Ghid de migrare KEA la KES pentru EDR (KATA)

Începând cu versiunea 12.1, Kaspersky Endpoint Security for Windows include un agent încorporat pentru gestionarea componentei Kaspersky Endpoint Detection and Response ca parte a soluției Kaspersky Anti Targeted Attack Platform. Nu mai aveți nevoie de o aplicați Kaspersky Endpoint Agent separată pentru a utiliza soluția EDR (KATA). Toate funcțiile Kaspersky Endpoint Agent vor fi efectuate de Kaspersky Endpoint Security. Sarcina pe serverele Kaspersky Anti Targeted Attack Platform va rămâne aceeași.

Când implementați Kaspersky Endpoint Security pe computere care au instalat Kaspersky Endpoint Agent, soluția Kaspersky Anti Targeted Attack Platform (EDR) vor continua să funcționeze cu Kaspersky Endpoint Security. În plus, Kaspersky Endpoint Agent va fi eliminat din computer. Același comportament în sistem va avea loc atunci când actualizați Kaspersky Endpoint Security la versiunea 12.1 sau o versiune ulterioară.

Componenta Kaspersky Endpoint Security nu este compatibilă cu Kaspersky Endpoint Agent. Nu puteți instala ambele aplicații pe același computer.

Următoarele condiții trebuie îndeplinite pentru ca Kaspersky Endpoint Security să funcționeze ca parte a soluției Endpoint Detection and Response (KATA):

• Kaspersky Anti Targeted Attack Platform versiunea 4.1 sau o versiune ulterioară.
• Kaspersky Security Center versiunea 13.2 sau o versiune ulterioară (inclusiv Agentul de rețea). În versiunile anterioare ale Kaspersky Security Center, este imposibil de activat caracteristica Endpoint Detection and Response (KATA).

Pași pentru migrarea configurației [KES+KEA] la [KES+agent încorporat] pentru EDR (KATA)

1. Efectuarea upgrade-ului pentru plug-in-ul de gestionare Kaspersky Endpoint Security

   Componenta EDR (KATA) poate fi gestionată utilizând Plag-in-ul de gestionare Kaspersky Endpoint Security versiunea 12.1 sau o versiune ulterioară. În funcție de tipul de consolă Kaspersky Security Center pe care îl utilizați, actualizați plug-in-ul de gestionare în Consola de administrare (MMC) sau plug-in-ul web în Web Console.

2. Migrarea politicilor și activităților

   Transferați setările Kaspersky Endpoint Agent la Kaspersky Endpoint Security for Windows. Sunt disponibile următoarele opțiuni:

   • un expert pentru migrarea de la Kaspersky Endpoint Agent la Kaspersky Endpoint Security. Un expert pentru migrarea de la Kaspersky Endpoint Agent la Kaspersky Endpoint Security funcționează numai în Web Console

     Cum se migrează setările politicilor și ale activităților de la Kaspersky Endpoint Agent la Kaspersky Endpoint Security în Web Console

     În fereastra principală a Web Console, selectați Operations → Migration from Kaspersky Endpoint Agent.

     Aceasta execută Expertul de migrare a politicilor și activităților. Urmează instrucțiunile din expert.

     Pasul 1. Migrarea politicii

     Expertul de migrare creează o nouă politică ce combină setările politicilor Kaspersky Endpoint Security și Kaspersky Endpoint Agent. În lista de politici, selectați politicile Kaspersky Endpoint Agent ale căror setări doriți să le îmbinați cu politica Kaspersky Endpoint Security. Faceți clic pe politica Kaspersky Endpoint Agent pentru a selecta Kaspersky Endpoint Security cu care doriți să îmbinați setările. Asigurați-vă că ați selectat politicile corecte și treceți la pasul următor.

     Pasul 2. Migrarea activităților

     Expertul de migrare nu acceptă activități EDR (KATA). Sari peste acest pas.

     Pasul 3. Finalizarea expertului

     Ieșiți din Expert. În urma utilizării expertului, va fi creată o nouă politică Kaspersky Endpoint Security. Politica va combina setările de la Kaspersky Endpoint Security și Kaspersky Endpoint Agent. Politica se numește <Kaspersky Endpoint Security policy name> & <Kaspersky Endpoint Agent policy name>. Noua politică are starea Inactive. Pentru a continua, modificați stările politicilor Kaspersky Endpoint Agent și Kaspersky Endpoint Security în Inactive și activați noua politică îmbinată.

     Expertul de migrare în Web Console omite următoarele setări ale politicii și nu le migrează:

     • Interzicerea modificării setărilor Settings for connecting to KATA servers („lacăt").

