EDR-agent integreren met KATA (EDR)

EDR-agent wordt geïnstalleerd op werkstations en servers in de IT-infrastructuur van de organisatie. Op deze computers controleert EDR-agent voortdurend processen, open netwerkverbindingen en bestanden die worden gewijzigd, en stuurt monitoringgegevens naar de server met het onderdeel Central Node.

Om te integreren met EDR (KATA), moet u het onderdeel Endpoint Detection and Response (KATA) inschakelen en EDR-agent configureren.

Aan de volgende voorwaarden moet worden voldaan om Endpoint Detection and Response (KATA) te laten werken:

• Kaspersky Anti Targeted Attack Platform versie 4.1 of hoger.
• Kaspersky Security Center versie 13.2 of hoger. In eerdere versies van Kaspersky Security Center is het onmogelijk om de Endpoint Detection and Response (KATA)-functie te activeren.

De integratie met Endpoint Detection and Response (KATA) omvat de volgende stappen:

1. Endpoint Detection and Response (KATA) activeren

   U moet een afzonderlijke licentie kopen voor EDR (KATA) (Kaspersky Endpoint Detection and Response (KATA) add-on).

   De functie is beschikbaar nadat u een afzonderlijke sleutel voor Kaspersky Endpoint Detection and Response (KATA) hebt toegevoegd. Licenties voor de zelfstandige Endpoint Detection and Response (KATA)-functionaliteit zijn hetzelfde als de licenties van Kaspersky Endpoint Security.

   Zorg ervoor dat de EDR (KATA)-functionaliteit is inbegrepen in de licentie en wordt uitgevoerd in de lokale interface van het programma.

2. Verbinden met Central Node

   Kaspersky Anti Targeted Attack Platform heeft een vertrouwde verbinding nodig tussen Kaspersky Endpoint Security en het onderdeel Central Node. Gebruik een TLS-certificaat om een vertrouwde verbinding te configureren. U kunt een TLS-certificaat verkrijgen in de Kaspersky Anti Targeted Attack Platform-console (zie de instructies in de Help van Kaspersky Anti Targeted Attack Platform). Vervolgens moet u het TLS-certificaat toevoegen aan Kaspersky Endpoint Security (zie onderstaande instructies).

   

   Een TLS-certificaat toevoegen aan Kaspersky Endpoint Security

   Standaard controleert Kaspersky Endpoint Security alleen het TLS-certificaat van Central Node. Om de verbinding veiliger te maken, kunt u bovendien de verificatie van de computer op Central Node (twee-weg verificatie) inschakelen. Als u deze verificatie wilt inschakelen, moet u twee-weg verificatie inschakelen in de instellingen Central Node en Kaspersky Endpoint Security. Om twee-weg verificatie te gebruiken hebt u ook een crypto-container nodig. Een crypto-container is een PFX-archief met een certificaat en een privésleutel. U kunt een crypto-container verkrijgen in de Kaspersky Anti Targeted Attack Platform-console (zie de instructies in de Help van Kaspersky Anti Targeted Attack Platform).

   Een Kaspersky Endpoint Security-computer verbinden met Central Node via de Beheerconsole (MMC)

   1. Open de Beheerconsole van Kaspersky Security Center.
   2. Selecteer in de beheerconsole Policies.
   3. Selecteer het noodzakelijke beleid en dubbelklik om de beleidseigenschappen te openen.
   4. Selecteer Detection and Response → Endpoint Detection and Response (KATA) in het beleidsvenster.
   5. Selecteer het selectievakje Endpoint Detection and Response (KATA).
   6. Klik op Settings for connecting to KATA servers.
   7. Configureer de serververbinding:
      • Timeout. Maximale time-out voor de serverrespons van Central Node. Wanneer de time-out is verstreken, probeert Kaspersky Endpoint Security verbinding te maken met een andere Central Node-server.
      • Server TLS certificate. TLS-certificaat voor het tot stand brengen van een vertrouwde verbinding met de Central Node-server. U kunt een TLS-certificaat verkrijgen in de Kaspersky Anti Targeted Attack Platform-console (zie de instructies in de Help van Kaspersky Anti Targeted Attack Platform).
      • Use two-way authentication. Tweerichtingsverificatie bij het tot stand brengen van een beveiligde verbinding tussen Kaspersky Endpoint Security en Central Node. Om tweerichtingsverificatie te gebruiken, moet u tweerichtingsverificatie inschakelen in de Central Node-instellingen, vervolgens een crypto-container ophalen en een wachtwoord instellen om de crypto-container te beschermen. Een crypto-container is een PFX-archief met een certificaat en een privésleutel. U kunt een crypto-container verkrijgen in de Kaspersky Anti Targeted Attack Platform-console (zie de instructies in de Help van Kaspersky Anti Targeted Attack Platform). Na het configureren van de Central Node-instellingen, moet u ook tweerichtingsverificatie inschakelen in de instellingen van Kaspersky Endpoint Security en een met een wachtwoord beveiligde crypto-container laden.

