15 октября 2024
EDR
Защита конечных точек. Настройка платформы
Цикл "Kaspersky Symphony XDR"
Вводная статья
Блок KUMA
Блок KATA
Блок KEDR
Блок KUMA
- KUMA. Введение: обзор архитектуры
- Установка системы. Подключение активов
- Парсинг логов. Подключение логов CheckPoint, KSC, KSMG, Microsoft AD
- Написание своего парсера и нормализации
- Обогащение логов в коллекторе
- Работа с простыми алертами и инцидентами. Создание простых корреляционных правил
- Работа с тяжелыми алертами. Создание тяжелых корреляционных правил
- Оповещения в телеграмм
- Построение дашбордов
- Symphony XDR, автоматическое реагирование через агенты
Блок KATA
- Защита периметра. Теория
- Защита периметра. Развертывание системы
- Защита периметра. Развертывание центрального узла
- Защита периметра. Настройка платформы
- Защита периметра. Подключение источника
- Защита периметра. Тестирование
Блок KEDR
Введение
Рады приветствовать вас в 1 статье блока KEDR из цикла по Symphony XDR на портале TS University!
Как уже упоминалось в теоретической статье блока KATA: функциональная составляющая Kaspersky EDR Expert является частью платформы KATA. Если вы ещё не читали эту статью, то настоятельно рекомендуем начать с неё: https://login.university.tssolution.ru/member/articles/kata-zashchita-perimetra-teoriya.
Материалы блока KEDR будут логически продолжать начатое в блоке KATA, поэтому здесь мы не будем повторять информацию про развертывание и базовую настройку платформы.
В этой статье мы с вами добавим лицензию с функциональностью Kaspersky EDR Expert, посмотрим на интерфейс администратора с точки зрения управления защитой конечных точек и подключим пару агентов.
Как уже упоминалось в теоретической статье блока KATA: функциональная составляющая Kaspersky EDR Expert является частью платформы KATA. Если вы ещё не читали эту статью, то настоятельно рекомендуем начать с неё: https://login.university.tssolution.ru/member/articles/kata-zashchita-perimetra-teoriya.
Материалы блока KEDR будут логически продолжать начатое в блоке KATA, поэтому здесь мы не будем повторять информацию про развертывание и базовую настройку платформы.
В этой статье мы с вами добавим лицензию с функциональностью Kaspersky EDR Expert, посмотрим на интерфейс администратора с точки зрения управления защитой конечных точек и подключим пару агентов.
Включение EDR функциональности в KATA
Прежде чем подключать лицензию, войдем в интерфейс локального администратора admin. Пароль для него задавался при развертывании платформы.
Прежде чем подключать лицензию, войдем в интерфейс локального администратора admin. Пароль для него задавался при развертывании платформы.
Не забываем поставить галочку рядом с «Локальный администратор» в интерфейсе входа.
Для включения функционала нам необходимо указать отличное от нуля значение эффективных агентов. Эффективное количество хостов рассчитывается исходя из операционных систем хостов и роли хостов. Рассчитать эффективное количество хостов для своей инфраструктуры вы можете либо через опросный лист, который посылаете вендору перед началом пилотного проекта, либо через онлайн-справку ЛК: https://support.kaspersky.com/help/KATA/6.0/ru-RU/247136.htm
Из интересных особенностей в версии KATA 6.X: если при расчете количества эффективных хостов у вас получилось меньше 2000, то требуется указать 2000. В случае нашего лабораторного стенда мы так и сделаем.
Значения для почтового трафика и SPAN-трафика мы указываем нулевые.
Для включения функционала нам необходимо указать отличное от нуля значение эффективных агентов. Эффективное количество хостов рассчитывается исходя из операционных систем хостов и роли хостов. Рассчитать эффективное количество хостов для своей инфраструктуры вы можете либо через опросный лист, который посылаете вендору перед началом пилотного проекта, либо через онлайн-справку ЛК: https://support.kaspersky.com/help/KATA/6.0/ru-RU/247136.htm
Из интересных особенностей в версии KATA 6.X: если при расчете количества эффективных хостов у вас получилось меньше 2000, то требуется указать 2000. В случае нашего лабораторного стенда мы так и сделаем.
Значения для почтового трафика и SPAN-трафика мы указываем нулевые.
Далее нажмите «Настроить» и дождитесь завершения. После того как вас вернет к странице входа, вы сможете зайти под Administrator.
Лицензирование
Лицензирование
Удалим ранее добавленную лицензию KATA и лицензируем только защиту конечных точек KEDR.
После добавления лицензии вы увидите серийный номер, срок действия и количество оставшихся дней, как и в случае с KATA.
