Managed Detection and Response

Kaspersky Endpoint Security 11.6.0 presenta el agente integrado para la solución Managed Detection and Response. La solución Kaspersky Managed Detection and Response (MDR) detecta y analiza automáticamente los incidentes de seguridad en su infraestructura. Para hacerlo, MDR usa datos de telemetría recibidos de puntos de conexión y aprendizaje automático. MDR envía los datos de los incidentes a los expertos de Kaspersky. A continuación, los expertos pueden procesar el incidente y, por ejemplo, agregar una nueva entrada a las bases de datos antivirus. Alternativamente, los expertos pueden emitir recomendaciones sobre el procesamiento del incidente y, por ejemplo, sugerir que se aísle el equipo de la red. Para obtener más detalles sobre el funcionamiento de la solución, consulte la Ayuda de Kaspersky Managed Detection and Response.

Al interactuar con Kaspersky Managed Detection and Response, la aplicación permite realizar las siguientes funciones:

• activar Managed Detection and Response con un archivo de configuración BLOB;
• ejecutar comandos de Kaspersky Managed Detection and Response;
• enviar datos de telemetría a Kaspersky Managed Detection and Response para facilitar la detección de amenazas.

Integración con Kaspersky Managed Detection and Response

El proceso de integración con Kaspersky Managed Detection and Response se divide en los siguientes pasos:

1. Configuración de Kaspersky Security Network Privada

   Omita este paso si está usando Kaspersky Security Center Cloud Console. Kaspersky Security Center Cloud Console configura automáticamente la instancia local de Kaspersky Security Network al instalar el complemento MDR.

   KSN Privada admite intercambio de datos entre equipos y servidores específicos de Kaspersky Security Network, pero KSN Global no.

   En las propiedades del Servidor de administración, cargue el archivo de configuración de Kaspersky Security Network. Encontrará el archivo de configuración de Kaspersky Security Network dentro del archivo ZIP del archivo de configuración de MDR. Para obtener el archivo ZIP, utilice la consola de Kaspersky Managed Detection and Response. Para obtener detalles sobre la configuración de Kaspersky Security Network Privada, consulte la Ayuda de Kaspersky Security Center. Si lo prefiere, puede cargar el archivo de configuración de Kaspersky Security Network al equipo utilizando la línea de comandos (consulte las instrucciones a continuación).

   Cómo configurar Kaspersky Security Network Privada mediante la línea de comandos

   1. Abra el símbolo del sistema (cmd.exe) como administrador.
   2. Vaya a la carpeta en la que se encuentre el paquete de distribución de Kaspersky Endpoint Security.
   3. Ejecute el siguiente comando:

      avp.com KSN /private <nombre de archivo>

      donde <nombre de archivo> es el nombre del archivo de configuración que contenga la configuración del KSN Privada (formato de archivo PKCS7 o PEM).

      Ejemplo: avp.com KSN /private C:\kpsn_config.pkcs7

   Como resultado, Kaspersky Endpoint Security utilizará KSN Privada para determinar la reputación de los archivos, las aplicaciones y los sitios web. La configuración de la directiva en la sección Kaspersky Security Network mostrará el siguiente estado operativo: Red KSN: KSN Privada.

   Debe habilitar el modo KSN extendido para que Managed Detection and Response funcione.

2. Activar Managed Detection and Response

   Cargue el archivo de configuración BLOB en la directiva de Kaspersky Endpoint Security (consulte las instrucciones más abajo). El archivo BLOB contiene el id. de cliente e información sobre la licencia de Kaspersky Managed Detection and Response. Encontrará el archivo BLOB en el archivo ZIP del archivo de configuración de MDR. Para obtener el archivo ZIP, utilice la consola de Kaspersky Managed Detection and Response. Para más información sobre el archivo BLOB, consulte la Ayuda de Kaspersky Managed Detection and Response.

   Cómo activar Managed Detection and Response mediante la Consola de administración (MMC)

   1. Abra la Consola de administración de Kaspersky Security Center.
   2. En la carpeta Dispositivos administrados del árbol de la Consola de administración, abra la carpeta con el nombre del grupo de administración al cual pertenecen los equipos cliente en cuestión.
   3. En el espacio de trabajo, seleccione la ficha Directivas.
   4. Seleccione la directiva correspondiente y haga doble clic para abrir las propiedades de la política.
   5. En la ventana de la directiva, seleccione Detection and Response → Managed Detection and Response.
   6. Active la casilla Managed Detection and Response.
   7. En el bloque Configuración, haga clic en Importar y seleccione el archivo BLOB que obtuvo en la consola de Kaspersky Managed Detection and Response. El archivo tendrá la extensión P7.
   8. Guarde los cambios.

