1.1. Поддерживаемые версии

1.2. Аппаратные требования (на клиенте)

• RAM: ≥2 ГБ (x64)
• HDD: ≥2 ГБ свободного места
• CPU: ≥1 ГГц, поддержка SSE2

1.3. Необходимые лицензии

• Лицензия KES
• Для работы KATA Sandbox должно быть развернуто решение Kaspersky Anti Targeted Attack Platform версии 7.0 или выше, либо XDR 2.0 + и Sandbox 8.0+.

2.1. Настройка инсталляционного пакета

1. Откройте OSMP Web Console → Операции → Хранилища → Инсталляционные пакеты

2. Найдите пакет KES 12.7+

3. Перейдите в Параметры → Detection and Response

4. Включите: Sandbox

📸 Скриншот 1: Выбор компонента Sandbox c KES 12.7

5. (Рекомендуется) Включите: Настройки установки → Добавить путь к приложению в переменную окружения %PATH%

📸 Скриншот 2: Добавить путь к приложению в переменную окружения %PATH%

6. Нажмите «Обновить базы» → «Сохранить»

📸 Скриншот 3: Обновить базы

2.2. Создание задачи удалённой установки

1. Перейдите: Устройства → Задачи → Добавить

2. Выберите:

1. Приложение: Kaspersky Security Center
2. Тип задачи: Удалённая установка программы

3. Укажите устройства (вручную или из списка)

📸 Скриншот 4: Удаленная установка программы

4. Выберите:

1. Инсталляционный пакет: KES 12.7+
2. Агент администрирования: KSC Agent

5. Если агент уже установлен — выберите: «Учётная запись не требуется»

📸 Скриншот 5: Учетная запись не требуется (Агент администрирования уже установлен)

6. Нажмите «Готово» → «Запустить»

📸 Скриншот 6: После создания она автоматически переходит в состояние ожидания, поэтому её необходимо запустить вручную.

2.3. Добавление лицензии

Для активации KATA Sandbox вам потребуется лицензионный ключ, который включает в себе функциональность KATA или KEDR. Подробнее о доступных функциональностях см. в справке Kaspersky Anti Targeted Attack Platform.

1. Устройства → Задачи → Добавить → Добавление ключа

2. Выберите KES 12.7+, укажите устройства

📸 Скриншот 7: Добавление ключа KES

3. Выберите файл ключа → снимите галочку «Использовать как резервный»

📸 Скриншот 8: Использовать ключ в качестве резервного

3.1. Создание задачи

1. Устройства → Задачи → Добавить → Изменение состава компонентов

2. Выберите KES 12.7+ → укажите устройства

📸 Скриншот 9: выбор на «Изменение состава компонентов приложения».

3. В параметрах задачи включите: Detection and Response → Sandbox

📸 Скриншот 10: «Параметры приложения» и выберите компоненты «Detection and Response». Активируйте компонент «Sandbox»

4. Внесите изменения в задачу «Изменение состава компонентов приложения». Добавьте данные «Имя пользователя» и «Пароль» для её выполнения, чтобы избежать проблем в процессе.

📸 Скриншот 11: выбор на «Изменение состава компонентов приложения».

5. Запустите задачу

📸 Скриншот 12: Запустите созданную задачу.

4.1. Скачивание TLS-сертификата из OSMP

1. Войдите в OSMP Web Console (администратор)

2. Параметры → Тенанты, нажмите на название тенанта и выберите вкладку Параметры → Сертификаты.

3. В разделе Сертификат Сервера нажмите Экспорт.

4. В этом же разделе экспортируйте Сертификат Endpoint Agent, выберите сертификат либо сгенерируйте новый и нажмите Экспортировать. (При создании нового сертификата старый будет удален. Поэтому его нужно будет обновить во всех политиках, где он использовался.)

5. При экспорте потребуется указать пароль, так как сертификат будет Сертификат будет экспортирован в PFX-архив, защищенный паролем.

6. По итогу будут экспортированы два файла certificate.pem и certificate.pfx

4.2. Настройка политики

1. Устройства → Политики → Добавить → KES 12.7+

2. В мастере выберите стандартный режим

3. Перейдите: Параметры приложения → Встроенные агенты → Sandbox

4. Включите компонент

5. Выбираем Режим интеграции: KATA Sandbox

6. Выберите Тип отправки файлов на проверку.

