Guida alla migrazione da KEA a KES per EDR (KATA)

A partire dalla versione 12.1, Kaspersky Endpoint Security for Windows include un agente integrato per la gestione del componente Kaspersky Endpoint Detection and Response come parte della soluzione Kaspersky Anti Targeted Attack Platform. Non è più necessaria un'applicazione Kaspersky Endpoint Agent separata per utilizzare EDR (KATA). Tutte le funzioni di Kaspersky Endpoint Agent verranno eseguite da Kaspersky Endpoint Security. Il carico sui server di Kaspersky Anti Targeted Attack Platform rimarrà lo stesso.

Quando si distribuisce Kaspersky Endpoint Security nei computer in cui è installato Kaspersky Endpoint Agent, la soluzione Kaspersky Anti Targeted Attack Platform (EDR) continuerà a funzionare con Kaspersky Endpoint Security. Inoltre, Kaspersky Endpoint Agent verrà rimosso dal computer. Lo stesso comportamento nel sistema si verificherà quando si aggiorna Kaspersky Endpoint Security alla versione 12.1 o successiva.

Kaspersky Endpoint Security non è compatibile con Kaspersky Endpoint Agent. Non è possibile installare entrambe queste applicazioni nello stesso computer.

Le seguenti condizioni devono essere soddisfatte affinché Kaspersky Endpoint Security funzioni come parte di Endpoint Detection and Response (KATA):

• Kaspersky Anti Targeted Attack Platform versione 4.1 o successiva.
• Kaspersky Security Center versione 13.2 o successiva (incluso Network Agent). Nelle versioni precedenti di Kaspersky Security Center, non è possibile attivare la funzionalità Endpoint Detection and Response (KATA).

Passaggi per la migrazione della configurazione [KES+KEA] a [KES+agente integrato] per EDR (KATA)

1. Upgrade del plug-in di gestione di Kaspersky Endpoint Security

   Il componente EDR (KATA) può essere gestito utilizzando il plug-in di gestione di Kaspersky Endpoint Security versione 12.1 o successiva. A seconda del tipo di console di Kaspersky Security Center in uso, aggiornare il plug-in di gestione in Administration Console (MMC) o il plug-in Web in Web Console.

2. Migrazione di criteri e attività

   Trasferire le impostazioni di Kaspersky Endpoint Agent a Kaspersky Endpoint Security for Windows. Sono disponibili le seguenti opzioni:

   • Una migrazione guidata da Kaspersky Endpoint Agent a Kaspersky Endpoint Security. Una migrazione guidata da Kaspersky Endpoint Agent a Kaspersky Endpoint Security funziona solo in Web Console

     Come eseguire la migrazione delle impostazioni di criteri e attività da Kaspersky Endpoint Agent a Kaspersky Endpoint Security in Web Console

     Nella finestra principale di Web Console, selezionare Operazioni → Migrazione da Kaspersky Endpoint Agent.

     Viene eseguita la migrazione guidata di criteri e attività. Attenersi alle istruzioni della procedura guidata.

     Passaggio 1. Migrazione dei criteri

     La migrazione guidata crea un nuovo criterio che unisce le impostazioni dei criteri di Kaspersky Endpoint Security e Kaspersky Endpoint Agent. Nell'elenco dei criteri, selezionare i criteri di Kaspersky Endpoint Agent di cui si desidera unire le impostazioni con il criterio di Kaspersky Endpoint Security. Fare clic sul criterio di Kaspersky Endpoint Agent per selezionare il criterio di Kaspersky Endpoint Security con cui unire le impostazioni. Verificare di aver selezionato i criteri corretti, quindi procedere con il passaggio successivo.

     Passaggio 2. Migrazione delle attività

     La migrazione guidata non supporta le attività di EDR (KATA). Ignorare questo passaggio.

     Passaggio 3. Completamento della procedura guidata

     Chiusura della procedura guidata. Come risultato della procedura guidata, verrà creato un nuovo criterio di Kaspersky Endpoint Security. Il criterio unisce le impostazioni da Kaspersky Endpoint Security e Kaspersky Endpoint Agent Il criterio è denominato <Nome del criterio di Kaspersky Endpoint Security> e <Nome del criterio di Kaspersky Endpoint Agent>. Il nuovo criterio presenta lo stato Inattivo. Per continuare, modificare gli stati dei criteri di Kaspersky Endpoint Agent e Kaspersky Endpoint Security in Inattivo e attivare il nuovo criterio unito.

     Questa migrazione guidata in Web Console ignora le seguenti impostazioni dei criteri e non le migra:

     • Divieto di modifica delle impostazioni Impostazioni per la connessione ai server KATA ("lucchetto").

       Per impostazione predefinita, le impostazioni possono essere modificate (il "lucchetto" è aperto). Pertanto, le impostazioni non vengono applicate al computer. È necessario vietare la modifica delle impostazioni e chiudere il "lucchetto".