Помимо разделов меню в интерфейсе администратора, которые мы уже рассматривали в статье Настройки защиты периметра, появляется ещё один новый – Endpoint Agents. Также появляется подраздел в разделе Параметры с идентичным названием. Дополнительно обновляется подраздел Сертификаты в разделе Параметры.
Сейчас мы посмотрим на изменения в разделе Параметры, а к разделу Endpoint Agents вернемся позднее, когда подключим пару конечных точек.
Обзор изменений в интерфейсе администратора
Помимо разделов меню в интерфейсе администратора, которые мы уже рассматривали в статье Настройки защиты периметра, появляется ещё один новый – Endpoint Agents. Также появляется подраздел в разделе Параметры с идентичным названием. Дополнительно обновляется подраздел Сертификаты в разделе Параметры.
Сейчас мы посмотрим на изменения в разделе Параметры, а к разделу Endpoint Agents вернемся позднее, когда подключим пару конечных точек.
Обзор изменений в интерфейсе администратора
- Сертификаты
В подразделе Сертификаты появился параметр «Сертификаты Endpoint Agent». Вы можете сгенерировать или импортировать сертификат, который будет использоваться агентами для установления доверительного соединения с сервером.
В базовом сценарии EDR-агенты подключаются к серверу, используя сертификат сервера, который нам необходимо экспортировать в этом же подразделе. В этом случае только агенты проверяют подлинность сервера, к которому они подключаются.
Если мы хотим повысить безопасность подключения, то можно, к примеру, логически разделить агентов на группы и выпустить каждой группе свой сертификат. Группировать хосты по группам и присваивать каждому свой клиентский сертификат можно на стороне
Kaspersky Security Center используя группы администрирования и политики или профили политик.
Таким образом, даже в случае компрометации серверного сертификата нельзя будет подключиться к серверам KATA: платформа будет дополнительно проверять сертификаты, которые используют агенты.
Это дополнительно повышает безопасность в опасных публичных средах ввиду того, что агентский сертификат можно отозвать в любой момент.
В базовом сценарии EDR-агенты подключаются к серверу, используя сертификат сервера, который нам необходимо экспортировать в этом же подразделе. В этом случае только агенты проверяют подлинность сервера, к которому они подключаются.
Если мы хотим повысить безопасность подключения, то можно, к примеру, логически разделить агентов на группы и выпустить каждой группе свой сертификат. Группировать хосты по группам и присваивать каждому свой клиентский сертификат можно на стороне
Kaspersky Security Center используя группы администрирования и политики или профили политик.
Таким образом, даже в случае компрометации серверного сертификата нельзя будет подключиться к серверам KATA: платформа будет дополнительно проверять сертификаты, которые используют агенты.
Это дополнительно повышает безопасность в опасных публичных средах ввиду того, что агентский сертификат можно отозвать в любой момент.
- Endpoint Agents
В подразделе Endpoint Agents мы можем регулировать индикаторы активности и автоматическое удаление неактивных хостов.
Для индикаторов активности уже есть предопределенные значения, но в каждой организации могут быть свои нюансы, поэтому нам предоставляют возможность их переопределить. Индикаторы влияют на отображаемое состояние хостов в разделе главного меню Endpoint Agents.
Автоматическое удаление неактивных хостов призвано облегчить работу администратора по очистке системы от устаревших узлов. Если узел не выходил на связь с сервером продолжительное время, то можно указать системе считать его неактивным и удалить данные о нем. При включении функции администратор сможет указать количество дней от 1 до 365.
Ретроспективный поиск событий по имени хоста всё равно останется доступен даже после его удаления.
Для индикаторов активности уже есть предопределенные значения, но в каждой организации могут быть свои нюансы, поэтому нам предоставляют возможность их переопределить. Индикаторы влияют на отображаемое состояние хостов в разделе главного меню Endpoint Agents.
Автоматическое удаление неактивных хостов призвано облегчить работу администратора по очистке системы от устаревших узлов. Если узел не выходил на связь с сервером продолжительное время, то можно указать системе считать его неактивным и удалить данные о нем. При включении функции администратор сможет указать количество дней от 1 до 365.
Ретроспективный поиск событий по имени хоста всё равно останется доступен даже после его удаления.
- Данная функция появилась в версии платформы KATA 6.0.
Экспорт сертификата сервера
- Первым делом для подключения агентов экспортируем сертификат сервера в подразделе параметров «Сертификаты». Без использования этого сертификата подключение агентов к платформе невозможно.
После нажатия на кнопку «Экспортировать» вам на компьютер загрузится файл kata.crt. На данном этапе этого достаточно.
