Managed Detection and Response

O componente Managed Detection and Response foi adicionado ao Kaspersky Endpoint Security versão 11.6.0. Esse componente facilita a interação com a solução conhecida como Kaspersky Managed Detection and Response. O Kaspersky Managed Detection and Response (MDR) pesquisa, detecta e elimina continuamente as ameaças direcionadas à sua organização. Para saber informações detalhadas sobre como a solução funciona, consulte o Guia de ajuda do Kaspersky Managed Detection and Response.

Ao interagir com o Kaspersky Managed Detection and Response, o aplicativo permite realizar as seguintes funções:

Ativar o Managed Detection and Response usando um arquivo de configuração BLOB.
Executar comandos a partir do Kaspersky Managed Detection and Response.
Enviar dados de telemetria para o Kaspersky Managed Detection and Response para detecção de ameaças.

Integração com o Kaspersky Managed Detection and Response

A integração com o Kaspersky Managed Detection and Response compreende as seguintes etapas:

Configuração da Kaspersky Security Network privada
Ignore esta etapa se estiver usado o Kaspersky Security Center Cloud Console. O Kaspersky Security Center Cloud Console configura automaticamente o Kaspersky Security Network local ao instalar o plugin MDR.

A KSN privada é compatível com a troca de dados entre computadores e servidores dedicados da Kaspersky Security Network, mas não da KSN Global.

Carregue o arquivo de configuração da Kaspersky Security Network nas propriedades do Servidor de Administração. O arquivo de configuração da Kaspersky Security Network está localizado dentro do arquivo ZIP do arquivo de configuração MDR. É possível obter o arquivo ZIP no Console do Kaspersky Managed Detection and Response. Para obter mais informações sobre a configuração da KSN Privada, consulte a ajuda do Kaspersky Security Center. Também é possível carregar um arquivo de configuração da Kaspersky Security Network para o computador a partir da linha de comando (veja as instruções abaixo).

Como configurar a KSN Privada por meio da linha de comando
1. Execute o interpretador da linha de comando (cmd.exe) como um administrador.
2. Vá até a pasta onde o pacote de distribuição do Kaspersky Endpoint Security está localizado.
3. Execute o seguinte comando:
  avp.com KSN /private <nome do arquivo>
  
  <nome do arquivo> é o nome do arquivo de configuração contendo as configurações da KSN Privada (formato de arquivo PKCS7 ou PEM).
  
  Exemplo:
  
  avp.com KSN /private C:\kpsn_config.pkcs7
Como resultado, o Kaspersky Endpoint Security usará a KSN Privada para determinar a reputação dos arquivos, aplicativos e sites. As configurações da política na seção Kaspersky Security Network mostrarão o seguinte status operacional: rede KSN: KSN Privada.

É necessário ativar o modo KSN estendido para que a Managed Detection and Response funcione.
Ativação do Managed Detection and Response.
Carregue o arquivo de configuração BLOB na política do Kaspersky Endpoint Security (veja as instruções abaixo). O arquivo BLOB contém o ID do cliente e as informações sobre a licença para o Kaspersky Managed Detection and Response. O arquivo BLOB está localizado dentro do arquivo comprimido ZIP do arquivo de configuração do MDR. É possível obter o arquivo ZIP no Console do Kaspersky Managed Detection and Response. Para saber informações sobre o arquivo BLOB, consulte o Guia de ajuda do Kaspersky Managed Detection and Response.

