Integratie van de EDR Agent met EDR Expert (on-premise)

EDR-agent wordt geïnstalleerd op werkstations en servers in de IT-infrastructuur van de organisatie. Op deze computers controleert EDR-agent voortdurend processen, open netwerkverbindingen en bestanden die worden gewijzigd, en stuurt monitoringgegevens naar de EDR Expert (on-premise) server.

Om te integreren met EDR Expert (on-premise), moet u het onderdeel Endpoint Detection and Response Expert (on-premise) inschakelen en EDR-agent configureren.

De integratie met Endpoint Detection and Response Expert (on-premise) omvat de volgende stappen:

Kaspersky Endpoint Detection and Response Expert (on-premise) activeren
U moet een afzonderlijke licentie kopen voor EDR Expert (on-premise) (Kaspersky Endpoint Detection and Response Expert (on-premise) add-on).

De functie wordt beschikbaar na toevoeging van een afzonderlijke sleutel voor Kaspersky Endpoint Detection and Response Expert (on-premise). Licenties voor de zelfstandige Endpoint Detection and Response (KATA)-functionaliteit zijn hetzelfde als de licenties van Kaspersky Endpoint Security.

Zorg ervoor dat de EDR Export (on-premise)-functionaliteit is inbegrepen in de licentie en wordt uitgevoerd in de lokale interface van het programma.
Verbinding maken met de server voor het verzamelen van telemetriegegevens en de responsserver
Kaspersky Endpoint Detection and Response Expert (on-premises) vereist een vertrouwde verbinding tussen Kaspersky Endpoint Security en twee servers:
- Een telemetrieverzamelingsserver is een server die deel uitmaakt van een SIEM oplossing die informatie over gebeurtenissen op de computer verzamelt, normaliseert, correleert, analyseert en opslaat.
- Een responsservers is een server voor het ontvangen en scannen van gegevens, het bestuderen van het gedrag van objecten en het publiceren van de resultaten van dergelijke onderzoeken.
Gebruik een TLS-certificaat om een vertrouwde verbinding te configureren. U kunt een TLS-certificaat verkrijgen via het Open Single Management Platform (zie de instructies in de Help van Kaspersky Endpoint Detection and Response Expert (on-premise)). Vervolgens moet u het TLS-certificaat toevoegen aan Kaspersky Endpoint Security (zie onderstaande instructies).

Standaard controleert Kaspersky Endpoint Security alleen het TLS-certificaat van de servers. Om de verbinding veiliger te maken, kunt u bovendien de verificatie van de computer op de server (twee-weg verificatie) inschakelen. Om deze verificatie in te schakelen, moet u twee-weg inschakelen in de server- en Kaspersky Endpoint Security-instellingen. Om twee-weg verificatie te gebruiken hebt u ook een crypto-container nodig. Een crypto-container is een PFX-archief met een certificaat en een privésleutel. U kunt een cryptocontainer verkrijgen op het Open Single Management Platform (zie de instructies in de Help van Kaspersky Endpoint Detection and Response Expert (on-premises)).

