将 EDR Agent 与 KATA(EDR)集成
EDR Agent 安装在组织 IT 基础设施中的工作站和服务器上。在这些计算机上,EDR Agent 持续监控进程、打开的网络连接和正在修改的文件,并将监控数据发送到具有中央节点组件的服务器。
要与 EDR(KATA)集成,您必须启用 Endpoint Detection and Response(KATA)组件并配置 EDR Agent。
Endpoint Detection and Response(KATA)必须满足以下条件才能工作:
- Kaspersky Anti Targeted Attack Platform 版本 5.0 或更高版本。
- Kaspersky Security Center 版本 14.2 或更高版本。在 Kaspersky Security Center 的早期版本中,无法激活 Endpoint Detection and Response(KATA)功能。
与 Kaspersky Endpoint Detection and Response(KATA)的整合包括以下步骤:
- 激活 Endpoint Detection and Response (KATA)
您需要为 EDR(KATA)(Kaspersky Endpoint Detection and Response (KATA)加载项)购买单独的授权许可。
该功能将在您为 Kaspersky Endpoint Detection and Response (KATA)添加单独密钥后可用。独立 Endpoint Detection and Response(KATA)功能的授权与 Kaspersky Endpoint Security 的授权相同。
确保授权许可中包含 EDR (KATA)功能,并且该功能正在应用程序的本地界面中运行。
- 连接到中央节点
Kaspersky Anti Targeted Attack Platform 需要在 Kaspersky Endpoint Security 和中央节点组件之间建立可信连接。要配置可信连接,您必须使用 TLS 证书。您可以在 Kaspersky Anti Targeted Attack Platform 控制台中获取 TLS 证书(请参阅 Kaspersky Anti Targeted Attack Platform 帮助中的说明)。然后您必须将 TLS 证书添加到 Kaspersky Endpoint Security(参见下面的说明)。
将 TLS 证书添加到 Kaspersky Endpoint Security
默认情况下,Kaspersky Endpoint Security 仅检查中央节点的 TLS 证书。为了使连接更安全,您可以额外启用中央节点上的计算机验证(双向身份验证)。要启用此验证,您必须在中央节点和 Kaspersky Endpoint Security 设置中打开双向身份验证。要使用双向身份验证,您还需要一个加密容器。加密容器是带有证书和私钥的 PFX 存档。您可以在 Kaspersky Anti Targeted Attack Platform 控制台中获得一个加密容器(请参阅 Kaspersky Anti Targeted Attack Platform 帮助中的说明)。
如何使用管理控制台 (MMC) 将 Kaspersky Endpoint Security 计算机连接到中央节点
如何使用 Web Console 将 Kaspersky Endpoint Security 计算机连接到中央节点
结果,计算机被添加到 Kaspersky Anti Targeted Attack Platform 控制台上。通过查看应用程序组件状态报告检查组件的操作状态。您也可以利用 Kaspersky Endpoint Security 的本地界面在报告中查看组件的操作状态。Endpoint Detection and Response (KATA) 组件将被添加到 Kaspersky Endpoint Security 组件列表。