Настройка интеграции Kaspersky Anti Targeted Attack Platform с программой Kaspersky Endpoint Agent

В этом разделе содержится информация о том, как настроить интеграцию Kaspersky Anti Targeted Attack Platform с программой Kaspersky Endpoint Agent. Вам понадобится выполнить действия и на стороне Kaspersky Anti Targeted Attack Platform через веб-интерфейс и меню администратора программы, и на стороне Kaspersky Endpoint Agent через консоль администрирования KSC.

Настройка доверенного соединения Kaspersky Anti Targeted Attack Platform с программой Kaspersky Endpoint Agent

Вам понадобится настроить доверенное соединение Kaspersky Anti Targeted Attack Platform с Kaspersky Endpoint Agent и на стороне Kaspersky Anti Targeted Attack Platform через веб-интерфейс и меню администратора программы, и на стороне Kaspersky Endpoint Agent через консоль администрирования KSC.

Вы можете использовать один из следующих вариантов доверенного соединения:

1. С использованием TLS-сертификата Kaspersky Anti Targeted Attack Platform. Без проверки TLS-сертификата Kaspersky Endpoint Agent на стороне Kaspersky Anti Targeted Attack Platform.
   1. Настройка соединения c сервером Central Node без проверки TLS-сертификата Kaspersky Endpoint Agent в Kaspersky Anti Targeted Attack Platform

      Kaspersky Endpoint Agent устанавливает доверенное соединение с Kaspersky Anti Targeted Attack Platform с использованием TLS-сертификата сервера Central Node. Kaspersky Anti Targeted Attack Platform не проверяет TLS-сертификат Kaspersky Endpoint Agent при попытке подключения Kaspersky Endpoint Agent.

   2. Настройка соединения c сервером Sensor без проверки TLS-сертификата Kaspersky Endpoint Agent в Kaspersky Anti Targeted Attack Platform

      В Kaspersky Anti Targeted Attack Platform настроено перенаправление трафика на сервер Sensor. Kaspersky Endpoint Agent устанавливает доверенное соединение с Kaspersky Anti Targeted Attack Platform с использованием TLS-сертификата сервера Sensor. Kaspersky Anti Targeted Attack Platform не проверяет TLS-сертификат Kaspersky Endpoint Agent при попытке подключения Kaspersky Endpoint Agent.

2. С использованием TLS-сертификатов Kaspersky Anti Targeted Attack Platform и Kaspersky Endpoint Agent. С проверкой TLS-сертификата Kaspersky Endpoint Agent на стороне Kaspersky Anti Targeted Attack Platform.
   1. Настройка соединения c сервером Central Node с проверкой TLS-сертификата Kaspersky Endpoint Agent в Kaspersky Anti Targeted Attack Platform

      Kaspersky Endpoint Agent устанавливает доверенное соединение с Kaspersky Anti Targeted Attack Platform с использованием TLS-сертификата сервера Central Node. В Kaspersky Endpoint Agent настроена дополнительная защита соединения и загружен TLS-сертификат Kaspersky Endpoint Agent. Kaspersky Anti Targeted Attack Platform проверяет TLS-сертификат Kaspersky Endpoint Agent при попытке подключения Kaspersky Endpoint Agent.

   2. Настройка соединения c сервером Sensor с проверкой TLS-сертификата Kaspersky Endpoint Agent в Kaspersky Anti Targeted Attack Platform

      В Kaspersky Anti Targeted Attack Platform настроено перенаправление трафика на сервер Sensor. Kaspersky Endpoint Agent устанавливает доверенное соединение с Kaspersky Anti Targeted Attack Platform с использованием TLS-сертификата сервера Sensor. В Kaspersky Endpoint Agent настроена дополнительная защита соединения и загружен TLS-сертификат Kaspersky Endpoint Agent. Kaspersky Anti Targeted Attack Platform проверяет TLS-сертификат Kaspersky Endpoint Agent при попытке подключения Kaspersky Endpoint Agent.

Настройка соединения c сервером Central Node без проверки TLS-сертификата Kaspersky Endpoint Agent в Kaspersky Anti Targeted Attack Platform

Kaspersky Endpoint Agent устанавливает доверенное соединение с Kaspersky Anti Targeted Attack Platform с использованием TLS-сертификата сервера Central Node. Kaspersky Anti Targeted Attack Platform не проверяет TLS-сертификат Kaspersky Endpoint Agent при попытке подключения Kaspersky Endpoint Agent.

Если вы используете этот вариант настройки доверенного соединения, настройка состоит из следующих этапов:

1. Генерация или загрузка самостоятельно подготовленного TLS-сертификата сервера Central Node в веб-интерфейсе Central Node (если TLS-сертификат сервера Central Node не создан ранее).
2. Скачивание TLS-сертификата сервера Central Node на компьютер.
3. Загрузка TLS-сертификата сервера Central Node в Kaspersky Endpoint Agent через консоль администрирования KSC.

