Managed Detection and Response

Развернуть всё | Свернуть всё

Компонент Managed Detection and Response был добавлен в Kaspersky Endpoint Security в версии 11.2. Компонент обеспечивает взаимодействие с решением Kaspersky Managed Detection and Response. Kaspersky Managed Detection and Response (MDR) обеспечивает непрерывный поиск, обнаружение и устранение угроз, направленных на вашу организацию. Подробную информацию о работе решения см. в справке Kaspersky Managed Detection and Response.

При взаимодействии с Kaspersky Managed Detection and Response приложение позволяет выполнять следующие функции:

• Активация Managed Detection and Response с помощью конфигурационного файла BLOB.
• Выполнение команд от Kaspersky Managed Detection and Response.
• Отправка данных телеметрии для обнаружения угроз в Kaspersky Managed Detection and Response.

Компонент Managed Detection and Response имеет следующие дополнительные требования:

• операционная система macOS 14 или более поздней версии;
• компьютер Mac на базе процессора Intel или Apple;
• активная лицензия для Kaspersky Endpoint Security.

Также для работы Managed Detection and Response должны быть включены следующие компоненты:

• Защита от файловых угроз;
• Защита от веб-угроз;
• Защита от почтовых угроз.

Эти компоненты должны быть включены обязательно. В противном случае Kaspersky Managed Detection and Response не работает, так как не получает необходимые данные телеметрии.

Дополнительно Kaspersky Managed Detection and Response использует данные, полученные от других компонентов приложения. Включение этих компонентов не является обязательным. К компонентам, которые предоставляют дополнительные данные, относятся следующие компоненты:

• Анализ поведения.

Интеграция с Kaspersky Managed Detection and Response

Интеграция с Kaspersky Managed Detection and Response состоит из следующих этапов:

1. Настройка прокси-сервера Kaspersky Security Network.

   Прокси-сервер Kaspersky Security Network обеспечивает обмен данными между компьютерами и инфраструктурой облачных служб Kaspersky Security Network через Сервер администрирования, а не напрямую.

   Загрузите конфигурационный файл Kaspersky Security Network в свойствах Сервера администрирования. Конфигурационный файл Kaspersky Security Network находится в ZIP-архиве конфигурационного файла MDR. Вы можете получить ZIP-архив в Консоли Kaspersky Managed Detection and Response. Подробнее о настройке прокси-сервера Kaspersky Security Network см. в справке Kaspersky Security Center.

   В результате Kaspersky Endpoint Security будет использовать Локальный KSN для определения репутации файлов, программ и веб-сайтов. Статус "Инфраструктура: Kaspersky Private Security Network" будет отображаться в параметрах политики в разделе Kaspersky Security Network.

   Использование Локального KSN с Kaspersky Managed Detection and Response гарантирует отправку телеметрии на выделенные серверы, соответствующие требованиям Общего регламента по защите данных (GDPR). Если вы не настроите Локальный KSN, телеметрия будет отправляться в Глобальный KSN. Это может являться нарушением законов вашей страны.

   Важно! Для работы Managed Detection and Response необходимо включить расширенный режим работы KSN.

2. Активация Kaspersky Managed Detection and Response.

   Вы можете активировать компонент Managed Detection and Response на конечном устройстве следующими способами:

   • Активация с помощью кода активации в приложении Kaspersky Endpoint Security.
     1. Откройте главное окно приложения.
     2. На боковой панели главного окна приложения нажмите Лицензия.

        Откроется окно Лицензия.

     3. В окне Лицензия введите код активации, полученный при покупке.

        Примечание. Код активации представляет собой уникальную последовательность из двадцати латинских букв и цифр в формате ххххх-ххххх-ххххх-ххххх.

     4. Нажмите на кнопку Активировать.

        Приложение соединится с серверами активации "Лаборатории Касперского" и отправит код активации для проверки подлинности. В случае успешного завершения проверки кода активации приложение автоматически получит и добавит лицензионный ключ.

        Примечание. В зависимости от кода активации, возможно, вам потребуется заполнить регистрационную форму.

     Если код активации не пройдет проверку, появится соответствующее уведомление. В этом случае обратитесь за информацией в компанию, которая предоставила вам этот код активации.

   • Активация с помощью BLOB-файла.

