EDR용 KEA-KES 마이그레이션 가이드(KATA)

Kaspersky Endpoint Security for Windows는 12.1 버전부터 이제 Kaspersky Anti Targeted Attack Platform 솔루션의 일부인 Kaspersky Endpoint Detection and Response 구성 요소를 관리하기 위한 내장 에이전트가 포함됩니다. 이제 Kaspersky Endpoint Agent 애플리케이션이 없어도 EDR(KATA)을 이용할 수 있습니다. Kaspersky Endpoint Agent의 모든 기능은 Kaspersky Endpoint Security에 의해 실행됩니다. Kaspersky Anti Targeted Attack Platform 서버의 부하는 동일하게 유지됩니다.

Kaspersky Endpoint Agent가 설치된 컴퓨터에 Kaspersky Endpoint Security를 배포하면 Kaspersky Anti Targeted Attack Platform(EDR) 솔루션이 Kaspersky Endpoint Security와 계속해서 작동합니다. 또한 Kaspersky Endpoint Agent가 컴퓨터에서 제거됩니다. Kaspersky Endpoint Security를 버전 12.1 이상으로 업데이트하면 시스템에서 동일한 행동이 발생합니다.

Kaspersky Endpoint Security는 Kaspersky Endpoint Agent와 호환되지 않습니다. 이러한 애플리케이션을 한 컴퓨터에 다 설치할 수는 없습니다.

Kaspersky Endpoint Security가 Endpoint Detection and Response(KATA)의 일부로 작동하려면 다음 조건을 충족해야 합니다.

• Kaspersky Anti Targeted Attack Platform 버전 4.1 이상.
• Kaspersky Security Center 버전 13.2 이상(네트워크 에이전트 포함) 이전 버전의 Kaspersky Security Center에서는 Endpoint Detection and Response(KATA)의 기능을 활성화할 수 없습니다.

[KES+KEA] 구성을 EDR(KATA)용 [KES+내장형 에이전트]로 마이그레이션하는 단계

1. Kaspersky Endpoint Security 관리 플러그인 업그레이드

   EDR(KATA) 구성요소는 Kaspersky Endpoint Security 관리 플러그인 버전 12.1 이상을 사용하여 관리할 수 있습니다. 사용하고 있는 Kaspersky Security Center 콘솔 유형에 따라 관리 콘솔(MMC)의 관리 플러그인 또는 웹 콘솔의 웹 플러그인을 업데이트합니다.

2. 정책 및 작업 마이그레이션

   Kaspersky Endpoint Agent 설정을 Windows용 Kaspersky Endpoint Security로 이전합니다. 다음과 같은 옵션을 사용할 수 있습니다.

   • Kaspersky Endpoint Agent에서 Kaspersky Endpoint Security로 마이그레이션하는 마법사입니다. Kaspersky Endpoint Agent에서 Kaspersky Endpoint Security로 마이그레이션하는 마법사는 웹 콘솔에서만 작동합니다.

     Kaspersky Endpoint Agent에서 웹 콘솔의 Kaspersky Endpoint Security로 정책 및 작업 설정을 마이그레이션 방법

     웹 콘솔 메인 창에서 동작 → Kaspersky Endpoint Agent에서 마이그레이션을 선택합니다.

     정책 및 작업 마이그레이션 마법사가 열립니다. 마법사의 지침을 따릅니다.

     1단계. 정책 마이그레이션

     마이그레이션 마법사가 Kaspersky Endpoint Security와 Kaspersky Endpoint Agent 정책의 설정을 병합하는 새 정책을 만듭니다. 정책 목록에서 Kaspersky Endpoint Security 정책에 병합하고자 하는 Kaspersky Endpoint Agent 정책 설정을 선택합니다. Kaspersky Endpoint Agent 정책을 클릭해서 설정을 병합할 Kaspersky Endpoint Security 정책을 선택합니다. 알맞은 정책을 선택했는지 확인하고 다음 단계로 넘어갑니다.

