Managed Detection and Response

Când interacționați cu Kaspersky Managed Detection and Response, aplicația vă permite să efectuați următoarele funcții:

• să activați componenta Managed Detection and Response utilizând un fișier de configurare BLOB;
• să executați comenzi din Kaspersky Managed Detection and Response;
• să trimiteți date de telemetrie către Kaspersky Managed Detection and Response pentru detectarea amenințărilor.

Integrarea cu Kaspersky Managed Detection and Response

Integrarea cu Kaspersky Managed Detection and Response constă în următorii pași:

1. Configurarea Private Kaspersky Security Network

   Omiteți acest pas dacă utilizați Kaspersky Security Center Cloud Console. Kaspersky Security Center Cloud Console configurează automat componenta Kaspersky Security Network locală când instalează plug-in-ul MDR.

   Componenta Private KSN acceptă schimbul de date între computere și serverele dedicate Kaspersky Security Network, dar nu Global KSN.

   Încărcați fișierul de configurare Kaspersky Security Network în proprietățile Serverului de administrare. Fișierul de configurare al Kaspersky Security Network se află în arhiva ZIP a fișierului de configurare MDR. Puteți obține arhiva ZIP în Consola Kaspersky Managed Detection and Response. Pentru detalii privind configurarea Private Kaspersky Security Network, consultați Ajutor pentru Kaspersky Security Center. De asemenea, puteți încărca un fișier de configurare Kaspersky Security Network în computer, din linia de comandă (consultați instrucțiunile de mai jos).

   Cum se configurează Private Kaspersky Security Network din linia de comandă

   1. Executați interpretorul de linii de comandă (cmd.exe) ca administrator.
   2. Deschide directorul în care se află pachetul de distribuţie pentru Kaspersky Endpoint Security.
   3. Execută următoare comandă:

      avp.com KSN /private <nume fișier>

      unde <nume fișier> este numele fișierului de configurare care conține setările componentei Private KSN (format fișier PKCS7 sau PEM).

      Exemplu: avp.com KSN /private C:\kpsn_config.pkcs7

   Ca rezultat, Kaspersky Endpoint Security va utiliza Private KSN pentru a determina reputația fișierelor, aplicațiilor și site-urilor web. Setările politicii din secțiunea Kaspersky Security Network vor afișa următoarea stare de funcționare: Rețea KSN: Private KSN.

   Trebuie să activați modul KSN extins pentru ca Managed Detection and Response să funcționeze.

2. Activați Managed Detection and Response

   Încărcați fișierul de configurare BLOB în politica Kaspersky Endpoint Security (consultați instrucțiunile de mai jos). Fișierul BLOB conține Id-ul clientului și informații despre licența pentru componenta Kaspersky Managed Detection and Response. Fișierul BLOB se află în arhiva ZIP a fișierului de configurare MDR. Puteți obține arhiva ZIP în Consola Kaspersky Managed Detection and Response. Pentru informații detaliate despre fișierul BLOB, consultați Ajutorul Kaspersky Managed Detection and Response.

   Cum se activează componenta Managed Detection and Response în Consola de administrare (MMC)

   1. Deschide Consolă de administrare a Kaspersky Security Center.
   2. În directorul Dispozitive gestionate al arborelui consolei de administrare, deschide directorul cu numele grupului de administrare căruia îi aparțin computerele client relevante.
   3. În spaţiul de lucru, selectează fila Politici.
   4. Selectați politica necesară și faceți dublu clic pentru a deschide proprietățile politicii.
   5. În fereastra politicii, selectați Detection and Response → Managed Detection and Response.
   6. Bifați caseta de selectare Managed Detection and Response.
   7. În blocul Setări, faceți clic pe Import și selectați fișierul BLOB primit în Kaspersky Managed Detection and Response Console. Fișierul are extensia P7.
   8. Salvați-vă modificările.

   Cum se activează Managed Detection and Response în Web Console și Cloud Console

   1. În fereastra principală a Web Console, selectați Devices → Policies & profiles.
   2. Faceți clic pe numele politicii Kaspersky Endpoint Security.

      Se deschide fereastra de proprietăți a politicii.

   3. Selectați fila Setări aplicație.
   4. Selectați Detection and Response → Managed Detection and Response.
   5. Duceți comutatorul Managed Detection and Response la poziția activat.
   6. Faceți clic pe Import și selectați fișierul BLOB care a fost obținut în Kaspersky Managed Detection and Response Console. Fișierul are extensia P7.
   7. Salvați-vă modificările.

