Przewodnik migracji z KEA do KES dla EDR (KATA)

Począwszy od wersji 12.1 Kaspersky Endpoint Security for Windows zawiera wbudowanego agenta do zarządzania komponentem Kaspersky Endpoint Detection and Response w ramach rozwiązania Kaspersky Anti Targeted Attack Platform. Nie potrzebujesz już oddzielnej aplikacji Kaspersky Endpoint Agent do pracy z EDR (KATA). Wszystkie funkcje Kaspersky Endpoint Agent będą wykonywane przez Kaspersky Endpoint Security. Obciążenie serwerów Kaspersky Anti Targeted Attack Platform pozostanie takie samo.

Podczas wdrażania Kaspersky Endpoint Security na komputerach, na których jest zainstalowany Kaspersky Endpoint Agent, rozwiązanie Kaspersky Anti Targeted Attack Platform (EDR) będzie nadal działać z Kaspersky Endpoint Security. Dodatkowo, Kaspersky Endpoint Agent zostanie usunięty z komputera. To samo zachowanie w systemie wystąpi podczas aktualizacji Kaspersky Endpoint Security do wersji 12.1 lub nowszej.

Kaspersky Endpoint Security nie jest kompatybilny z Kaspersky Endpoint Agent. Obu tych aplikacji nie można zainstalować na tym samym komputerze.

Aby aplikacja Kaspersky Endpoint Security działała w ramach Endpoint Detection and Response (KATA), muszą być spełnione następujące warunki:

• Kaspersky Anti Targeted Attack Platform w wersji 4.1 lub nowszej.
• Kaspersky Security Center w wersji 13.2 lub nowszej (w tym Agent sieciowy). We wcześniejszych wersjach Kaspersky Security Center nie ma możliwości aktywowania funkcji Endpoint Detection and Response (KATA).

Kroki migracji konfiguracji [KES+KEA] do [KES+wbudowanego agenta] dla EDR (KATA)

1. Aktualizowanie wtyczki zarządzającej Kaspersky Endpoint Security

   Komponentem EDR (KATA) można zarządzać przy użyciu wtyczki zarządzającej Kaspersky Endpoint Security w wersji 12.1 lub nowszej. W zależności od typu konsoli Kaspersky Security Center, której używasz, zaktualizuj wtyczkę zarządzającą w Konsoli administracyjnej (MMC) lub wtyczkę webową w Web Console.

2. Migrowanie zasad i zadań

   Przenieś ustawienia Kaspersky Endpoint Agent do Kaspersky Endpoint Security for Windows. Dostępne są następujące opcje:

   • Kreator migracji z Kaspersky Endpoint Agent do Kaspersky Endpoint Security. Kreator migracji z Kaspersky Endpoint Agent do Kaspersky Endpoint Security działa tylko w usłudze Web Console.

     Jak dokonać migracji ustawień zasady i zadania z Kaspersky Endpoint Agent do Kaspersky Endpoint Security w Web Console:

     W oknie głównym Web Console wybierz Operacje → Migracja z Kaspersky Endpoint Agent.

     To spowoduje uruchomienie Kreatora migracji zasad i zadań. Postępuj zgodnie z instrukcjami Kreatora.

     Krok 1. Migracja zasady

     Kreator migracji tworzy nową zasadę, która scala ustawienia zasad Kaspersky Endpoint Security i Kaspersky Endpoint Agent. Na liście zasad wybierz zasady Kaspersky Endpoint Agent, których ustawienia chcesz scalić z zasadą Kaspersky Endpoint Security. Kliknij zasadę Kaspersky Endpoint Agent, aby wybrać zasadę Kaspersky Endpoint Security, z którą chcesz scalić ustawienia. Upewnij się, że wybrałeś poprawne zasady i przejdź do następnego kroku.

     Krok 2. Migracja zadania

     Kreator migracji nie obsługuje zadań EDR (KATA). Pomiń ten krok.

     Krok 3. Kończenie działania kreatora

     Zakończ działanie Kreatora. W wyniku działania kreatora zostanie utworzona nowa zasada Kaspersky Endpoint Security. Zasada scala ustawienia z Kaspersky Endpoint Security i Kaspersky Endpoint Agent. Zasada zostaje nazwana <Nazwa zasady Kaspersky Endpoint Security> & <Nazwa zasady Kaspersky Endpoint Agent>. Nowa zasada posiada stan Nieaktywny. Aby kontynuować, zmień stany zasad Kaspersky Endpoint Agent i Kaspersky Endpoint Security na Nieaktywny i aktywuj nową scaloną zasadę.

     Kreator migracji w usłudze Web Console pomija następujące ustawienia reguł i nie migruje ich:

     • Zakaz modyfikacji ustawień Ustawienia na potrzeby łączenia z serwerami KATA („blokada”).

       Domyślnie ustawienia można modyfikować („blokada” jest otwarta). Dlatego ustawienia nie są stosowane na komputerze. Należy zakazać modyfikacji ustawień i zamknąć „blokadę”.

