Integration von Kaspersky Managed Detection and Response

Die Integration der App Kaspersky Endpoint Security und Kaspersky Managed Detection and Response gewährleistet die kontinuierliche Suche, Erkennung und Beseitigung der Bedrohungen, die gegen Ihr Unternehmen gerichtet sind.

Im Rahmen der Interaktion mit Kaspersky Managed Detection and Response kann Kaspersky Endpoint Security die folgenden Funktionen ausführen:

• Versand von Telemetriedaten an Kaspersky Managed Detection and Response zur Erkennung von Bedrohungen
• Ausführung der Befehle von Kaspersky Managed Detection and Response zur Bereitstellung der Schutzfunktionen

Um die Integration von Kaspersky Endpoint Security mit Kaspersky Managed Detection and Response zu konfigurieren, gehen Sie wie folgt vor:

• Stellen Sie sicher, dass die Aufgaben Schutz vor bedrohlichen Dateien und Verhaltensanalyse gestartet sind. Andernfalls weist das Gerät in Kaspersky Managed Detection and Response einen roten Status auf. Es wird außerdem empfohlen, die Aufgaben Schutz vor Web-Bedrohungen und Schutz vor Netzwerkbedrohungen zu starten, da das Gerät ansonsten in Kaspersky Managed Detection and Response einen gelben Status aufweist. Nähere Informationen zu den Statuswerten finden Sie in der Online-Hilfe für Kaspersky Managed Detection and Response.
• Verwendung von Kaspersky Security Network im erweiterten Modus aktivieren.

  Sie können die Verwendung von Kaspersky Security Network über die Befehlszeile, in der Verwaltungskonsole oder in der Kaspersky Security Center Web Console aktivieren.

• Konfigurieren Sie Kaspersky Private Security Network für den Versand von Telemetriedaten mittels der Konfigurationsdatei von Kaspersky Security Network, die sich im zip-Archiv der MDR-Konfigurationsdatei befindet.

  Sie können Kaspersky Private Security Network nur in der Verwaltungskonsole oder in der Kaspersky Security Center Web Console konfigurieren.

• Aktivieren Sie die Integration von Kaspersky Managed Detection and Response und laden Sie die BLOB-Konfigurationsdatei, die sich im ZIP-Archiv der MDR-Konfigurationsdatei befindet.

  Es wird empfohlen, die Konfiguration der Integration von Kaspersky Endpoint Security mit Kaspersky Managed Detection and Response in der Verwaltungskonsole oder in der Kaspersky Endpoint Security Web Console durchzuführen.

Sie können auch die Integration von Kaspersky Endpoint Security mit Kaspersky Managed Detection and Response konfigurieren und die BLOB-Konfigurationsdatei über die Befehlszeile hochladen.

Um die Integration von Kaspersky Managed Detection and Response zu aktivieren, führen Sie den folgenden Befehl aus:

kesl-control --set-app-settings UseMDR=Yes

Um die Integration von Kaspersky Managed Detection and Response zu deaktivieren, führen Sie den folgenden Befehl aus:

kesl-control --set-app-settings UseMDR=No

Führen Sie den folgenden Befehl aus, um die BLOB-Konfigurationsdatei zu laden:

kesl-control --load-mdr-blob <Pfad zur BLOB-Konfigurationsdatei von MDR>

Führen Sie den folgenden Befehl aus, um die BLOB-Konfigurationsdatei zu löschen:

kesl-control --remove-mdr-blob

Nachdem die Integration von Kaspersky Endpoint Security mit Kaspersky Managed Detection and Response aktiviert wurde, wird in der App die Aufgabe Mdr_Autostart_Scan erstellt und einmal am Tag ausgeführt. Bei Bedarf können Sie den Startzeitpunkt für diese Aufgabe in der Befehlszeile mit dem Befehl kesl-control --set-schedule <Aufgaben-ID|Aufgaben-Name> --file <vollständiger Pfad zur Datei> ändern, wobei Sie entweder als Namen der Aufgabe "Mdr_Autostart_Scan" angeben oder die ID angeben, die der Aufgabe von der App zugewiesen wurde. Das Konfigurieren von weiteren Aufgabenparametern und deren Zeitplänen wird nicht unterstützt.

Im Rahmen der Integration von Kaspersky Endpoint Security mit Kaspersky Managed Detection and Response kann im systemd-Protokoll eine große Anzahl von Ereignissen eingetragen werden. Wenn Sie das Eintragen der Audit-Ereignisse in systemd deaktivieren wollen, müssen Sie den Socket systemd-journald-audit deaktivieren und das Betriebssystem neu starten.

So deaktivieren Sie den Socket systemd-journald-audit:

systemctl stop systemd-journald-audit.socket

systemctl disable systemd-journald-audit.socket

systemctl mask systemd-journald-audit.socket

Nach oben