Настройка соединения c сервером Sensor без проверки TLS-сертификата Kaspersky Endpoint Agent в Kaspersky Anti Targeted Attack Platform

В Kaspersky Anti Targeted Attack Platform настроено перенаправление трафика на сервер Sensor. Kaspersky Endpoint Agent устанавливает доверенное соединение с Kaspersky Anti Targeted Attack Platform с использованием TLS-сертификата сервера Sensor. Kaspersky Anti Targeted Attack Platform не проверяет TLS-сертификат Kaspersky Endpoint Agent при попытке подключения Kaspersky Endpoint Agent.

Если вы используете этот вариант настройки доверенного соединения, настройка состоит из следующих этапов:

1. Включение перенаправления трафика от Kaspersky Endpoint Agent на сервер Sensor.
2. Авторизация компонента Sensor на сервере Central Node.
3. Генерация или загрузка самостоятельно подготовленного TLS-сертификата сервера Sensor через меню администратора сервера Sensor.
4. Скачивание TLS-сертификата сервера Sensor на компьютер.
5. Загрузка TLS-сертификата сервера Sensor в Kaspersky Endpoint Agent через консоль администрирования KSC.

Настройка соединения c сервером Central Node с проверкой TLS-сертификата Kaspersky Endpoint Agent в Kaspersky Anti Targeted Attack Platform

Kaspersky Endpoint Agent устанавливает доверенное соединение с Kaspersky Anti Targeted Attack Platform с использованием TLS-сертификата сервера Central Node. В Kaspersky Endpoint Agent настроена дополнительная защита соединения и загружен TLS-сертификат Kaspersky Endpoint Agent. Kaspersky Anti Targeted Attack Platform проверяет TLS-сертификат Kaspersky Endpoint Agent при попытке подключения Kaspersky Endpoint Agent.

Если вы используете этот вариант настройки доверенного соединения, настройка состоит из следующих этапов:

1. Генерация или загрузка самостоятельно подготовленного TLS-сертификата сервера Central Node в веб-интерфейсе Central Node (если TLS-сертификат сервера Central Node не создан ранее).
2. Скачивание TLS-сертификата сервера Central Node на компьютер.
3. Загрузка TLS-сертификата сервера Central Node в Kaspersky Endpoint Agent через консоль администрирования KSC.
4. Включение проверки TLS-сертификата Kaspersky Endpoint Agent в веб-интерфейсе Kaspersky Anti Targeted Attack Platform.
5. Генерация и скачивание крипто-контейнера с TLS-сертификатом Kaspersky Endpoint Agent или загрузка самостоятельно подготовленного TLS-сертификата Kaspersky Endpoint Agent через веб-интерфейс Kaspersky Anti Targeted Attack Platform.

   Если вы подготавливаете TLS-сертификат Kaspersky Endpoint Agent самостоятельно, вам нужно создать крипто-контейнер формата PFX с этим сертификатом. Подробнее о работе с TLS-сертификатами см. в документации OpenSSL.

6. Загрузка крипто-контейнера с сертификатом Kaspersky Endpoint Agent в Kaspersky Endpoint Agent через консоль администрирования KSC.

Настройка соединения c сервером Sensor с проверкой TLS-сертификата Kaspersky Endpoint Agent в Kaspersky Anti Targeted Attack Platform

В Kaspersky Anti Targeted Attack Platform настроено перенаправление трафика на сервер Sensor. Kaspersky Endpoint Agent устанавливает доверенное соединение с Kaspersky Anti Targeted Attack Platform с использованием TLS-сертификата сервера Sensor. В Kaspersky Endpoint Agent настроена дополнительная защита соединения и загружен TLS-сертификат Kaspersky Endpoint Agent. Kaspersky Anti Targeted Attack Platform проверяет TLS-сертификат Kaspersky Endpoint Agent при попытке подключения Kaspersky Endpoint Agent.

Если вы используете этот вариант настройки доверенного соединения, настройка состоит из следующих этапов:

1. Включение перенаправления трафика от Kaspersky Endpoint Agent на сервер Sensor.
2. Авторизация компонента Sensor на сервере Central Node.
3. Генерация или загрузка самостоятельно подготовленного TLS-сертификата сервера Sensor через меню администратора сервера Sensor.
4. Скачивание TLS-сертификата сервера Sensor на компьютер.
5. Загрузка TLS-сертификата сервера Sensor в Kaspersky Endpoint Agent через консоль администрирования KSC.
6. Включение проверки TLS-сертификата Kaspersky Endpoint Agent в веб-интерфейсе Kaspersky Anti Targeted Attack Platform.
7. Генерация и скачивание крипто-контейнера с TLS-сертификатом Kaspersky Endpoint Agent или загрузка самостоятельно подготовленного TLS-сертификата Kaspersky Endpoint Agent через веб-интерфейс Kaspersky Anti Targeted Attack Platform.

