EDR (KATA) için KEA'dan KES'e Geçiş Kılavuzu

Kaspersky Endpoint Security for Windows, 12.1 sürümünden itibaren Kaspersky Anti Targeted Attack Platform çözümünün bir parçası olarak Kaspersky Endpoint Detection and Response bileşenini yönetmek için yerleşik bir aracı içerir. EDR (KATA) ile çalışmak için artık ayrı bir Kaspersky Endpoint Agent uygulamasına ihtiyacınız yok. Tüm Kaspersky Endpoint Agent işlevleri Kaspersky Endpoint Security tarafından gerçekleştirilecektir. Kaspersky Anti Targeted Attack Platform sunucuları üzerindeki yük aynı kalacaktır.

Kaspersky Endpoint Agent yüklü bilgisayarlara Kaspersky Endpoint Security dağıttığınızda, Kaspersky Anti Targeted Attack Platform (EDR) çözümü Kaspersky Endpoint Security ile çalışmaya devam eder. Ayrıca, Kaspersky Endpoint Agent bilgisayardan kaldırılacaktır. Kaspersky Endpoint Security'yi 12.1 veya üstü sürümlere güncellediğinizde sistemde aynı davranış ortaya çıkar.

Kaspersky Endpoint Security, Kaspersky Endpoint Agent ile uyumlu değildir. Bu uygulamaların her ikisini de aynı bilgisayara yükleyemezsiniz.

Kaspersky Endpoint Security'nin Endpoint Detection and Response'un (KATA) bir parçası olarak çalışması için şu koşulların karşılanması gerekir:

• Kaspersky Anti Targeted Attack Platform sürüm 4.1 veya üzeri.
• Kaspersky Security Center sürüm 13.2 veya üstü (Network Agent dahil). Kaspersky Security Center’ın önceki sürümlerinde Endpoint Detection and Response (KATA) özelliğini etkinleştirmek mümkün değildir.

EDR (KATA) için [KES+KEA] yapılandırmasını [KES+yerleşik aracı]'ya taşıma adımları

1. Kaspersky Endpoint Security Management Eklentisini Yükseltme

   EDR (KATA) bileşeni, Kaspersky Endpoint Security Management Plug-in sürüm 12.1 veya üstü kullanılarak yönetilebilir. Kullandığınız Kaspersky Security Center konsolunun türüne bağlı olarak, Yönetim Konsolu (MMC)'deki yönetim eklentisini veya Web Console'daki web eklentisini güncelleyin.

2. İlkelerin ve görevlerin taşınması

   Kaspersky Endpoint Agent ayarlarını Kaspersky Endpoint Security for Windows'a aktarın. Aşağıdaki seçenekler kullanılabilir:

   • Kaspersky Endpoint Agent'tan Kaspersky Endpoint Security'ye geçiş için bir sihirbaz. Kaspersky Endpoint Agent'tan Kaspersky Endpoint Security'ye geçiş sihirbazı yalnızca Web Console'da çalışır

     Web Console'da Kaspersky Endpoint Agent'tan Kaspersky Endpoint Security'ye ilke ve görev ayarlarını taşıma

     Web Console ana penceresinde, İşlemler → Kaspersky Endpoint Agent'tan Geçiş seçimini yapın.

     Böylece ilke ve görev geçiş sihirbazı çalıştırılır. Sihirbazın talimatlarını uygulayın.

     1. Adım. İlke geçişi

     Geçiş Sihirbazı, Kaspersky Endpoint Security ve Kaspersky Endpoint Agent ilkelerinin ayarlarını birleştiren yeni bir ilke oluşturur. İlke listesinden, ayarlarını Kaspersky Endpoint Security ilkesiyle birleştirmek istediğiniz Kaspersky Endpoint Agent ilkelerini seçin. Ayarları birleştirmek istediğiniz Kaspersky Endpoint Security ilkesini seçmek için Kaspersky Endpoint Agent ilkesine tıklayın. Doğru ilkeleri seçtiğinizden emin olun ve sonraki adıma geçin.

     2. Adım. Görev geçişi

     Geçiş Sihirbazı EDR (KATA) görevlerini desteklemez. Bu adımı atlayın.

