Integrazione di EDR Agent con KATA (EDR)

EDR Agent è installato su workstation e server nell'infrastruttura IT dell'organizzazione. Su questi computer, EDR Agent monitora continuamente i processi, le connessioni di rete aperte e i file modificati e invia i dati di monitoraggio al server con il componente Central Node.

Per l'integrazione con EDR (KATA), è necessario abilitare il componente Endpoint Detection and Response (KATA) e configurare EDR Agent.

Per il corretto funzionamento di Endpoint Detection and Response (KATA), è necessario soddisfare le seguenti condizioni:

• Kaspersky Anti Targeted Attack Platform versione 4.1 o successiva.
• Kaspersky Security Center versione 13.2 o successiva. Nelle versioni precedenti di Kaspersky Security Center, non è possibile attivare la funzionalità Endpoint Detection and Response (KATA).

L'integrazione con Endpoint Detection and Response (KATA) prevede i seguenti passaggi:

1. Attivazione di Endpoint Detection and Response (KATA)

   È necessario acquistare una licenza separata per EDR (KATA) (componente aggiuntivo Kaspersky Endpoint Detection and Response (KATA)).

   La funzionalità sarà disponibile dopo aver aggiunto una chiave separata per Kaspersky Endpoint Detection and Response (KATA). La licenza per la funzionalità Endpoint Detection and Response (KATA) autonoma è la stessa della licenza di Kaspersky Endpoint Security.

   Verificare che la funzionalità EDR (KATA) sia inclusa nella licenza e che venga eseguita nell'interfaccia locale dell'applicazione.

2. Connessione a Central Node

   Kaspersky Anti Targeted Attack Platform richiede di stabilire una connessione attendibile tra Kaspersky Endpoint Security e il componente Central Node. Per configurare una connessione attendibile, è necessario utilizzare un certificato TLS. È possibile ottenere un certificato TLS nella console di Kaspersky Anti Targeted Attack Platform (vedere le istruzioni nel file Guida di Kaspersky Anti Targeted Attack Platform). Quindi è necessario aggiungere il certificato TLS a Kaspersky Endpoint Security (vedere le istruzioni di seguito).

   

   Aggiunta di un certificato TLS a Kaspersky Endpoint Security

   Per impostazione predefinita, Kaspersky Endpoint Security controlla solo il certificato TLS di Central Node. Per rendere la connessione più sicura, è inoltre possibile abilitare la verifica del computer in Central Node (autenticazione a due vie). Per abilitare questa verifica, è necessario attivare l'autenticazione a due vie nelle impostazioni di Central Node e Kaspersky Endpoint Security. Per utilizzare l'autenticazione a due vie, è necessario anche un contenitore crittografico. Un contenitore crittografico è un archivio PFX con un certificato e una chiave privata. È possibile ottenere un contenitore crittografico nella console di Kaspersky Anti Targeted Attack Platform (vedere le istruzioni nel file Guida di Kaspersky Anti Targeted Attack Platform).

   Come connettere un computer Kaspersky Endpoint Security a Central Node tramite Administration Console (MMC)

   1. Aprire Kaspersky Security Center Administration Console.
   2. Nella struttura della console, selezionare Criteri.
   3. Selezionare il criterio necessario e fare doppio clic per aprire le proprietà del criterio.
   4. Nella finestra del criterio, selezionare Detection and Response → Endpoint Detection and Response (KATA).
   5. Selezionare la casella di controllo Endpoint Detection and Response (KATA).
   6. Fare clic su Impostazioni per la connessione ai server KATA.
   7. Configurare la connessione al server:
      • Timeout. Timeout massimo di risposta del server di Central Node. Allo scadere del timeout, Kaspersky Endpoint Security tenta di connettersi a un altro server Central Node.
      • Certificato TLS del server. Certificato TLS per stabilire una connessione attendibile con il server di Central Node. È possibile ottenere un certificato TLS nella console di Kaspersky Anti Targeted Attack Platform (vedere le istruzioni nel file Guida di Kaspersky Anti Targeted Attack Platform).
      • Usa autenticazione a due vie. Autenticazione bidirezionale quando si stabilisce una connessione sicura tra Kaspersky Endpoint Security e Central Node. Per utilizzare l'autenticazione bidirezionale, è necessario abilitare l'autenticazione bidirezionale nelle impostazioni Central Node, quindi recuperare un contenitore crittografico e impostare una password per proteggerlo. Un contenitore crittografico è un archivio PFX con un certificato e una chiave privata. È possibile ottenere un contenitore crittografico nella console di Kaspersky Anti Targeted Attack Platform (vedere le istruzioni nel file Guida di Kaspersky Anti Targeted Attack Platform). Dopo aver configurato le impostazioni di Central Node, è necessario abilitare anche l'autenticazione bidirezionale nelle impostazioni di Kaspersky Endpoint Security e caricare un contenitore crittografico protetto da password.