       În mod implicit, setările pot fi modificate („lacătul" este deschis). Prin urmare, setările nu sunt aplicate pe computer. Trebuie să interziceți modificarea setărilor și să închideți „lacătul".

     • Crypto-container.

       Dacă utilizați autentificarea mutuală pentru conectarea la serverele Central Node, trebuie să adăugați din nou cripto-containerul.

     Deoarece Expertul de migrare nu migrează aceste setări, este posibil să întâmpinați erori atunci când conectați computerul la serverele Central Node. Pentru a remedia erorile, trebuie să accesați proprietățile politicii și să configurați setările de conectare.

   • Un expert standard de conversie în bloc a politicilor și activităților. Expertul de conversie în bloc a politicilor și activităților este disponibil numai în Consola de administrare (MMC). Pentru mai multe detalii despre Expertul de conversie în bloc a politicilor și activităților, consultați Ajutor pentru Kaspersky Security Center.

   Pentru a vă asigura că Kaspersky Endpoint Security funcționează corect pe servere, se recomandă să adăugați fișierele importante pentru funcționarea serverului în zona de încredere. Pentru serverele SQL, trebuie să adăugați fișiere de baze de date MDF și LDF. Pentru serverele Microsoft Exchange, trebuie să adăugați fișiere CHK, EDB, JRS, LOG și JSL. Puteți utiliza măști, de exemplu, C:\Program Files (x86)\Microsoft SQL Server\*.mdf.

   Excluderile telemetriei EDR nu migrează de la politica Kaspersky Endpoint Agent la politica Kaspersky Endpoint Security. Kaspersky Endpoint Security are propriile instrumente de excludere - aplicații de încredere. Funcționarea Kaspersky Endpoint Security este optimizată, astfel încât absența excluderilor individuale de telemetrie EDR nu vor provoca încărcarea suplimentară a computerului dvs. în comparație cu Kaspersky Endpoint Agent. Kaspersky Endpoint Security folosește telemetria nu numai pentru EDR (KATA), ci și pentru funcționarea componentelor de protecție a aplicațiilor. Prin urmare, nu este nevoie să transferați excluderile de telemetrie EDR individuale. Dacă experimentați o scădere a performanței computerului, verificați funcționarea aplicației (consultați pasul 7 Verificarea erformanței).

3. Licențierea funcționalității EDR (KATA)

   Pentru a activa Kaspersky Endpoint Security ca parte a soluției Kaspersky Anti Targeted Attack Platform, aveți nevoie de o licență separată pentru suplimentul Kaspersky Endpoint Detection and Response (KATA). Puteți adăuga cheia utilizând activitatea Add key. Ca rezultat, două chei vor fi adăugate la aplicație: Kaspersky Endpoint Security și Kaspersky Endpoint Detection and Response (KATA).

   Licențierea suplimentul Kaspersky Endpoint Detection and Response (KATA) pe computere cu funcțiile EDR Optimum sau EDR Expert activate anterior implică următoarele considerații speciale:

   • Dacă utilizați un fișier cheie pentru licențierea Kaspersky Endpoint Security cu funcțiile EDR Optimum sau EDR Expert, nu puteți adăuga o cheie separată pentru suplimentul Kaspersky Endpoint Detection and Response (KATA). Puteți fie să comutați la utilizarea unui cod de activare pentru licențiere, fie să contactați furnizorul de servicii pentru a obține un nou fișier cheie pentru activarea funcțiilor Kaspersky Endpoint Security și EDR. Furnizorul de servicii va furniza unul sau mai multe fișiere cheie pentru licențiere.
   • Dacă utilizați un fișier cheie pentru a licenția Kaspersky Endpoint Security fără funcțiile EDR Optimum sau EDR Expert, puteți adăuga o cheie separată pentru suplimentul Kaspersky Endpoint Detection and Response (KATA) fără a fi emise din nou fișierele cheie.
   • Dacă utilizați un cod de activare pentru licențiere, serverul de activare Kaspersky va emite din nou automat cheile, iar funcțiile EDR (KATA) vor deveni automat disponibile. În acest caz, EDR Optimum și EDR Expert vor fi dezactivate.
   • Kaspersky Endpoint Security vă permite să adăugați până la două chei active: Cheia Kaspersky Endpoint Security și cheia tip supliment. De asemenea, puteți adăuga până la două chei de rezervă. O cheie de rezervă Kaspersky Endpoint Security și o cheie de rezervă de tip supliment.
4. Instalarea/efectuarea upgrade-ului aplicației Kaspersky Endpoint Security

   Pentru a migra funcționalitatea EDR (KATA) în timpul instalării sau efectuării upgrade-ului unei aplicații, se recomandă utilizarea activității de instalare la distanță. Când creați o activitate de instalare la distanță, trebuie să selectați componenta EDR (KATA) în setările pachetului de instalare.