Для работы KATA Sandbox в ручном режиме должно быть развернуто решение Kaspersky Anti Targeted Attack Platform версии 7.0 или выше. Для работы KATA Sandbox в автоматическом режим должно быть развернуто решение Kaspersky Anti Targeted Attack Platform версии 8.0 или выше, либо KEDR 8.0+.

7. Нажмите «Подключение к серверам Sandbox» → Настройки подключения

- Загрузите в раздел TLS-сертификат сервера ранее выгруженный сертификат certificate.pem

- Дополнительная защита подключения загрузите ранее выгруженный сертификат certificate.pfx и введите заданный пароль.

8. Укажите адрес agentserver. Его можно найти в том же разделе, где и Сертификат сервера.

📸 Скриншот 13: копируем адрес сервера

- Укажите адрес и порт 443

📸 Скриншот 14: указываем адрес сервера KEDR и порт

6. Нажмите «Сохранить»

7. Рекомендуется ознакомится и дополнительно настроить действий по реагированию на угрозы

📸 Скриншот 15: указываем адрес сервера KATA и порт

8. Детально описание доступно в онлайн-документации

5.1. Со стороны клиента (Агента)

1. Откройте клиент KES

2. Перейдите в раздел «Безопасность». Убедиться, что должен быть добавлен компонент Network Detection and Response (KATA). Он должен быть подсвечен зеленым цветом, что подтверждает его активацию и наличие лицензии.

📸 Скриншот 16: разделе «Безопасность» присутствует установленный компонент «Sandbox».

3. Перейти в раздел Мониторинг → Отчеты→ Network Detection and Response (KATA), либо в том же разделе Безопасность кликнуть по значку троеточия и выпадающем меню выбрать Открыть отчет.

5.2. Со стороны консоли OSMP

1. В свойствах устройства в Web Console (Активы (Устройства) → Управляемые устройства → ссылка <имя устройства> → Приложения → ссылка <название приложения Kaspersky Endpoint Security> → Общие → Компоненты).

📸 Скриншот 17: разделе «Безопасность» присутствует установленный компонент «Sandbox».

1.1. Поддерживаемые версии

1.2. Аппаратные требования (на клиенте)

• RAM: ≥2 ГБ (x64)
• HDD: ≥2 ГБ свободного места
• CPU: ≥1 ГГц, поддержка SSE2

1.3. Необходимые лицензии

• Лицензия KES
• Лицензия KEDR

📌 Обе лицензии нужно добавить отдельно, они не взаимозаменяемы. Либо можно использовать одну лицензию, которая включает функционал EDR и расширенную версию KES.

2.1. Настройка инсталляционного пакета

1. Откройте OSMP Web Console → Операции → Хранилища → Инсталляционные пакеты

2. Найдите пакет KES 12.1+

3. Выберите режим работы Kaspersky Endpoint Security для Windows:

- Стандартный - Это базовый режим, который используется по умолчанию. Он входит в состав EPP-решений от "Лаборатории Касперского", например, в Kaspersky Endpoint Security для бизнеса. Этот режим обеспечивает комплексную защиту рабочих станций и серверов от угроз, сетевых атак и мошенничества.

- EDR-агент - EDR-агент предназначен для интеграции с решениями Detection and Response от "Лаборатории Касперского" и EPP-решениями сторонних поставщиков. Например, он работает с Kaspersky Managed Detection and Response (MDR) и Kaspersky Anti Targeted Attack Platform (KATA). Также поддерживается интеграция с SIEM-решением Kaspersky Unified Monitoring and Analysis Platform (KUMA). В этом режиме отключены стандартные компоненты защиты, такие как защита от файловых и веб-угроз. Основную защиту компьютера обеспечивает стороннее EPP-решение. EDR-агент непрерывно следит за процессами, сетевыми соединениями и изменениями файлов, взаимодействуя с решениями Detection and Response.

- Легкий агент - Этот режим предназначен для защиты виртуальных сред. Легкий агент входит в состав Kaspersky Security для виртуальных и облачных сред. Он защищает виртуальные машины с гостевыми операционными системами, обеспечивая те же компоненты защиты, что и в стандартном режиме. Однако проверку на вирусы и вредоносные программы выполняет специальный компонент на отдельной виртуальной машине – SVM (Secure Virtual Machine). Таким образом, ресурсы виртуальной машины не расходуются на обеспечение безопасности.

В зависимости от вашего решения, выберите подходящий режим работы.

