Managed Detection and Response

Kaspersky Endpoint Security 11.6.0 presenta el agente integrado para la solución Managed Detection and Response. La solución Kaspersky Managed Detection and Response (MDR) detecta y analiza automáticamente los incidentes de seguridad en su infraestructura. Para hacerlo, MDR utiliza datos de telemetría recibidos de endpoints y aprendizaje automático. MDR envía datos de incidentes a los expertos de Kaspersky. Luego, los expertos pueden procesar el incidente y, por ejemplo, añadir una nueva entrada a las bases de datos antivirus. De manera alternativa, los expertos pueden emitir recomendaciones sobre el procesamiento del incidente y, por ejemplo, sugerir que se aísle el equipo de la red. Para obtener información detallada sobre cómo funciona la solución, consulte la Ayuda de Kaspersky Managed Detection and Response.

Al interactuar con Kaspersky Managed Detection and Response, la aplicación le permite realizar las siguientes funciones:

• Active Managed Detection and Response mediante un archivo de configuración BLOB.
• Ejecute comandos de Kaspersky Managed Detection and Response.
• Envíe datos de telemetría a Kaspersky Managed Detection and Response para la detección de amenazas.

Integración con Kaspersky Managed Detection and Response

La integración con Kaspersky Managed Detection and Response consta de los siguientes pasos:

1. Configuración de Kaspersky Security Network privada

   Omita este paso si utiliza Kaspersky Security Center Cloud Console. Kaspersky Security Center Cloud Console configura automáticamente la instancia local de Kaspersky Security Network al instalar el complemento MDR.

   KSN privada admite intercambio de datos entre equipos y servidores dedicados de Kaspersky Security Network, no así KSN global.

   Cargue el archivo de configuración de Kaspersky Security Network en las propiedades del Servidor de administración. El archivo de configuración de Kaspersky Security Network se encuentra dentro del archivo comprimido ZIP del archivo de configuración de MDR. Puede obtener el archivo comprimido ZIP en Kaspersky Managed Detection and Response Console. Para obtener información sobre la configuración de Kaspersky Security Network privada, consulte la Ayuda de Kaspersky Security Center. También puede cargar un archivo de configuración de Kaspersky Security Network en el equipo desde la línea de comandos (consulte las instrucciones a continuación).

   Cómo configurar Kaspersky Security Network privada desde la línea de comandos

   1. Ejecute el intérprete de la línea de comandos (cmd.exe) como administrador.
   2. Vaya a la carpeta en la que se encuentre el paquete de distribución de Kaspersky Endpoint Security.
   3. Ejecute el siguiente comando:

      avp.com KSN /private <nombre del archivo>

      donde <nombre del archivo> es el nombre del archivo de configuración que contiene la configuración de KSN privada (formato de archivo PKCS7 o PEM).

      Ejemplo: avp.com KSN/privado C:/kpsn_config.pkcs7

   Como resultado, Kaspersky Endpoint Security utilizará KSN privada para determinar la reputación de archivos, aplicaciones y sitios web. La configuración de política en la sección Kaspersky Security Network mostrará el siguiente estado de funcionamiento: Red KSN: KSN privada.

   Debe activar el modo de KSN ampliado para que funcione Managed Detection and Response.

2. Active Managed Detection and Response

   Cargue el archivo de configuración BLOB en la directiva de Kaspersky Endpoint Security (consulte las instrucciones a continuación). El archivo BLOB contiene el ID de cliente e información sobre la licencia de Kaspersky Managed Detection and Response. El archivo BLOB se encuentra dentro del archivo comprimido ZIP del archivo de configuración MDR. Puede obtener el archivo comprimido ZIP en Kaspersky Managed Detection and Response Console. Para obtener información detallada sobre un archivo BLOB, consulte la Ayuda de Kaspersky Managed Detection and Response.

   Cómo activar Managed Detection and Response en la Consola de administración (MMC)

   1. Abra la Consola de administración de Kaspersky Security Center.
   2. En la carpeta Dispositivos administrados del árbol de la consola de administración, abra la carpeta que lleva el nombre del grupo de administración al que pertenecen los equipos cliente pertinentes.
   3. En el espacio de trabajo, seleccione la pestaña Directivas.
   4. Seleccione la directiva necesaria y haga doble clic para abrir las propiedades de la política.
   5. En la ventana de la directiva, seleccione Detection and Response → Managed Detection and Response.
   6. Seleccione la casilla de verificación Managed Detection and Response.
   7. En el bloque Configuración , haga clic en Importar y seleccione el archivo BLOB recibido en Kaspersky Managed Detection and Response Console. El archivo tiene la extensión P7.
   8. Guarde los cambios.