        Il contenitore crittografico deve essere protetto tramite password. Non è possibile aggiungere un contenitore crittografico senza una password.

   8. Fare clic su OK.
   9. Aggiungere i server di Central Node. A tale scopo, specificare l'indirizzo del server (IPv4, IPv6) e la porta per connettersi al server.
   10. Salvare le modifiche.

   Come connettere un computer Kaspersky Endpoint Security a Central Node tramite Web Console

   1. Nella finestra principale di Web Console, selezionare Dispositivi → Criteri e profili.
   2. Fare clic sul nome del criterio di Kaspersky Endpoint Security.

      Verrà visualizzata la finestra delle proprietà del criterio.

   3. Selezionare la scheda Impostazioni applicazione.
   4. Passare a Detection and Response → Endpoint Detection and Response (KATA).
   5. Attivare l'interruttore Endpoint Detection and Response (KATA) ABILITATO.
   6. Fare clic su Impostazioni per la connessione ai server KATA.
   7. Configurare la connessione al server:
      • Timeout. Timeout massimo di risposta del server di Central Node. Allo scadere del timeout, Kaspersky Endpoint Security tenta di connettersi a un altro server Central Node.
      • Certificato TLS del server. Certificato TLS per stabilire una connessione attendibile con il server di Central Node. È possibile ottenere un certificato TLS nella console di Kaspersky Anti Targeted Attack Platform (vedere le istruzioni nel file Guida di Kaspersky Anti Targeted Attack Platform).
      • Usa autenticazione a due vie. Autenticazione bidirezionale quando si stabilisce una connessione sicura tra Kaspersky Endpoint Security e Central Node. Per utilizzare l'autenticazione bidirezionale, è necessario abilitare l'autenticazione bidirezionale nelle impostazioni Central Node, quindi recuperare un contenitore crittografico e impostare una password per proteggerlo. Un contenitore crittografico è un archivio PFX con un certificato e una chiave privata. È possibile ottenere un contenitore crittografico nella console di Kaspersky Anti Targeted Attack Platform (vedere le istruzioni nel file Guida di Kaspersky Anti Targeted Attack Platform). Dopo aver configurato le impostazioni di Central Node, è necessario abilitare anche l'autenticazione bidirezionale nelle impostazioni di Kaspersky Endpoint Security e caricare un contenitore crittografico protetto da password.

        Il contenitore crittografico deve essere protetto tramite password. Non è possibile aggiungere un contenitore crittografico senza una password.

   8. Fare clic su OK.
   9. Aggiungere i server di Central Node. A tale scopo, specificare l'indirizzo del server (IPv4, IPv6) e la porta per connettersi al server.
   10. Salvare le modifiche.

   Di conseguenza, il computer viene aggiunto alla console di Kaspersky Anti Targeted Attack Platform. Verificare lo stato operativo del componente visualizzando il Rapporto sullo stato dei componenti dell'applicazione. È inoltre possibile visualizzare lo stato operativo di un componente nei rapporti nell'interfaccia locale di Kaspersky Endpoint Security. Il componente Endpoint Detection and Response (KATA) verrà aggiunto all'elenco dei componenti di Kaspersky Endpoint Security.