   Если вы подготавливаете TLS-сертификат Kaspersky Endpoint Agent самостоятельно, вам нужно создать крипто-контейнер формата PFX с этим сертификатом. Подробнее о работе с TLS-сертификатами см. в документации OpenSSL.

8. Загрузка крипто-контейнера с сертификатом Kaspersky Endpoint Agent в Kaspersky Endpoint Agent через консоль администрирования KSC.

Скачивание TLS-сертификата сервера Central Node на компьютер

Чтобы скачать TLS-сертификат сервера на компьютер:

1. В окне веб-интерфейса программы выберите раздел Параметры, подраздел Сертификаты.
2. В разделе Сертификат сервера нажмите на кнопку Скачать.

Файл сертификата сервера будет сохранен в папке загрузки браузера.

Генерация TLS-сертификата сервера Central Node в веб-интерфейсе Kaspersky Anti Targeted Attack Platform

Если вы уже используете TLS-сертификат сервера Central Node и сгенерируете новый сертификат, сертификат, который используется в программе, будет удален и заменен на сгенерированный сертификат.

Вам потребуется указать данные нового сертификата везде, где использовался старый.

Если вы замените TLS-сертификат на новый, вам потребуется:

• Повторно авторизовать почтовые сенсоры (KSMG, KLMS) на Central Node.
• Повторно настроить соединение Central Node, PCN и SCN с Sandbox.
• Повторно настроить перенаправление трафика от Endpoint Agent на Sensor и доверенное соединение с Endpoint Agent.
• Загрузить новый сертификат в Active Directory (если вы используете Active Directory).

Удалите все правила изоляции хостов Endpoint Agent. Соединение с изолированными хостами будет разорвано, вы не сможете ими управлять.

Чтобы сгенерировать TLS-сертификат сервера Central Node:

1. Войдите в веб-интерфейс Kaspersky Anti Targeted Attack Platform под учетной записью администратора.
2. В окне веб-интерфейса программы выберите раздел Параметры, подраздел Сертификаты.
3. В разделе Сертификат сервера нажмите на кнопку Сгенерировать.

   Откроется окно подтверждения действия.

4. Нажмите на кнопку Да.

Kaspersky Anti Targeted Attack Platform сгенерирует новый TLS-сертификат. Страница автоматически обновится.

Загрузка самостоятельно подготовленного TLS-сертификата сервера Central Node через веб-интерфейс Kaspersky Anti Targeted Attack Platform

Вы можете самостоятельно подготовить TLS-сертификат и загрузить его через веб-интерфейс Kaspersky Anti Targeted Attack Platform.

Файл TLS-сертификата, предназначенный для загрузки, должен удовлетворять следующим требованиям:

• Файл должен содержать сам сертификат и закрытый ключ шифрования соединения.
• Файл должен иметь формат PEM.

  Программа не работает с сертификатами другого формата.

  Если вы подготовили сертификат в другом формате, вам нужно конвертировать его в формат PEM.

• Длина закрытого ключа должна быть 2048 бит или более.

Подробнее о подготовке TLS-сертификатов к импорту см. в документации Open SSL.

Если вы уже используете TLS-сертификат сервера Central Node и загрузите новый сертификат, сертификат, который используется в программе, будет удален и заменен на загруженный сертификат.

Вам потребуется указать данные нового сертификата везде, где использовался старый.

Если вы замените TLS-сертификат на новый, вам потребуется:

• Повторно авторизовать почтовые сенсоры (KSMG, KLMS) на Central Node.
• Повторно настроить соединение Central Node, PCN и SCN с Sandbox.
• Повторно настроить перенаправление трафика от Endpoint Agent на Sensor и доверенное соединение с Endpoint Agent.
• Загрузить новый сертификат в Active Directory (если вы используете Active Directory).

Удалите все правила изоляции хостов Endpoint Agent. Соединение с изолированными хостами будет разорвано, вы не сможете ими управлять.

Чтобы загрузить cамостоятельно подготовленный TLS-сертификат через веб-интерфейс Kaspersky Anti Targeted Attack Platform:

1. Войдите в веб-интерфейс Kaspersky Anti Targeted Attack Platform под учетной записью администратора.
2. В окне веб-интерфейса программы выберите раздел Параметры, подраздел Сертификаты.
3. В разделе Сертификат сервера нажмите на кнопку Загрузить.

   Откроется окно выбора файлов.

4. Выберите файл TLS-сертификата, который вы хотите загрузить, и нажмите на кнопку Открыть.

   Окно выбора файлов закроется.

• TLS-сертификат будет добавлен в Kaspersky Anti Targeted Attack Platform.Повторно настроить перенаправление трафика от Endpoint Agent на Sensor и доверенное соединение с Endpoint Agent.
• Загрузить новый сертификат в Active Directory (если вы используете Active Directory).