   Cómo activar Managed Detection and Response en Web Console y Cloud Console

   1. En la ventana principal de Web Console, seleccione Dispositivos → Directivas y perfiles.
   2. Haga clic en el nombre de la directiva de Kaspersky Endpoint Security.

      Se abre la ventana de propiedades de la directiva.

   3. Seleccione la ficha Configuración de la aplicación.
   4. Seleccione Detection and Response → Managed Detection and Response.
   5. Active la opción Managed Detection and Response.
   6. Haga clic en Importar y seleccione el archivo BLOB que se obtuvo en Kaspersky Managed Detection and Response Console. El archivo tiene la extensión P7.
   7. Guarde los cambios.

   Cómo activar Managed Detection and Response desde la línea de comandos

   1. Ejecute el intérprete de la línea de comandos (cmd.exe) como administrador.
   2. Vaya a la carpeta en la que se encuentre el paquete de distribución de Kaspersky Endpoint Security.
   3. Ejecute el siguiente comando:
      • Si la configuración de la aplicación no está protegida con contraseña:

        avp.com MDRLICENSE / ADD<nombre del archivo>

        <nombre del archivo> es el nombre del archivo de configuración BLOB para activar Managed Detection and Response (formato de archivo P7).

      • Si la configuración de la aplicación está protegida con contraseña:

        avp.com MDRLICENSE /ADD <nombre del archivo> /login=<nombre del usuario> /password=<contraseña>

   Como resultado, Kaspersky Endpoint Security realizará una comprobación del archivo BLOB. La verificación del archivo BLOB incluye la verificación de la firma digital y el período de licencia. Si el archivo BLOB se verifica correctamente, Kaspersky Endpoint Security lo cargará y enviará al equipo durante la próxima sincronización con Kaspersky Security Center. Consulte informe de estado de los componentes de la aplicación para verificar el estado operativo del componente. También puede ver el estado operativo de un componente en informes de la interfaz local de Kaspersky Endpoint Security. El componente Managed Detection and Response se añadirá a la lista de componentes de Kaspersky Endpoint Security.

3. Compatibilidad de Managed Detection and Response

   Debe activar los siguientes componentes para que Managed Detection and Response funcione:

   • Kaspersky Security Network (modo ampliado).
   • Detección de comportamiento.

   La activación de estos componentes no es opcional. De lo contrario, Kaspersky Managed Detection and Response no puede funcionar porque no recibe los datos de telemetría necesarios.

   Además, Kaspersky Managed Detection and Response usa datos recibidos de otros componentes de la aplicación. La activación de estos componentes es opcional. Los componentes que proporcionan datos adicionales incluyen los siguientes:

   • Protección frente a amenazas web.
   • Protección frente a amenazas en el correo.
   • Firewall.

   Para que Kaspersky Managed Detection and Response funcione con el Servidor de administración a través de Kaspersky Security Center Web Console, también debe establecer una conexión nueva y segura, una conexión en segundo plano. Kaspersky Managed Detection and Response le solicita que establezca una conexión en segundo plano cuando despliega la solución. Asegúrese de que la conexión en segundo plano esté establecida. Para obtener información acerca de la integración de Kaspersky Security Center con otras soluciones de Kaspersky, consulte la Ayuda de Kaspersky Security Center.

Migración de Kaspersky Endpoint Agent a Kaspersky Endpoint Security para Windows

Kaspersky Endpoint Security versión 11 y posteriores son compatibles con la solución MDR. Kaspersky Endpoint Security versiones 11-11.5.0 solo envían datos de telemetría a Kaspersky Managed Detection and Response para activar la detección de amenazas. Kaspersky Endpoint Security versión 11.6.0 tiene todas las funcionalidades del agente integrado (Kaspersky Endpoint Agent).

Si utiliza Kaspersky Endpoint Security 11-11.5.0, debe actualizar las bases de datos a la versión más reciente para trabajar con la solución MDR. También debe instalar Kaspersky Endpoint Agent.

Si utiliza Kaspersky Endpoint Security 11.6.0 o posterior, debe seleccionar el componente Managed Detection and Response cuando instale la aplicación para trabajar con la solución MDR. En este caso, no es necesario instalar Kaspersky Endpoint Agent.

Para migrar de Kaspersky Endpoint Agent a Kaspersky Endpoint Security para Windows:

1. Configure la integración con Kaspersky Managed Detection and Response en la directiva de Kaspersky Endpoint Security.
2. Desactive el componente Managed Detection and Response en la directiva de Kaspersky Endpoint Agent.

Si la directiva de Kaspersky Endpoint Security también se aplica a los equipos que no tengan Kaspersky Endpoint Security 11-11.5.0 instalados, primero debe crear una directiva de Kaspersky Endpoint Agent independiente para esos equipos. En la directiva nueva, configure la integración con Kaspersky Managed Detection and Response.

Inicio de página