4. Перейдите в Параметры → Detection and Response

5. Включите: Endpoint Detection and Response (KATA)

📸 Скриншот 1: Выбор компонента EDR до KES 12.8

📸 Скриншот 2: Выбор компонента EDR для KES 12.8+

6. (Рекомендуется) Включите: Настройки установки → Добавить путь к приложению в переменную окружения %PATH%

📸 Скриншот 3: Добавить путь к приложению в переменную окружения %PATH%

7. (Опционально) Нажмите «Обновить базы» → «Сохранить»

📸 Скриншот 4: Обновить базы

2.2. Создание задачи удалённой установки

1. Перейдите: Устройства → Задачи → Добавить

2. Выберите:

1. Приложение: Kaspersky Security Center
2. Тип задачи: Удалённая установка программы

3. Укажите устройства (вручную или из списка)

📸 Скриншот 5: Удаленная установка программы

4. Выберите:

1. Инсталляционный пакет: KES 12.1+
2. Агент администрирования: KSC Agent

5. Если агент уже установлен — выберите: «Учётная запись не требуется»

📸 Скриншот 6: Учетная запись не требуется (Агент администрирования уже установлен)

6. Нажмите «Готово» → «Запустить»

📸 Скриншот 7: После создания она автоматически переходит в состояние ожидания, поэтому её необходимо запустить вручную.

2.3. Добавление лицензий

⚠️ Важно: Добавьте обе лицензии отдельно!

Лицензия KES + EDR:

1. Устройства → Задачи → Добавить → Добавление ключа

2. Выберите KES 12.1+, укажите устройства

📸 Скриншот 8: Добавление ключа KES

3. Выберите файл ключа → снимите галочку «Использовать как резервный»

📸 Скриншот 9: Использовать ключ в качестве резервного

Лицензия KEDR:

1. Повторите шаги выше, но выберите ключ KEDR

📸 Скриншот 10: Добавление ключа EDR

3.1. Создание задачи

1. Устройства → Задачи → Добавить → Изменение состава компонентов

2. Выберите KES 12.1+ → укажите устройства

📸 Скриншот 11: выбор на «Изменение состава компонентов приложения».

3. В параметрах задачи включите: Detection and Response → Endpoint Detection and Response (KATA)

📸 Скриншот 12: «Параметры приложения» и выберите компоненты «Detection and Response». Активируйте компонент «Endpoint Detection and Response (KATA)» (Выбор компонента EDR до KES 12.8)

📸 Скриншот 13: Выбор компонента EDR для KES 12.8+

4. Внесите изменения в задачу «Изменение состава компонентов приложения». Добавьте данные «Имя пользователя» и «Пароль» для её выполнения, чтобы избежать проблем в процессе.

📸 Скриншот 14: выбор на «Изменение состава компонентов приложения».

5. Запустите задачу

📸 Скриншот 15: Запустите созданную задачу.

3.3. Добавление лицензии KEDR

1. Создайте задачу «Добавление ключа»

2. Выберите ключ KEDR → примените к тем же устройствам

📸 Скриншот 16: выбираем «Добавление ключа».

4.1. Настройка политики

1. Войдите в OSMP Web Console (администратор)

2. Перейдите в раздел Управление активами → Политики → KES 12.1+

3. Добавьте политику KES 12.1+

3. Непосредственно внутри самой политики перейти в Параметры приложения → Встроенные агенты → Endpoint Detection and Response Expert (on-premise).

4. Включите компонент

5. Выберите Endpoint Detection and Response Expert (версия 8.0 и выше)

6. В разделе Подключение к серверам сбора телеметрии жмем +Добавить → Выбрать сервер выбираем нужный нам сервер сбора телеметрии (коллектор).

📸 Скриншот 17: в политике настраиваем Подключение к серверам сбора телеметрии

Важно: Если клиенты подключаются и управляются напрямую сервером KEDR 8+ (OSMP/XDR), выбор серверов будет доступен, и все данные подставятся автоматически, включая адрес сервера сбора телеметрии и сертификаты. Если же агенты подключаются к отдельному серверу KSC и данные платформы не объединяются, адрес коллектора и сертификат необходимо будет загрузить из другого раздела. Этот процесс описан ниже.

7. Далее при необходимости измените значения в разделах Настройка передачи данных и Регулирование количества запросов либо оставьте по умолчанию. Более детально о каждом из пунктов описано в онлайн-документации. 

