Guía de migración de KEA a KES para EDR (KATA)

A partir de la versión 12.1, Kaspersky Endpoint Security para Windows incluye un agente incorporado para administrar el componente Kaspersky Endpoint Detection and Response como parte de la solución Kaspersky Anti Targeted Attack Platform. Ya no necesita una aplicación diferente de Kaspersky Endpoint Agent para trabajar con EDR (KATA). Kaspersky Endpoint Security llevará a cabo todas las funciones de Kaspersky Endpoint Agent. La carga en los servidores de Kaspersky Anti Targeted Attack Platform seguirá siendo la misma.

Cuando despliegue Kaspersky Endpoint Security en equipos que tienen Kaspersky Endpoint Agent instalado, la solución Kaspersky Anti Targeted Attack Platform (EDR) seguirá funcionando con Kaspersky Endpoint Security. Además, se eliminará Kaspersky Endpoint Agent del equipo. El mismo comportamiento en el sistema ocurrirá cuando actualice Kaspersky Endpoint Security a la versión 12.1 o posterior.

Kaspersky Endpoint Security no es compatible con Kaspersky Endpoint Agent. No puede instalar estas dos aplicaciones en el mismo equipo.

Se deben cumplir las siguientes condiciones para que Kaspersky Endpoint Security funcione como parte de Endpoint Detection and Response (KATA):

• Kaspersky Anti Targeted Attack Platform versión 4.1 o posterior.
• Kaspersky Security Center versión 13.2 o posterior (incluido el Agente de red). En versiones anteriores de Kaspersky Security Center, no es posible activar la funcionalidad de Endpoint Detection and Response (KATA).

Pasos para migrar la configuración de [KES+KEA] a [KES+agente incorporado] para EDR (KATA)

1. Actualizar el complemento de administración de Kaspersky Endpoint Security

   El componente EDR (KATA) se puede administrar con el complemento de administración de Kaspersky Endpoint Security, versión 12.1 o posterior. Según el tipo de consola de Kaspersky Security Center que esté utilizando, actualice el complemento de administración en la Consola de administración (MMC) o en el complemento web de la Web Console.

2. Migrar directivas y tareas

   Transfiera la configuración de Kaspersky Endpoint Agent a Kaspersky Endpoint Security para Windows. Las siguientes opciones están disponibles:

   • Un asistente para migrar de Kaspersky Endpoint Agent a Kaspersky Endpoint Security. Un asistente para migrar de Kaspersky Endpoint Agent a Kaspersky Endpoint Security solo funciona en Web Console.

     Cómo migrar la configuración de la tarea y la directiva de Kaspersky Endpoint Agent a Kaspersky Endpoint Security en Web Console.

     En la ventana principal de Web Console, seleccione Operaciones → Migración de Kaspersky Endpoint Agent.

     Esto ejecuta el Asistente de migración de tareas y directivas. Siga las instrucciones del Asistente.

     Paso 1. Migración de la directiva

     El Asistente de migración crea una nueva directiva que fusiona la configuración de las directivas de Kaspersky Endpoint Security y Kaspersky Endpoint Agent. En la lista de directivas, seleccione las directivas de Kaspersky Endpoint Agent cuya configuración desee fusionar con la directiva de Kaspersky Endpoint Security. Haga clic en una directiva de Kaspersky Endpoint Agent para seleccionar la directiva de Kaspersky Endpoint Security con la que desea fusionar la configuración. Asegúrese de que haya seleccionado las directivas correctas y vaya al siguiente paso.

     Paso 2. Migración de la tarea

     El Asistente de migración no admite tareas de EDR (KATA). Omita este paso.

     Paso 3. Fin del Asistente

     Salga del Asistente. Al finalizar el asistente, se creará una nueva directiva de Kaspersky Endpoint Security. La directiva fusiona la configuración de Kaspersky Endpoint Security y Kaspersky Endpoint Agent. La directiva se denomina <nombre de la directiva de Kaspersky Endpoint Security> y <nombre de la directiva de Kaspersky Endpoint Agent>. La nueva directiva tiene el estado Inactiva. Para continuar, cambie los estados de las directivas de Kaspersky Endpoint Agent y Kaspersky Endpoint Security a Inactiva y active la nueva directiva combinada.

     El Asistente de migración de Web Console omite la siguiente configuración de directiva y no la migra:

     • Prohibición de modificación de configuración Configuración de conexión con el servidores KATA ("candado").

       De forma predeterminada, la configuración se puede modificar (el "candado" está abierto). Por lo tanto, la configuración no se aplica al equipo. Debe prohibir la modificación de la configuración y cerrar el "candado".

