Настройка получения данных от EPP-программ
Kaspersky Industrial CyberSecurity for Networks может получать и обрабатывать данные, которые поступают от программ "Лаборатории Касперского", выполняющих функции защиты рабочих станций и серверов. Эти программы входят в состав системы защиты конечных устройств (англ. Endpoint Protection Platform, EPP) и устанавливаются на конечные устройства внутри IT-инфраструктуры организации.
Передачу данных от EPP-программ осуществляют компьютеры с установленной программой Kaspersky Endpoint Agent. Программа Kaspersky Endpoint Agent устанавливается на рабочие станции и серверы в IT-инфраструктуре организации дополнительно к EPP-программам.
В текущей версии Kaspersky Industrial CyberSecurity for Networks поддерживает получение и обработку данных от программы Kaspersky Endpoint Agent из комплекта поставки Kaspersky Industrial CyberSecurity for Nodes. Установка Kaspersky Endpoint Agent может быть выполнена отдельно или в составе программы Kaspersky Industrial CyberSecurity for Nodes.
Максимальное количество компьютеров, от которых поддерживается получение и обработка данных от EPP-программ – 1000.
Данные от Kaspersky Endpoint Agent поступают в Kaspersky Industrial CyberSecurity for Networks через серверы интеграции. Функции сервера интеграции может выполнять любой узел с установленным компонентом Kaspersky Industrial CyberSecurity for Networks (Сервер или сенсор). Для интеграции с Kaspersky Endpoint Agent вам нужно добавить серверы интеграции на те узлы, которые будут получать данные от Kaspersky Endpoint Agent.
Функции сервера интеграции на узле Kaspersky Industrial CyberSecurity for Networks реализует сервис интеграции с EPP-программами – kics4net-epp-proxy. Пакет для установки этого сервиса входит в комплект поставки Kaspersky Industrial CyberSecurity for Networks.
При поступлении данных от Kaspersky Endpoint Agent на сервер интеграции программа может выполнять следующие действия:
- регистрировать события по технологии EPP (события защиты рабочих станций и серверов);
- добавлять в таблицу устройств те устройства, на которых установлены EPP-программы (а также устройства, с которыми были двусторонние взаимодействия этих устройств);
- обновлять в таблице устройств сведения об устройствах, на которых установлены EPP-программы (например, версия операционной системы, сведения о модели или производителе);
- отображать на узлах карты сети специальные значки, обозначающие наличие EPP-программ и состояния подключения этих программ;
- отображать на карте сети соединения, в которых одной из сторон взаимодействия является устройство с установленной EPP-программой (при этом для отображения сведений о таких соединениях приоритет имеют данные, полученные из трафика от точек мониторинга).
Компьютеры с Kaspersky Endpoint Agent устанавливают защищенные соединения с серверами интеграции по протоколу HTTPS. Для обеспечения безопасности соединений используются сертификаты, выданные Сервером Kaspersky Industrial CyberSecurity for Networks. В соединениях могут использоваться следующие сертификаты:
- Сертификат сервера интеграции. Этот сертификат проверяет компьютер с Kaspersky Endpoint Agent при каждой установке соединения. Соединение не устанавливается до успешного завершения проверки сертификата.
- Сертификат клиента. Этот сертификат используется для аутентификации клиентов сервера интеграции, которыми являются компьютеры с Kaspersky Endpoint Agent. Один и тот же сертификат клиента может использоваться несколькими компьютерами с Kaspersky Endpoint Agent. По умолчанию сервер интеграции не выполняет проверку сертификатов клиентов, но вы можете ее включить для усиления защиты соединений.
Доставка сертификатов и открытых ключей на компьютеры с Kaspersky Endpoint Agent выполняется с помощью Kaspersky Security Center. Для загрузки этих данных в Kaspersky Security Center используется файл свертки, который нужно создать в Kaspersky Industrial CyberSecurity for Networks после добавления сервера интеграции.
Настраивать получение данных от EPP-программ могут только пользователи с ролью Администратор.