     • Contenitore crittografico.

       Se si utilizza l'autenticazione a due vie per la connessione ai server di Central Node, è necessario aggiungere di nuovo il contenitore crittografico.

     Poiché la migrazione guidata non esegue la migrazione di queste impostazioni, è possibile che si verifichino errori durante la connessione del computer ai server di Central Node. Per correggere gli errori, è necessario accedere alle proprietà del criterio e configurare le impostazioni di connessione.

   • Una Conversione guidata di criteri e attività in batch standard. La Conversione guidata di criteri e attività in batch è disponibile solo in Administration Console (MMC). Per ulteriori dettagli su Conversione guidata di criteri e attività in batch, consultare la Guida di Kaspersky Security Center.

   Per assicurarsi che Kaspersky Endpoint Security funzioni correttamente sui server, si consiglia di aggiungere i file importanti per il funzionamento del server all'area attendibile. Per i server SQL, è necessario aggiungere file di database MDF e LDF. Per i server Microsoft Exchange, è necessario aggiungere i file CHK, EDB, JRS, LOG e JSL. È possibile utilizzare anche maschere, ad esempio, C:\Programmi (x86)\Microsoft SQL Server\*.mdf.

   Le esclusioni della telemetria EDR non vengono migrate dal criterio di Kaspersky Endpoint Agent al criterio di Kaspersky Endpoint Security. Kaspersky Endpoint Security dispone dei propri strumenti di esclusione: le applicazioni attendibili. Il funzionamento di Kaspersky Endpoint Security è ottimizzato in modo che l'assenza di singole esclusioni della telemetria EDR non provochi alcun carico aggiuntivo sul computer rispetto a Kaspersky Endpoint Agent. Kaspersky Endpoint Security utilizza la telemetria non solo per EDR (KATA), ma anche per il funzionamento dei componenti di protezione delle applicazioni. Pertanto, non è necessario trasferire singole esclusioni della telemetria EDR. Se si riscontra una diminuzione delle prestazioni del computer, verificare il funzionamento dell'applicazione (vedere il passaggio 7 Controllo delle prestazioni).

3. Licenza della funzionalità EDR (KATA)

   Per attivare Kaspersky Endpoint Security come parte della soluzione Kaspersky Anti Targeted Attack Platform, è necessaria una licenza separata per il componente aggiuntivo Kaspersky Endpoint and Detection and Response (KATA). È possibile aggiungere la chiave tramite l'attività Aggiungi chiave. Di conseguenza, verranno aggiunte due chiavi all'applicazione: Kaspersky Endpoint Security e Kaspersky Endpoint Detection and Response (KATA).

   La concessione di una licenza del componente aggiuntivo Kaspersky Endpoint Detection and Response (KATA) nel computer con funzionalità EDR Optimum o EDR Expert precedentemente attivate comporta le seguenti considerazioni speciali:

   • Se si sta utilizzando un file chiave per la licenza di Kaspersky Endpoint Security con le funzionalità EDR Optimum o EDR Expert, non è possibile aggiungere una chiave separata per il componente aggiuntivo Kaspersky Endpoint Detection and Response (KATA). È possibile passare all'utilizzo di un codice di attivazione per la licenza oppure contattare il provider di servizi per ottenere un nuovo file chiave per l'attivazione delle funzionalità di Kaspersky Endpoint Security ed EDR. Il provider di servizi fornirà uno o più file chiave per la licenza.
   • Se si sta utilizzando un file chiave per la licenza di Kaspersky Endpoint Security senza le funzionalità EDR Optimum o EDR Expert, è possibile aggiungere una chiave separata per il componente aggiuntivo Kaspersky Endpoint Detection and Response (KATA) senza un nuovo rilascio dei file chiave.
   • Se si sta utilizzando un codice di attivazione per la licenza, il server di attivazione di Kaspersky rilascerà automaticamente le chiavi e le funzionalità EDR (KATA) diventeranno automaticamente disponibili. In questo caso, EDR Optimum ed EDR Expert saranno disabilitati.
   • Kaspersky Endpoint Security consente di aggiungere fino a due chiavi attive: chiave di Kaspersky Endpoint Security e chiave del tipo di componente aggiuntivo. È possibile aggiungere inoltre fino a due chiavi di riserva. Una chiave di riserva di Kaspersky Endpoint Security e una chiave di riserva del tipo Componente aggiuntivo.
4. Installazione/upgrade dell'applicazione Kaspersky Endpoint Security

   Per migrare la funzionalità EDR (KATA) durante l'installazione o l'upgrade di un'applicazione, si consiglia di utilizzare l'attività di installazione remota. Quando si crea un'attività di installazione remota, è necessario selezionare il componente EDR (KATA) nelle impostazioni del pacchetto di installazione.