8. В разделе «Подключение к серверам реагирования» можно настроить частоту синхронизации. Этот параметр определяет, как часто агенты будут связываться с сервером для получения телеметрии и команд. По умолчанию синхронизация происходит каждые 5 минут.

9. Далее в разделе Подключение к серверам реагирования жмем +Добавить → Выбрать сервер выбираем сервер реагирования.

Важно: Если клиенты подключаются и управляются напрямую сервером KEDR 8+ (OSMP/XDR), выбор серверов будет доступен, и все данные подставятся автоматически, включая адрес сервера реагирования и сертификаты. Если же агенты подключаются к отдельному серверу KSC и данные платформы не объединяются, адрес сервера реагирования и сертификат необходимо будет загрузить из другого раздела. Этот процесс описан ниже.

📸 Скриншот 18: в политике настраиваем Подключение к серверам реагирования

10. Жмем Сохранить и закрыть

4.2. Если используется внешний сервер KSC

4.2.1. Подготовка к настройке политики

Важно: Если же агенты подключаются к отдельному серверу KSC и данные платформы не объединяются, адрес сервера реагирования и сертификат необходимо будет загрузить из другого раздела.

1. Перейдите в раздел Мониторинг → Ресурсы и сервисы → Работа с сервисами → Активные сервисы

2. Выберите тот коллектор, что отвечает за сбор телеметрии, на примере это встроенный коллектор [OOTB] Kaspersky EDR. После того как выбрали нужный коллектор нажмите правой кнопкой мыши и выберите Скачать сертификат, либо выполните как на картинке.

📸 Скриншот 19: разделе «Сертификат сервера» нажимаем «Экспортировать».

3. Необходимо скопировать адрес сервера сбора телеметрии, данный адрес необходимо будет указать при настройке политики как описано в предыдущем разделе 4.1. Настройка политики. Для этого жмем на коллектор встроенный коллектор [OOTB] Kaspersky EDR правой кнопкой мыши и выбираем Развернуть. В открывшемся окне необходимо скопировать скопировать адрес Connection gateway URL: ********, как на примере ниже.

📸 Скриншот 20: разделе «Сертификат сервера» нажимаем «Развернуть» и копируем адрес «Connection gateway».

4. На данном этапе был скопирован адрес Сервера сбора телеметрии (connection gateway) и выгружен сертификат [OOTB] Kaspersky EDR эти данные необходимо будет указать при настройке политики на KSC не объединённом с KEDR 8+ (OMSP/XDR).

5. Далее для настройки политики также понадобиться адрес Сервера реагирования и Сертификат Endpoint Agent.

6. Для этого перейдите Параметры → Тенанты, нажмите на название тенанта и выберите вкладку Параметры → Сертификаты.

7. В этом разделе Параметры → Тенанты → Параметры → Сертификаты, в разделе Сертификат сервера нужно скопировать FQDN сервера агента, он необходим будет для настройки в политике раздела Подключение к серверам реагирования.

8. Здесь в разделе Сертификат сервера экспортировать сам сертификат сервера нажав Экспортировать

9. По итогу будет экспортирован файл certificate.pem

10. Ниже экспортируйте Сертификат Endpoint Agent, выберите сертификат либо сгенерируйте новый и нажмите Экспортировать. (При создании нового сертификата старый будет удален. Поэтому его нужно будет обновить во всех политиках, где он использовался.) При экспорте потребуется указать пароль, так как сертификат будет Сертификат будет экспортирован в PFX-архив, защищенный паролем.

11. По итогу будет экспортирован файл certificate.pfx

📸 Скриншот 21: разделе «Параметры → Тенанты → Параметры → Сертификаты» где показано что от куда копировать и экспортировать.

4.2.2. Настройка политики на внешнем KSC

1. Перейдите в политику, в политике в разделе Подключение к серверам сбора телеметрии указывается полученный адрес connection gateway нажав на +Добавить → Новый сервер и порт 443

2. Нажав на Настройки подключения → Сертификат сервера загружается ранее выгруженный сертификат [OOTB] Kaspersky EDR . Также рекомендуем в разделе Дополнительная защита подключения указать ранее выгруженный сертификат для защиты подключения certificate.pfx.

3. Далее в политике необходимо настроить Подключение к серверам реагирования. Для этого необходимо будет добавить адрес сервера FQDN сервера агента и в разделе Настройки подключения добавить Сертификат сервера certificate.pem и загрузить в раздел Дополнительная защита выгруженный ранее сертификат certificate.pfx.