   De asemenea, puteți face upgrade aplicației utilizând următoarele metode:

   • Utilizând serviciul de actualizare Kaspersky.
   • Local, folosind Expertul de configurare.

   Kaspersky Endpoint Security acceptă selectarea automată a componentelor atunci când se face upgrade-ul unei aplicații pe un computer pe care este instalată aplicația Kaspersky Endpoint Agent. Selectarea automată a componentelor depinde de permisiunile contului de utilizator care face upgrade-ul aplicației.

   Dacă faceți upgrade pentru Kaspersky Endpoint Security utilizând fișierul EXE sau MSI din contul de sistem (SYSTEM), Kaspersky Endpoint Security obține acces la licențele curente ale soluțiilor Kaspersky. Prin urmare, dacă pe computer este instalat Kaspersky Endpoint Agent și soluția EDR (KATA) este activată, programul de instalare Kaspersky Endpoint Security configurează automat setul de componente și selectează componenta EDR (KATA). Acest lucru determină componenta Kaspersky Endpoint Security să treacă la utilizarea agentului încorporat și elimină Kaspersky Endpoint Agent. Executarea programului de instalare MSI din contul de sistem (SYSTEM) este efectuată, de obicei, atunci când se face upgrade prin intermediul serviciului de actualizare Kaspersky sau când se implementează un pachet de instalare prin Kaspersky Security Center.

   Dacă faceți upgrade pentru Kaspersky Endpoint Security utilizând un fișier MSI dintr-un cont de utilizator fără privilegii, Kaspersky Endpoint Security nu obține acces la licențele curente ale soluțiilor Kaspersky. În acest caz, Kaspersky Endpoint Security selectează automat componente pe baza unui set de componente ale Kaspersky Endpoint Agent. Ulterior, componenta Kaspersky Endpoint Security comută la utilizarea agentului încorporat și elimină Kaspersky Endpoint Agent.

   Kaspersky Endpoint Security acceptă efectuarea upgrade-ului fără repornirea computerului. Puteți selecta modul de efectuare a upgrade-ului aplicației în proprietățile politicii.

5. Verificarea funcționării aplicației

   Dacă după instalarea sau efectuarea upgrade-ului aplicației, computerul are starea Critical în consola Kaspersky Security Center:

   • asigurați-vă că Agentul de rețea versiunea 13.2 sau o versiune ulterioară este instalată pe computer.
   • Verificați starea de funcționare a agentului încorporat, vizualizând Application components status report. Dacă o componentă are starea Not installed, instalați componenta, utilizând activitatea Change application components. Dacă o componentă are starea Nu este acoperită de licență, asigurați-vă că ați activat funcționalitatea agentului încorporat.
   • Asigurați-vă că acceptați Declarația Kaspersky Security Network în noua politică a Kaspersky Endpoint Security for Windows.
6. Verificarea conexiunii la serverul Kaspersky Anti Targeted Attack Platform

   Verificați conexiunea la serverul Kaspersky Anti Targeted Attack Platform. Pentru aceasta:

   1. Verificați dacă aveți un certificat valabil.
   2. Verificați setările de conectare la server.
   3. Verificați jurnalul de evenimente.

      Dacă se stabilește o conexiune la server, aplicația trimite evenimentul Successful connection to the Kaspersky Anti Targeted Attack Platform server. Dacă nu există niciun eveniment de conectare reușită și nu există evenimente cu erori de conectare, verificați setările jurnalului de evenimente și activați trimiterea evenimentelor pentru Endpoint Detection and Response (KATA).

   Starea conexiunii la server nu afectează starea computerului în consola Kaspersky Security Center. Prin urmare, dacă nu există nicio conexiune la server, computerul poate avea în continuare starea OK. Verificați jurnalul de evenimente pentru a verifica conexiunea la server.

7. Verificarea performanței

   Dacă performanța computerului dvs. a încetinit după instalarea sau actualizarea unei aplicații, puteți optimiza transferul de date. Pentru aceasta:

   1. Dezactivați componenta EDR (KATA) și verificați dacă degradarea performanței se datorează componentei EDR (KATA).
   2. Pentru aplicațiile de încredere, dezactivați colectarea de telemetrie la operațiunile de intrare în consolă (activată în mod implicit).
   3. Adăugați aplicații care reduc performanța computerului în lista de aplicații de încredere.
   4. Contactați Suportul tehnic Kaspersky. Experții departamentului Suport vă vor ajuta să configurați filtrarea telemetriei în Kaspersky Anti Targeted Attack Platform. Acest lucru va reduce volumul traficului. Dacă performanța computerului dvs. este afectată de o anumită aplicație, atașați la cerere pachetul de distribuție al acelei aplicații.