Como ativar o Managed Detection and Response no Console de Administração (MMC)
1. Abra o Console de Administração do Kaspersky Security Center.
2. Na pasta Dispositivos gerenciados da árvore do Console de Administração, abra a pasta com o nome do grupo de administração ao qual pertencem os respectivos computadores clientes.
3. No espaço de trabalho, selecione a guia Políticas.
4. Selecione a política necessária e clique duas vezes para abrir as propriedades da política.
5. Na janela de política, selecione Expansão da proteção contra ameaças → Detection and Response.
6. Marque a caixa de seleção Managed Detection and Response.
7. No bloco Configurações, clique em Importar e selecione o arquivo BLOB recebido no console do Kaspersky Managed Detection and Response. O arquivo tem uma extensão P7.
8. Salvar alterações.
Como ativar o Managed Detection and Response no Web Console e no Cloud Console
1. Na janela principal do Web Console, selecione Dispositivos → Políticas e perfis.
2. Clique no nome da política do Kaspersky Endpoint Security.
  A janela de propriedades da política é exibida.
3. Selecione a guia Configurações do aplicativo.
4. Selecione Expansão da proteção contra ameaças → Detection and Response.
5. Ative o botão de alternância Managed Detection and Response.
6. Clique em Importar e selecione o arquivo BLOB obtido no Console do Kaspersky Managed Detection and Response. O arquivo tem uma extensão P7.
7. Salvar alterações.
Como ativar o Managed Detection and Response a partir da linha de comando
1. Execute o interpretador da linha de comando (cmd.exe) como um administrador.
2. Vá até a pasta onde o pacote de distribuição do Kaspersky Endpoint Security está localizado.
3. Execute o seguinte comando:
  - Se as configurações do aplicativo não estiverem protegidas por senha:
    avp.com MDRLICENSE /ADD <nome do arquivo>
    
    <nome do arquivo> é o nome do arquivo de configuração BLOB para a ativação do Managed Detection and Response (formato do arquivo P7).
  - Se as configurações do aplicativo estiverem protegidas por senha:
    avp.com MDRLICENSE /ADD <nome do arquivo> /login=<nome do usuário> /password=<senha>
Como resultado, o Kaspersky Endpoint Security verificará o arquivo BLOB. A verificação do arquivo BLOB inclui a verificação da assinatura digital e do período da licença. Se o arquivo BLOB for verificado com sucesso, o Kaspersky Endpoint Security carregará e enviará o arquivo para o computador durante a próxima sincronização com o Kaspersky Security Center. Verifique o status operacional do componente visualizando o relatório de status dos componentes do aplicativo. Também é possível visualizar o status operacional de um componente em relatórios na interface local do Kaspersky Endpoint Security. O componente Managed Detection and Response será adicionado à lista de componentes do Kaspersky Endpoint Security.

É necessário ativar os seguintes componentes para que o Managed Detection and Response funcione:
- Kaspersky Security Network (modo estendido).
- Detecção de Comportamento.
A ativação desses componentes não é opcional. Caso contrário, o Kaspersky Managed Detection and Response poderá não funcionar porque não recebe os dados de telemetria necessários.

Além disso, o Kaspersky Managed Detection and Response usa dados recebidos de outros componentes do aplicativo. A ativação desses componentes é opcional. Os componentes que fornecem dados adicionais incluem:

Migração do Kaspersky Endpoint Agent para o Kaspersky Endpoint Security for Windows

O Kaspersky Endpoint Security versão 11 ou posterior é compatível com a solução MDR. O Kaspersky Endpoint Security versões 11 - 11.5.0 apenas envia dados de telemetria para o Kaspersky Managed Detection and Response para habilitar a detecção de ameaças. O Kaspersky Endpoint Security versão 11.6.0 possui todas as funcionalidades do agente integrado (Kaspersky Endpoint Agent).

Se estiver usando o Kaspersky Endpoint Security 11-11.5.0, atualize os bancos de dados para que a versão mais recente funcione com a solução MDR. É necessário instalar o Kaspersky Endpoint Agent.

Se estiver usando o Kaspersky Endpoint Security 11.6.0 ou posterior para trabalhar com a solução MDR, selecione o componente Managed Detection and Response ao instalar o aplicativo. Nesse caso, não é necessário instalar o Kaspersky Endpoint Agent.

Para migrar do Kaspersky Endpoint Agent para o Kaspersky Endpoint Security for Windows:

Configure a integração com o Kaspersky Managed Detection and Response na política do Kaspersky Endpoint Security.
Desative o componente Managed Detection and Response na política do Kaspersky Endpoint Agent.

Se a política do Kaspersky Endpoint Security também se aplicar a computadores que não têm o Kaspersky Endpoint Security 11-11.5.0 instalado, crie primeiro uma política separada do Kaspersky Endpoint Agent para esses computadores. Na nova política, configure a integração com o Kaspersky Managed Detection and Response.

Início da página