     Загрузите конфигурационный файл BLOB в политике Kaspersky Endpoint Security (см. инструкцию ниже). BLOB-файл содержит идентификатор клиента и информацию о лицензии Kaspersky Managed Detection and Response. BLOB-файл находится в ZIP-архиве конфигурационного файла MDR. Вы можете получить ZIP-архив в Консоли Kaspersky Managed Detection and Response. Подробную информацию о BLOB-файле см. в справке Kaspersky Managed Detection and Response.

     Активация Kaspersky Managed Detection and Response в Консоли администрирования (MMC)

     1. Запустите Консоль администрирования Kaspersky Security Center.
     2. Разверните узел Сервер администрирования <Имя сервера>.
     3. В дереве консоли выберите папку Управляемые устройства.
     4. В рабочей области выберите вкладку Политики.
     5. По правой клавише мыши откройте контекстное меню политики, параметры которой вы хотите настроить, и выберите Свойства.
     6. В окне Свойства выберите Detection and Response > Managed Detection and Response.
     7. Установите флажок Включить Managed Detection and Response.
     8. В блоке Конфигурационный файл MDR нажмите на кнопку Импортировать и выберите BLOB-файл, полученный в Консоли Kaspersky Managed Detection and Response. Файл имеет расширение P7.
     9. Нажмите OK, чтобы сохранить изменения.

     Активация Kaspersky Managed Detection and Response в Web Console и Cloud Console

     1. В главном окне Web Console выберите Устройства > Политики и профили политик.
     2. Нажмите на название политики Kaspersky Endpoint Security для Mac.
     3. Откроется окно свойств политики.
     4. Выберите вкладку Параметры программы.
     5. Выберите Detection and Response → Managed Detection and Response.
     6. Включите переключатель Managed Detection and Response.
     7. Нажмите на кнопку Импортировать и выберите BLOB-файл, полученный в Консоли Kaspersky Managed Detection and Response. Файл имеет расширение P7.
     8. Сохраните внесенные изменения.

     В результате Kaspersky Endpoint Security проверит BLOB-файл. Проверка BLOB-файла включает в себя проверку цифровой подписи и срока действия лицензии. Если BLOB-файл прошел проверку, Kaspersky Endpoint Security загрузит файл и отправит файл на компьютер при следующей синхронизации с Kaspersky Security Center.

   • Активация с помощью задачи Добавления ключа.
     • Активация Kaspersky Managed Detection and Response в Консоли администрирования (MMC)
       1. В окне Выбор типа задачи разверните узел Kaspersky Endpoint Security для Mac 12.2.1.
       2. Если вы хотите создать задачу добавления ключа, выберите Добавление ключа.
       3. В окне Активация приложения выполните следующие действия:
          1. Выберите код активации или ключ из хранилища Kaspersky Security Center или добавьте файл ключа, который хранится на вашем компьютере.
          2. Если вы хотите добавить указанный ключ в качестве резервного, установите флажок Добавить в качестве резервного ключа.

             Резервный ключ становится активным по окончании срока годности текущего активного ключа.

          Информация об указанном ключе (ключ, тип ключа, а также дата окончания срока годности ключа) отобразится в окне Активация приложения.

       4. В окне Выбор устройств, которым будет назначена задача выберите способ, который хотите использовать для выборки клиентских компьютеров:
          • Если вы хотите выбрать из компьютеров, обнаруженных в сети Сервером администрирования, выберите вариант Выбрать устройства, обнаруженные в сети Сервером администрирования.
          • Если вы хотите указать IP-адреса компьютеров вручную или импортировать IP-адреса компьютеров из файла, выберите вариант Задать адреса устройств вручную или импортировать из списка.
          • Если вы хотите создать задачу для выборки устройств по предопределенному критерию, выберите вариант Назначить задачу выборке устройств.
          • Если вы хотите выбрать компьютеры из указанной группы администрирования, выберите вариант Назначить задачу группе администрирования.
       5. В открывшемся окне (Выбор устройств, Выборка устройств или Выберите группу администрирования, в зависимости от варианта, который вы выбрали на предыдущем шаге), выберите клиентские компьютеры, укажите IP-адреса компьютеров, укажите выборку компьютеров, или выберите группу администрирования, для которой будет создана задача.

          Примечание. Этот шаг не отображается для локальных или групповых задач.