Развёртывание EDR-агентов
На текущий момент у Лаборатории Касперского имеется 2 параллельно развивающихся агентских решения, которые работают с KEDR Expert:
Платформа Windows, Linux или MacOS с установленной антивирусной платформой от Лаборатории Касперского – Kaspersky Endpoint Security.
Развёртывание EDR-агентов
На текущий момент у Лаборатории Касперского имеется 2 параллельно развивающихся агентских решения, которые работают с KEDR Expert:
- Kaspersky Endpoint Security с включенным компонентом EDR (KATA)
- Kaspersky Endpoint Security для Windows в режиме агента EDR
- Kaspersky Endpoint Agent
Платформа Windows, Linux или MacOS с установленной антивирусной платформой от Лаборатории Касперского – Kaspersky Endpoint Security.
Для развертывания у нас подготовлены 3 хоста:
Упоминаем, что сервер управления Kaspersky Security Center бесплатен и не требует лицензии для установки и управления агентами EDR. Поэтому если вы не используете KSC, то рекомендуемым вариантом будет развернуть его для управления агентами KEDR, хотя это и не является обязательным условием.
Перейдем к развертыванию EDR-агентов.
Развертывание и настройку будем осуществлять через Kaspersky Security Center 14.2 для Windows. Про установку с помощью автономного инсталлятора вы можете прочитать в документации к соответствующему защитному решению на портале онлайн-справки: https://support.kaspersky.ru/help/ru#/b2b
На Windows Server 2019 развернем Kaspersky Endpoint Agent 3.15, а на Windows 11 доустановим компонент KEDR в KES 12.6.
Отличия в администрировании KES для Windows относительно KES для других платформ — это необходимость создания задачи KSC «Изменение состава компонентов приложения». Используем эту задачу на хосте с Windows 11, чтобы включить наш компонент EDR. На платформах Linux и MacOS не потребуется изменение компонентов, при инсталляции программ устанавливаются все доступные компоненты.
Также произведем настройку агентов через политики Kaspersky Security Center. Для установки и управления агентом EDR на хосте через KSC нам потребуется помимо агента EDR ещё агент администрирования. Так как у нас на хостах уже стоят защитные продукты Kaspersky, управляемые сервером KSC, у нас уже развернут агент администрирования. В случае «чистой» установки вам необходимо дополнительно озаботиться установкой агента администрирования.
Для демонстрации настройки мы будем использовать KSC Web Console (но, все эти действия можно произвести и в консоли MMC).
Для подготовки к развертыванию и эксплуатации EDR-агентов в KSC есть 3 компонента, которым мы и уделим внимание: инсталляционные пакеты, плагины управления и политики.
Kaspersky Endpoint Agent
Начнем с создания инсталляционного пакета.
- на базе Windows Server 2019 с развернутым решением Kaspersky Security для Windows Server 11.0.1,
- на базе Windows 11 с развернутым решением Kaspersky Endpoint Security 12.6,
- С использованием Kaspersky Security Center.
Упоминаем, что сервер управления Kaspersky Security Center бесплатен и не требует лицензии для установки и управления агентами EDR. Поэтому если вы не используете KSC, то рекомендуемым вариантом будет развернуть его для управления агентами KEDR, хотя это и не является обязательным условием.
- С использованием автономного инсталлятора.
Перейдем к развертыванию EDR-агентов.
Развертывание и настройку будем осуществлять через Kaspersky Security Center 14.2 для Windows. Про установку с помощью автономного инсталлятора вы можете прочитать в документации к соответствующему защитному решению на портале онлайн-справки: https://support.kaspersky.ru/help/ru#/b2b
На Windows Server 2019 развернем Kaspersky Endpoint Agent 3.15, а на Windows 11 доустановим компонент KEDR в KES 12.6.
Отличия в администрировании KES для Windows относительно KES для других платформ — это необходимость создания задачи KSC «Изменение состава компонентов приложения». Используем эту задачу на хосте с Windows 11, чтобы включить наш компонент EDR. На платформах Linux и MacOS не потребуется изменение компонентов, при инсталляции программ устанавливаются все доступные компоненты.
Также произведем настройку агентов через политики Kaspersky Security Center. Для установки и управления агентом EDR на хосте через KSC нам потребуется помимо агента EDR ещё агент администрирования. Так как у нас на хостах уже стоят защитные продукты Kaspersky, управляемые сервером KSC, у нас уже развернут агент администрирования. В случае «чистой» установки вам необходимо дополнительно озаботиться установкой агента администрирования.
Для демонстрации настройки мы будем использовать KSC Web Console (но, все эти действия можно произвести и в консоли MMC).