     3. Adım Sihirbazı tamamlama

     Sihirbazdan çıkın. Sihirbazın sonucunda yeni bir Kaspersky Endpoint Security ilkesi oluşturulacaktır. İlke, Kaspersky Endpoint Security'den ve Kaspersky Endpoint Agent'tan gelen ayarları birleştirir. Bu ilkeye <Kaspersky Endpoint Security ilke adı> & <Kaspersky Endpoint Agent ilke adı> adı verilir. Yeni ilke Etkin değil durumundadır. Devam etmek için Kaspersky Endpoint Agent ve Kaspersky Endpoint Security ilkelerinin durumlarını Etkin değil olarak değiştirtin ve yeni birleştirilmiş ilkeyi etkinleştirin.

     Web Console'daki geçiş sihirbazı şu ilke ayarlarını atlar ve bunları taşımaz:

     • Ayarlar değişiklik yasağı KATA sunucularına bağlantı için ayarlar ("kilit").

       Varsayılan olarak ayarlar değiştirilebilir ("kilit" açıktır). Bu nedenle ayarlar bilgisayarda uygulanmaz. Ayarların değiştirilmesi yasaklanmalı ve "kilit" kapatılmalıdır.

     • Kripto konteyneri.

       Central Node sunucularına bağlanmak için iki yönlü kimlik doğrulama kullanıyorsanız, kripto konteynerini yeniden eklemeniz gerekir.

     Geçiş Sihirbazı bu ayarları taşımadığından, bilgisayarı Central Node sunucularına bağlarken hatalarla karşılaşabilirsiniz. Hataları düzeltmek için ilke özelliklerine gitmeniz ve bağlantı ayarlarını yapılandırmanız gerekir.

   • Standart bir İlke ve görevler toplu dönüştürme sihirbazı. İlke ve görevler toplu dönüştürme sihirbazı yalnızca Yönetim Konsolu'nda (MMC) kullanılabilir. İlke ve görevler toplu dönüştürme sihirbazı hakkında daha ayrıntılı bilgi için Kaspersky Security Center Yardım içeriğine bakın.

   Kaspersky Endpoint Security'nin sunucularda düzgün çalıştığından emin olmak için, sunucunun çalışması için önemli olan dosyaların güvenilir bölgeye eklenmesi önerilir. SQL sunucuları için MDF ve LDF veritabanı dosyalarını eklemelisiniz. Microsoft Exchange sunucuları için CHK, EDB, JRS, LOG ve JSL dosyaları eklemelisiniz. Maskeler kullanabilirsiniz, örneğin, C:\Program Files (x86)\Microsoft SQL Server\*.mdf.

   EDR telemetri istisnaları Kaspersky Endpoint Agent ilkesinden Kaspersky Endpoint Security ilkesine aktarılmaz. Kaspersky Endpoint Security'nin kendi istisna araçları vardır - güvenilir uygulamalar. Kaspersky Endpoint Security'nin çalışması, bireysel EDR telemetri istisnalarının olmaması, Kaspersky Endpoint Agent ile karşılaştırıldığında bilgisayarınızda herhangi bir ek yüke neden olmayacak şekilde optimize edilmiştir. Kaspersky Endpoint Security telemetriyi yalnızca EDR (KATA) için değil, aynı zamanda uygulama koruma bileşenlerinin çalışması için de kullanır. Bu nedenle, bireysel EDR telemetri istisnalarının aktarılmasına gerek yoktur. Bilgisayar performansında bir düşüş yaşamanız durumunda, uygulamanın çalışmasını kontrol edin (bkz. 7. adım Performansı kontrol etme).

3. EDR (KATA) işlevselliğinin lisanslanması

   Kaspersky Anti Targeted Attack Platform çözümünün bir parçası olarak Kaspersky Endpoint Security'yi etkinleştirmek için ayrı bir Kaspersky Endpoint Detection and Response (KATA) Eklentisi lisansına ihtiyacınız vardır. Anahtarı, Anahtar ekle görevini kullanarak ekleyebilirsiniz. Sonuç olarak, uygulamaya iki anahtar eklenecektir: Kaspersky Endpoint Security ve Kaspersky Endpoint Detection and Response (KATA).

