Tích hợp EDR Agent với KATA (EDR)

EDR Agent được cài đặt trên các máy trạm và máy chủ trong cơ sở hạ tầng CNTT của tổ chức. Trên các máy tính này, EDR Agent sẽ liên tục giám sát các tiến trình, kết nối mạng mở và các tập tin đang bị sửa đổi, đồng thời gửi dữ liệu giám sát đến máy chủ có thành phần Central Node.

Để tích hợp với EDR (KATA), bạn phải bật thành phần Endpoint Detection and Response (KATA) và cấu hình EDR Agent.

Phải đáp ứng các điều kiện sau đây để Endpoint Detection and Response (KATA) hoạt động:

Kaspersky Anti Targeted Attack Platform phiên bản 5.0 trở lên.
Kaspersky Security Center phiên bản 14.2 trở lên. Không thể kích hoạt tính năng Endpoint Detection and Response (KATA) trong các phiên bản trước của Kaspersky Security Center.

Tích hợp với thành phần Endpoint Detection and Response (KATA) liên quan tới các bước sau:

Kích hoạt Endpoint Detection and Response (KATA)
Bạn cần mua một giấy phép riêng cho EDR (KATA) (Phần bổ trợ Kaspersky Endpoint Detection and Response (KATA)).

Chức năng này sẽ khả dụng sau khi thêm một khóa riêng cho Kaspersky Endpoint Detection and Response (KATA). Việc cấp giấy phép cho chức năng Endpoint Detection and Response (KATA) độc lập cũng giống như việc cấp giấy phép cho Kaspersky Endpoint Security.

Đảm bảo rằng chức năng EDR (KATA) được gộp trong giấy phép và đang chạy trong giao diện cục bộ của ứng dụng.
Kết nối với Central Node
Kaspersky Anti Targeted Attack Platform yêu cầu thiết lập kết nối được tin tưởng giữa Kaspersky Endpoint Security và thành phần Central Node. Để cấu hình kết nối được tin tưởng, bạn phải sử dụng chứng chỉ TLS. Bạn có thể lấy chứng chỉ TLS trong bảng điều khiển Kaspersky Anti Targeted Attack Platform (xem hướng dẫn trong Trợ giúp của Kaspersky Anti Targeted Attack Platform). Sau đó, bạn phải thêm chứng chỉ TLS vào Kaspersky Endpoint Security (xem hướng dẫn bên dưới).

Thêm chứng chỉ TLS vào Kaspersky Endpoint Security

Theo mặc định, Kaspersky Endpoint Security chỉ kiểm tra chứng chỉ TLS của Central Node. Để cho kết nối bảo mật hơn, bạn có thể kích hoạt thêm xác minh máy tính trên Central Node (xác thực hai chiều). Để bật cơ chế xác minh này, bạn phải bật xác thực hai chiều trong thiết lập của Central Node và Kaspersky Endpoint Security. Để sử dụng xác thực hai chiều, bạn cũng sẽ cần một bộ chứa mã hóa. Một bộ chứa mã hóa là kho lưu trữ PFX có chứng chỉ và khóa riêng. Bạn có thể nhận một bộ chứa mã hóa trong bảng điều khiển Kaspersky Anti Targeted Attack Platform (xem hướng dẫn trong Trợ giúp của Kaspersky Anti Targeted Attack Platform).