Для подготовки к развертыванию и эксплуатации EDR-агентов в KSC есть 3 компонента, которым мы и уделим внимание: инсталляционные пакеты, плагины управления и политики.
Kaspersky Endpoint Agent
Начнем с создания инсталляционного пакета.
- Скачаем Kaspersky Endpoint Agent. В веб-консоли KSC перейдем в раздел Операции->Хранилища->Инсталляционные пакеты.
- У нас уже есть набор инсталляционных пакетов, добавим к нему ещё один. Для этого нажмем «Добавить». Откроется Мастер создания инсталляционного пакета.
Нажмем «Далее» и нам откроется список пакетов, которые доступны для загрузки. Чтобы отмести ненужные, настроим Фильтр. На пакете Endpoint Agent 3.16 нажмем «Загрузить и создать инсталляционный пакет».
После завершения выйдем обратно в «Инсталляционные пакеты» и убедимся, что KEA появился в списке.
Сам процесс развертывания вы можете изучить в документации к продукту: https://support.kaspersky.com/KSC/14.2/ru-RU/6385_1.htm.
Помимо самого инсталляционного пакета, вам потребуется плагин для управления. В случае с веб-консолью перейдите в Параметры консоли->Веб-плагины.
Помимо самого инсталляционного пакета, вам потребуется плагин для управления. В случае с веб-консолью перейдите в Параметры консоли->Веб-плагины.
Нажмите «Добавить» в открывшемся меню. Найдите в списке плагин нужного языка для программы Kaspersky Endpoint Agent и нажмите кнопку установить.
Поиск и установка нужного плагина аналогична тому, как это происходило в случае инсталляционного пакета KEA. Отличие будет только в том, что веб-плагины устанавливаются в фоновом режиме. Вы не увидите процесс, пока он не будет закончен. После установки вы увидите окно с информацией об успешности.
Поиск и установка нужного плагина аналогична тому, как это происходило в случае инсталляционного пакета KEA. Отличие будет только в том, что веб-плагины устанавливаются в фоновом режиме. Вы не увидите процесс, пока он не будет закончен. После установки вы увидите окно с информацией об успешности.
После установки он отобразится в списке плагинов с соответствующим статусом.
Перейдем теперь в раздел Устройства->Политики и профили политик и нажмем «Добавить» для создания новой политики.
Политика будет определять настройки наших EDR-агентов. В списке выбираем программу Kaspersky Endpoint Agent.
Политика будет определять настройки наших EDR-агентов. В списке выбираем программу Kaspersky Endpoint Agent.
Нажмите Далее и выберите из списка интеграцию с KEDR Expert (KATA EDR).
Нажмите Далее и на вкладке Общее вы увидите имя политики, состояние и параметры наследования. Можно оставить здесь всё как есть или изменить на ваше усмотрение. Нам интересна больше вкладка Параметры программы.
Главное, что нам понадобится настроить в политике, – это параметры подключения к серверу KEDR. Эта настройка находится в разделе «Серверы сбора телеметрии», После неё перейдем сразу к «Интеграция с KATA».
В открывшемся меню необходимо включить интеграцию, добавить сертификат сервера и указать адрес сервера KATA/KEDR. Если у вас кластер платформы KATA, то для отказоустойчивости укажите сюда адреса обрабатывающих серверов кластера.
Далее в этом разделе нажмите ОК.
Стоит отметить, что по умолчанию при создании политики выключена интеграция с Kaspersky Security Network.
Если вы хотите включить эту интеграцию, то перейдите в раздел параметров Kaspersky Security Network, примите условия Положения о KSN и включите интеграцию.
Стоит отметить, что по умолчанию при создании политики выключена интеграция с Kaspersky Security Network.
Если вы хотите включить эту интеграцию, то перейдите в раздел параметров Kaspersky Security Network, примите условия Положения о KSN и включите интеграцию.
Нажмите Сохранить в правом нижнем углу для сохранения политики.
Далее мы перейдем к политике KES для Windows.
Kaspersky Endpoint Security для Windows
Частый сценарий: добавление EDR в инфраструктуру, где уже используется EPP платформа от Лаборатории Касперского. В современных версиях KES агент EDR можно доустановить как компонент единого защитного ПО, не устанавливая дополнительных программ на узел.
В случае с KES для Windows используется задача смены компонентов. Перейдите в раздел активов и создайте новую задачу. Мастер создания задачи предложит выбрать приложение и тип.
Далее мы перейдем к политике KES для Windows.