Удалите все правила изоляции хостов Endpoint Agent. Соединение с изолированными хостами будет разорвано, вы не сможете ими управлять.

Загрузка TLS-сертификата сервера Central Node или Sensor в Kaspersky Endpoint Agent

Чтобы загрузить TLS-сертификат сервера Central Node или Sensor в Kaspersky Endpoint Agent:

1. Откройте консоль KSC.
2. В дереве консоли откройте папку Политики.
3. В блоке политик Kaspersky Endpoint Agent выберите нужную политику и откройте ее свойства двойным щелчком мыши.

   Откроются свойства выбранной политики.

4. В разделе Интеграция с KATA выберите подраздел Параметры интеграции с KATA.

5. Установите флажок Включить интеграцию с KATA.
6. В поле Адрес введите адрес сервера Central Node программы Kaspersky Anti Targeted Attack Platform, с которым вы хотите настроить интеграцию, и выберите порт подключения. По умолчанию используется порт 443.
7. Установите флажок Использовать закрепленный сертификат для защиты соединения.
8. Нажмите на кнопку Добавить TLS-сертификат....

   Откроется окно Добавление TLS-сертификата.

9. Выполните одно из следующих действий по добавлению TLS-сертификата, созданного на стороне Kaspersky Anti Targeted Attack Platform и скачанного на компьютер:
   • Добавьте файл сертификата. Для этого нажмите на кнопку Обзор..., в открывшемся окне выберите файл сертификата и нажмите на кнопку Open.
   • Скопируйте содержание файла сертификата в поле Вставьте данные TLS-сертификата.

   В Kaspersky Endpoint Agent может быть только один TLS-сертификат сервера Kaspersky Anti Targeted Attack Platform. Если вы добавляли TLS-сертификат ранее и снова добавили TLS-сертификат, только последний добавленный сертификат будет актуальным.

   Если вы настроили перенаправление трафика на сервер с компонентом Sensor, вам нужно загрузить TLS-сертификат сервера Sensor, предварительно скачанный на компьютер.

10. Нажмите на кнопку Добавить.

    Информация о добавленном TLS-сертификате отобразится в разделе интеграции с Kaspersky Anti Targeted Attack Platform.

11. Убедитесь, что переключатель в правом верхнем углу блока параметров находится в положении Политика применяется.
12. Нажмите на кнопку OK.

TLS-сертификат сервера Central Node будет загружен в Endpoint Аgent.

Включение проверки TLS-сертификата Kaspersky Endpoint Agent в веб-интерфейсе Kaspersky Anti Targeted Attack Platform

Чтобы включить использование доверенного соединения с Kaspersky Endpoint Agent:

1. Войдите в веб-интерфейс Kaspersky Anti Targeted Attack Platform под учетной записью администратора.
2. В окне веб-интерфейса Kaspersky Anti Targeted Attack Platform выберите раздел Параметры, подраздел Сертификаты.
3. В разделе Сертификаты Endpoint Agent включите переключатель Проверять TLS-сертификаты Endpoint Agent.

Kaspersky Anti Targeted Attack Platform будет проверять данные TLS-сертификата при попытках подключения Kaspersky Endpoint Agent к Kaspersky Anti Targeted Attack Platform.

Генерация TLS-сертификата Kaspersky Endpoint Agent в веб-интерфейсе Kaspersky Anti Targeted Attack Platform и скачивание крипто-контейнера

Чтобы сгенерировать TLS-сертификат соединения Kaspersky Anti Targeted Attack Platform с Kaspersky Endpoint Agent:

1. Войдите в веб-интерфейс Kaspersky Anti Targeted Attack Platform под учетной записью администратора.
2. В окне веб-интерфейса Kaspersky Anti Targeted Attack Platform выберите раздел Параметры, подраздел Сертификаты.
3. В разделе Сертификаты Endpoint Agent нажмите на кнопку Сгенерировать.

Kaspersky Anti Targeted Attack Platform сгенерирует новый TLS-сертификат. Страница автоматически обновится.

На ваш локальный компьютер в папку загрузки браузера будет загружен файл крипто-контейнера c сертификатом Kaspersky Endpoint Agent в формате PFX.

Вы можете использовать крипто-контейнер для настройки проверки TLS-сертификата Kaspersky Endpoint Agent сервером Central Node при попытке подключения к Kaspersky Anti Targeted Attack Platform.

По умолчанию крипто-контейнер не защищен паролем. Вы можете установить пароль крипто-контейнера. Подробнее о работе с TLS-сертификатами см. в документации OpenSSL.

В крипто-контейнере содержится только файл сертификата и не содержится файл закрытого ключа. Kaspersky Anti Targeted Attack Platform не хранит закрытые ключи TLS-шифрования соединения.

