Managed Detection and Response

В Kaspersky Endpoint Security версии 11.6.0 добавлен компонент Managed Detection and Response. Компонент обеспечивает взаимодействие с решением Kaspersky Managed Detection and Response. Kaspersky Managed Detection and Response (MDR) обеспечивает непрерывный поиск, обнаружение и устранение угроз, направленных на вашу организацию. Подробную информацию о работе решения см. в справке Kaspersky Managed Detection and Response.

При взаимодействии с Kaspersky Managed Detection and Response программа позволяет выполнять следующие функции:

Активация Managed Detection and Response с помощью конфигурационного файла BLOB.
Выполнение команд от Kaspersky Managed Detection and Response.
Отправка данных телеметрии для обнаружения угроз в Kaspersky Managed Detection and Response.

Интеграция с Kaspersky Managed Detection and Responce

Интеграция с Kaspersky Managed Detection and Response состоит из следующих этапов:

Настройка Локального Kaspersky Security Network
Если вы используете Kaspersky Security Center Cloud Console, этот шаг нужно пропустить. Kaspersky Security Center Cloud Console автоматически настраивает Локальный Kaspersky Security Network при установке плагина MDR.

Локальный KSN обеспечивает обмен данными между компьютерами и выделенными серверами Kaspersky Security Network, а не Глобальным KSN.

Загрузите конфигурационный файл Kaspersky Security Network в свойствах Сервера администрирования. Конфигурационный файл Kaspersky Security Network находится в ZIP-архиве конфигурационного файла MDR. Вы можете получить ZIP-архив в Консоли Kaspersky Managed Detection and Response. Подробнее о настройке Локального Kaspersky Security Network см. в справке Kaspersky Security Center. Также вы можете загрузить конфигурационный файл Kaspersky Security Network на компьютер из командной строки (см. инструкцию ниже).

Как настроить Локальный Kaspersky Security Network из командной строки
1. Запустите интерпретатор командной строки cmd от имени администратора.
2. Перейдите в папку, в которой расположен дистрибутив Kaspersky Endpoint Security.
3. Выполните команду:
  avp.com KSN /private <имя файла>
  
  где <имя файла> – имя конфигурационного файла с параметрами Локального KSN (формат файла PKCS7 или PEM).
  
  Пример:
  
  avp.com KSN /private C:\kpsn_config.pkcs7
В результате Kaspersky Endpoint Security будет использовать Локальный KSN для определения репутации файлов, программ и веб-сайтов. В параметрах политики в разделе Kaspersky Security Network будет указан статус работы Сеть KSN: Локальный KSN.

Для работы Managed Detection and Response необходимо включить расширенный режим KSN.
Активация Managed Detection and Response
Загрузите конфигурационный файл BLOB в политике Kaspersky Endpoint Security (см. инструкцию ниже). BLOB-файл содержит идентификатор клиента и информацию о лицензии Kaspersky Managed Detection and Response. BLOB-файл находится в ZIP-архиве конфигурационного файла MDR. Вы можете получить ZIP-архив в Консоли Kaspersky Managed Detection and Response. Подробную информацию о BLOB-файле см. в справке Kaspersky Managed Detection and Response.

Как активировать Managed Detection and Response в Консоли администрирования (MMC)
1. Откройте Консоль администрирования Kaspersky Security Center.
2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
3. В рабочей области выберите закладку Политики.
4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
5. В окне политики выберите Расширения защиты → Detection and Response.
6. Установите флажок Managed Detection and Response.
7. В блоке Настройка нажмите на кнопку Импорт и выберите BLOB-файл, полученный в Консоли Kaspersky Managed Detection and Response. Файл имеет расширение P7.
8. Сохраните внесенные изменения.
Как активировать Managed Detection and Response в Web Console и Cloud Console
1. В главном окне Web Console выберите Устройства → Политики и профили политик.
2. Нажмите на название политики Kaspersky Endpoint Security.
  Откроется окно свойств политики.
3. Выберите закладку Параметры программы.
4. Перейдите в раздел Расширения защиты → Detection and Response.
5. Включите переключатель Managed Detection and Response.
6. Нажмите на кнопку Импорт и выберите BLOB-файл, полученный в Консоли Kaspersky Managed Detection and Response. Файл имеет расширение P7.
7. Сохраните внесенные изменения.
Как активировать Managed Detection and Response из командной строки
1. Запустите интерпретатор командной строки cmd от имени администратора.
2. Перейдите в папку, в которой расположен дистрибутив Kaspersky Endpoint Security.
3. Выполните команду:
  - Если настройка параметров программы не защищена паролем:
    avp.com MDRLICENSE /ADD <имя файла>
    
    где <имя файла> – имя конфигурационного файла BLOB для активации Managed Detection and Response (формат файла P7).
  - Если настройка параметров программы защищена паролем:
    avp.com MDRLICENSE /ADD <имя файла> /login=<имя пользователя> /password=<пароль>
В результате Kaspersky Endpoint Security проверит BLOB-файл. Проверка BLOB-файла включает в себя проверку цифровой подписи и срока действия лицензии. Если BLOB-файл прошел проверку, Kaspersky Endpoint Security загрузит файл и отправит файл на компьютер при следующей синхронизации с Kaspersky Security Center. Проверьте статус работы компонента с помощью отчета Отчет о статусе компонентов программы. Также вы можете посмотреть статус работы компонента в локальном интерфейсе Kaspersky Endpoint Security в отчетах. В список компонентов Kaspersky Endpoint Security будет добавлен компонент Managed Detection and Response.

Для работы Managed Detection and Response должны быть включены следующие компоненты:
- Kaspersky Security Network (расширенный режим).
- Анализ поведения.
Эти компоненты должны быть включены обязательно. В противном случае Kaspersky Managed Detection and Response не работает, так как не получает необходимые данные телеметрии.

Дополнительно Kaspersky Managed Detection and Response использует данные полученные от других компонентов программы. Включение этих компонентов не является обязательным. К компонентам, которые предоставляют дополнительные данные, относятся следующие компоненты:

Миграция из Kaspersky Endpoint Agent на Kaspersky Endpoint Security для Windows

Программа Kaspersky Endpoint Security версии 11 или выше поддерживает работу с решением MDR. Kaspersky Endpoint Security версий 11 – 11.5.0 только отправляет данные телеметрии для обнаружения угроз в Kaspersky Managed Detection and Response. Kaspersky Endpoint Security версии 11.6.0 выполняет все функции встроенного агента (Kaspersky Endpoint Agent).

Если вы используете Kaspersky Endpoint Security 11 – 11.5.0, для работы с решением MDR нужно обновить базы до актуальной версии. Также требуется установить Kaspersky Endpoint Agent.

Если вы используете Kaspersky Endpoint Security 11.6.0 или выше, для работы с решением MDR нужно выбрать компонент Managed Detection and Response при установке программы. Устанавливать Kaspersky Endpoint Agent при этом не требуется.

Для миграции из Kaspersky Endpoint Agent на Kaspersky Endpoint Security для Windows вам нужно выполнить следующие действия:

Настройте интеграцию с Kaspersky Managed Detection and Response в политике Kaspersky Endpoint Security.
Выключите компонент Managed Detection and Response в политике Kaspersky Endpoint Agent.

Если политика Kaspersky Endpoint Security также применяется к компьютерам, на которых установлена программа Kaspersky Endpoint Security 11 – 11.5.0, необходимо сначала создать отдельную политику Kaspersky Endpoint Agent для этих компьютеров. В новой политике необходимо настроить интеграцию с Kaspersky Managed Detection and Response.

В начало