     • Kontener szyfrowania.

       Jeśli do łączenia się z serwerami Central Node używasz uwierzytelniania dwuskładnikowego, należy dodać kontener szyfrowania.

     Ponieważ Kreator migracji nie przeprowadza migracji tych ustawień, podczas łączenia komputera z serwerami Central Node mogą wystąpić błędy. Aby naprawić błędy, musisz przejść do właściwości profilu i skonfigurować ustawienia połączenia.

   • Standardowy kreator konwersji zasad i zadań. Kreator konwersji zasad i zadań jest dostępny tylko w Konsoli administracyjnej (MMC). Więcej informacji o kreatorze konwersji zasad i zadań można znaleźć w pomocy Kaspersky Security Center.

   Aby upewnić się, że Kaspersky Endpoint Security działa poprawnie na serwerach, zaleca się dodanie plików ważnych dla funkcjonowania serwera do strefy zaufanej. W przypadku serwerów SQL należy dodać pliki baz danych MDF i LDF. W przypadku serwerów Microsoft Exchange należy dodać pliki CHK, EDB, JRS, LOG i JSL. Możesz użyć masek, np. C:\Program Files (x86)\Microsoft SQL Server\*.mdf.

   Wykluczenia telemetrii EDR nie są migrowane z zasady Kaspersky Endpoint Agent do zasady Kaspersky Endpoint Security. Kaspersky Endpoint Security ma własne narzędzia wykluczające – zaufane aplikacje. Działanie Kaspersky Endpoint Security jest zoptymalizowane w taki sposób, że brak indywidualnych wykluczeń telemetrii EDR nie spowoduje dodatkowego obciążenia komputera w porównaniu z Kaspersky Endpoint Agent. Kaspersky Endpoint Security wykorzystuje telemetrię nie tylko do EDR (KATA), ale także do działania komponentów zabezpieczeń aplikacji. Nie ma zatem potrzeby przenoszenia poszczególnych wykluczeń telemetrii EDR. Jeśli wydajność komputera spada, sprawdź działanie aplikacji (patrz krok 7. Sprawdzanie działania).

3. Udzielanie licencji funkcjonalności EDR (KATA)

   Aby aktywować Kaspersky Endpoint Security jako część rozwiązania Kaspersky Anti Targeted Attack Platform, potrzebujesz osobnej licencji na dodatek Kaspersky Endpoint Detection and Response (KATA). Możesz dodać klucz przy użyciu zadania Dodaj klucz. W rezultacie do aplikacji zostaną dodane dwa klucze: Kaspersky Endpoint Security i Kaspersky Endpoint Detection and Response (KATA).

   Aktywacja licencji dodatku Kaspersky Endpoint Detection and Response (KATA) na komputerach z wcześniej aktywowanymi funkcjami EDR Optimum lub EDR Expert wiąże się z następującymi szczególnymi kwestiami:

   • Jeśli korzystasz z pliku klucza w celu uzyskania licencji Kaspersky Endpoint Security z funkcjami EDR Optimum lub EDR Expert, nie można aktywować samodzielnej licencji dodatku Kaspersky Endpoint Detection and Response (KATA). Możesz przełączyć się na używanie kodu aktywacyjnego w celu uzyskania licencji lub skontaktować się z usługodawcą w celu uzyskania nowego pliku klucza do aktywacji funkcji Kaspersky Endpoint Security i EDR. Usługodawca dostarczy jeden lub więcej plików klucza do licencjonowania.
   • Jeśli korzystasz z pliku klucza w celu uzyskania licencji Kaspersky Endpoint Security bez funkcji EDR Optimum lub EDR Expert, można aktywować samodzielną licencję dodatku Kaspersky Endpoint Detection and Response (KATA) bez ponownego wystawiania plików klucza.
   • Jeśli korzystasz z kodu aktywacyjnego w celu uzyskania licencji, serwer aktywacji Kaspersky automatycznie ponownie wystawi klucze, a funkcje EDR (KATA) staną się dostępne automatycznie. W takim przypadku EDR Optimum i EDR Expert zostaną wyłączone.
   • Kaspersky Endpoint Security umożliwia dodanie maksymalnie dwóch aktywnych kluczy: klucza Kaspersky Endpoint Security i klucza typu dodatku. Możesz także dodać maksymalnie dwa klucze zapasowe. Jeden klucz zapasowy Kaspersky Endpoint Security i jeden klucz zapasowy typu dodatku.
4. Instalacja / aktualizacja aplikacji Kaspersky Endpoint Security

   Aby przeprowadzić migrację funkcjonalności EDR (KATA) podczas instalacji lub aktualizacji aplikacji, zaleca się użycie zadania zdalnej instalacji. Podczas tworzenia zadania zdalnej instalacji należy wybrać komponent EDR (KATA) w ustawieniach pakietu instalacyjnego.

   Możesz także zaktualizować aplikację za pomocą następujących metod:

   • Przy użyciu usługi aktualizacji Kaspersky.
   • Lokalnie, za pomocą Kreatora instalacji.

