将 EDR Agent 与 KATA(EDR)集成
EDR Agent 安装在组织 IT 基础设施中的工作站和服务器上。在这些计算机上,EDR Agent 持续监控进程、打开的网络连接和正在修改的文件,并将监控数据发送到具有 Central Node 组件的服务器。
要与 EDR(KATA)集成,您必须启用 Endpoint Detection and Response(KATA)组件并配置 EDR Agent。
Endpoint Detection and Response(KATA)必须满足以下条件才能工作:
- Kaspersky Anti Targeted Attack Platform 版本 5.0 或更高版本。
- Kaspersky Security Center 版本 14.2 或更高版本。在 Kaspersky Security Center 的早期版本中,无法激活 Endpoint Detection and Response(KATA)功能。
与 Kaspersky Endpoint Detection and Response(KATA)的整合包括以下步骤:
- 激活 Endpoint Detection and Response (KATA)
您需要为 EDR(KATA)(Kaspersky Endpoint Detection and Response (KATA)加载项)购买单独的授权许可。
该功能将在您为 Kaspersky Endpoint Detection and Response (KATA)添加单独密钥后可用。独立 Endpoint Detection and Response(KATA)功能的授权与 Kaspersky Endpoint Security 的授权相同。
确保授权许可中包含 EDR (KATA)功能,并且该功能正在应用程序的本地界面中运行。
- 连接到 Central Node
Kaspersky Anti Targeted Attack Platform 需要在 Kaspersky Endpoint Security 和 Central Node 组件之间建立可信连接。要配置可信连接,您必须使用 TLS 证书。您可以在 Kaspersky Anti Targeted Attack Platform 控制台中获取 TLS 证书(请参阅 Kaspersky Anti Targeted Attack Platform 帮助中的说明)。然后您必须将 TLS 证书添加到 Kaspersky Endpoint Security(参见下面的说明)。
将 TLS 证书添加到 Kaspersky Endpoint Security
默认情况下,Kaspersky Endpoint Security 仅检查 Central Node 的 TLS 证书。为了使连接更安全,您可以额外启用 Central Node 上的计算机验证(双向身份验证)。要启用此验证,您必须在 Central Node 和 Kaspersky Endpoint Security 设置中打开双向身份验证。要使用双向身份验证,您还需要一个加密容器。加密容器是带有证书和私钥的 PFX 存档。您可以在 Kaspersky Anti Targeted Attack Platform 控制台中获得一个加密容器(请参阅 Kaspersky Anti Targeted Attack Platform 帮助中的说明)。
如何使用管理控制台 (MMC) 将 Kaspersky Endpoint Security 计算机连接到 Central Node
如何使用 Web Console 将 Kaspersky Endpoint Security 计算机连接到 Central Node
结果,计算机被添加到 Kaspersky Anti Targeted Attack Platform 控制台上。通过查看应用程序组件状态报告检查组件的操作状态。您也可以利用 Kaspersky Endpoint Security 的本地界面在报告中查看组件的操作状态。Endpoint Detection and Response (KATA) 组件将被添加到 Kaspersky Endpoint Security 组件列表。