4. Нажимаем Сохранить и закрыть для завершения настройки политики.

5.1. Непосредственно на OSMP

1. Войдите в OSMP Web Console (администратор)

2. Перейдите: Активы (Устройства) → Анализ и реагирование в данном разделе так же, как и в разделе Администрирование и защита будут появляться все подключенные устройства. В данном разделе можно добавить колонки по которым можно отфильтровать агенты по следующему статусу:

- Телеметрия получена

- Статус телеметрии

- Статус EDR

- Последнее подключение к EDR

- Лицензия EDR

- Версия агента EDR

📸 Скриншот 22: разделе «Анализ и реагирование» начнут появляться «Агенты» со статусом «Нормальная активность».

3. Перейдите в раздел Мониторинг → Поиск угроз. В конструкторе оставляете запрос по умолчанию и нажмите Выполнить запрос. Это выведет все события от всех устройств, подключенных к системе с EDR.

📸 Скриншот 23: разделе «Поиск угроз» вывод собранной телеметрии с EDR агентов.

4. В свойствах устройства в Web Console (Активы (Устройства) → Управляемые устройства → ссылка <имя устройства> → Приложения → ссылка <название приложения Kaspersky Endpoint Security> → Общие → Компоненты).

📸 Скриншот 24: разделе «Безопасность» присутствует установленный компонент «Sandbox».

5.2. Со стороны клиента (Агента)

1. Откройте клиент KES

2. Перейдите в раздел «Безопасность». Убедиться, что должен быть добавлен компонент Endpoint Detection and Response Expert (on-premise). Он должен быть подсвечен зеленым цветом, что подтверждает его активацию и наличие лицензии.

📸 Скриншот 25: разделе «Безопасность» присутствует установленный компонент «Endpoint Detection and Response Expert (on-premise)».

3. Перейти в раздел Мониторинг → Отчеты→ Endpoint Detection and Response Expert (on-premise), либо в том же разделе Безопасность кликнуть по значку троеточия и выпадающем меню выбрать Открыть отчет.

📸 Скриншот 26: Варианты проверки статуса подключения компонента «Endpoint Detection and Response Expert (on-premise) к «Central Node».

1.1. Поддерживаемые версии

1.2. Аппаратные требования (на клиенте)

• CPU: ≥1 ГГц, поддержка SSE2
• RAM: ≥2 ГБ (x64)
• HDD: ≥2 ГБ свободного места

1.3. Необходимые лицензии

• Лицензия KESL+EDR

2.1. Настройка инсталляционного пакета

1. Откройте OSMP Web Console → Операции → Хранилища → Инсталляционные пакеты

2. Найдите пакет KESL 11.4+

3.Перейдите в Параметры и выберите режим использования приложения:

• Стандартном режим - Kaspersky Endpoint Security используется как автономное приложение для защиты рабочих станций и серверов под управлением операционных систем Linux.
• Легкий агент - Kaspersky Security для виртуальных в составе решения. Kaspersky Endpoint Security используется как компонент решения Kaspersky Security для виртуальных сред Легкий агент для защиты виртуальных машин с гостевыми операционными системами Linux.
• EDR-агент - Endpoint Detection and Response для совместной работы на защищаемых устройствах решений Detection and Response от "Лаборатории Касперского" и антивирусных приложений от сторонних поставщиков (далее также "режим Агента Endpoint Detection and Response").

📸 Скриншот 1: Выбор компонента Режима работы KESL 12.4+

4. Выполните дополнительные настройки в Консоли администрирования с детальным описанием можно ознакомиться в онлайн-документации

2.2. Создание задачи удалённой установки

1. Перейдите: Устройства → Задачи → Добавить

2. Выберите:

1. Приложение: Kaspersky Security Center
2. Тип задачи: Удалённая установка программы

3. Укажите устройства (вручную или из списка)

📸 Скриншот 2: Удаленная установка программы

4. Выберите:

1. Инсталляционный пакет: KESL 11.4+
2. Агент администрирования: KSC Agent

5. Если агент уже установлен — выберите: «Учётная запись не требуется»

📸 Скриншот 3: Учетная запись не требуется (Агент администрирования уже установлен)

6. Нажмите «Готово» → «Запустить»

📸 Скриншот 4: После создания она автоматически переходит в состояние ожидания, поэтому её необходимо запустить вручную.