Загрузка самостоятельно подготовленного TLS-сертификата Kaspersky Endpoint Agent через веб-интерфейс Kaspersky Anti Targeted Attack Platform

Вы можете самостоятельно подготовить TLS-сертификат и загрузить его через веб-интерфейс Kaspersky Anti Targeted Attack Platform.

Файл TLS-сертификата, предназначенный для загрузки, должен удовлетворять следующим требованиям:

• Файл должен содержать сам сертификат и закрытый ключ шифрования соединения.
• Файл должен иметь формат PEM.
• Длина закрытого ключа должна быть 2048 бит или более.

Подробнее о подготовке TLS-сертификатов к импорту см. в документации Open SSL.

Если вы подготавливаете TLS-сертификат Kaspersky Endpoint Agent самостоятельно, вам нужно создать крипто-контейнер формата PFX с этим сертификатом и загрузить крипто-контейнер в Kaspersky Endpoint Agent.

Вы можете использовать крипто-контейнер для настройки проверки TLS-сертификата Kaspersky Endpoint Agent сервером Central Node при попытке подключения к Kaspersky Anti Targeted Attack Platform.

Подробнее о работе с TLS-сертификатами см. в документации OpenSSL.

В крипто-контейнере должен содержится только файл сертификата и не должен содержится файл закрытого ключа. Kaspersky Anti Targeted Attack Platform не хранит закрытые ключи TLS-шифрования соединения.

Чтобы загрузить самостоятельно подготовленный TLS-сертификат Kaspersky Endpoint Agent через веб-интерфейс Kaspersky Anti Targeted Attack Platform:

1. Войдите в веб-интерфейс Kaspersky Anti Targeted Attack Platform под учетной записью администратора.
2. В окне веб-интерфейса Kaspersky Anti Targeted Attack Platform выберите раздел Параметры, подраздел Сертификаты.
3. В разделе Сертификаты Endpoint Agent нажмите на кнопку Загрузить.

   Откроется окно выбора файлов.

4. Выберите файл TLS-сертификата, который вы хотите загрузить, и нажмите на кнопку Открыть.

   Окно выбора файлов закроется.

TLS-сертификат будет добавлен в Kaspersky Anti Targeted Attack Platform.

Просмотр таблицы TLS-сертификатов Kaspersky Endpoint Agent в веб-интерфейсе Kaspersky Anti Targeted Attack Platform

Чтобы просмотреть список TLS-сертификатов соединения с Kaspersky Endpoint Agent через веб-интерфейс Kaspersky Anti Targeted Attack Platform:

1. Войдите в веб-интерфейс Kaspersky Anti Targeted Attack Platform под учетной записью администратора.
2. В окне веб-интерфейса Kaspersky Anti Targeted Attack Platform выберите раздел Параметры, подраздел Сертификаты.
3. В разделе Сертификаты Endpoint Agent отобразится список TLS-сертификатов со следующими данными по каждому сертификату:
   • TLS-сертификат ‑ отпечаток сертификата.
   • Серийный номер ‑ серийный номер сертификата.
   • Истекает ‑ дата истечения срока действия сертификата.

Фильтрация и поиск TLS-сертификатов Kaspersky Endpoint Agent в веб-интерфейсе Kaspersky Anti Targeted Attack Platform

Вы можете отфильтровать TLS-сертификаты для отображения в таблице по одной или обеим столбцам TLS-сертификат и Серийный номер или выполнить поиск TLS-сертификатов по этим столбцам таблицы по указанным вами показателям.

Чтобы выполнить фильтрацию и поиск TLS-сертификатов в таблице:

1. Войдите в веб-интерфейс Kaspersky Anti Targeted Attack Platform под учетной записью администратора.
2. В окне веб-интерфейса Kaspersky Anti Targeted Attack Platform выберите раздел Параметры, подраздел Сертификаты.
3. В разделе Сертификаты Endpoint Agent отобразится список TLS-сертификатов со следующими данными по каждому сертификату:
   • TLS-сертификат ‑ отпечаток сертификата.
   • Серийный номер ‑ серийный номер сертификата.
   • Истекает ‑ дата истечения срока действия сертификата.
4. Если вы хотите отфильтровать или найти TLS-сертификаты по отпечатку сертификата:
   1. По ссылке TLS-сертификат откройте окно настройки фильтрации.
   2. В поле TLS-сертификат введите несколько символов отпечатка сертификата.
   3. Нажмите на кнопку Применить.
5. Если вы хотите отфильтровать или найти TLS-сертификаты по серийному номеру:
   1. По ссылке Серийный номер откройте окно настройки фильтрации.
   2. В поле Серийный номер введите несколько символов серийного номера.
   3. Нажмите на кнопку Применить.

В таблице отобразятся только TLS-сертификаты, соответствующие заданным вами условиям.

Чтобы сбросить фильтр по одному или нескольким условиям фильтрации,

нажмите на кнопку справа от того заголовка столбца таблицы, условия фильтрации по которому вы хотите сбросить.