     2단계. 정책 마이그레이션

     마이그레이션 마법사는 EDR(KATA) 작업을 지원하지 않습니다. 이 단계를 건너뜁니다.

     3단계. 마법사 완료

     마법사를 끝냅니다. 마법사를 진행한 결과 새로운 Kaspersky Endpoint Security 정책이 생성됩니다. 정책이 Kaspersky Endpoint Security와 Kaspersky Endpoint Agent의 설정을 병합합니다. 정책의 이름은 <Kaspersky Endpoint Security 정책 이름> & <Kaspersky Endpoint Agent 정책 이름>입니다. 새 정책은 비활성 상태입니다. 계속하려면 Kaspersky Endpoint Agent와 Kaspersky Endpoint Security 정책의 상태를 비활성으로 바꾸고 새로 병합된 정책을 활성화합니다.

     웹 콘솔의 마이그레이션 마법사가 다음 정책 설정을 건너뛰고 마이그레이션하지 않기 때문입니다.

     • KATA 서버 연결 설정에 대한 설정 수정 금지(‘잠금’).

       기본적으로 설정을 수정할 수 있습니다(“잠금”이 열립니다). 따라서 설정이 컴퓨터에서 적용되지 않습니다. 설정 수정을 금지하고 ‘잠금’을 종료해야 합니다.

     • 암호화 컨테이너.

       Central Node 서버로 연결하기 위해 양방향 인증을 사용하는 경우, 암호화 컨테이너를 다시 추가해야 합니다.

     마이그레이션 마법사가 이 설정을 마이그레이션하지 않기 때문에 컴퓨터를 중앙 노드 서버로 연결할 때 오류가 발생할 수 있습니다. 이 오류를 해결하려면 정책 속성으로 이동해서 연결 설정을 구성해야 합니다.

   • 표준 정책 및 작업 배치 변환 마법사 정책 및 작업 매치 변환 마법사는 관리자 콘솔(MMC)에서만 사용할 수 있습니다. 정책 및 작업 배치 변환 마법사에 대한 자세한 내용은 Kaspersky Security Center 도움말을 참조하십시오.

   Kaspersky Endpoint Security가 서버에서 올바르게 작동하게 하려면, 서버 작용과 관련된 중요 파일을 신뢰 구역에 추가하는 것이 좋습니다. SQL 서버의 경우 MDF 및 LDF 데이터베이스 파일을 추가해야 합니다. Microsoft Exchange 서버의 경우 CHK, EDB, JRS, LOG 및 JSL 파일을 추가해야 합니다. 마스크(예: C:\Program Files (x86)\Microsoft SQL Server\*.mdf)를 사용할 수도 있습니다.

   EDR 원격 측정 예외 규칙은 Kaspersky Endpoint Agent 정책을 Kaspersky Endpoint Security 정책으로 마이그레이션하지 않습니다. Kaspersky Endpoint Security에는 자체 제외 도구인 신뢰하는 애플리케이션이 있습니다. 개별 EDR 원격 측정 예외 규칙이 없어도 Kaspersky Endpoint Agent와 비교하여 사용자 컴퓨터에 추가 부하가 발생하지 않도록 Kaspersky Endpoint Security의 동작이 최적화되어 있습니다. Kaspersky Endpoint Security는 EDR(KATA)뿐만 아니라 애플리케이션 보호 구성 요소의 동작에 대해서도 원격 측정을 사용합니다. 따라서 개별 EDR 원격 측정 예외 규칙을 전송할 필요가 없습니다. 컴퓨터 성능이 저하된다고 생각되면 애플리케이션의 성능을 확인하십시오(7단계 동작 확인 참조).

3. EDR(KATA) 기능 라이센스

   Kaspersky Anti Targeted Attack Platform 솔루션의 일부로 Kaspersky Endpoint Security를 활성화하려면 Kaspersky Endpoint Detection and Response(KATA) 애드온에 대한 별도 라이센스가 필요합니다. 키 추가 작업을 통해 키를 추가할 수 있습니다. 결과적으로 Kaspersky Endpoint Security와 Kaspersky Endpoint Detection and Response(KATA) 키가 애플리케이션에 추가됩니다.