2.3. Добавление лицензий

Лицензия KES + EDR:

1. Устройства → Задачи → Добавить → Добавление ключа

Для интеграции с компонентами Kaspersky Anti Targeted Attack Platform вам нужно активировать решение Kaspersky Anti Targeted Attack Platform (см. подробнее в справке решения). Активировать компоненты приложения Kaspersky Endpoint Security, обеспечивающие интеграцию, не требуется, основные лицензии Kaspersky Endpoint Security включают в себя эту функциональность.

2. Выберите KESL 11.4+, укажите устройства

📸 Скриншот 5: Добавление ключа KESL

3. Выберите файл ключа → снимите галочку «Использовать как резервный»

📸 Скриншот 6: Использовать ключ в качестве резервного

4.1. Настройка политики

1. Войдите в OSMP Web Console (администратор)

2. Перейдите в раздел Управление активами → Политики → KES 12.1+

3. Добавьте политику KES 12.1+

3. Непосредственно внутри самой политики перейти в Параметры приложения → Встроенные агенты → Endpoint Detection and Response Expert (on-premise).

4. Включите компонент

5. Выберите Endpoint Detection and Response Expert (версия 8.0 и выше)

6. В разделе Подключение к серверам сбора телеметрии жмем +Добавить → Выбрать сервер выбираем нужный нам сервер сбора телеметрии (коллектор).

📸 Скриншот 7: в политике настраиваем Подключение к серверам сбора телеметрии

Важно: Если клиенты подключаются и управляются напрямую сервером KEDR 8+ (OSMP/XDR), выбор серверов будет доступен, и все данные подставятся автоматически, включая адрес сервера сбора телеметрии и сертификаты. Если же агенты подключаются к отдельному серверу KSC и данные платформы не объединяются, адрес коллектора и сертификат необходимо будет загрузить из другого раздела. Этот процесс описан ниже.

7. Далее при необходимости измените значения в разделах Настройка передачи данных и Регулирование количества запросов либо оставьте по умолчанию. Более детально о каждом из пунктов описано в онлайн-документации. 

8. В разделе «Подключение к серверам реагирования» можно настроить частоту синхронизации. Этот параметр определяет, как часто агенты будут связываться с сервером для получения телеметрии и команд. По умолчанию синхронизация происходит каждые 5 минут.

9. Далее в разделе Подключение к серверам реагирования жмем +Добавить → Выбрать сервер выбираем сервер реагирования.

Важно: Если клиенты подключаются и управляются напрямую сервером KEDR 8+ (OSMP/XDR), выбор серверов будет доступен, и все данные подставятся автоматически, включая адрес сервера реагирования и сертификаты. Если же агенты подключаются к отдельному серверу KSC и данные платформы не объединяются, адрес сервера реагирования и сертификат необходимо будет загрузить из другого раздела. Этот процесс описан ниже.

📸 Скриншот 8: в политике настраиваем Подключение к серверам реагирования

10. Жмем Сохранить и закрыть

4.2. Если используется внешний сервер KSC

4.2.1. Подготовка к настройке политики

Важно: Если же агенты подключаются к отдельному серверу KSC и данные платформы не объединяются, адрес сервера реагирования и сертификат необходимо будет загрузить из другого раздела.

1. Перейдите в раздел Мониторинг → Ресурсы и сервисы → Работа с сервисами → Активные сервисы

2. Выберите тот коллектор, что отвечает за сбор телеметрии, на примере это встроенный коллектор [OOTB] Kaspersky EDR. После того как выбрали нужный коллектор нажмите правой кнопкой мыши и выберите Скачать сертификат, либо выполните как на картинке.

📸 Скриншот 9: разделе «Сертификат сервера» нажимаем «Экспортировать».

3. Необходимо скопировать адрес сервера сбора телеметрии, данный адрес необходимо будет указать при настройке политики как описано в предыдущем разделе 4.1. Настройка политики. Для этого жмем на коллектор встроенный коллектор [OOTB] Kaspersky EDR правой кнопкой мыши и выбираем Развернуть. В открывшемся окне необходимо скопировать скопировать адрес Connection gateway URL: ********, как на примере ниже.

📸 Скриншот 10: разделе «Сертификат сервера» нажимаем «Развернуть» и копируем адрес «Connection gateway».