     • Contenedor cifrado.

       Si utiliza autenticación de dos factores para conectarse a los servidores de Central Node, debe volver a agregar el contenedor cifrado.

     Como el Asistente de migración no migra esta configuración, es posible que encuentre errores al conectar el equipo a los servidores de Central Node. Para corregir los errores, debe ir a las propiedades de la directiva y configurar los ajustes de conexión.

   • Un Asistente estándar de conversión por lotes de directivas y tareas. El Asistente de conversión por lotes de directivas y tareas solo está disponible en la Consola de administración (MMC). Para obtener más detalles sobre el Asistente de conversión por lotes de directivas y tareas, consulte la Ayuda de Kaspersky Security Center.

   Para asegurarse de que Kaspersky Endpoint Security funcione correctamente en los servidores, se recomienda agregar archivos importantes para el funcionamiento del servidor a la zona de confianza. Para servidores SQL, debe agregar archivos de base de datos MDF y LDF. Para servidores de Microsoft Exchange, debe agregar archivos CHK, EDB, JRS, LOG y JSL. Puede usar máscaras, por ejemplo, C:\Archivos de programa (x86)\Microsoft SQL Server\*.mdf.

   Las exclusiones de telemetría de EDR no se migran de la directiva de Kaspersky Endpoint Agent a la directiva de Kaspersky Endpoint Security. Kaspersky Endpoint Security tiene sus propias herramientas de exclusión: aplicaciones de confianza. El funcionamiento de Kaspersky Endpoint Security está optimizado para que la ausencia de exclusiones de telemetría de EDR individuales no cause ninguna carga adicional en su equipo en comparación con Kaspersky Endpoint Agent. Kaspersky Endpoint Security utiliza la telemetría no solo para EDR (KATA) sino también para el funcionamiento de los componentes de protección de las aplicaciones. Por lo tanto, no es necesario transferir exclusiones de telemetría de EDR individuales. Si nota que el rendimiento del equipo disminuye, compruebe el funcionamiento de la aplicación (consulte el paso 7 Comprobación del rendimiento).

3. Licencia de la funcionalidad de EDR (KATA)

   Para activar Kaspersky Endpoint Security como parte de la solución Kaspersky Anti Targeted Attack Platform, necesita una licencia independiente para el complemento Kaspersky Endpoint Detection and Response (KATA). Puede agregar la clave con la tarea Agregar clave. Como resultado, se agregarán dos claves a la aplicación: Kaspersky Endpoint Security y Kaspersky Endpoint Detection and Response (KATA).

   Las licencias de complementos de Kaspersky Endpoint Detection and Response (KATA) en equipos con funciones EDR Optimum o EDR Expert previamente activadas implica las siguientes consideraciones especiales:

   • Si está usando un archivo de clave para obtener licencias de Kaspersky Endpoint Security con las funciones EDR Optimum o EDR Expert, no puede agregar una clave separada para el complemento de Kaspersky Endpoint Detection and Response (KATA). Puede cambiar al uso de un código de activación para la licencia o comunicarse con su proveedor de servicios para obtener un nuevo archivo de clave y activar las funciones de Kaspersky Endpoint Security y EDR. El proveedor de servicios proporcionará uno o más archivos de clave para la licencia.
   • Si está usando un archivo de clave para obtener licencias de Kaspersky Endpoint Security sin las funciones EDR Optimum o EDR Expert, puede agregar una clave para el complemento de Kaspersky Endpoint Detection and Response (KATA) sin solicitar que se vuelvan a emitir los archivos de clave.
   • Si está usando un código de activación para la licencia, el servidor de activación de Kaspersky volverá a emitir automáticamente las claves y las funciones de EDR (KATA) estarán disponibles automáticamente. En este caso, EDR Optimum y EDR Expert estarán deshabilitados.
   • Kaspersky Endpoint Security le permite agregar hasta dos claves activas: Clave de Kaspersky Endpoint Security y clave de tipo complemento. También puede agregar hasta dos claves de reserva. Una clave de reserva de Kaspersky Endpoint Security y una clave de reserva de tipo complemento.
4. Instalar/actualizar la aplicación de Kaspersky Endpoint Security

   Para migrar la funcionalidad de EDR (KATA) durante la instalación o actualización de una aplicación, se recomienda utilizar la tarea de instalación remota. Al crear una tarea de instalación remota, debe seleccionar el componente EDR (KATA) en la configuración del paquete de instalación.

   También puede actualizar la aplicación utilizando los siguientes métodos:

   • Mediante el servicio de actualización de Kaspersky.
   • De manera local, utilizando el Asistente de instalación.