   Daha önce EDR Optimum veya EDR Expert özellikleri etkinleştirilen bilgisayarlarda Kaspersky Endpoint Detection and Response (KATA) Eklentisi lisanslanması aşağıdaki özel hususları içerir:

   • Kaspersky Endpoint Security'yi EDR Optimum veya EDR Expert özellikleriyle lisanslamak için bir anahtar dosyası kullanıyorsanız, Kaspersky Endpoint Detection and Response (KATA) Eklentisi için ayrı bir anahtar ekleyemezsiniz. Lisanslama için bir etkinleştirme kodu kullanmaya geçebilir veya Kaspersky Endpoint Security ve EDR özelliklerini etkinleştirmek için yeni bir anahtar dosyası almak üzere hizmet sağlayıcınızla iletişime geçebilirsiniz. Hizmet sağlayıcı lisanslama için bir veya daha fazla anahtar dosya sağlayacaktır.
   • Kaspersky Endpoint Security'yi EDR Optimum veya EDR Expert özellikleri olmadan lisanslamak için bir anahtar dosyası kullanıyorsanız, anahtar dosyalarının yeniden düzenlenmesine gerek kalmadan Kaspersky Endpoint Detection and Response (KATA) Eklentisi için ayrı bir anahtar ekleyebilirsiniz.
   • Lisanslama için bir etkinleştirme kodu kullanıyorsanız, Kaspersky etkinleştirme sunucusu anahtarları otomatik olarak yeniden yayınlayacak ve EDR (KATA) özellikleri otomatik olarak kullanılabilir hale gelecektir. Bu durumda, EDR Optimum ve EDR Expert devre dışı bırakılacaktır.
   • Kaspersky Endpoint Security, en fazla iki etkin anahtar eklemenize olanak tanır: Kaspersky Endpoint Security anahtarı ve Eklenti türü anahtar. Ayrıca iki adede kadar rezerve anahtar ekleyebilirsiniz. Bir Kaspersky Endpoint Security rezerve anahtarı ve bir Eklenti türü rezerve anahtar.
4. Kaspersky Endpoint Security uygulamasını Yükleme/Yükseltme

   Bir uygulama kurulumu veya yükseltmesi sırasında EDR (KATA) işlevselliğini taşımak için uzaktan kurulum görevinin kullanılması önerilir. Bir uzaktan kurulum görevi oluştururken, kurulum paketi ayarlarında EDR (KATA) bileşenini seçmeniz gerekir.

   Uygulamayı, şu yöntemleri kullanarak da güncellemeniz mümkündür:

   • Kaspersky güncelleme hizmetini kullanma.
   • Kurulum Sihirbazını kullanarak yerel olarak.

   Kaspersky Endpoint Security, Kaspersky Endpoint Agent uygulamasının yüklü olduğu bir bilgisayarda uygulama yükseltilirken, bileşenlerin otomatik olarak seçilmesini destekler. Bileşenlerin otomatik seçimi, uygulamayı yükselten kullanıcı hesabının izinlerine bağlıdır.

   Kaspersky Endpoint Security'yi sistem hesabı (SYSTEM) altındaki EXE veya MSI dosyasını kullanarak yükseltiyorsanız, Kaspersky Endpoint Security, Kaspersky çözümlerinin geçerli lisanslarına erişim kazanır. Dolayısıyla, bilgisayarda Kaspersky Endpoint Agent yüklü ve EDR (KATA) çözümü etkinleştirilmişse, Kaspersky Endpoint Security yükleyicisi bileşen setini otomatik olarak yapılandırır ve EDR (KATA) bileşenini seçer. Bu, Kaspersky Endpoint Security'nin bütünleşik aracıyı kullanmaya geçmesini sağlar ve Kaspersky Endpoint Agent'ı kaldırır. MSI yükleyicisinin sistem hesabı (SYSTEM) altında çalıştırılması genellikle Kaspersky güncelleme hizmeti aracılığıyla yükseltme yapılırken ya da Kaspersky Security Center aracılığıyla bir yükleme paketi dağıtılırken gerçekleştirilir.

