將 EDR Agent 與 KATA (EDR) 整合

支援

企業解決方案支援

Kaspersky Endpoint Security 12 for Windows

Detection and Response 解決方案

Endpoint Detection and Response Agent

將 EDR Agent 與 KATA (EDR) 整合

2024年2月14日

ID 257252

另存為 PDF

EDR Agent 安裝在組織 IT 基礎結構中的工作站和伺服器上。在這些電腦上，EDR Agent 持續監視處理程序、開啟的網路連線和正在修改的檔案，並將監視資料傳送到具有中央節點元件的伺服器。

要與 EDR (KATA) 整合，您必須啟用 Endpoint Detection and Response (KATA) 元件並配置 EDR Agent。

Endpoint Detection and Response (KATA) 要工作必須滿足以下條件：

Kaspersky Anti Targeted Attack Platform 版本 4.1 或更高版本。
卡巴斯基安全管理中心版本 13.2 或更高版本。在早期版本的卡巴斯基安全管理中心中，無法啟動 Endpoint Detection and Response (KATA) 功能。

與 Endpoint Detection and Response (KATA) 整合涉及以下步驟：

啟用 Endpoint Detection and Response (KATA)
您需要單獨購買 EDR (KATA)（Kaspersky Endpoint Detection and Response (KATA) 附加元件）的產品授權。

該功能將在您為 Kaspersky Endpoint Detection and Response (KATA) 單獨新增金鑰後可用。獨立 Endpoint Detection and Response (KATA) 功能的授權和 Kaspersky Endpoint Security 的授權一樣。

確保 EDR (KATA) 功能包括在產品授權中且在應用程式的本機介面中執行。
連線到中央節點
Kaspersky Anti Targeted Attack Platform 要求在 Kaspersky Endpoint Security 和中央節點元件之間建立可信連線。要配置可信連線，您必須使用 TLS 憑證。您可以在 Kaspersky Anti Targeted Attack Platform 主控台中獲取 TLS 憑證（請參閱 Kaspersky Anti Targeted Attack Platform 說明）。然後您必須將 TLS 憑證新增到 Kaspersky Endpoint Security（參見下面的說明）。

將 TLS 憑證新增到 Kaspersky Endpoint Security

預設情況下，Kaspersky Endpoint Security 僅檢查中央節點的 TLS 憑證。為了使連線更安全，您可以額外啟用在中央節點上進行電腦驗證（雙向身分驗證）。要啟用此驗證，您必須在中央節點和 Kaspersky Endpoint Security 設定中開啟雙向身分驗證。要使用雙向身分驗證，您還需要一個加密容器。加密容器是一個帶有憑證和私鑰的 PFX 存檔。您可以在 Kaspersky Anti Targeted Attack Platform 主控台中獲得一個加密容器（請參閱 Kaspersky Anti Targeted Attack Platform 說明）。

如何使用管理主控台 (MMC) 將 Kaspersky Endpoint Security 電腦連線到中央節點
1. 開啟卡巴斯基安全管理中心管理主控台。
2. 在主控台樹狀目錄中，選擇“政策”。
3. 選擇必要的政策並點擊以開啟政策內容。
4. 在政策視窗中，選擇“Detection and Response → Endpoint Detection and Response (KATA)”。
5. 選擇“Endpoint Detection and Response (KATA)”核取方塊。
6. 單擊“KATA 伺服器連線設定”。
7. 配置伺服器連線：
  - 逾時中央節點伺服器響應最大超時。當超時用完時，Kaspersky Endpoint Security 會嘗試連線到不同的中央節點伺服器。
  - 伺服器 TLS 憑證用於與中央節點伺服器建立可信連線的 TLS 憑證。您可以在 Kaspersky Anti Targeted Attack Platform 主控台中獲取 TLS 憑證（請參閱 Kaspersky Anti Targeted Attack Platform 說明）。
  - 使用雙向身分驗證在 Kaspersky Endpoint Security 和中央節點之間建立安全連線時進行雙向身分驗證。要使用雙向身分驗證，您需要在中央節點設定中啟用雙向身分驗證，然後獲取加密容器並設定密碼以防護加密容器。加密容器是一個帶有憑證和私鑰的 PFX 存檔。您可以在 Kaspersky Anti Targeted Attack Platform 主控台中獲得一個加密容器（請參閱 Kaspersky Anti Targeted Attack Platform 說明）。配置中央節點設定後，您還需要在 Kaspersky Endpoint Security 設定中啟用雙向身分驗證並加載受密碼防護的加密容器。
    加密容器必須受密碼防護。無法新增密碼為空的加密容器。
8. 點擊“確定”。
9. 新增中央節點伺服器。為此，請指定伺服器位址（IPv4、IPv6）和連線到伺服器的連接埠。
10. 儲存變更。
如何使用 Web 主控台將 Kaspersky Endpoint Security 電腦連線到中央節點
1. 在網頁主控台的主視窗中，選擇裝置 → 政策和設定檔。
2. 點擊 Kaspersky Endpoint Security 政策的名稱。
  政策內容視窗將開啟。
3. 選擇“應用程式設定”標籤。
4. 轉到”Detection and Response”→”Endpoint Detection and Response (KATA)”。
5. 開啟“Endpoint Detection and Response (KATA) 已啟用“開關。
6. 單擊“KATA 伺服器連線設定”。
7. 配置伺服器連線：
  - 逾時中央節點伺服器響應最大超時。當超時用完時，Kaspersky Endpoint Security 會嘗試連線到不同的中央節點伺服器。
  - 伺服器 TLS 憑證用於與中央節點伺服器建立可信連線的 TLS 憑證。您可以在 Kaspersky Anti Targeted Attack Platform 主控台中獲取 TLS 憑證（請參閱 Kaspersky Anti Targeted Attack Platform 說明）。
  - 使用雙向身分驗證在 Kaspersky Endpoint Security 和中央節點之間建立安全連線時進行雙向身分驗證。要使用雙向身分驗證，您需要在中央節點設定中啟用雙向身分驗證，然後獲取加密容器並設定密碼以防護加密容器。加密容器是一個帶有憑證和私鑰的 PFX 存檔。您可以在 Kaspersky Anti Targeted Attack Platform 主控台中獲得一個加密容器（請參閱 Kaspersky Anti Targeted Attack Platform 說明）。配置中央節點設定後，您還需要在 Kaspersky Endpoint Security 設定中啟用雙向身分驗證並加載受密碼防護的加密容器。
    加密容器必須受密碼防護。無法新增密碼為空的加密容器。
8. 點擊“確定”。
9. 新增中央節點伺服器。為此，請指定伺服器位址（IPv4、IPv6）和連線到伺服器的連接埠。
10. 儲存變更。
結果，電腦會被新增到 Kaspersky Anti Targeted Attack Platform 主控台上。透過檢視”應用程式元件狀態報告”來檢查元件的運行狀態。您還可以在 Kaspersky Endpoint Security 的本地介面中的報告中檢視元件的運行狀態。“Endpoint Detection and Response (KATA)”元件將新增到 Kaspersky Endpoint Security 元件清單中。

此文章對您有幫助嗎？

我們可以如何改善？

感謝您的意見回饋！您正協助我們改善。