Integracja Agenta EDR z KATA (EDR)

Agent EDR instalowany jest na stacjach roboczych i serwerach w infrastrukturze informatycznej organizacji. Na tych komputerach Agent EDR stale monitoruje procesy, otwarte połączenia sieciowe i modyfikowane pliki oraz wysyła dane monitorujące do serwera za pomocą komponentu Central Node.

Aby zintegrować się z EDR (KATA), należy dodać komponent Endpoint Detection and Response (KATA) oraz skonfigurować Agenta EDR.

W celu zapewnienia działania Endpoint Detection and Response (KATA) muszą być spełnione następujące warunki:

• Kaspersky Anti Targeted Attack Platform w wersji 4.1 lub nowszej.
• Kaspersky Security Center w wersji 13.2 lub nowszej. We wcześniejszych wersjach Kaspersky Security Center nie ma możliwości aktywowania funkcji Endpoint Detection and Response (KATA).

Integracja z Endpoint Detection and Response (KATA) obejmuje następujące etapy:

1. Aktywowanie Endpoint Detection and Response (KATA)

   Musisz zakupić osobną licencję dla korzystania z EDR (KATA) (dodatek Kaspersky Endpoint Detection and Response (KATA)).

   Funkcja będzie dostępna po dodaniu oddzielnego klucza dla Kaspersky Endpoint Detection and Response (KATA). Zasady udzielania licencji dla autonomicznej funkcjonalności Endpoint Detection and Response (KATA) są takie same jak w przypadku udzielania licencji dla Kaspersky Endpoint Security.

   Upewnij się, że funkcja EDR (KATA) znajduje się w licencji i jest uruchomiona w lokalnym interfejsie aplikacji.

2. Łączenie z węzłem centralnym

   Kaspersky Anti Targeted Attack Platform wymaga ustanowienia zaufanego połączenia między Kaspersky Endpoint Security a komponentem Central Node. Aby skonfigurować zaufane połączenie, musisz użyć certyfikatu TLS. Możesz uzyskać certyfikat TLS w konsoli Kaspersky Anti Targeted Attack Platform (zobacz instrukcje w Pomoc Kaspersky Anti Targeted Attack Platform). Następnie musisz dodać certyfikat TLS do Kaspersky Endpoint Security (zobacz instrukcje poniżej).

   

   Dodanie certyfikatu TLS do Kaspersky Endpoint Security

   Domyślnie Kaspersky Endpoint Security sprawdza tylko certyfikat TLS węzła centralnego. Aby połączenie było bezpieczniejsze, możesz dodatkowo włączyć weryfikację komputera na Węźle Centralnym (uwierzytelnianie dwukierunkowe). Aby włączyć tę weryfikację, musisz włączyć uwierzytelnianie dwukierunkowe w ustawieniach węzła centralnego i Kaspersky Endpoint Security. Aby korzystać z uwierzytelniania dwukierunkowego, potrzebujesz również kontener kryptograficzny. Kontener kryptograficzny to archiwum PFX z certyfikatem i kluczem prywatnym. Kontener kryptograficzny można uzyskać w konsoli Kaspersky Anti Targeted Attack Platform (zobacz instrukcje w pliku Pomoc Kaspersky Anti Targeted Attack Platform).

   Jak połączyć komputer Kaspersky Endpoint Security z Węzłem centralnym przy użyciu Konsoli administracyjnej (MMC)

   1. Otwórz Konsolę administracyjną Kaspersky Security Center.
   2. W drzewie konsoli wybierz Zasady.
   3. Wybierz żądany profil i kliknij go dwukrotnie, aby otworzyć właściwości profilu.
   4. W oknie zasady wybierz Detection and Response → Endpoint Detection and Response (KATA).
   5. Zaznacz pole Endpoint Detection and Response (KATA).
   6. Kliknij Ustawienia na potrzeby łączenia z serwerami KATA.
   7. Skonfiguruj połączenie z serwerem:
      • Limit czasu. Maksymalny limit czasu odpowiedzi serwera węzła centralnego. Po przekroczeniu limitu czasu Kaspersky Endpoint Security próbuje połączyć się z innym serwerem węzła centralnego.
      • Certyfikat TLS serwera. Certyfikat TLS do nawiązania zaufanego połączenia z serwerem Central Node. Możesz uzyskać certyfikat TLS w konsoli Kaspersky Anti Targeted Attack Platform (zobacz instrukcje w Pomoc Kaspersky Anti Targeted Attack Platform).
      • Zastosuj uwierzytelnianie dwukierunkowe. Uwierzytelnianie dwukierunkowe podczas nawiązywania bezpiecznego połączenia między Kaspersky Endpoint Security a węzłem centralnym. Aby korzystać z uwierzytelniania dwukierunkowego, musisz włączyć uwierzytelnianie dwukierunkowe w ustawieniach węzła centralnego, a następnie uzyskać kryptokontener i ustawić hasło chroniące kryptokontener. Kontener kryptograficzny to archiwum PFX z certyfikatem i kluczem prywatnym. Kontener kryptograficzny można uzyskać w konsoli Kaspersky Anti Targeted Attack Platform (zobacz instrukcje w pliku Pomoc Kaspersky Anti Targeted Attack Platform). Po skonfigurowaniu ustawień węzła centralnego należy również włączyć uwierzytelnianie dwukierunkowe w ustawieniach Kaspersky Endpoint Security i załadować chroniony hasłem kontener kryptograficzny.