   Kaspersky Endpoint Security'yi ayrıcalıklı olmayan bir kullanıcı hesabı altında bir MSI dosyası kullanarak yükseltiyorsanız, Kaspersky Endpoint Security'nin Kaspersky çözümlerinin geçerli lisanslarına erişimi olmaz. Bu durumda Kaspersky Endpoint Security, Kaspersky Endpoint Agent'ın bir dizi bileşenini temel alarak bileşenleri otomatik olarak seçer. Bundan sonra, Kaspersky Endpoint Security' bütünleşik aracıyı kullanmaya geçer ve Kaspersky Endpoint Agent'ı kaldırır.

   Kaspersky Endpoint Security, bilgisayar yeniden başlatılmadan yükseltme yapılmasını destekler. İlke özelliklerinde uygulama yükseltme modunu seçebilirsiniz.

5. Uygulama çalışmasının kontrolü

   Uygulama yükleme veya yükseltmesi sonrasında bilgisayarın Kaspersky Security Center konsolunda Kritik durumu görülüyorsa:

   • Bilgisayarda Ağ Aracısı 13.2 veya daha yüksek bir sürümün kurulu olduğundan emin olun.
   • Uygulama bileşenleri durum raporunu görüntüleyerek yerleşik aracının çalışma durumunu kontrol edin. Bir bileşenin durumu Kurulu değil ise, Uygulama bileşenlerini değiştirme görevini kullanarak bileşeni yükleyin. Bir bileşen Lisans kapsamında değil durumuna sahipse, yerleşik aracı işlevselliğini etkinleştirdiğinizden emin olun.
   • Kaspersky Endpoint Security for Windows'un yeni ilkesindeki Kaspersky Security Network Beyanını kabul ettiğinizden emin olun.
6. Kaspersky Anti Targeted Attack Platform sunucusuna bağlantıyı yapılandırma

   Kaspersky Anti Targeted Attack Platform sunucusuna bağlantıyı kontrol edin. Bunun için:

   1. Geçerli bir sertifikanız olup olmadığını kontrol edin.
   2. Sunucu bağlantı ayarlarını kontrol edin.
   3. Olay günlüğünü kontrol edin.

      Sunucuyla bir bağlantı kurulursa, uygulama Kaspersky Anti Targeted Attack Platform sunucusuna bağlantı başarılı oldu olayını gönderir. Başarılı bir bağlantı olayı ve bağlantı hataları içeren hiçbir olay yoksa, olay günlüğü ayarlarını kontrol edin ve Endpoint Detection and Response (KATA) için olay gönderimini etkinleştirin.

   Sunucu bağlantı durumu, Kaspersky Security Center konsolundaki bilgisayar durumunu etkilemez. Bu nedenle, sunucuyla bağlantı yoksa, bilgisayar yine de Tamam durumuna sahip olabilir. Sunucuyla bağlantıyı doğrulamak için olay günlüğünü kontrol edin.

7. Performans kontrolü

   Bir uygulamayı yükledikten veya güncelledikten sonra bilgisayarınızın performansı yavaşladıysa, veri aktarımını optimize edebilirsiniz. Bunun için:

   1. EDR (KATA) bileşenini devre dışı bırakın ve performans düşüşünün EDR (KATA) kaynaklı olup olmadığını kontrol edin.
   2. Güvenilir uygulamalar için, konsol giriş işlemlerinde telemetri toplamayı kapatın (varsayılan olarak etkindir).
   3. Bilgisayar performansını düşüren uygulamaları güvenilir uygulamalar listesine ekleyin.
   4. Kaspersky Teknik Destek ile iletişim kurun. Destek uzmanları, Kaspersky Anti Targeted Attack Platform'da telemetri filtrelemeyi yapılandırmanıza yardımcı olacaktır. Bu sayede trafik miktarı azalacaktır. Bilgisayarınızın performansı belirli bir uygulamadan etkileniyorsa, bu uygulamanın dağıtım paketini isteğe ekleyin.