        De crypto-container moet met een wachtwoord worden beveiligd. Het is niet mogelijk om een crypto-container toe te voegen met een leeg wachtwoord.

   8. Klik op OK.
   9. Voeg central node-servers toe. Hiertoe geeft u het serveradres (IPv4, IPv6) en de poort op om verbinding te maken met de server.
   10. Sla uw wijzigingen op.

   Een Kaspersky Endpoint Security-computer verbinden met Central Node via de webconsole

   1. Selecteer in het hoofdvenster van de webconsole achtereenvolgens Devices → Policies & profiles.
   2. Klik op de naam van het Kaspersky Endpoint Security-beleid.

      U ziet nu het venster met de beleidseigenschappen.

   3. Selecteer het tabblad Application settings.
   4. Ga naar Detection and Response → Endpoint Detection and Response (KATA).
   5. Zet de schakelaar Endpoint Detection and Response (KATA) ENABLED aan.
   6. Klik op Settings for connecting to KATA servers.
   7. Configureer de serververbinding:
      • Timeout. Maximale time-out voor de serverrespons van Central Node. Wanneer de time-out is verstreken, probeert Kaspersky Endpoint Security verbinding te maken met een andere Central Node-server.
      • Server TLS certificate. TLS-certificaat voor het tot stand brengen van een vertrouwde verbinding met de Central Node-server. U kunt een TLS-certificaat verkrijgen in de Kaspersky Anti Targeted Attack Platform-console (zie de instructies in de Help van Kaspersky Anti Targeted Attack Platform).
      • Use two-way authentication. Tweerichtingsverificatie bij het tot stand brengen van een beveiligde verbinding tussen Kaspersky Endpoint Security en Central Node. Om tweerichtingsverificatie te gebruiken, moet u tweerichtingsverificatie inschakelen in de Central Node-instellingen, vervolgens een crypto-container ophalen en een wachtwoord instellen om de crypto-container te beschermen. Een crypto-container is een PFX-archief met een certificaat en een privésleutel. U kunt een crypto-container verkrijgen in de Kaspersky Anti Targeted Attack Platform-console (zie de instructies in de Help van Kaspersky Anti Targeted Attack Platform). Na het configureren van de Central Node-instellingen, moet u ook tweerichtingsverificatie inschakelen in de instellingen van Kaspersky Endpoint Security en een met een wachtwoord beveiligde crypto-container laden.

        De crypto-container moet met een wachtwoord worden beveiligd. Het is niet mogelijk om een crypto-container toe te voegen met een leeg wachtwoord.

   8. Klik op OK.
   9. Voeg central node-servers toe. Hiertoe geeft u het serveradres (IPv4, IPv6) en de poort op om verbinding te maken met de server.
   10. Sla uw wijzigingen op.

   Als resultaat wordt de computer toegevoegd aan de Kaspersky Anti Targeted Attack Platform-console. Controleer de werkingsstatus van het onderdeel door het Application components status report te bekijken. U kunt de werkingsstatus van een onderdeel ook in rapporten bekijken in de lokale interface van Kaspersky Endpoint Security. Het onderdeel Endpoint Detection and Response (KATA) wordt toegevoegd aan de lijst met Kaspersky Endpoint Security-onderdelen.