4. На данном этапе был скопирован адрес Сервера сбора телеметрии (connection gateway) и выгружен сертификат [OOTB] Kaspersky EDR эти данные необходимо будет указать при настройке политики на KSC не объединённом с KEDR 8+ (OMSP/XDR).

5. Далее для настройки политики также понадобиться адрес Сервера реагирования и Сертификат Endpoint Agent.

6. Для этого перейдите Параметры → Тенанты, нажмите на название тенанта и выберите вкладку Параметры → Сертификаты.

7. В этом разделе Параметры → Тенанты → Параметры → Сертификаты, в разделе Сертификат сервера нужно скопировать FQDN сервера агента, он необходим будет для настройки в политике раздела Подключение к серверам реагирования.

8. Здесь в разделе Сертификат сервера экспортировать сам сертификат сервера нажав Экспортировать

9. По итогу будет экспортирован файл certificate.pem

10. Ниже экспортируйте Сертификат Endpoint Agent, выберите сертификат либо сгенерируйте новый и нажмите Экспортировать. (При создании нового сертификата старый будет удален. Поэтому его нужно будет обновить во всех политиках, где он использовался.) При экспорте потребуется указать пароль, так как сертификат будет Сертификат будет экспортирован в PFX-архив, защищенный паролем.

11. По итогу будет экспортирован файл certificate.pfx

📸 Скриншот 11: разделе «Параметры → Тенанты → Параметры → Сертификаты» где показано что от куда копировать и экспортировать.

4.2.2. Настройка политики на внешнем KSC

1. Перейдите в политику, в политике в разделе Подключение к серверам сбора телеметрии указывается полученный адрес connection gateway нажав на +Добавить → Новый сервер и порт 443

2. Нажав на Настройки подключения → Сертификат сервера загружается ранее выгруженный сертификат [OOTB] Kaspersky EDR . Также рекомендуем в разделе Дополнительная защита подключения указать ранее выгруженный сертификат для защиты подключения certificate.pfx.

3. Далее в политике необходимо настроить Подключение к серверам реагирования. Для этого необходимо будет добавить адрес сервера FQDN сервера агента и в разделе Настройки подключения добавить Сертификат сервера certificate.pem и загрузить в раздел Дополнительная защита выгруженный ранее сертификат certificate.pfx.

4. Нажимаем Сохранить и закрыть для завершения настройки политики.

5.1. Непосредственно на OSMP

1. Войдите в OSMP Web Console (администратор)

2. Перейдите: Активы (Устройства) → Анализ и реагирование в данном разделе так же, как и в разделе Администрирование и защита будут появляться все подключенные устройства. В данном разделе можно добавить колонки по которым можно отфильтровать агенты по следующему статусу:

- Телеметрия получена

- Статус телеметрии

- Статус EDR

- Последнее подключение к EDR

- Лицензия EDR

- Версия агента EDR

📸 Скриншот 22: разделе «Анализ и реагирование» начнут появляться «Агенты» со статусом «Нормальная активность».

3. Перейдите в раздел Мониторинг → Поиск угроз. В конструкторе оставляете запрос по умолчанию и нажмите Выполнить запрос. Это выведет все события от всех устройств, подключенных к системе с EDR.

📸 Скриншот 23: разделе «Поиск угроз» вывод собранной телеметрии с EDR агентов.

4. В свойствах устройства в Web Console (Активы (Устройства) → Управляемые устройства → ссылка <имя устройства> → Приложения → ссылка <название приложения Kaspersky Endpoint Security> → Общие → Компоненты).

📸 Скриншот 24: разделе «Безопасность» присутствует установленный компонент «Sandbox».

5.2. Со стороны клиента (Агента)

Откройте клиент и используйте команду kesl-control --app-info

📸 Скриншот 12: результаты вывода команды «kesl-control» со статусом подключения EDR агента.

1.1. Поддерживаемые версии

1.2. Аппаратные требования (на клиенте)

• CPU: ≥1 ГГц, поддержка SSE2
• RAM: ≥2 ГБ (x64)
• HDD: ≥2 ГБ свободного места

1.3. Необходимые лицензии

• Лицензия KESL
• Для работы KATA Sandbox должно быть развернуто решение Kaspersky Anti Targeted Attack Platform версии 7.0 или выше, либо OSMP/XDR 2.0 + и Sandbox 8.0+.