Kaspersky Endpoint Security для Windows
Частый сценарий: добавление EDR в инфраструктуру, где уже используется EPP платформа от Лаборатории Касперского. В современных версиях KES агент EDR можно доустановить как компонент единого защитного ПО, не устанавливая дополнительных программ на узел.
В случае с KES для Windows используется задача смены компонентов. Перейдите в раздел активов и создайте новую задачу. Мастер создания задачи предложит выбрать приложение и тип.
Далее укажите устройства или группу устройств для выполнения задачи и в конце откройте окно свойств задачи.
В открытом окне свойств задачи перейдите на вкладку параметров приложения.
Укажите, какие компоненты требуются в вашей инсталляции, а какие нет.
Главный пункт, который нам необходимо отметить, это Endpoint Detection and Response (KATA) в разделе Detection and Response.
Главный пункт, который нам необходимо отметить, это Endpoint Detection and Response (KATA) в разделе Detection and Response.
Сохраните задачу и запустите.
После завершения задачи в локальном интерфейсе KES вы увидите добавленный компонент.
После завершения задачи в локальном интерфейсе KES вы увидите добавленный компонент.
Теперь откроем политику KES для Windows и перейдем в параметры приложения. Нас интересует раздел Detection and Response. Перейдем в пункт Endpoint Detection and Response (KATA).
Заполним настройки аналогично тому, как делали это в политике Endpoint Agent.
В настройках подключения к серверам укажите сертификат сервера.
Сохраните изменения в политике.
Проверка подключения
После применения политики к узлам (если всё корректно настроено) узлы должны появиться в разделе Endpoint Agents в веб-интерфейсе KATA.
Проверка подключения
После применения политики к узлам (если всё корректно настроено) узлы должны появиться в разделе Endpoint Agents в веб-интерфейсе KATA.
Мы видим в разделе как раз два хоста, которые мы подключили. Если вы каких-то подключенных хостов тут не досчитались, то следует посмотреть ошибки в событиях хоста на KSC или в отчетах модуля EDR в локальном интерфейсе KES.
В этом разделе меню мы можем увидеть названия хостов, ip-адреса, ОС, статус лицензии, версию защитного ПО, статус активности и время последнего подключения хоста к серверу.
Статус активности опирается на время последнего подключения и индикаторы, которые мы ранее указывали в параметрах системы.
Статус может быть следующий: нормальная активность, предупреждение и критическое бездействие.
Поддерживается фильтрация по имени хоста, ip-адресу, ОС, версии защитного ПО и активности. Счетчики активности, расположенные над таблицей, - интерактивные. При нажатии на любой из них автоматически таблица отфильтрует соответствующие хосты.
На снимке экрана выше был отфильтрован один из хостов, который не нужен в рамках демонстрации (использованный фильтр при этом закрашивается зеленым цветом).
Из интересных нюансов, в фильтрации по имени хоста можно включить фильтрацию по изолированным от сети хостам.
В этом разделе меню мы можем увидеть названия хостов, ip-адреса, ОС, статус лицензии, версию защитного ПО, статус активности и время последнего подключения хоста к серверу.
Статус активности опирается на время последнего подключения и индикаторы, которые мы ранее указывали в параметрах системы.
Статус может быть следующий: нормальная активность, предупреждение и критическое бездействие.
Поддерживается фильтрация по имени хоста, ip-адресу, ОС, версии защитного ПО и активности. Счетчики активности, расположенные над таблицей, - интерактивные. При нажатии на любой из них автоматически таблица отфильтрует соответствующие хосты.
На снимке экрана выше был отфильтрован один из хостов, который не нужен в рамках демонстрации (использованный фильтр при этом закрашивается зеленым цветом).
Из интересных нюансов, в фильтрации по имени хоста можно включить фильтрацию по изолированным от сети хостам.
Как работает изоляция от сети вы узнаете в следующей статье.
Сами по себе значения в таблице тоже интерактивны, Можно нажать на имя хоста или ip-адрес, и появится контекстное меню с выбором действия.
Сами по себе значения в таблице тоже интерактивны, Можно нажать на имя хоста или ip-адрес, и появится контекстное меню с выбором действия.
Заключение
Итак, в этой статье мы с вами узнали, как включить и настроить параметры для EDR функционала в KATA. А также как подключить агентов к платформе.
В следующем материале блока мы посмотрим на интерфейс офицера безопасности и инструменты расследования. Протестируем систему на вредоносных сэмплах и исследуем, какие действия реагирования можно применить на хосте.
Оставайтесь с нами!
В следующем материале блока мы посмотрим на интерфейс офицера безопасности и инструменты расследования. Протестируем систему на вредоносных сэмплах и исследуем, какие действия реагирования можно применить на хосте.
Оставайтесь с нами!