   이전에 활성화된 EDR Optimum 또는 EDR Expert 기능이 있는 컴퓨터에서 Kaspersky Endpoint Detection and Response(KATA) 애드온 라이센스를 부여하려면 다음과 같은 특별한 고려 사항이 필요합니다.

   • EDR Optimum 또는 EDR Expert 기능이 있는 Kaspersky Endpoint Security 라이센싱을 위해 키 파일을 사용하는 경우 별도의 Kaspersky Endpoint Detection and Response(KATA) 애드온용 키를 추가할 수 없습니다. 라이센스를 위해 활성화 코드를 사용하도록 전환하거나 서비스 제공업체에 문의하여 Kaspersky Endpoint Security 및 EDR 기능을 활성화하기 위한 새 키 파일을 얻을 수 있습니다. 서비스 제공업체는 라이센스를 위해 하나 이상의 키 파일을 제공합니다.
   • EDR Optimum 또는 EDR Expert 기능이 없는 Kaspersky Endpoint Security 라이센스를 위해 키 파일을 사용하는 경우 키 파일 재발급 없이 별도의 Kaspersky Endpoint Detection and Response(KATA) 애드온용 키를 추가할 수 있습니다.
   • 라이센스를 위해 활성화 코드를 사용하는 경우 Kaspersky 활성화 서버가 자동으로 키를 재발급하고 EDR(KATA) 기능을 자동으로 사용할 수 있게 됩니다. 이 경우 EDR Optimum과 EDR Expert는 비활성화됩니다.
   • Kaspersky Endpoint Security를 사용하면 Kaspersky Endpoint Security 키와 애드온 유형의 키 등 최대 2개의 활성 키를 추가할 수 있습니다. 최대 2개의 예약 키를 추가할 수도 있습니다. Kaspersky Endpoint Security 예약 키 1개와 애드온 유형의 예약 키 1개입니다.
4. Kaspersky Endpoint Security 애플리케이션 설치 / 업그레이드

   애플리케이션 설치 또는 업그레이드 중에 EDR(KATA) 기능을 마이그레이션하려면 원격 설치 작업을 사용하는 것이 좋습니다. 원격 설치 작업을 생성할 때 설치 패키지 설정에서 EDR(KATA) 구성요소를 선택해야 합니다.

   다음 방법을 사용하여 원격으로 애플리케이션을 업그레이드할 수도 있습니다:

   • Kaspersky 업데이트 서비스 사용.
   • 로컬에서 설치 마법사 실행.

   Kaspersky Endpoint Security는 Kaspersky Endpoint Agent 애플리케이션이 설치된 컴퓨터에서 애플리케이션을 업데이트할 때 구성 요소의 자동 선택을 지원합니다. 구성 요소의 자동 선택은 애플리케이션을 업그레이드하는 사용자 계정의 권한에 달려 있습니다.

   시스템 계정(SYSTEM)의 EXE 또는 MSI 파일을 사용해 Kaspersky Endpoint Security를 업그레이드한다면 Kaspersky Endpoint Security는 Kaspersky 솔루션의 현재 라이센스에 대한 접근 권한을 획득합니다. 따라서 컴퓨터에 Kaspersky Endpoint Agent가 설치되어 있고 EDR(KATA) 솔루션이 활성화되어 있는 경우, Kaspersky Endpoint Security 설치 프로그램은 자동으로 구성 요소의 세트를 구성하고 EDR(KATA) 구성 요소를 선택합니다. 이에 따라 Kaspersky Endpoint Security는 내장 에이전트를 사용하는 것으로 전환하고 Kaspersky Endpoint Agent를 제거합니다. 시스템 계정(SYSTEM)에서 MSI 설치 프로그램을 실행하면 주로 Kaspersky 업데이트 서비스를 통해 업그레이드하거나 Kaspersky Security Center를 통해 설치 패키지를 배포할 때 수행됩니다.

