Skip to main content

Процесс установки и настройки компонента EDR (KATA) на базе KES Linux

📦 Варианты подключения

Версия решения: KESL 11.4+; KEDR (KATA) 4.0>7.1;

ВАЖНО:
В этой инструкции мы рассмотрим только настройку через KSC Web Console. MMC консоль больше не поддерживается, поэтому рекомендуется использовать веб-консоль.



1. Подготовка

1.1. Поддерживаемые версии

Компонент

Минимальная версия

KATA / KEDR

4.0>7.1

KSC

13.2+

KES для Linux

11.4+

1.2. Поддерживаемые ОС

  • Astra Linux CE/SE 2.12 / 1.6 / 1.7

  • CentOS 7.2+ / Stream 9

  • Debian 10.1+ / 11.0+

  • RHEL 7.2+ / 8.0+

  • Ubuntu 20.04 / 22.04

  • ALT 8 / 10

  • ROSA Cobalt / Chrome

  • Гослинукс 7.17

  • РЕД ОС 7.3

1.3. Аппаратные требования (на клиенте)

  • CPU: ≥1 ГГц, поддержка SSE2
  • RAM: ≥2 ГБ (x64)
  • HDD: ≥2 ГБ свободного места

1.3. Необходимые лицензии

  • Лицензия KESL+EDR



2. Чистая установка KESL 11.4+ с EDR через KSC Web Console

2.1. Настройка инсталляционного пакета

1. Откройте KSC Web Console → Операции → Хранилища → Инсталляционные пакеты

2. Найдите пакет KESL 11.4+

3.Перейдите в Параметры и выберите режим использования приложения:

  • В стандартном режиме для защиты рабочих станций и серверов (далее также "Стандартный режим"). Kaspersky Endpoint Security используется как автономное приложение для защиты устройств под управлением операционных систем Linux.
  • В режиме Легкого агента для защиты виртуальных сред в составе решения Kaspersky Security для виртуальных сред Легкий агент (далее также "режим Легкого агента"). Kaspersky Endpoint Security используется как компонент 
    Легкий агент решения Kaspersky Security для виртуальных сред Легкий агент для защиты виртуальных машин с гостевыми операционными системами Linux.
  • В режиме Агента Endpoint Detection and Response для совместной работы на защищаемых устройствах решений Detection and Response от "Лаборатории Касперского" и антивирусных приложений от сторонних поставщиков (далее также "режим Агента Endpoint Detection and Response").

4. Перейдите в Параметры → Detection and Response

5. Включите: Endpoint Detection and Response (KATA)

image.png📸 Скриншот 1: Выбор компонента EDR до KES 12.8

image.png📸 Скриншот 2: Выбор компонента EDR для KES 12.8+

6. (Рекомендуется) Включите: Настройки установки → Добавить путь к приложению в переменную окружения %PATH%

image.png📸 Скриншот 3: Добавить путь к приложению в переменную окружения %PATH%

7. Нажмите «Обновить базы» → «Сохранить»

image.png📸 Скриншот 4: Обновить базы



2.2. Создание задачи удалённой установки

1. Перейдите: Устройства → Задачи → Добавить

2. Выберите:

  1. Приложение: Kaspersky Security Center
  2. Тип задачи: Удалённая установка программы

3. Укажите устройства (вручную или из списка)
image.png

📸 Скриншот 5: Удаленная установка программы

4. Выберите:

  1. Инсталляционный пакет: KES 12.1+
  2. Агент администрирования: KSC Agent

5. Если агент уже установлен — выберите: «Учётная запись не требуется»

image.png📸 Скриншот 6: Учетная запись не требуется (Агент администрирования уже установлен)

6. Нажмите «Готово» → «Запустить»

image.png📸 Скриншот 7: После создания она автоматически переходит в состояние ожидания, поэтому её необходимо запустить вручную.



2.3. Добавление лицензий

⚠️ Важно: Добавьте обе лицензии отдельно!

