Managed Detection and Response

Komponent Managed Detection and Response został dodany do Kaspersky Endpoint Security w wersji 11.6.0. Ten komponent upraszcza interakcję z rozwiązaniem znanym jako Kaspersky Managed Detection and Response. Kaspersky Managed Detection and Response (MDR) cały czas wyszukuje, wykrywa i eliminuje zagrożenia skierowane w Twoją organizację. Szczegółowe informacje dotyczące sposobu działania rozwiązania można znaleźć w pomocy do Kaspersky Managed Detection and Response.

Podczas interakcji z Kaspersky Managed Detection and Response aplikacja umożliwia wykonanie następujących czynności:

Aktywuj Managed Detection and Response przy użyciu pliku konfiguracyjnego BLOB.
Wykonaj polecenia z Kaspersky Managed Detection and Response.
Wyślij dane telemetryczne do Kaspersky Managed Detection and Response w celu wykrycia zagrożeń.

Integracja z Kaspersky Managed Detection and Response

Integracja z Kaspersky Managed Detection and Response obejmuje następujące kroki:

Konfigurowanie prywatnej sieci Kaspersky Security Network
Pomiń ten krok, jeśli używasz Kaspersky Security Center Cloud Console. Kaspersky Security Center Cloud Console automatycznie konfiguruje lokalną sieć Kaspersky Security Network podczas instalowania wtyczki MDR.

Prywatna sieć KSN obsługuje wymianę danych między komputerami a dedykowanymi serwerami Kaspersky Security Network, ale nie globalną siecią KSN.

Wczytaj plik konfiguracyjny Kaspersky Security Network we właściwościach Serwera administracyjnego. Plik konfiguracyjny Kaspersky Security Network znajduje się w archiwum ZIP pliku konfiguracyjnego MDR. Archiwum ZIP możesz uzyskać w Kaspersky Managed Detection and Response Console. Więcej informacji na temat konfigurowania Prywatnej sieci KSN można znaleźć w pomocy do Kaspersky Security Center. Plik konfiguracyjny Kaspersky Security Network możesz wczytać także z poziomu wiersza polecenia (zapoznaj się z poniższymi instrukcjami).

Jak skonfigurować Prywatną sieć KSN z poziomu wiersza polecenia?
1. Uruchom wiersz poleceń (cmd.exe) jako administrator.
2. Przejdź do folderu, w którym znajduje się pakiet dystrybucyjny Kaspersky Endpoint Security.
3. Uruchom następujące polecenie:
  avp.com KSN /private <nazwa pliku>
  
  <nazwa pliku> to nazwa pliku konfiguracyjnego zawierającego ustawienia Prywatnej sieci KSN (format pliku PKCS7 lub PEM).
  
  Na przykład:
  
  avp.com KSN /private C:\kpsn_config.pkcs7
W wyniku tego działania Kaspersky Endpoint Security będzie używał Prywatnej sieci KSN do określenia reputacji plików, aplikacji i stron internetowych. Ustawienia zasady w sekcji Kaspersky Security Network wyświetlą następujący stan działania: Sieć KSN: Prywatna sieć KSN.

Musisz włączyć rozszerzony tryb KSN dla Managed Detection and Response, aby działało.
Aktywuj Managed Detection and Response.
Załaduj plik konfiguracyjny BLOB w zasadzie Kaspersky Endpoint Security (zapoznaj się z poniższymi instrukcjami). Plik BLOB zawiera ID klienta oraz informacje o licencji dla Kaspersky Managed Detection and Response. Plik BLOB znajduje się w archiwum ZIP pliku konfiguracyjnego MDR. Archiwum ZIP możesz uzyskać w Kaspersky Managed Detection and Response Console. Więcej informacji o pliku BLOB można znaleźć w pomocy dla Kaspersky Managed Detection and Response.