   별도의 권한이 없는 사용자 계정으로 MSI 파일을 사용하여 Kaspersky Endpoint Security를 업그레이드한다면, Kaspersky Endpoint Security는 Kaspersky 솔루션의 현재 라이센스에 접근할 권한이 없습니다. 이 경우 Kaspersky Endpoint Security는 Kaspersky Endpoint Agent 구성 요소 세트를 기반으로 자동으로 구성 요소를 선택합니다. 그리고 나서 Kaspersky Endpoint Security는 내장 에이전트를 사용하는 것으로 전환하고 Kaspersky Endpoint Agent를 제거합니다.

   Kaspersky Endpoint Security에서는 컴퓨터를 재시작하지 않고도 업그레이드가 지원됩니다. 정책 속성에서 애플리케이션 업그레이드 모드를 선택할 수 있습니다.

5. 애플리케이션 동작 확인

   애플리케이션 설치 또는 업그레이드 후에 Kaspersky Security Center 콘솔 상태가 심각으로 표시되면 다음을 수행합니다.

   • 컴퓨터에 Network Agent 버전 13.2 이상이 설치되었는지 확인합니다.
   • 애플리케이션 구성 요소 상태 리포트를 확인하여 내장 에이전트의 작동 상태를 확인합니다. 구성 요소의 상태가 설치 안 됨이라면 애플리케이션 구성 요소 변경 작업으로 구성 요소를 설치합니다. 컴퓨터가 라이센스로 보호되지 않음 상태에 있는 경우, 내장 에이전트에 기능을 활성화했는지 확인하십시오.
   • Kaspersky Endpoint Security for Windows의 새 정책에서 Kaspersky Security Network 진술문을 수락해야 합니다.
6. Kaspersky Anti Targeted Attack Platform 서버에 대한 연결 확인

   Kaspersky Anti Targeted Attack Platform 서버에 대한 연결을 확인합니다. 이를 위해서는 다음과 같이 하십시오.

   1. 유효한 인증서가 있는지 확인하십시오.
   2. 서버 연결 설정을 확인하십시오.
   3. 이벤트 로그를 확인하십시오.

      서버에 대한 연결이 설정되면 애플리케이션은 이벤트 Kaspersky Anti Targeted Attack Platform 서버로 연결 완료를 전송합니다. 연결 성공 이벤트가 없고 연결 오류가 발생한 이벤트가 없는 경우, 이벤트 로그 설정을 확인하고 Endpoint Detection and Response(KATA)에 대한 이벤트 전송을 활성화합니다.

   서버 연결 상태는 Kaspersky Security Center 콘솔의 컴퓨터 상태에 영향을 주지 않습니다. 따라서 서버에 연결되어 있지 않아도 컴퓨터는 여전히 정상 상태입니다. 이벤트 로그를 확인하여 서버에 대한 연결을 확인하십시오.

7. 성능 확인

   애플리케이션을 설치하거나 업데이트한 후 컴퓨터 성능이 느려진 경우 데이터 전송을 최적화할 수 있습니다. 이를 위해서는 다음과 같이 하십시오.

   1. EDR(KATA) 구성 요소를 비활성화하고 성능 저하가 EDR(KATA)로 인한 것인지 확인합니다.
   2. 신뢰하는 애플리케이션의 경우 콘솔 입력 작업에서 원격 측정 수집을 끕니다(기본적으로 활성화됨).
   3. 컴퓨터 성능을 저하시키는 애플리케이션을 신뢰하는 애플리케이션 목록에 추가합니다.
   4. Kaspersky 기술 지원에 문의하십시오. 지원 전문가가 Kaspersky Anti Targeted Attack Platform에서 원격 측정 필터링을 구성하는 데 도움을 제공합니다. 이는 트래픽 양을 감소시킵니다. 컴퓨터 성능이 특정 애플리케이션의 영향을 받는 경우 해당 애플리케이션의 배포 패키지를 요청 작업에 첨부하십시오.