   Cum se activează Managed Detection and Response din linia de comandă

   1. Executați interpretorul de linii de comandă (cmd.exe) ca administrator.
   2. Deschide directorul în care se află pachetul de distribuţie pentru Kaspersky Endpoint Security.
   3. Execută următoare comandă:
      • Dacă setările aplicației nu sunt protejate prin parolă:

        avp.com MDRLICENSE /ADD <nume fișier>

        <nume fișier> este numele fișierului de configurare pentru activarea componentei Managed Detection and Response (format fișier P7).

      • Dacă setările aplicației sunt protejate prin parolă:

        avp.com MDRLICENSE /ADD <nume fișier> /login=<nume utilizator> /password=<parolă>

   Ca rezultat, Kaspersky Endpoint Security va verifica fișierul BLOB. Verificarea fișierului BLOB include verificarea semnăturii digitale și a termenilor licenței. Dacă fișierul BLOB este verificat cu succes, Kaspersky Endpoint Security va încărca fișierul și îl va trimite către computer în timpul următoarei sincronizări cu Kaspersky Security Center. Verificați starea de funcționare a componentei, vizualizând Application components status report. De asemenea, puteți vizualiza starea de funcționare a unei componente în rapoarte, în interfața locală a Kaspersky Endpoint Security. Componenta Managed Detection and Response va fi adăugată în lista de componente Kaspersky Endpoint Security.

3. Acceptarea Managed Detection and Response

   Trebuie să activați următoarele componente pentru ca Managed Detection and Response să funcționeze:

   • Kaspersky Security Network (modul extins);
   • Behavior Detection.

   Activarea acestor componente nu este opțională. În caz contrar, Kaspersky Managed Detection and Response nu poate funcționa deoarece nu poate primi datele de telemetrie necesare.

   În plus, Kaspersky Managed Detection and Response utilizează datele primite de la alte componente ale aplicației. Activarea acelor componente este opțională. Printre componentele care furnizează date suplimentare se numără:

   • Web Threat Protection.
   • Mail Threat Protection.
   • Firewall.

   Pentru funcționarea Kaspersky Managed Detection and Response cu Administration Server prin Kaspersky Security Center Web Console, trebuie să stabiliți, de asemenea, o nouă conexiune securizată, o conexiune de fundal. Kaspersky Managed Detection and Response vă solicită să stabiliți o conexiune de fundal atunci când implementați soluția. Asigurați-vă că este stabilită conexiunea de fundal. Pentru detalii despre integrarea Kaspersky Security Center cu alte soluții Kaspersky, consultați Ajutorul Kaspersky Security Center.

Migrarea de la Kaspersky Endpoint Agent la Kaspersky Endpoint Security for Windows

Kaspersky Endpoint Security versiunea 11 și versiunile ulterioare acceptă soluția MDR. Kaspersky Endpoint Security versiunile 11 – 11.5.0 doar trimit date de telemetrie către Kaspersky Managed Detection and Response, pentru a permite detectarea amenințărilor. Kaspersky Endpoint Security versiunea 11.6.0 deține toate funcționalitățile agentului încorporat (Kaspersky Endpoint Agent).

Dacă utilizați Kaspersky Endpoint Security 11 – 11.5.0, trebuie să actualizați bazele de date la cea mai recentă versiune pentru a funcționa cu soluția MDR. Trebuie să instalați Kaspersky Endpoint Agent.

Dacă utilizați Kaspersky Endpoint Security 11.6.0 sau o versiune ulterioară, pentru a lucra cu soluția MDR, trebuie să selectați componenta Managed Detection and Response când instalați aplicația. În acest caz, nu trebuie să instalați Kaspersky Endpoint Agent.

Pentru a migra de la Kaspersky Endpoint Agent la Kaspersky Endpoint Security for Windows:

1. Configurați integrarea cu Kaspersky Managed Detection and Response în politica Kaspersky Endpoint Security.
2. Dezactivați componenta Managed Detection and Response în politica Kaspersky Endpoint Agent.

Dacă politica Kaspersky Endpoint Security se aplică și computerelor pe care nu este instalat Kaspersky Endpoint Security 11 – 11.5.0, mai întâi trebuie să creați o politică Kaspersky Endpoint Agent separată pentru acele computere. În noua politică, configurați integrarea cu Kaspersky Managed Detection and Response.