   Kaspersky Endpoint Security admite la selección automática de componentes al actualizar la aplicación en un equipo con la aplicación Kaspersky Endpoint Agent instalada. La selección automática de componentes depende de los permisos de la cuenta de usuario que está actualizando la aplicación.

   Si está actualizando Kaspersky Endpoint Security con el archivo EXE o MSI en la cuenta del sistema (SYSTEM), Kaspersky Endpoint Security obtiene acceso a las licencias actuales de las soluciones de Kaspersky. Por lo tanto, si el equipo tiene Kaspersky Endpoint Agent instalado y la solución EDR (KATA) activada, el instalador de Kaspersky Endpoint Security configura automáticamente el conjunto de componentes y selecciona el componente EDR (KATA). Esto hace que Kaspersky Endpoint Security pase a usar el agente incorporado y elimina Kaspersky Endpoint Agent. La ejecución del instalador MSI con la cuenta del sistema (SYSTEM) se realiza normalmente cuando se actualiza a través del servicio de actualización de Kaspersky o cuando se despliega un paquete de instalación mediante Kaspersky Security Center.

   Si está actualizando Kaspersky Endpoint Security con un archivo MSI en una cuenta de usuario sin privilegios, Kaspersky Endpoint Security no tiene acceso a las licencias actuales de las soluciones de Kaspersky. En este caso, Kaspersky Endpoint Security selecciona automáticamente los componentes en función de un conjunto de componentes de Kaspersky Endpoint Agent. Después de esto, Kaspersky Endpoint Security pasa a usar el agente incorporado y elimina Kaspersky Endpoint Agent.

   Kaspersky Endpoint Security admite la actualización sin reiniciar el equipo. Puede seleccionar el modo de actualización de la aplicación en las propiedades de la directiva.

5. Comprobación del funcionamiento de la aplicación

   Luego de la instalación o actualización de la aplicación, si el equipo tiene el estado Crítico en la consola de Kaspersky Security Center, haga lo siguiente:

   • Asegúrese de que el equipo tenga el Agente de red versión 13.2 o posterior instalado.
   • El estado de funcionamiento del agente incorporado aparecerá en el Informe sobre el estado de los componentes de la aplicación. Si un componente tiene el estado Sin instalar, instale los componentes con la tarea Cambiar componentes de la aplicación. Si un componente tiene el estado Sin cobertura por la licencia, asegúrese de haber activado la funcionalidad de agente incorporado.
   • Asegúrese de aceptar la Declaración de Kaspersky Security Network en la directiva nueva de Kaspersky Endpoint Security para Windows.
6. Comprobación de la conexión con el servidor de Kaspersky Anti Targeted Attack Platform

   Compruebe la conexión con el servidor de Kaspersky Anti Targeted Attack Platform. Para hacerlo:

   1. Compruebe que tiene un certificado válido.
   2. Compruebe la configuración de conexión con el servidor.
   3. Compruebe el registro de eventos.

      Si se establece una conexión con el servidor, la aplicación envía el evento Se estableció la conexión al servidor de Kaspersky Anti Targeted Attack Platform. Si no hay un evento de conexión exitosa y no hay eventos con errores de conexión, compruebe la configuración del registro de eventos y habilite el envío de eventos para Endpoint Detection and Response (KATA).

   El estado de conexión del servidor no afecta el estado del equipo en la consola de Kaspersky Security Center. Por lo tanto, si no hay conexión con el servidor, el equipo aún puede tener el estado OK. Compruebe el registro de eventos para verificar la conexión con el servidor.

7. Comprobación del rendimiento

   Si el rendimiento de la computadora se ralentiza después de instalar o actualizar una aplicación, puede optimizar la transferencia de datos. Para hacerlo:

   1. Deshabilite el componente EDR (KATA) y verifique si la degradación del rendimiento se debe a EDR (KATA).
   2. Para aplicaciones de confianza, deshabilite la recopilación de telemetría en las operaciones de entrada de la consola (habilitada de manera predeterminada).
   3. Agregue aplicaciones que reduzcan el rendimiento de la computadora a la lista de aplicaciones de confianza.
   4. Comuníquese con el Servicio de soporte técnico de Kaspersky. Los expertos en soporte lo ayudarán a configurar el filtrado de telemetría en Kaspersky Anti Targeted Attack Platform. Esto reducirá la cantidad de tráfico. Si el rendimiento de la computadora se ve afectado por una determinada aplicación, adjunte el paquete de distribución de esa aplicación a la solicitud.