Managed Detection and Response

Kaspersky Endpoint Security 11.6.0 introduce l'agente integrato per la soluzione Managed Detection and Response. La soluzione Kaspersky Managed Detection and Response (MDR) rileva e analizza automaticamente gli incidenti di sicurezza nell'infrastruttura. A tale scopo, MDR utilizza i dati di telemetria ricevuti dagli endpoint e dal Machine Learning. MDR invia i dati sugli incidenti agli esperti di Kaspersky. Gli esperti possono quindi elaborare l'incidente e, ad esempio, aggiungere una nuova voce ai database anti-virus. In alternativa, gli esperti possono proporre suggerimenti sull'elaborazione dell'incidente e, ad esempio, suggerire di isolare il computer dalla rete. Per informazioni dettagliate sul funzionamento della soluzione, consultare la Guida di Kaspersky Managed Detection and Response.

Durante l'interazione con Kaspersky Managed Detection and Response, l'applicazione consente di eseguire le seguenti funzioni:

• Attivazione di Managed Detection and Response utilizzando un file di configurazione BLOB.
• Esecuzione di comandi da Kaspersky Managed Detection and Response.
• Invio dei dati di telemetria a Kaspersky Managed Detection and Response per il rilevamento delle minacce.

Integrazione con Kaspersky Managed Detection and Response

L'integrazione con Kaspersky Managed Detection and Response prevede i seguenti passaggi:

1. Configurazione dell'istanza privata di Kaspersky Security Network

   Ignorare questo passaggio se si utilizza Kaspersky Security Center Cloud Console. Kaspersky Security Center Cloud Console configura automaticamente Kaspersky Security Network locale quando si installa il plug-in MDR.

   L'istanza privata di KSN supporta lo scambio dei dati tra computer e i server dedicati di Kaspersky Security Network, ma non l'istanza globale di KSN.

   Caricare il file di configurazione di Kaspersky Security Network nelle proprietà di Administration Server. Il file di configurazione di Kaspersky Security Network si trova nell'archivio ZIP del file di configurazione MDR. È possibile ottenere l'archivio ZIP in Kaspersky Managed Detection and Response Console. Per informazioni dettagliate sulla configurazione dell'istanza privata di Kaspersky Security Network, consultare la Guida di Kaspersky Security Center. È inoltre possibile caricare un file di configurazione di Kaspersky Security Network nel computer dalla riga di comando (vedere le istruzioni di seguito).

   Come configurare l'istanza privata di Kaspersky Security Network dalla riga di comando

   1. Eseguire l'interprete della riga di comando (cmd.exe) come amministratore.
   2. Passare alla cartella in cui si trova il pacchetto di distribuzione di Kaspersky Endpoint Security.
   3. Eseguire il seguente comando:

      avp.com KSN /private <nome file>

      dove <nome file> è il nome del file di configurazione contenente le impostazioni dell'istanza privata di KSN (formato file PKCS7 o PEM).

      Esempio: avp.com KSN /private C:\kpsn_config.pkcs7

   Di conseguenza, Kaspersky Endpoint Security utilizzerà KSN Privato per determinare la reputazione di file, applicazioni e siti Web. Le impostazioni dei criteri nella sezione Kaspersky Security Network mostreranno il seguente stato operativo: Rete KSN: KSN Privato.

   Per consentire il funzionamento di Managed Detection and Response è necessario abilitare la modalità KSN estesa.

2. Attivare Managed Detection and Response

   Caricare il file di configurazione BLOB nel criterio di Kaspersky Endpoint Security (vedere le istruzioni di seguito). Il file BLOB contiene l'ID client e le informazioni sulla licenza per Kaspersky Managed Detection and Response. Il file BLOB si trova nell'archivio ZIP del file di configurazione MDR. È possibile ottenere l'archivio ZIP in Kaspersky Managed Detection and Response Console. Per informazioni dettagliate su un file BLOB, consultare la Guida di Kaspersky Managed Detection and Response.

   Come attivare Managed Detection and Response in Administration Console (MMC)

   1. Aprire Kaspersky Security Center Administration Console.
   2. Nella cartella Dispositivi gestiti della struttura di Administration Console aprire la cartella con il nome del gruppo di amministrazione a cui appartengono i computer client desiderati.
   3. Nell'area di lavoro selezionare la scheda Criteri.
   4. Selezionare il criterio necessario e fare doppio clic per aprire le proprietà del criterio.
   5. Nella finestra dei criteri, selezionare Detection and Response → Managed Detection and Response.
   6. Selezionare la casella di controllo Managed Detection and Response.
   7. Nella sezione Impostazioni fare clic su Importa e selezionare il file BLOB ricevuto in Kaspersky Managed Detection and Response Console. Il file ha l'estensione P7.
   8. Salvare le modifiche.