Если вы хотите сбросить несколько условий фильтрации, выполните действия по сбросу каждого из условий фильтрации.

Выбранные фильтры будут сброшены.

Удаление TLS-сертификатов Kaspersky Endpoint Agent в веб-интерфейсе Kaspersky Anti Targeted Attack Platform

Чтобы удалить один или несколько TLS-сертификатов соединения с Kaspersky Endpoint Agent через веб-интерфейс Kaspersky Anti Targeted Attack Platform:

1. Войдите в веб-интерфейс Kaspersky Anti Targeted Attack Platform под учетной записью администратора.
2. В окне веб-интерфейса Kaspersky Anti Targeted Attack Platform выберите раздел Параметры, подраздел Сертификаты Endpoint Agent.

   В разделе Сертификаты Endpoint Agent отобразится список TLS-сертификатов.

3. Установите флажки рядом с одним или несколькими TLS-сертификатами, которые вы хотите удалить.
4. Нажмите на кнопку Удалить.

   Откроется окно подтверждения действия.

5. Нажмите на кнопку Да.

Выбранные TLS-сертификаты будут удалены.

Настройка проверки TLS-сертификата Kaspersky Endpoint Agent сервером Central Node и загрузка крипто-контейнера в Kaspersky Endpoint Agent

Чтобы настроить проверку TLS-сертификата Kaspersky Endpoint Agent сервером Central Node и загрузить крипто-контейнер с сертификатом Kaspersky Endpoint Agent в Kaspersky Endpoint Agent:

1. Откройте консоль KSC.
2. В дереве консоли откройте папку Политики.
3. В блоке политик Kaspersky Endpoint Agent выберите нужную политику и откройте ее свойства двойным щелчком мыши.

   Откроются свойства выбранной политики.

4. В разделе Интеграция с KATA выберите подраздел KATA Central Node.

5. Нажмите на кнопку Настроить дополнительную защиту.
6. В открывшемся окне установите флажок Защита подключения с помощью клиентского сертификата.
7. Нажмите на кнопку Загрузить.

   Откроется окно выбора файла на вашем локальном компьютере.

8. Выберите файл крипто-контейнера сертификата Kaspersky Endpoint Agent, сгенерированного на сервере Kaspersky Anti Targeted Attack Platform и скачанного на жесткий диск вашего компьютера.
9. Нажмите на кнопку OK.

   Окно закроется.

10. Убедитесь, что переключатель в правом верхнем углу блока параметров находится в положении Политика применяется.
11. Нажмите на кнопку OK.

Крипто-контейнер с сертификатом Kaspersky Endpoint Agent будет загружен в Kaspersky Endpoint Agent. Kaspersky Anti Targeted Attack Platform будет проверять TLS-сертификат Kaspersky Endpoint Agent при попытке подключения.

Настройка перенаправления трафика от Kaspersky Endpoint Agent на сервер Sensor

Вы можете использовать сервер с компонентом Sensor в качестве прокси-сервера при обмене данными между программой Kaspersky Endpoint Agent и компонентом Central Node, чтобы снизить нагрузку на компонент Central Node.

При настройке перенаправления трафика учитывайте следующие ограничения:

• Максимальный объем входящего трафика для компонента Sensor не должен превышать 1 Гбит/с.
• Рекомендуемая ширина канала между серверами с компонентами Central Node и Sensor составляет 15% от трафика на SPAN-порте.
• Максимально допустимые потери пакетов, пересылаемых между серверами с компонентами Sensor и Central Node, составляют 10% при задержке отправки пакетов до 100 мс.

Вы можете использовать компонент Sensor в качестве прокси-сервера, только если компоненты Sensor и Central Node расположены на разных серверах.

Если вы используете компонент Sensor в качестве прокси-сервера, убедитесь, что при интеграции Kaspersky Anti Targeted Attack Platform с программой Kaspersky Endpoint Agent на стороне Kaspersky Endpoint Agent вместо IP-адреса Central Node вы указали IP-адрес компонента Sensor.

Включение перенаправления трафика от Kaspersky Endpoint Agent на сервер Sensor

Чтобы включить или отключить использование компонента Sensor в качестве прокси-сервера при обмене данными между программой Kaspersky Endpoint Agent и компонентом Central Node, выполните следующие действия в меню администратора сервера с компонентом Sensor:

1. В главном окне меню администратора выберите пункт Program settings.
2. Нажмите на клавишу ENTER.

   Откроется следующее окно меню администратора.

3. Выберите пункт Configure Central Node.
4. Нажмите на клавишу ENTER.

   Откроется окно с информацией о текущем состоянии подключения компонента Sensor к компоненту Central Node.

5. Нажмите на кнопку Change.
6. В окне Input Central Node IP address укажите IP-адрес сервера с компонентом Central Node.
7. Нажмите на кнопку Ok.