   Cómo activar Managed Detection and Response mediante Web Console y Cloud Console

   1. En la ventana principal de Web Console, seleccione Dispositivos → Directivas y perfiles.
   2. Haga clic en el nombre de la directiva de Kaspersky Endpoint Security.

      Se abre la ventana de propiedades de la directiva.

   3. Seleccione la ficha Configuración de la aplicación.
   4. Seleccione Detection and Response → Managed Detection and Response.
   5. Active el interruptor de Managed Detection and Response.
   6. Haga clic en Importar y seleccione el archivo BLOB que obtuvo en la consola de Kaspersky Managed Detection and Response. El archivo tendrá la extensión P7.
   7. Guarde los cambios.

   Cómo activar Managed Detection and Response mediante la línea de comandos

   1. Abra el símbolo del sistema (cmd.exe) como administrador.
   2. Vaya a la carpeta en la que se encuentre el paquete de distribución de Kaspersky Endpoint Security.
   3. Ejecute el siguiente comando:
      • Si la configuración de la aplicación no está protegida con contraseña:

        avp.com MDRLICENSE /ADD <nombre de archivo>

        Reemplace <nombre de archivo> con el nombre del archivo de configuración BLOB para activar Managed Detection and Response (un archivo de formato P7).

      • Si la configuración de la aplicación está protegida con contraseña:

        avp.com MDRLICENSE /ADD <nombre de archivo> /login=<nombre de usuario> /password=<contraseña>

   Como resultado, Kaspersky Endpoint Security verificará el archivo BLOB. Durante la verificación, se controlarán la firma digital y el plazo de la licencia. De no ocurrir errores en este proceso, Kaspersky Endpoint Security cargará el archivo y lo enviará al equipo cuando se realice la siguiente sincronización con Kaspersky Security Center. El estado de funcionamiento del componente aparecerá en el Informe sobre el estado de los componentes de la aplicación. Para conocer el estado de funcionamiento de un componente, también puede consultar los informes disponibles en la interfaz de Kaspersky Endpoint Security. El componente Managed Detection and Response se agregará a la lista de componentes de Kaspersky Endpoint Security.

3. Compatibilidad con Managed Detection and Response

   Debe habilitar los siguientes componentes para que Managed Detection and Response funcione:

   • Kaspersky Security Network (modo ampliado).
   • Detección de comportamientos.

   La habilitación de estos componentes no es opcional. De lo contrario, Kaspersky Managed Detection and Response no puede funcionar porque no recibe los datos de telemetría necesarios.

   Además, Kaspersky Managed Detection and Response usa datos recibidos de otros componentes de la aplicación. La habilitación de estos componentes es opcional. Los siguientes son algunos de los componentes que proporcionan datos adicionales:

   • Protección contra amenazas web.
   • Protección contra amenazas de correo.
   • Firewall.

   Para que Kaspersky Managed Detection and Response funcione con el Servidor de administración a través de Kaspersky Security Center Web Console, también debe establecer una nueva conexión segura, una conexión en segundo plano. Kaspersky Managed Detection and Response le solicita que establezca una conexión en segundo plano cuando despliega la solución. Asegúrese de que la conexión en segundo plano esté establecida. Para obtener más información sobre la integración de Kaspersky Security Center con otras soluciones de Kaspersky, consulte la Ayuda de Kaspersky Security Center.

Migración de Kaspersky Endpoint Agent a Kaspersky Endpoint Security para Windows

Kaspersky Endpoint Security es compatible, desde la versión 11, con la solución MDR. Kaspersky Endpoint Security versiones 11-11.5.0 solo envían datos de telemetría a Kaspersky Managed Detection and Response para habilitar la detección de amenazas. Kaspersky Endpoint Security versión 11.6.0 tiene todas las funcionalidades del agente integrado (Kaspersky Endpoint Agent).

Si utiliza Kaspersky Endpoint Security versiones 11-11.5.0, deberá actualizar las bases de datos a las más recientes para trabajar con la solución MDR. También deberá instalar Kaspersky Endpoint Agent.

Si utiliza Kaspersky Endpoint Security 11.6.0 o posterior, deberá seleccionar el componente Managed Detection and Response cuando instale la aplicación para trabajar con la solución MDR. En este caso, no es necesario instalar Kaspersky Endpoint Agent.

Para migrar de Kaspersky Endpoint Agent a Kaspersky Endpoint Security para Windows:

1. Configure la integración con Kaspersky Managed Detection and Response en la directiva de Kaspersky Endpoint Security.
2. Deshabilite el componente Managed Detection and Response en la directiva de Kaspersky Endpoint Agent.

Si la directiva de Kaspersky Endpoint Security también aplica a los equipos que no tengan Kaspersky Endpoint Security 11-11.5.0 instalados, primero debe crear una directiva de Kaspersky Endpoint Agent independiente para esos equipos. En la directiva nueva, configure la integración con Kaspersky Managed Detection and Response.

Inicio de página