyskać certyfikat TLS w konsoli Kaspersky Anti Targeted Attack Platform (zobacz instrukcje w Pomoc Kaspersky Anti Targeted Attack Platform).
  - Zastosuj uwierzytelnianie dwukierunkowe. Uwierzytelnianie dwukierunkowe podczas nawiązywania bezpiecznego połączenia między Kaspersky Endpoint Security a serwerem Central Node. Aby korzystać z uwierzytelniania dwukierunkowego, musisz włączyć uwierzytelnianie dwukierunkowe w ustawieniach serwera Central Node, a następnie uzyskać kontener szyfrowania i ustawić hasło chroniące kontener szyfrowania. Kontener kryptograficzny to archiwum PFX z certyfikatem i kluczem prywatnym. Kontener kryptograficzny można uzyskać w konsoli Kaspersky Anti Targeted Attack Platform (zobacz instrukcje w pliku Pomoc Kaspersky Anti Targeted Attack Platform). Po skonfigurowaniu ustawień węzła centralnego należy również włączyć uwierzytelnianie dwukierunkowe w ustawieniach Kaspersky Endpoint Security i załadować chroniony hasłem kontener kryptograficzny.
    Kontener szyfrowania musi być zabezpieczony hasłem. Nie ma możliwości dodania kontenera szyfrowania z pustym hasłem.
9. Kliknij OK.
10. Dodaj serwery węzła centralnego. W tym celu należy określić adres serwera (IPv4, IPv6) oraz port do połączenia z serwerem.
  Można dodać wiele adresów serwera węzła centralnego dla EDR (KATA). Kaspersky Endpoint Security próbuje nawiązać połączenie z serwerem pod pierwszym adresem IP. Jeśli nie uda się nawiązać połączenia, Kaspersky Endpoint Security spróbuje połączyć się z serwerem pod drugim adresem IP itd.
11. W razie potrzeby skonfiguruj telemetrię.
12. Zapisz swoje zmiany. Aby zastosować zasady na komputerach, zamknij kłódki .
W rezultacie komputer zostanie dodany do konsoli Kaspersky Anti Targeted Attack Platform. Sprawdź stan działania komponentu, przeglądając Raport o stanie składników aplikacji. Stan działania komponentu można sprawdzić także w raportach, w lokalnym interfejsie Kaspersky Endpoint Security. Komponent Endpoint Detection and Response Expert (on-premise) zostanie dodany do listy komponentów Kaspersky Endpoint Security.

Przejdź do góry