Jak aktywować Managed Detection and Response w Konsoli administracyjnej (MMC)?
1. Otwórz Konsolę administracyjną Kaspersky Security Center.
2. W folderze Zarządzane urządzenia z drzewa Konsoli administracyjnej otwórz folder grupy administracyjnej, do której należą wybrane komputery klienckie.
3. W obszarze roboczym wybierz zakładkę Profile.
4. Wybierz żądany profil i kliknij go dwukrotnie, aby otworzyć właściwości profilu.
5. W oknie zasady wybierz Rozszerzona ochrona przed zagrożeniami → Detection and Response.
6. Zaznacz pole Managed Detection and Response.
7. W sekcji Ustawienia kliknij Importuj i wybierz plik BLOB pobrany w Kaspersky Managed Detection and Response Console. Plik posiada rozszerzenie P7.
8. Zapisz swoje zmiany.
Jak aktywować Managed Detection and Response w Web Console i Cloud Console?
1. W oknie głównym Web Console wybierz Urządzenia → Zasady i profile.
2. Kliknij nazwę zasady Kaspersky Endpoint Security.
  Zostanie otwarte okno właściwości profilu.
3. Wybierz zakładkę Ustawienia aplikacji.
4. Wybierz Rozszerzona ochrona przed zagrożeniami → Detection and Response.
5. Włącz przełącznik Managed Detection and Response.
6. Kliknij Importuj i wybierz plik BLOB, który został uzyskany w Kaspersky Managed Detection and Response Console. Plik posiada rozszerzenie P7.
7. Zapisz swoje zmiany.
Jak aktywować Managed Detection and Response z poziomu wiersza polecenia?
1. Uruchom wiersz poleceń (cmd.exe) jako administrator.
2. Przejdź do folderu, w którym znajduje się pakiet dystrybucyjny Kaspersky Endpoint Security.
3. Uruchom następujące polecenie:
  - Jeśli ustawienia aplikacji nie są chronione hasłem:
    avp.com MDRLICENSE /ADD <nazwa pliku>
    
    <Nazwa pliku> to nazwa pliku konfiguracyjnego BLOB do aktywacji Managed Detection and Response (format pliku P7).
  - Jeśli ustawienia aplikacji są chronione hasłem:
    avp.com MDRLICENSE /ADD <nazwa pliku> /login=<nazwa użytkownika> /password=<hasło>
W wyniku tego program Kaspersky Endpoint Security będzie sprawdzał plik BLOB. Weryfikacja pliku BLOB obejmuje sprawdzanie podpisu cyfrowego i okresu licencjonowania. Jeśli plik BLOB został pomyślnie zweryfikowaniu, Kaspersky Endpoint Security wczyta plik i wyśle go do komputera podczas kolejnej synchronizacji z Kaspersky Security Center. Sprawdź stan działania komponentu, przeglądając Raport dotyczący stanu komponentów aplikacji. Stan działania komponentu można sprawdzić także w raportach, w lokalnym interfejsie Kaspersky Endpoint Security. Komponent Managed Detection and Response zostanie dodany do listy komponentów Kaspersky Endpoint Security.

Musisz włączyć następujące komponenty dla Managed Detection and Response w celu zapewnienia działania:
- Kaspersky Security Network (tryb rozszerzony).
- Wykrywanie zachowań.
Włączenie tych komponentów jest nieopcjonalne. W innym przypadku Kaspersky Managed Detection and Response nie może działać, ponieważ nie pobiera wymaganych danych telemetrycznych.

Dodatkowo, Kaspersky Managed Detection and Response wykorzystuje dane otrzymane od innych komponentów aplikacji. Włączenie tych komponentów jest opcjonalne. Komponenty, które udostępniają dodatkowe dane, zawierają:

Migracja z Kaspersky Endpoint Agent do Kaspersky Endpoint Security for Windows

Kaspersky Endpoint Security w wersji 11 i nowszej obsługuje rozwiązanie MDR. Kaspersky Endpoint Security w wersjach 11 – 11.5.0 tylko wysyła dane telemetryczne Kaspersky Managed Detection and Response, aby włączyć wykrywanie zagrożeń. Kaspersky Endpoint Security w wersji 11.6.0 posiada pełną funkcjonalność agenta wbudowanego (Kaspersky Endpoint Agent).

Jeśli korzystasz z Kaspersky Endpoint Security 11 – 11.5.0, musisz zaktualizować bazy danych do najnowszej wersji w celu pracy z rozwiązaniem MDR. Musisz także zainstalować Kaspersky Endpoint Agent.

Jeśli korzystasz z Kaspersky Endpoint Security 11.6.0 lub nowszej wersji, do pracy z rozwiązaniem MDR, podczas instalowania aplikacji musisz wybrać komponent Managed Detection and Response. W tym przypadku nie musisz instalować Kaspersky Endpoint Agent.

W celu migracji z Kaspersky Endpoint Agent do Kaspersky Endpoint Security for Windows:

Konfiguruj integrację z Kaspersky Managed Detection and Response w zasadzie Kaspersky Endpoint Security.
Wyłącz komponent Managed Detection and Response w zasadzie Kaspersky Endpoint Agent.

Jeśli zasada Kaspersky Endpoint Security także jest stosowana także do komputerów, na których nie jest zainstalowany program Kaspersky Endpoint Security 11 – 11.5.0, w pierwszej kolejności musisz utworzyć oddzielną zasadę Kaspersky Endpoint Agent dla tych komputerów. W nowej zasadzie skonfiguruj integrację z Kaspersky Managed Detection and Response.

Przejdź do góry