   È inoltre possibile eseguire l'applicazione con i seguenti metodi:

   • Tramite il servizio di aggiornamento di Kaspersky.
   • In locale, utilizzando l'Installazione guidata.

   Kaspersky Endpoint Security supporta la selezione automatica dei componenti quando si effettua l'upgrade dell'applicazione in un computer con l'applicazione Kaspersky Endpoint Agent installata. La selezione automatica dei componenti dipende dalle autorizzazioni dell'account utente che sta effettuando l'upgrade dell'applicazione.

   Se si effettua l'upgrade di Kaspersky Endpoint Security utilizzando il file EXE o MSI nell'account di sistema (SYSTEM), Kaspersky Endpoint Security ottiene l'accesso alle licenze correnti delle soluzioni Kaspersky. Pertanto, se nel computer è installato Kaspersky Endpoint Agent e la soluzione EDR (KATA) è attivata, il programma di installazione di Kaspersky Endpoint Security configura automaticamente il set di componenti e seleziona il componente EDR (KATA). In questo modo, Kaspersky Endpoint Security passa all'utilizzo dell'agente integrato e rimuove Kaspersky Endpoint Agent. L'esecuzione del programma di installazione MSI nell'account di sistema (SYSTEM) viene in genere eseguita quando si effettua l'upgrade tramite Kaspersky Update Service o quando si distribuisce un pacchetto di installazione tramite Kaspersky Security Center.

   Se si effettua l'upgrade di Kaspersky Endpoint Security utilizzando un file MSI in un account utente senza privilegi, Kaspersky Endpoint Security non sarà in grado di accedere alle licenze correnti delle soluzioni Kaspersky. In questo caso, Kaspersky Endpoint Security seleziona automaticamente i componenti in base a un set di componenti di Kaspersky Endpoint Agent. A questo punto, Kaspersky Endpoint Security passa all'utilizzo dell'agente integrato e rimuove Kaspersky Endpoint Agent.

   Kaspersky Endpoint Security supporta l'upgrade senza riavviare il computer. È possibile selezionare la modalità di upgrade dell'applicazione nelle proprietà dei criteri.

5. Verifica del funzionamento dell'applicazione

   Se dopo l'installazione o l'upgrade il computer presenta lo stato Critico nella console di Kaspersky Security Center:

   • Accertarsi che nel computer sia installato Network Agent versione 13.2 o successiva.
   • Verificare lo stato operativo dell'agente integrato visualizzando il Rapporto sullo stato dei componenti dell'applicazione. Se un componente presenta lo stato Non installato, installare il componente tramite l'attività Modifica i componenti dell'applicazione. Se un componente presenta lo stato Non incluso nella licenza, verificare di aver attivato la funzionalità dell'agente integrata.
   • Accertarsi di accettare l'Informativa di Kaspersky Security Network nel nuovo criterio di Kaspersky Endpoint Security for Windows.
6. Verifica della connessione al server di Kaspersky Anti Targeted Attack Platform

   Verificare la connessione al server di Kaspersky Anti Targeted Attack Platform. A tale scopo:

   1. Verificare di disporre di un certificato valido.
   2. Verificare le impostazioni di connessione al server.
   3. Verificare il registro degli eventi.

      Se viene stabilita una connessione al server, l'applicazione invia l'evento Connessione riuscita al server Kaspersky Anti Targeted Attack Platform. Se non si verificano eventi di connessione riusciti e non sono presenti eventi con errori di connessione, verificare le impostazioni del registro degli eventi e abilitare l'invio di eventi per Endpoint Detection and Response (KATA).

   Lo stato della connessione al server non influisce sullo stato del computer nella console di Kaspersky Security Center. Pertanto, se non è presente alcuna connessione al server, il computer può comunque presentare lo stato OK. Verificare il registro degli eventi per controllare la connessione al server.

7. Verifica delle prestazioni

   Se le prestazioni del computer sono rallentate dopo l'installazione o l'aggiornamento di un'applicazione, è possibile ottimizzare il trasferimento dei dati. A tale scopo:

   1. Disabilitare il componente EDR (KATA) e verificare che il deterioramento delle prestazioni sia dovuto all'EDR (KATA).
   2. Per applicazioni attendibili, disattivare la raccolta dei dati di telemetria nelle operazioni di input della console (abilitata per impostazione predefinita).
   3. Aggiungere applicazioni che riducono le prestazioni del computer all'elenco di applicazioni attendibili.
   4. Contattare l'Assistenza tecnica di Kaspersky. Gli esperti dell'assistenza aiuteranno l'utente a configurare il filtraggio della telemetria in Kaspersky Anti Targeted Attack Platform. Questo ridurrà la quantità di traffico. Se le prestazioni del computer sono influenzate da una determinata applicazione, allegare alla richiesta il pacchetto di distribuzione di tale applicazione.