   Откроется окно с информацией о сертификате компонента Central Node.

8. Убедитесь, что отображаемый сертификат совпадает с сертификатом компонента Central Node.
9. Нажмите на кнопку Ok.

   Откроется окно с информацией о текущем состоянии подключения компонента Sensor к компоненту Central Node.

10. Нажмите на кнопку Cancel.

Использование компонента Sensor в качестве прокси-сервера будет включено после подтверждения авторизации на сервере с компонентом Central Node.

Авторизация компонента Sensor на сервере Central Node

Чтобы авторизовать компонент Sensor на сервере с компонентом Central Node, выполните следующие действия в веб-интерфейсе программы под учетной записью локального администратора:

1. В окне веб-интерфейса программы выберите раздел Серверы Sensor.

   В таблице Список серверов отобразятся уже подключенные компоненты Sensor, а также запросы на подключение.

2. Выберите IP-адрес сервера с компонентом Sensor, запрос на авторизацию от которого вы хотите подтвердить или отклонить.
3. Выполните одно из следующих действий:
   • Если вы хотите авторизовать выбранный сервер с компонентом Sensor, нажмите кнопку Принять.
   • Если вы хотите отклонить авторизацию выбранного сервера с компонентом Sensor, нажмите кнопку Отклонить.

Запрос на авторизацию будет принят или отклонен.

Генерация TLS-сертификата сервера Sensor в меню администратора сервера Sensor

Чтобы сгенерировать TLS-сертификат сервера с компонентом Sensor, выполните следующие действия в меню администратора сервера с компонентом Sensor:

1. В главном окне меню администратора выберите пункт Program settings.
2. Нажмите на клавишу ENTER.

   Откроется следующее окно меню администратора.

3. Выберите пункт Manage server certificate.
4. Нажмите на клавишу ENTER.

   Откроется окно Certificate management.

5. В нижней части окна выберите пункт New.
6. Нажмите на клавишу ENTER.

   Откроется окно с информацией о новом сертификате.

7. Нажмите на кнопку Continue.

   Откроется окно подтверждения действия.

8. Нажмите на кнопку Generate.

   Начнется создание сертификата.

9. По окончании создания сертификата нажмите на клавишу ENTER.

   Откроется окно с информацией об установленном сертификате.

10. Нажмите на кнопку Continue.

    Откроется окно подтверждения действия.

11. Нажмите на кнопку Ok.

Сертификат будет создан. Данные сертификатов, установленных ранее, будут перезаписаны.

Загрузка самостоятельно подготовленного TLS-сертификата сервера Sensor через меню администратора сервера Sensor

Вы можете самостоятельно подготовить TLS-сертификат и загрузить его на сервер с компонентом Sensor по протоколу SCP. Подробнее о способах загрузки файлов по протоколу SCP см. в документации к операционной системе, установленной на том компьютере, с которого вы хотите загрузить TLS-сертификат.

Файл TLS-сертификата, предназначенный для загрузки на сервер, должен удовлетворять следующим требованиям:

• Файл должен содержать сам сертификат и закрытый ключ шифрования соединения.
• Файл должен иметь формат PEM.
• Имя файла должно быть kata.pem.
• Длина закрытого ключа должна быть 2048 бит или более.

Подробнее о подготовке TLS-сертификатов к импорту см. в документации Open SSL.

Чтобы загрузить самостоятельно подготовленный TLS-сертификат на сервер с компонентом Sensor по протоколу SCP, выполните следующие действия в интерфейсе работы по протоколу SCP вашего компьютера (на примере операционной системы Linux):

1. Выполните команду scp kata.pem admin@<IP-адрес сервера с компонентом Sensor>:
2. На приглашение ввести пароль введите пароль администратора для работы в меню администратора сервера с компонентом Sensor, заданный при установке.

TLS-сертификат будет загружен на сервер с компонентом Sensor.

Чтобы применить загруженный TLS-сертификат на сервере с компонентом Sensor, выполните следующие действия в меню администратора сервера с компонентом Sensor:

1. В главном окне меню администратора выберите пункт Program settings.
2. Нажмите на клавишу ENTER.

   Откроется следующее окно меню администратора.

3. Выберите пункт Manage server certificate.
4. Нажмите на клавишу ENTER.

   Откроется окно Certificate management.

5. В нижней части окна выберите пункт kata.pem.
6. Нажмите на клавишу ENTER.

   Откроется окно Uploaded certificate.

7. Выберите пункт Install certificate.
8. Нажмите на клавишу ENTER.

   Откроется окно подтверждения действия.

9. Нажмите на кнопку Yes.

   Откроется окно с информацией о сертификате.

10. Нажмите на кнопку Continue.

    Откроется окно подтверждения действия.

11. Нажмите на кнопку Install.

    Начнется установка сертификата.

12. По окончании установки сертификата нажмите на клавишу ENTER.