Een Kaspersky Endpoint Security-computer verbinden met EDR Expert (on-premise) via de webconsole
1. Selecteer in het hoofdvenster van de Webconsole het tabblad Assets (Devices) → Policies & profiles.
2. Klik op de naam van het Kaspersky Endpoint Security-beleid.
  U ziet nu het venster met de beleidseigenschappen.
3. Selecteer het tabblad Application settings.
4. Ga naar Built-in Agents Configuration → Endpoint Detection and Response Expert (on-premise).
5. Zet de schakelaar Endpoint Detection and Response Expert (on-premise) ENABLED aan.
6. Als u EDR Expert (on-premise) wilt configureren, selecteert u Endpoint Detection and Response Expert (version 8.0 or later) in de lijst met oplossingen.
7. Configureer de servers voor het verzamelen van telemetriegegevens verbinding:
  1. Klik in het blok Connection to telemetry collection servers op de koppeling Connection settings.
  2. Configureer de verbinding met de servers voor het verzamelen van telemetriegegevens:
    - Timeout (sec). Maximale time-out voor de serverrespons. Wanneer de time-out is verstreken, probeert Kaspersky Endpoint Security verbinding te maken met een andere server.
    - Server certificate. TLS-certificaat voor het tot stand brengen van een vertrouwde verbinding met de server. U kunt een TLS-certificaat verkrijgen via het Open Single Management Platform (zie de instructies in de Help van Kaspersky Endpoint Detection and Response Expert (on-premise)).
    - Use two-way authentication. Tweerichtingsverificatie bij het tot stand brengen van een beveiligde verbinding tussen Kaspersky Endpoint Security en de server. Om tweerichtingsverificatie te gebruiken, moet u tweerichtingsverificatie inschakelen in de server instellingen, vervolgens een crypto-container ophalen en een wachtwoord instellen om de crypto-container te beschermen. Een crypto-container is een PFX-archief met een certificaat en een privésleutel. U kunt een cryptocontainer verkrijgen op het Open Single Management Platform (zie de instructies in de Help van Kaspersky Endpoint Detection and Response Expert (on-premises)). Na het configureren van de server instellingen, moet u ook tweerichtingsverificatie inschakelen in de instellingen van Kaspersky Endpoint Security en een met een wachtwoord beveiligde crypto-container laden.
      De crypto-container moet met een wachtwoord worden beveiligd. Het is niet mogelijk om een crypto-container toe te voegen met een leeg wachtwoord.
  3. Klik op OK.
  4. Voeg servers voor het verzamelen van telemetrie toe. Hiertoe geeft u het serveradres (IPv4, IPv6) en de poort op om verbinding te maken met de server.
    U kunt meerdere adressen van telemetrie-verzamelingsservers toevoegen. Kaspersky Endpoint Security probeert verbinding te maken met de server op het eerste IP-adres. Als er geen verbinding tot stand kan worden gebracht, probeert Kaspersky Endpoint Security verbinding te maken via het tweede IP-adres in de lijst, enzovoort.
  5. Indien nodig, telemetrie configureren.
8. Configureer de responsservers verbinding:
  1. Configureer in het blok Connection to response servers de instellingen Send sync request to server every (min). Frequentie van synchronisatieverzoeken die naar de server worden verzonden. Tijdens de synchronisatie ontvangt Kaspersky Endpoint Security responstaken op dreigingen en verstuurt het de resultaten van de taken.
  2. Klik op de koppeling Connection settings.
  3. Configureer de responsservers verbinding:
    - Timeout (sec). Maximale time-out voor de serverrespons. Wanneer de time-out is verstreken, probeert Kaspersky Endpoint Security verbinding te maken met een andere server.
    - Server certificate. TLS-certificaat voor het tot stand brengen van een vertrouwde verbinding met de server. U kunt een TLS-certificaat verkrijgen via het Open Single Management Platform (zie de instructies in de Help van Kaspersky Endpoint Detection and Response Expert (on-premise)).
    - Use two-way authentication. Tweerichtingsverificatie bij het tot stand brengen van een beveiligde verbinding tussen Kaspersky Endpoint Security en de server. Om tweerichtingsverificatie te gebruiken, moet u tweerichtingsverificatie inschakelen in de server instellingen, vervolgens een crypto-container ophalen en een wachtwoord instellen om de crypto-container te beschermen. Een crypto-container is een PFX-archief met een certificaat en een privésleutel. U kunt een cryptocontainer verkrijgen op het Open Single Management Platform (zie de instructies in de Help van Kaspersky Endpoint Detection and Response Expert (on-premises)). Na het configureren van de server instellingen, moet u ook tweerichtingsverificatie inschakelen in de instellingen van Kaspersky Endpoint Security en een met een wachtwoord beveiligde crypto-container laden.
      De crypto-container moet met een wachtwoord worden beveiligd. Het is niet mogelijk om een crypto-container toe te voegen met een leeg wachtwoord.
  4. Klik op OK.
  5. Voeg responsservers toe. Hiertoe geeft u het serveradres (IPv4, IPv6) en de poort op om verbinding te maken met de server.
    U kunt meerdere adressen van responsservers toevoegen. Kaspersky Endpoint Security probeert verbinding te maken met de server op het eerste IP-adres. Als er geen verbinding tot stand kan worden gebracht, probeert Kaspersky Endpoint Security verbinding te maken via het tweede IP-adres in de lijst, enzovoort.
9. Sla uw wijzigingen op. Om het beleid op computers toe te passen, sluit de hangsloten .
Als gevolg hiervan wordt de computer toegevoegd aan het Open Single Management Platform (OSMP). Controleer de werkingsstatus van het onderdeel door het Report on status of application components te bekijken. U kunt de werkingsstatus van een onderdeel ook in rapporten bekijken in de lokale interface van Kaspersky Endpoint Security. Het onderdeel Endpoint Detection and Response Expert (on-premise) wordt toegevoegd aan de lijst met Kaspersky Endpoint Security-onderdelen.

Naar boven