2.1. Настройка инсталляционного пакета

1. Откройте OSMP Console → Операции → Хранилища → Инсталляционные пакеты

2. Найдите пакет KESL 12.2+

3.Перейдите в Параметры

4. Выполните дополнительные настройки в Консоли администрирования с детальным описанием можно ознакомиться в онлайн-документации

2.2. Создание задачи удалённой установки

1. Перейдите: Устройства → Задачи → Добавить

2. Выберите:

1. Приложение: Kaspersky Security Center
2. Тип задачи: Удалённая установка программы

3. Укажите устройства (вручную или из списка)

📸 Скриншот 1: Удаленная установка программы

4. Выберите:

1. Инсталляционный пакет: KESL 12.2+
2. Агент администрирования: KSC Agent

5. Если агент уже установлен — выберите: «Учётная запись не требуется»

📸 Скриншот 2: Учетная запись не требуется (Агент администрирования уже установлен)

6. Нажмите «Готово» → «Запустить»

📸 Скриншот 3: После создания она автоматически переходит в состояние ожидания, поэтому её необходимо запустить вручную.

2.3. Добавление лицензий

Лицензия KESL:

1. Устройства → Задачи → Добавить → Добавление ключа

Для интеграции с компонентами Kaspersky Anti Targeted Attack Platform вам нужно активировать решение Kaspersky Anti Targeted Attack Platform (см. подробнее в справке решения). Активировать компоненты приложения Kaspersky Endpoint Security, обеспечивающие интеграцию, не требуется, основные лицензии Kaspersky Endpoint Security включают в себя эту функциональность.

2. Выберите KESL 12.2+, укажите устройства

📸 Скриншот 4: Добавление ключа KESL

3. Выберите файл ключа → снимите галочку «Использовать как резервный»

📸 Скриншот 5: Использовать ключ в качестве резервного

4.1. Скачивание TLS-сертификата из KATA

1. Войдите в OSMP Web Console (администратор)

2. Параметры → Тенанты, нажмите на название тенанта и выберите вкладку Параметры → Сертификаты.

3. В разделе Сертификат Сервера нажмите Экспорт.

4. В этом же разделе экспортируйте Сертификат Endpoint Agent, выберите сертификат либо сгенерируйте новый и нажмите Экспортировать. (При создании нового сертификата старый будет удален. Поэтому его нужно будет обновить во всех политиках, где он использовался.)

5. При экспорте потребуется указать пароль, так как сертификат будет Сертификат будет экспортирован в PFX-архив, защищенный паролем.

6. По итогу будут экспортированы два файла certificate.pem и certificate.pfx

4.2. Настройка политики

1. Устройства → Политики → Добавить → KES 12.7+

2. В мастере выберите стандартный режим

3. Перейдите: Параметры приложения → Встроенные агенты → Sandbox

4. Включите компонент

5. Выбираем Режим интеграции: KATA Sandbox

6. Выберите Тип отправки файлов на проверку.

Для работы KATA Sandbox в ручном режиме должно быть развернуто решение Kaspersky Anti Targeted Attack Platform версии 7.0 или выше. Для работы KATA Sandbox в автоматическом режим должно быть развернуто решение Kaspersky Anti Targeted Attack Platform версии 8.0 или выше, либо KEDR 8.0+.

7. Нажмите «Подключение к серверам Sandbox» → Настройки подключения

- Загрузите в раздел TLS-сертификат сервера ранее выгруженный сертификат certificate.pem

- Дополнительная защита подключения загрузите ранее выгруженный сертификат certificate.pfx и введите заданный пароль.

8. Укажите адрес agentserver. Его можно найти в том же разделе, где и Сертификат сервера.

📸 Скриншот 6: копируем адрес сервера

- Укажите адрес и порт 443

📸 Скриншот 7: указываем адрес сервера KEDR и порт

6. Нажмите «Сохранить»

7. Рекомендуется ознакомится и дополнительно настроить действий по реагированию на угрозы

📸 Скриншот 8: указываем адрес сервера KATA и порт

8. Детально описание доступно в онлайн-документации

5.1. Со стороны клиента (Агента)

1. Откройте клиент и используйте команду kesl-control --app-info

📸 Скриншот 9: результаты вывода команды «kesl-control» со статусом подключения EDR агента.

2. В свойствах устройства в Web Console (Активы (Устройства) → Управляемые устройства → ссылка <имя устройства> → Приложения → ссылка <название приложения Kaspersky Endpoint Security> → Общие → Компоненты).

📸 Скриншот 10: результаты вывода команды «kesl-control» со статусом подключения EDR агента.