Cách kết nối máy tính Kaspersky Endpoint Security với Central Node bằng Bảng điều khiển quản trị (MMC)
1. Trong cửa sổ chính của Bảng điều khiển web, hãy chọn thẻ Assets (Devices) → Policies & profiles.
2. Nhấn vào tên của chính sách Kaspersky Endpoint Security.
  Cửa sổ thuộc tính chính sách sẽ được mở ra.
3. Chọn thẻ Application settings.
4. Vào phần Detection and Response và chọn thành phần mà bạn muốn cấu hình: Endpoint Detection and Response Expert (on-premise) hoặc Network Detection and Response (KATA).
5. Chọn hộp kiểm tương ứng: Endpoint Detection and Response Expert (on-premise) hoặc Network Detection and Response (KATA).
6. Nhấn vào Connection settings.
7. Cấu hình kết nối máy chủ:
  - Timeout (sec). Thời gian chờ phản hồi tối đa của máy chủ Central Node. Khi hết thời gian chờ, Kaspersky Endpoint Security sẽ cố gắng kết nối với một máy chủ Central Node khác.
  - Server certificate. Chứng chỉ TLS để thiết lập kết nối được tin tưởng với máy chủ Central Node. Bạn có thể lấy chứng chỉ TLS trong bảng điều khiển Kaspersky Anti Targeted Attack Platform (xem hướng dẫn trong Trợ giúp của Kaspersky Anti Targeted Attack Platform).
  - Use two-way authentication. Xác thực hai chiều khi thiết lập kết nối bảo mật giữa Kaspersky Endpoint Security và máy chủ Central Node. Để sử dụng xác thực hai chiều, bạn cần bật xác thực hai chiều trong cài đặt máy chủ Central Node, sau đó lấy bộ chứa mã hóa và đặt mật khẩu để bảo vệ bộ chứa mã hóa. Một bộ chứa mã hóa là kho lưu trữ PFX có chứng chỉ và khóa riêng. Bạn có thể nhận một bộ chứa mã hóa trong bảng điều khiển Kaspersky Anti Targeted Attack Platform (xem hướng dẫn trong Trợ giúp của Kaspersky Anti Targeted Attack Platform). Sau khi cấu hình thiết lập Central Node, bạn cũng cần bật xác thực hai chiều trong thiết lập của Kaspersky Endpoint Security và tải bộ chứa mã hóa được bảo vệ bằng mật khẩu.
    Bộ chứa mã hóa phải được bảo vệ bằng mật khẩu. Không thể thêm bộ chứa mã hóa có mật khẩu trống.
8. Nhấn vào OK.
9. Thêm máy chủ Central Node. Để thực hiện, hãy chỉ định địa chỉ máy chủ (IPv4, IPv6) và cổng để kết nối với máy chủ.
  Bạn có thể thêm nhiều địa chỉ máy chủ Central Node cho EDR (KATA). Kaspersky Endpoint Security sẽ cố gắng kết nối tới máy chủ tại địa chỉ IP đầu tiên. Nếu không thể thiết lập kết nối, Kaspersky Endpoint Security sẽ cố gắng kết nối tại địa chỉ IP thứ hai trong danh sách, v.v.
10. Nếu cần, hãy cấu hình đo từ xa.
11. Lưu các thay đổi của bạn. Để áp dụng chính sách trên máy tính, hãy đóng ổ khóa .
Cách kết nối máy tính Kaspersky Endpoint Security với Central Node bằng Bảng điều khiển web
1. Trong cửa sổ chính của Bảng điều khiển web, hãy chọn thẻ Assets (Devices) → Policies & profiles.
2. Nhấn vào tên của chính sách Kaspersky Endpoint Security.
  Cửa sổ thuộc tính chính sách sẽ được mở ra.
3. Chọn thẻ Application settings.
4. Vào phần Built-in Agents Configuration và chọn thành phần mà bạn muốn cấu hình: Endpoint Detection and Response Expert (on-premise) hoặc Network Detection and Response (KATA).
5. Bật nút bật/tắt tương ứng: Endpoint Detection and Response Expert (on-premise) ENABLED hoặc Network Detection and Response (KATA) ENABLED.
6. Để cấu hình EDR (KATA), hãy chọn Endpoint Detection and Response (KATA) trong danh sách các giải pháp.
7. Nhấn vào Connection settings.
8. Cấu hình kết nối máy chủ:
  - Timeout (sec). Thời gian chờ phản hồi tối đa của máy chủ Central Node. Khi hết thời gian chờ, Kaspersky Endpoint Security sẽ cố gắng kết nối với một máy chủ Central Node khác.
  - Server certificate. Chứng chỉ TLS để thiết lập kết nối được tin tưởng với máy chủ Central Node. Bạn có thể lấy chứng chỉ TLS trong bảng điều khiển Kaspersky Anti Targeted Attack Platform (xem hướng dẫn trong Trợ giúp của Kaspersky Anti Targeted Attack Platform).
  - Use two-way authentication. Xác thực hai chiều khi thiết lập kết nối bảo mật giữa Kaspersky Endpoint Security và máy chủ Central Node. Để sử dụng xác thực hai chiều, bạn cần bật xác thực hai chiều trong cài đặt máy chủ Central Node, sau đó lấy bộ chứa mã hóa và đặt mật khẩu để bảo vệ bộ chứa mã hóa. Một bộ chứa mã hóa là kho lưu trữ PFX có chứng chỉ và khóa riêng. Bạn có thể nhận một bộ chứa mã hóa trong bảng điều khiển Kaspersky Anti Targeted Attack Platform (xem hướng dẫn trong Trợ giúp của Kaspersky Anti Targeted Attack Platform). Sau khi cấu hình thiết lập Central Node, bạn cũng cần bật xác thực hai chiều trong thiết lập của Kaspersky Endpoint Security và tải bộ chứa mã hóa được bảo vệ bằng mật khẩu.
    Bộ chứa mã hóa phải được bảo vệ bằng mật khẩu. Không thể thêm bộ chứa mã hóa có mật khẩu trống.
9. Nhấn vào OK.
10. Thêm máy chủ Central Node. Để thực hiện, hãy chỉ định địa chỉ máy chủ (IPv4, IPv6) và cổng để kết nối với máy chủ.
  Bạn có thể thêm nhiều địa chỉ máy chủ Central Node cho EDR (KATA). Kaspersky Endpoint Security sẽ cố gắng kết nối tới máy chủ tại địa chỉ IP đầu tiên. Nếu không thể thiết lập kết nối, Kaspersky Endpoint Security sẽ cố gắng kết nối tại địa chỉ IP thứ hai trong danh sách, v.v.
11. Nếu cần, hãy cấu hình đo từ xa.
12. Lưu các thay đổi của bạn. Để áp dụng chính sách trên máy tính, hãy đóng ổ khóa .
Kết quả là máy tính được thêm vào bảng điều khiển Kaspersky Anti Targeted Attack Platform. Kiểm tra trạng thái hoạt động của thành phần bằng cách xem Report on status of application components. Bạn cũng có thể xem trạng thái hoạt động của một thành phần trong mục báo cáo trong giao diện cục bộ của Kaspersky Endpoint Security. Thành phần Endpoint Detection and Response Expert (on-premise) sẽ được thêm vào danh sách các thành phần của Kaspersky Endpoint Security.

Về đầu trang