Лицензия KES + EDR:

1. Устройства → Задачи → Добавить → Добавление ключа

2. Выберите KES 12.1+, укажите устройства

image.png📸 Скриншот 8: Добавление ключа KES

3. Выберите файл ключа → снимите галочку «Использовать как резервный»

image.png📸 Скриншот 9: Использовать ключ в качестве резервного

Лицензия KEDR (KATA):

1. Повторите шаги выше, но выберите ключ KEDR

image.png
📸 Скриншот 10: Добавление ключа EDR



3. Активация EDR на уже установленном KES

3.1. Создание задачи

1. Устройства → Задачи → Добавить → Изменение состава компонентов

2. Выберите KES 12.1+ → укажите устройства

image.png📸 Скриншот 11: выбор на «Изменение состава компонентов приложения».

3. В параметрах задачи включите: Detection and Response → Endpoint Detection and Response (KATA)

image.png📸 Скриншот 12: «Параметры приложения» и выберите компоненты «Detection and Response». Активируйте компонент «Endpoint Detection and Response (KATA)» (Выбор компонента EDR до KES 12.8)

image.png📸 Скриншот 13: Выбор компонента EDR для KES 12.8+

4. Внесите изменения в задачу «Изменение состава компонентов приложения». Добавьте данные «Имя пользователя» и «Пароль» для её выполнения, чтобы избежать проблем в процессе.

image.png📸 Скриншот 14: выбор на «Изменение состава компонентов приложения».

5. Запустите задачу

image.png📸 Скриншот 15: Запустите созданную задачу.



3.3. Добавление лицензии KEDR

1. Создайте задачу «Добавление ключа»

2. Выберите ключ KEDR → примените к тем же устройствам

image.png
image.png📸 Скриншот 16: выбираем «Добавление ключа».




4. Интеграция с Central Node KATA

4.1. Скачивание TLS-сертификата из KATA

1. Войдите в KATA Web Console (администратор)

2. Перейдите: Активы → Endpoint Agents

image.png📸 Скриншот 17: разделе «Сертификат сервера» нажимаем «Экспортировать».

3. Будет экспортирован файл .crt

4.2. Настройка политики

1. Устройства → Политики → Добавить → KES 12.1+

2. В мастере выберите стандартный режим

3. Перейдите: Параметры приложения → Detection and Response → Endpoint Detection and Response (KATA)

4. Включите компонент

5. Нажмите «Настройки подключения к серверу KATA»

- Загрузите TLS-сертификат

image.png

image.png📸 Скриншот 18: добавляем сертификат сервера TLS выгруженный из Central Node,

- Укажите адрес Central Node и порт 443

image.png📸 Скриншот 19: указываем адрес сервера KATA и порт


6. Нажмите «Сохранить»




5. Проверка интеграции

5.1. Непосредственно на Central Node

1. Войдите в KATA Web Console (администратор)

2. Перейдите: Активы

image.png📸 Скриншот 20: разделе «Endpoint Agents» начнут появляться «Агенты» со статусом «Нормальная активность».

3. Войдите в KATA Web Console (Под аналитиком)

4. Перейдите в раздел «Поиск угроз». В конструкторе выберите тип событий Host вместо EventType, укажите значение * и нажмите «Найти». Это выведет все события от всех устройств, подключенных к системе с EDR.

image.png📸 Скриншот 21: разделе «Поиск угроз» вывод собранной телеметрии с EDR агентов.



5.2. Со стороны клиента (Агента)

1. Откройте клиент KES

2. Перейдите в раздел «Безопасность». Убедиться, что должен быть добавлен компонент Endpoint Detection and Response Expert (on-premise). Он должен быть подсвечен зеленым цветом, что подтверждает его активацию и наличие лицензии.

image.png📸 Скриншот 22: разделе «Безопастность» присуствует установленный компонент «Endpoint Detection and Response Expert (on-premise)».

3. Перейти в раздел Мониторинг → Отчеты→ Endpoint Detection and Response Expert (on-premise), либо в том же разделе Безопасность кликнуть по значку троеточия и выпадающем меню выбрать Открыть отчет.

image.png📸 Скриншот 23: Варинаты проверки статуса подключения комопннета «Endpoint Detection and Response Expert (on-premise) к «Central Node».



📌 Полезные ссылки

Развёртывание KESL 11.4+ с EDR завершено!
Теперь ваши конечные точки:

  • Передают телеметрию в KATA
  • Участвуют в расследовании инцидентов
  • Поддерживают автоматическую корреляцию с сетевыми событиями
Back to top