Skip to main content

Интеграция KICS for Nodes и KICS for Networks + EDR основные возможности и руководство по настройке

Kaspersky Industrial CyberSecurity for Networks (KICS for Networks) предоставляет нативную интеграцию с KICS for Nodes, благодаря чему предоставляется возможность получать телеметрию с конечных узлов за счет интеграции с Kaspersky Endpoint Agent и выполнять функции реагирования на конечном узле (изоляция устройство от сети, запрет запуска, поместить на карантин). KEA – это отдельное лицензируемое ПО, которое устанавливается на каждый конечный узел.

Возможности интеграции

  • KICS for Networks предоставляет единую консоль для хранения и просмотра событий в сети и на конечных узлах, поскольку KEA-агент передает телеметрию с узла в сервер KICS for Networks.
  • В карточке инцидента в KICS for Networks при возникновении инцидента на конечном узле возникает построение цепочки атаки по телеметрии с этого конечного узла.
  • Предоставляется возможность точечного реагирования: отправить файл на карантин, запретить запуск, изолировать узел.
  • В KICS for Networks есть возможность отслеживать актуальность лицензий KICS for Nodes из единого окна.

Настройка интеграции KICS for Networks и KICS for Nodes

Интеграция осуществляется через интерфейс KICS for Networks. Для этого необходимо следующие шаги:

Шаг 1. Переходим во вкладку «Параметры» и выбираем раздел «Серверы подключений»;

Шаг 2. Нажимаем кнопку «Добавить сервер интеграции с Kaspersky Endpoint Agent» (см. пример на Рисунке 1).

Примечание: В роли сервера, который будет получать телеметрию с KEA-агента, может выступать как сервер, так и любой сенсор KICS for Networks. Важно, чтобы между конечным узлом, с которого будет передаваться информация и сервером/сенсором KICS for Networks был настроен маршрут и разрешены соответствующие порты и протоколы (TLS, порт 8081).

image.png

Рисунок 1 - Добавление сервера интеграции

Шаг 3. Далее нам предоставляется возможность выбрать узел, на который будет приходить телеметрия с KEA-агента. Например, мы можем выбрать узел «Server» или сенсор «sensor_1» (см. на примере Рисунка 2).

image.png

Рисунок 2 - Создание сервера интеграции

Шаг 4. Нажимаем кнопку «Создать новый сертификат» (см. Рисунок 3).

Примечание: Если необходимо дополнительно осуществлять проверку сертификата клиента (конечного узла), то, помимо нажатия кнопки «Создать новый сертификат», необходимо активировать переключатель «Проверять сертификаты клиентов» и кнопку «Сохранить».

image.png

Рисунок 3 - Создание сервера интеграции

Шаг 5. После нажатия кнопки «Создать новый сертификат» отобразятся сведения о сертификате. Необходимо нажать кнопку «Сохранить».

Шаг 6. В результате в источниках появится выбранный узел (сервер или сенсор) KICS for Networks и будет указан IP-адрес его интерфейса MGMT, куда в последствии будут направляться данные от конечных узлов. Далее необходимо настроить KEA-агент на конечных узлах, для этого необходимо получить свертку сертификата от узла, на котором развернут сервер интеграции KICS for Networks.

Выбираем сервер интеграции. Нажимаем кнопку «Включить» и далее кнопку «Получить файл свертки для клиентов» (см. Рисунок 4).

image.png

Рисунок 4 - Создание файла свертки для клиентов

Шаг 7. Сервер интеграции изменит свой статус на «Включен» и осуществит загрузку zip-архива с вложенным файлом server.cer. После чего необходимо доставить загруженный zip-архив на конечные узлы с установленным KEA-агентом. Есть несколько способов настройки интеграции на стороне узла, и мы рассмотрим каждый из них подробнее ниже.

Примечание: Если ранее был активирован переключатель «Проверять сертификаты клиентов», то для обеспечения подлинности клиентского сертификата, нужно указать пароль при формировании файла свертки. Нажать кнопку «Создать файл свертки».

Шаг 8. Переходим к настройке интеграции на стороне конечных узлов с KICS for Nodes и KEA. Есть два способа: через web-консоль KSC и локально из командной строки.

1 способ: настройка интеграции через web-консоль KSC

Важным условием является наличие установленных KEA-агентов на каждом конечном узле, а также на сервере администрирования KSC установлен web-плагин KEA.

В веб-консоли KSC переходим в раздел «Устройства – Политики и профили политик». Выбрать политику для KEA (см. Рисунок 5).

image.png

Рисунок 5 - Начало настройки "Политики и профилей политики"

Далее переходим на вкладку «Параметры программы – Серверы сбора телеметрии». Выбираем пункт «Интеграция с KICS for Networks». После чего необходимо активировать переключатель «Принудительно», если он не активирован. Отметить чекбокс «Включить интеграцию с KICS for Networks». В графе «Адрес сервера» указать адрес сервера интеграции. Остальные настройки оставить по умолчанию. Нажать кнопку «Добавить новый TLS-сертификат» (см. Рисунок 6) – для этого нажимаем кнопку «Обзор». Выбрать файл TLS-сертификата server.cer (предварительно извлечь его из архива). После чего отобразятся данные TLS-сертификата и нажимаем кнопку «ОК», после кнопку «Сохранить».

image.png

Рисунок 6 - Настройка интеграции с KICS for Networks

2 способ: настройка локально из командной строки на конечном узле (для Windows систем)

Если отсутствует сервер администрирования KSC, то настройку можно осуществить локально. Для этого переносим сертификат server.cer из файла свертки сервера интеграции KICS for Networks. Открываем командную строку и вводим (см. пример наи Рисунке 7):

cd "C:\Program Files (x86)\Kaspersky Lab\Endpoint Agent\"

agent.exe --message-broker=enable --type=kics --tls=yes --servers=ip-адрес сервера, настроенный как сервер интеграции Networks:8081 --pinned-certificate="путь до файла server.cer"

image.png

Рисунок 7 - Пример ввода команды

По умолчанию время синхронизации (sync_priod) составляет 300 секунд. Чтобы сократить его, например, до 60 секунд нужно ввести команду:

agent --message-broker=enable --type=kics –-sync-period=60

где --message-broker=<enable|disable|show> - обязательный параметр. Позволяет включить, выключить и отобразить статус отправки телеметрии в направлении сервера. 

Для того, чтобы проверить корректноcть настроек нужно ввести команду:

agent –-message-broker=show

2 способ: настройка локально из командной строки на конечном узле (для Linux систем)

Если отсутствует сервер администрирования KSC, то настройку можно осуществить локально. Для этого переносим сертификат server.cer из файла свертки сервера интеграции KICS for Networks. Открываем командную строку и вводим (см. пример наи Рисунке 8):

kics-control --add-kics4networks-server-certificate путь до файла server.cer

image.png

Рисунок 8 - Пример ввода команды

Указать адрес сервера KICS for Networks и перезапустить задачу интеграции:

kics-control --set-settings 23 Endpoints.item_0001.Address=1 ip-адрес сервера, настроенный как сервер интеграции Networks

Далее запускаем команды, чтобы перезапустить сервер:

kics-control --stop-task 23

kics-control --start-task 23

Шаг 9. Для того, чтобы проверить интеграцию KEA с KICS for Networks, переходим в веб-интерфейс KICS for Networks и посмотреть свойства актива, на котором установлен KEA, проверить наличие информации о KEA и KICS for Nodes на узле (см. пример на Рисунке 9).

image.png

Рисунок 9 - Пример интеграции

Back to top