    Откроется окно с информацией о примененном сертификате.

13. Нажмите на кнопку Continue.

    Откроется окно подтверждения действия.

14. Нажмите на кнопку Ok.

Сертификат будет применен. Данные сертификатов, установленных ранее, будут перезаписаны.

Скачивание TLS-сертификата сервера Sensor на компьютер

Вы можете скачать TLS-сертификат с сервера Sensor на любой компьютер, имеющий доступ к серверу с компонентом Sensor, по протоколу SCP. Подробнее о способах загрузки файлов по протоколу SCP см. в документации к операционной системе, установленной на том компьютере, на который вы хотите скачать TLS-сертификат.

Чтобы скачать TLS-сертификат с сервера с компонентом Sensor по протоколу SCP, выполните следующие действия в интерфейсе работы по протоколу SCP вашего компьютера (на примере операционной системы Linux):

1. Выполните команду scp admin@<IP-адрес сервера с компонентом Sensor>:ssl/kata.crt .
2. На приглашение ввести пароль введите пароль администратора для работы в меню администратора сервера с компонентом Sensor, заданный при установке.

TLS-сертификат будет загружен с сервера с компонентом Sensor в текущую директорию.

Настройка интеграции и доверенного соединения с Kaspersky Anti Targeted Attack Platform на стороне Kaspersky Endpoint Agent

Чтобы настроить интеграцию с Kaspersky Anti Targeted Attack Platform на стороне Kaspersky Endpoint Agent:

1. Откройте консоль KSC.
2. В дереве консоли откройте папку Политики.
3. В блоке политик Kaspersky Endpoint Agent выберите нужную политику и откройте ее свойства двойным щелчком мыши.

   Откроются свойства выбранной политики.

4. В разделе Интеграция с KATA выберите подраздел Параметры интеграции с KATA.

5. Установите флажок Включить интеграцию с KATA.
6. В поле Адрес введите адрес сервера Central Node программы Kaspersky Anti Targeted Attack Platform, с которым вы хотите настроить интеграцию, и выберите порт подключения. По умолчанию используется порт 443.
7. Установите флажок Использовать закрепленный сертификат для защиты соединения.
8. Нажмите на кнопку Добавить TLS-сертификат....

   Откроется окно Добавление TLS-сертификата.

9. Выполните одно из следующих действий по добавлению TLS-сертификата, созданного на стороне Kaspersky Anti Targeted Attack Platform и скачанного на компьютер:
   • Добавьте файл сертификата. Для этого нажмите на кнопку Обзор..., в открывшемся окне выберите файл сертификата и нажмите на кнопку Open.
   • Скопируйте содержание файла сертификата в поле Вставьте данные TLS-сертификата.

   В Kaspersky Endpoint Agent может быть только один TLS-сертификат сервера Kaspersky Anti Targeted Attack Platform. Если вы добавляли TLS-сертификат ранее и снова добавили TLS-сертификат, только последний добавленный сертификат будет актуальным.

   Если вы настроили перенаправление трафика на сервер с компонентом Sensor, вам нужно загрузить TLS-сертификат сервера Sensor, предварительно скачанный на компьютер.

10. Нажмите на кнопку Добавить.

    Информация о добавленном TLS-сертификате отобразится в разделе интеграции с Kaspersky Anti Targeted Attack Platform.

11. Нажмите на кнопку Добавить сертификат клиента....
12. В открывшемся окне установите флажок Защита подключения с помощью сертификата клиента.
13. Нажмите на кнопку Загрузить.

    Откроется окно выбора файла на вашем локальном компьютере.

14. Выберите файл крипто-контейнера сертификата Kaspersky Endpoint Agent, сгенерированного на сервере Kaspersky Anti Targeted Attack Platform и скачанного на жесткий диск вашего компьютера.
15. Нажмите на кнопку OK.

    Окно закроется.

16. В поле Время ожидания (сек.): укажите максимальное время ожидания ответа сервера Central Node программы Kaspersky Anti Targeted Attack Platform в секундах.
17. В поле Отправлять запрос на синхронизацию на сервер KATA каждые (мин.) укажите интервал в минутах.
18. Если вы хотите, чтобы Kaspersky Endpoint Agent не отправлял на сервер Kaspersky Anti Targeted Attack Platform информацию о процессах, которые запускаются повторно, установите флажок Использовать период TTL при отправке событий. Kaspersky Endpoint Agent не считает запуск процесса повторным, если запуск происходит после окончания очередного периода TTL.
19. Если вы установили флажок Использовать период TTL при отправке событий, укажите время в поле Период TTL (мин.).
20. Убедитесь, что переключатель в правом верхнем углу блока параметров находится в положении Политика применяется.
21. Нажмите на кнопку OK.

Интеграция с Kaspersky Anti Targeted Attack Platform на стороне Kaspersky Endpoint Agent будет настроена.