Настройка совместной работы с EPP-приложениями

Kaspersky Industrial CyberSecurity for Networks может получать и обрабатывать данные, которые поступают от приложений "Лаборатории Касперского", выполняющих функции защиты рабочих станций и серверов. Эти приложения входят в состав системы защиты конечных устройств (англ. Endpoint Protection Platform, EPP) и устанавливаются на конечные устройства внутри IT-инфраструктуры организации.

Передачу данных от EPP-приложений осуществляют компьютеры с установленной программой Kaspersky Endpoint Agent. Программа Kaspersky Endpoint Agent устанавливается на рабочие станции и серверы в IT-инфраструктуре организации дополнительно к EPP-приложениям.

С использованием полученных данных от EPP-приложений Kaspersky Industrial CyberSecurity for Networks позволяет выполнять различные действия на устройствах с установленной программой Kaspersky Endpoint Agent.

В текущей версии Kaspersky Industrial CyberSecurity for Networks поддерживает получение и обработку данных от программы Kaspersky Endpoint Agent из комплекта поставки Kaspersky Industrial CyberSecurity for Nodes / Kaspersky Industrial CyberSecurity for Linux Nodes. Установка Kaspersky Endpoint Agent может быть выполнена отдельно или в составе указанной программы.

Если Kaspersky Endpoint Agent установлен на устройстве с устаревшей операционной системой (например, Windows 7), то возможны отказы в установке соединений. Для получения информации о способах устранения проблем вы можете обратиться в Службу технической поддержки.

Максимальное количество компьютеров, от которых поддерживается получение и обработка данных от EPP-приложений – 1000.

Данные от Kaspersky Endpoint Agent поступают в Kaspersky Industrial CyberSecurity for Networks через серверы интеграции. Функции сервера интеграции может выполнять любой узел с установленным компонентом Kaspersky Industrial CyberSecurity for Networks (Сервер или сенсор). Для интеграции с Kaspersky Endpoint Agent вам нужно добавить серверы интеграции на те узлы, которые будут получать данные от Kaspersky Endpoint Agent.

Функции сервера интеграции на узле Kaspersky Industrial CyberSecurity for Networks реализует сервис интеграции с EPP-приложениями – kics4net-epp-proxy. Пакет для установки этого сервиса входит в комплект поставки Kaspersky Industrial CyberSecurity for Networks.

При поступлении данных от Kaspersky Endpoint Agent на сервер интеграции программа может выполнять следующие действия:

• регистрировать события по технологии EPP (события защиты рабочих станций и серверов);
• добавлять в таблицу устройств те устройства, на которых установлены EPP-приложения (а также устройства, с которыми были двусторонние взаимодействия этих устройств);
• обновлять в таблице устройств сведения об устройствах, на которых установлены EPP-приложения (например, версия операционной системы, сведения о модели или производителе);
• отображать на узлах карты сетевых взаимодействий и топологической карты специальные значки, обозначающие наличие EPP-приложений и состояния подключения этих приложений;
• отображать на карте сетевых взаимодействий соединения, в которых одной из сторон взаимодействия является устройство с установленным EPP-приложением (при этом для отображения сведений о таких соединениях приоритет имеют данные, полученные из трафика от точек мониторинга);
• контролировать оборудование на устройствах;
• регистрировать сетевые сеансы.

При совместной работе с Kaspersky Endpoint Agent вы можете выполнять следующие действия с помощью Kaspersky Industrial CyberSecurity for Networks:

• использовать Kaspersky Endpoint Agent для сканирования устройств в рамках заданий аудита безопасности;
• запускать действия по реагированию при регистрации событий по технологии EPP, если для этих событий построены цепочки развития угроз в Kaspersky Endpoint Agent.

Компьютеры с Kaspersky Endpoint Agent устанавливают защищенные соединения с серверами интеграции по протоколу HTTPS. Для обеспечения безопасности соединений используются сертификаты, выданные Сервером Kaspersky Industrial CyberSecurity for Networks. В соединениях могут использоваться следующие сертификаты:

• Сертификат сервера интеграции. Этот сертификат проверяет компьютер с Kaspersky Endpoint Agent при каждой установке соединения. Соединение не устанавливается до успешного завершения проверки сертификата.
• Сертификат клиента. Этот сертификат используется для аутентификации клиентов сервера интеграции, которыми являются компьютеры с Kaspersky Endpoint Agent. Один и тот же сертификат клиента может использоваться несколькими компьютерами с Kaspersky Endpoint Agent. По умолчанию сервер интеграции не выполняет проверку сертификатов клиентов, но вы можете ее включить для усиления защиты соединений.

Доставка сертификатов и открытых ключей на компьютеры с Kaspersky Endpoint Agent выполняется с помощью Kaspersky Security Center. Для загрузки этих данных в Kaspersky Security Center используется файл свертки, который нужно создать в Kaspersky Industrial CyberSecurity for Networks после добавления сервера интеграции.

Настраивать получение данных от EPP-приложений могут только пользователи с ролью Администратор.

В этом разделе Сценарий подготовки к получению данных от EPP-приложений Добавление сервера интеграции Создание файла свертки для клиентов сервера интеграции Таблица серверов интеграции Включение и выключение сервера интеграции Изменение параметров сервера интеграции Удаление сервера интеграции

В начало