        Kontener szyfrowania musi być zabezpieczony hasłem. Nie ma możliwości dodania kontenera szyfrowania z pustym hasłem.

   8. Kliknij OK.
   9. Dodaj serwery węzła centralnego. W tym celu należy określić adres serwera (IPv4, IPv6) oraz port do połączenia z serwerem.
   10. Zapisz swoje zmiany.

   Jak połączyć komputer Kaspersky Endpoint Security z węzłem centralnym przy użyciu Web Console

   1. W oknie głównym Web Console wybierz Urządzenia → Profile zasad.
   2. Kliknij nazwę zasady Kaspersky Endpoint Security.

      Zostanie otwarte okno właściwości profilu.

   3. Wybierz zakładkę Ustawienia aplikacji.
   4. Wybierz Detection and Response → Endpoint Detection and Response (KATA).
   5. Włącz przełącznik Endpoint Detection and Response (KATA) WŁĄCZONE.
   6. Kliknij Ustawienia na potrzeby łączenia z serwerami KATA.
   7. Skonfiguruj połączenie z serwerem:
      • Limit czasu. Maksymalny limit czasu odpowiedzi serwera węzła centralnego. Po przekroczeniu limitu czasu Kaspersky Endpoint Security próbuje połączyć się z innym serwerem węzła centralnego.
      • Certyfikat TLS serwera. Certyfikat TLS do nawiązania zaufanego połączenia z serwerem Central Node. Możesz uzyskać certyfikat TLS w konsoli Kaspersky Anti Targeted Attack Platform (zobacz instrukcje w Pomoc Kaspersky Anti Targeted Attack Platform).
      • Zastosuj uwierzytelnianie dwukierunkowe. Uwierzytelnianie dwukierunkowe podczas nawiązywania bezpiecznego połączenia między Kaspersky Endpoint Security a węzłem centralnym. Aby korzystać z uwierzytelniania dwukierunkowego, musisz włączyć uwierzytelnianie dwukierunkowe w ustawieniach węzła centralnego, a następnie uzyskać kryptokontener i ustawić hasło chroniące kryptokontener. Kontener kryptograficzny to archiwum PFX z certyfikatem i kluczem prywatnym. Kontener kryptograficzny można uzyskać w konsoli Kaspersky Anti Targeted Attack Platform (zobacz instrukcje w pliku Pomoc Kaspersky Anti Targeted Attack Platform). Po skonfigurowaniu ustawień węzła centralnego należy również włączyć uwierzytelnianie dwukierunkowe w ustawieniach Kaspersky Endpoint Security i załadować chroniony hasłem kontener kryptograficzny.

        Kontener szyfrowania musi być zabezpieczony hasłem. Nie ma możliwości dodania kontenera szyfrowania z pustym hasłem.

   8. Kliknij OK.
   9. Dodaj serwery węzła centralnego. W tym celu należy określić adres serwera (IPv4, IPv6) oraz port do połączenia z serwerem.
   10. Zapisz swoje zmiany.

   W rezultacie komputer zostanie dodany do konsoli Kaspersky Anti Targeted Attack Platform. Sprawdź stan działania komponentu, przeglądając Raport dotyczący stanu komponentów aplikacji. Stan działania komponentu można sprawdzić także w raportach, w lokalnym interfejsie Kaspersky Endpoint Security. Komponent Endpoint Detection and Response (KATA) zostanie dodany do listy komponentów Kaspersky Endpoint Security.