   Kaspersky Endpoint Security obsługuje automatyczne wybieranie komponentów podczas aktualizacji aplikacji na komputerze z zainstalowaną aplikacją Kaspersky Endpoint Agent. Automatyczne wybieranie komponentów zależy od uprawnień konta użytkownika, które aktualizuje aplikację.

   Jeśli aktualizujesz Kaspersky Endpoint Security przy użyciu pliku EXE lub MSI z poziomu konta systemowego (SYSTEM), Kaspersky Endpoint Security uzyskuje dostęp do bieżących licencji rozwiązań firmy Kaspersky. Dlatego też, jeśli na komputerze jest zainstalowany Kaspersky Endpoint Agent i aktywowane rozwiązanie EDR (KATA), instalator Kaspersky Endpoint Security automatycznie konfiguruje zestaw komponentów i wybiera komponent EDR (KATA). To powoduje przełączenie Kaspersky Endpoint Security na używanie wbudowanego agenta i usunięcie Kaspersky Endpoint Agent. Uruchomienie instalatora MSI z poziomu konta systemowego (SYSTEM) jest zazwyczaj wykonywane podczas aktualizacji za pośrednictwem usługi aktualizacji Kaspersky lub podczas wdrażania pakietu instalacyjnego za pośrednictwem Kaspersky Security Center.

   Jeśli aktualizujesz Kaspersky Endpoint Security przy użyciu pliku MSI z poziomu konta użytkownika bez uprawnień, Kaspersky Endpoint Security nie ma dostępu do bieżących licencji dla rozwiązań Kaspersky. W takim przypadku Kaspersky Endpoint Security automatycznie wybiera komponenty na podstawie zestawu komponentów Kaspersky Endpoint Agent. Następnie Kaspersky Endpoint Security przełączy się na korzystanie z wbudowanego agenta i usunie Kaspersky Endpoint Agent.

   Kaspersky Endpoint Security obsługuje aktualizację bez ponownego uruchamiania komputera. Możesz wybrać tryb aktualizacji aplikacji we właściwościach zasad.

5. Sprawdzanie działania aplikacji

   Jeśli po instalacji lub aktualizacji aplikacji komputer posiada stan Krytyczny w konsoli Kaspersky Security Center:

   • Upewnij się, że na komputerze jest zainstalowany Agent sieciowy w wersji 13.2 lub wyższej.
   • Sprawdź stan działania wbudowanego agenta, przeglądając Raport dotyczący stanu składników aplikacji. Jeśli komponent ma stan Nie zainstalowano, zainstaluj komponent przy użyciu zadania Zmiana składników aplikacji. Jeśli komponent ma stan Nieobjęte licencją, upewnij się, że aktywowano wbudowaną funkcję agenta.
   • Upewnij się, że akceptujesz Oświadczenie Kaspersky Security Network w nowej zasadzie Kaspersky Endpoint Security for Windows.
6. Sprawdzanie połączenia z serwerem Kaspersky Anti Targeted Attack Platform

   Sprawdź połączenie z serwerem Kaspersky Anti Targeted Attack Platform. W tym celu:

   1. Sprawdź, czy masz ważny certyfikat.
   2. Sprawdź ustawienia połączenia z serwerem.
   3. Sprawdź dziennik zdarzeń.

      W przypadku nawiązania połączenia z serwerem aplikacja wysyła zdarzenie Nawiązano połączenie z serwerem Kaspersky Anti Targeted Attack Platform. Jeśli nie ma zdarzenia udanego połączenia i nie ma zdarzeń z błędami połączenia, sprawdź ustawienia dziennika zdarzeń i włącz wysyłanie zdarzeń dla Endpoint Detection and Response (KATA).

   Stan połączenia z serwerem nie wpływa na stan komputera w konsoli Kaspersky Security Center. Dlatego, jeśli nie ma połączenia z serwerem, komputer nadal może mieć status OK. Sprawdź dziennik zdarzeń, aby zweryfikować połączenie z serwerem.

7. Sprawdzanie działania

   Jeśli wydajność komputera spadła po zainstalowaniu lub zaktualizowaniu aplikacji, możesz zoptymalizować transfer danych. W tym celu:

   1. Wyłącz komponent EDR (KATA) i sprawdź, czy spadek wydajności jest spowodowany przez EDR (KATA).
   2. W przypadku zaufanych aplikacji wyłącz zbieranie danych telemetrycznych dla czynności wprowadzania danych konsoli (domyślnie włączone).
   3. Dodaj aplikacje, które zmniejszają wydajność komputera do listy zaufanych aplikacji.
   4. Skontaktuj się z pomocą techniczną Kaspersky. Eksperci pomocy technicznej pomogą Ci skonfigurować filtrowanie danych telemetrycznych w Kaspersky Anti Targeted Attack Platform. Zmniejszy to natężenie ruchu. Jeśli określona aplikacja ma wpływ na wydajność komputera, dołącz do wniosku pakiet dystrybucyjny tej aplikacji.