       6. В окне Настройка расписания запуска задачи в раскрывающемся списке Запуск по расписанию выберите режим запуска задачи.
       7. Если требуется, укажите дату и время запуска задачи, чтобы задача запустилась автоматически по установленному расписанию.
       8. Если вы хотите запускать задачи, которые приложение не смогло запустить по расписанию (например, компьютер был выключен в установленное расписанием время), установите флажок Запускать пропущенные задачи.

          Kaspersky Endpoint Security запустит задачу, как только помеха, которая препятствует запуску задачи, будет устранена.

       9. Если вы хотите, чтобы Kaspersky Security Center автоматически определял интервал между запусками задачи на разных компьютерах, установите флажок Использовать автоматическое определение случайного интервала между запусками задачи.

          Это позволяет снизить нагрузку на Сервер администрирования Kaspersky Security Center.

       10. Если вы хотите установить интервал между запусками задачи на разных компьютерах вручную, установите флажок Использовать случайную задержку запуска задачи в интервале (мин) и укажите количество минут.

           Это позволяет снизить нагрузку на Сервер администрирования Kaspersky Security Center.

       11. В окне Определение названия задачи в поле Имя введите название создаваемой задачи.

       1. В окне Завершение создания задачи выполните следующие действия:
          1. Если вы хотите запустить задачу после завершения работы мастера, установите флажок Запустить задачу после завершения работы мастера.
          2. Нажмите на кнопку Готово для завершения работы мастера.
     • Активация Kaspersky Managed Detection and Response в Web Console и Cloud Console
       1. В главном окне Web Console выберите Активы (Устройства) → Задачи.

          Откроется список задач.

       2. Нажмите на кнопку Добавить.

          Запустится мастер создания задачи.

       3. Настройте параметры задачи:
          1. В раскрывающемся списке Программа выберите Kaspersky Endpoint Security для Mac (12.2.1).
          2. В раскрывающемся списке Тип задачи выберите Добавление ключа.
          3. В поле Название задачи введите короткое описание задачи.
          4. Выберите один из следующих вариантов:
             • Назначить задачу группе администрирования

               Задача назначается устройствам, входящим в ранее созданную группу администрирования. Можно указать одну из существующих групп или создать новую группу.

               Например, вы можете использовать этот параметр, чтобы запустить задачу отправки сообщения пользователям, если сообщение предназначено для устройств из определенной группы администрирования.

               Если задача назначена группе администрирования, вкладка Безопасность не отображается в окне свойств задачи, так как групповые задачи подчиняются параметрам групп безопасности, к которым они относятся.

             • Задать адреса устройств вручную или импортировать из списка

               Вы можете задавать NetBIOS-имена, DNS-имена, IP-адреса, а также диапазоны IP-адресов устройств, которым нужно назначить задачу.

               Вы можете использовать этот параметр для выполнения задачи для заданной подсети. Например, вы можете установить определенное приложение на устройства бухгалтеров или проверять устройства в подсети, которая, вероятно, заражена.

             • Назначить задачу выборке устройств

               Задача назначается устройствам, входящим в выборку устройств. Можно указать одну из существующих выборок.

               Например, вы можете использовать этот параметр, чтобы запустить задачу на устройствах с определенной версией операционной системы.

       4. Выберите устройства в соответствии с выбранным вариантом области действия задачи.
       5. Выберите лицензионный ключ в списке. Если в списке нет подходящей лицензии, вы можете добавить новый лицензионный ключ в хранилище Сервера администрирования.
       6. Выберите учетную запись пользователя, права которого требуется использовать для запуска задачи. Нажмите Далее.

          Примечание. По умолчанию Kaspersky Endpoint Security запускает задачу под системной учетной записью (root).

       7. На шаге Завершение создания задачи нажмите на кнопку Готово, чтобы создать задачу и закрыть мастер.

          Если включен параметр Открыть окно свойств задачи после ее создания, откроется окно параметров задачи. В этом окне можно проверить параметры задачи, изменить их или при необходимости настроить расписание запуска задачи.

       8. Нажмите на новую задачу.

          Откроется окно свойств задачи.

       9. Выберите вкладку Расписание.
       10. Настройте расписание запуска задачи.

           Примечание. Убедитесь, что компьютер включен для выполнения задачи.

       11. Нажмите на кнопку Сохранить.
       12. Чтобы запустить задачу немедленно, независимо от настроенного расписания, выполните следующие действия:
           1. Установите флажок напротив задачи.
           2. Нажмите на кнопку Запустить.

В начало