Процесс установки и настройки компонента EDR (KATA) на базе KES Windows

1.1. Поддерживаемые версии

1.2. Аппаратные требования (на клиенте)

• ОС: Windows 10/11, Windows Server 2016–2022
• RAM: ≥2 ГБ (x64)
• HDD: ≥2 ГБ свободного места
• CPU: ≥1 ГГц, поддержка SSE2

1.3. Необходимые лицензии

• Лицензия KES
• Лицензия KEDR (KATA)

📌 Обе лицензии нужно добавить отдельно, они не взаимозаменяемы. Либо можно использовать одну лицензию, которая включает функционал EDR и расширенную версию KES.

2.1. Настройка инсталляционного пакета

1. Откройте KSC Web Console → Операции → Хранилища → Инсталляционные пакеты

2. Найдите пакет KES 12.1+

3. Перейдите в Параметры → Detection and Response

4. Включите: Endpoint Detection and Response (KATA)

📸 Скриншот 1: Выбор компонента EDR до KES 12.8

📸 Скриншот 2: Выбор компонента EDR для KES 12.8+

5. (Рекомендуется) Включите: Настройки установки → Добавить путь к приложению в переменную окружения %PATH%

📸 Скриншот 3: Добавить путь к приложению в переменную окружения %PATH%

6. Нажмите «Обновить базы» → «Сохранить»

📸 Скриншот 4: Обновить базы

2.2. Создание задачи удалённой установки

1. Перейдите: Устройства → Задачи → Добавить

2. Выберите:

1. Приложение: Kaspersky Security Center
2. Тип задачи: Удалённая установка программы

3. Укажите устройства (вручную или из списка)

📸 Скриншот 5: Удаленная установка программы

4. Выберите:

1. Инсталляционный пакет: KES 12.1+
2. Агент администрирования: KSC Agent

5. Если агент уже установлен — выберите: «Учётная запись не требуется»

📸 Скриншот 6: Учетная запись не требуется (Агент администрирования уже установлен)

6. Нажмите «Готово» → «Запустить»

📸 Скриншот 7: После создания она автоматически переходит в состояние ожидания, поэтому её необходимо запустить вручную.

2.3. Добавление лицензий

⚠️ Важно: Добавьте обе лицензии отдельно!

Лицензия KES + EDR:

1. Устройства → Задачи → Добавить → Добавление ключа

2. Выберите KES 12.1+, укажите устройства

📸 Скриншот 8: Добавление ключа KES

3. Выберите файл ключа → снимите галочку «Использовать как резервный»

📸 Скриншот 9: Использовать ключ в качестве резервного

Лицензия KEDR (KATA):

1. Повторите шаги выше, но выберите ключ KEDR

📸 Скриншот 10: Добавление ключа EDR

3.1. Создание задачи

1. Устройства → Задачи → Добавить → Изменение состава компонентов

2. Выберите KES 12.1+ → укажите устройства

📸 Скриншот 11: выбор на «Изменение состава компонентов приложения».

3. В параметрах задачи включите: Detection and Response → Endpoint Detection and Response (KATA)

📸 Скриншот 12: «Параметры приложения» и выберите компоненты «Detection and Response». Активируйте компонент «Endpoint Detection and Response (KATA)» (Выбор компонента EDR до KES 12.8)

📸 Скриншот 13: Выбор компонента EDR для KES 12.8+

4. Внесите изменения в задачу «Изменение состава компонентов приложения». Добавьте данные «Имя пользователя» и «Пароль» для её выполнения, чтобы избежать проблем в процессе.

📸 Скриншот 14: выбор на «Изменение состава компонентов приложения».

5. Запустите задачу

📸 Скриншот 15: Запустите созданную задачу.

3.3. Добавление лицензии KEDR

1. Создайте задачу «Добавление ключа»

2. Выберите ключ KEDR → примените к тем же устройствам

📸 Скриншот 16: выбираем «Добавление ключа».

4.1. Скачивание TLS-сертификата из KATA

1. Войдите в KATA Web Console (администратор)

2. Перейдите: Активы → Endpoint Agents

📸 Скриншот 17: разделе «Сертификат сервера» нажимаем «Экспортировать».

3. Будет экспортирован файл .crt

4.2. Настройка политики

1. Устройства → Политики → Добавить → KES 12.1+

2. В мастере выберите стандартный режим

3. Перейдите: Параметры приложения → Detection and Response → Endpoint Detection and Response (KATA)

4. Включите компонент

5. Нажмите «Настройки подключения к серверу KATA»

- Загрузите TLS-сертификат

📸 Скриншот 18: добавляем сертификат сервера TLS выгруженный из Central Node,

- Укажите адрес Central Node и порт (по умолчанию 11080)443

📸 Скриншот 19: указываем адрес сервера KATA и порт

6. Нажмите «Сохранить»

5.1. Непосредственно на Central Node

1. Войдите в KATA Web Console (администратор)

2. Перейдите: Параметры → Сертификаты → Экспортировать

📸 Скриншот 20: разделе «Endpoint Agents» начнут появляться «Агенты» со статусом «Нормальная активность».

3. Войдите в KATA Web Console (Под аналитиком)

4. Перейдите в раздел «Поиск угроз». В конструкторе выберите тип событий Host вместо EventType, укажите значение * и нажмите «Найти». Это выведет все события от всех устройств, подключенных к системе с EDR.

📸 Скриншот 21: разделе «Поиск угроз» вывод собранной телеметрии с EDR агентов.

5.2. Со стороны клиента (Агента)

1. Откройте клиент KES

2. Перейдите в раздел «Безопасность». Убедиться, что должен быть добавлен компонент Endpoint Detection and Response Expert (on-premise). Он должен быть подсвечен зеленым цветом, что подтверждает его активацию и наличие лицензии.

📸 Скриншот 22: разделе «Безопастность» присуствует установленный компонент «Endpoint Detection and Response Expert (on-premise)».

3. Перейти в раздел Мониторинг → Отчеты→ Endpoint Detection and Response Expert (on-premise), либо в том же разделе Безопасность кликнуть по значку троеточия и выпадающем меню выбрать Открыть отчет.

📸 Скриншот 23: Варинаты проверки статуса подключения комопннета «Endpoint Detection and Response Expert (on-premise) к «Central Node».