   Come attivare Managed Detection and Response in Web Console e Cloud Console

   1. Nella finestra principale di Web Console selezionare Dispositivi → Criteri e profili.
   2. Fare clic sul nome del criterio di Kaspersky Endpoint Security.

      Verrà visualizzata la finestra delle proprietà del criterio.

   3. Selezionare la scheda Impostazioni applicazione.
   4. Selezionare Detection and Response → Managed Detection and Response.
   5. Attivare l'interruttore Managed Detection and Response.
   6. Fare clic su Importa e selezionare il file BLOB ottenuto in Kaspersky Managed Detection and Response Console. Il file ha l'estensione P7.
   7. Salvare le modifiche.

   Come attivare Managed Detection and Response dalla riga di comando

   1. Eseguire l'interprete della riga di comando (cmd.exe) come amministratore.
   2. Passare alla cartella in cui si trova il pacchetto di distribuzione di Kaspersky Endpoint Security.
   3. Eseguire il seguente comando:
      • Se le impostazioni dell'applicazione non sono protette da password:

        avp.com MDRLICENSE /ADD <nome file>

        <nome file> è il nome del file di configurazione BLOB per l'attivazione di Managed Detection and Response (formato file P7).

      • Se le impostazioni dell'applicazione sono protette da password:

        avp.com MDRLICENSE /ADD <nome file> /login=<nome utente> /password=<password>

   Successivamente Kaspersky Endpoint Security verificherà il file BLOB. La verifica del file BLOB include il controllo della firma digitale e del periodo licenza. Se il file BLOB viene verificato, Kaspersky Endpoint Security caricherà il file e lo invierà al computer durante la successiva sincronizzazione con Kaspersky Security Center. Verificare lo stato operativo del componente visualizzando il Rapporto sullo stato dei componenti dell'applicazione. È inoltre possibile visualizzare lo stato operativo di un componente nei rapporti nell'interfaccia locale di Kaspersky Endpoint Security. Il componente Managed Detection and Response verrà aggiunto all'elenco dei componenti di Kaspersky Endpoint Security.

3. Supporto di Managed Detection and Response

   Per consentire il funzionamento di Managed Detection and Response, è necessario abilitare i seguenti componenti.

   • Kaspersky Security Network (modalità estesa).
   • Rilevamento del Comportamento.

   L'abilitazione di questi componenti non è facoltativa. Se non abilitati, Kaspersky Managed Detection and Response potrebbe non funzionare, poiché non riceve i dati di telemetria necessari.

   Inoltre, Kaspersky Managed Detection and Response utilizza i dati ricevuti da altri componenti applicativi. L'abilitazione di tali componenti è facoltativa. I componenti che forniscono ulteriori dati includono:

   • Protezione minacce web.
   • Protezione minacce di posta.
   • Firewall.

   Affinché Kaspersky Managed Detection and Response funzioni con Administration Server tramite Kaspersky Security Center Web Console, è inoltre necessario stabilire una nuova connessione sicura: una connessione in background. Kaspersky Managed Detection and Response richiede di stabilire una connessione in background durante la distribuzione della soluzione. Verificare che la connessione in background venga stabilita. Per ulteriori dettagli sull'integrazione di Kaspersky Security Center con altre soluzioni Kaspersky, consultare la Guida di Kaspersky Security Center.

Migrazione da Kaspersky Endpoint Agent a Kaspersky Endpoint Security for Windows

Kaspersky Endpoint Security versione 11 e successive supporta la soluzione MDR. Kaspersky Endpoint Security versioni 11-11.5.0 invia solo i dati di telemetria a Kaspersky Managed Detection and Response per abilitare il rilevamento delle minacce. Kaspersky Endpoint Security versione 11.6.0 è dotato di tutte le funzionalità dell'agente integrato (Kaspersky Endpoint Agent).

Se si utilizza Kaspersky Endpoint Security 11-11.5.0, è necessario aggiornare i database alla versione più recente per l'integrazione con la soluzione MDR. È inoltre necessario installare Kaspersky Endpoint Agent.

Se si utilizza Kaspersky Endpoint Security 11.6.0 o versione successiva, per l'integrazione con la soluzione MDR è necessario selezionare il componente Managed Detection and Response durante l'installazione dell'applicazione. In tal caso, non è necessario installare Kaspersky Endpoint Agent.

Per eseguire la migrazione da Kaspersky Endpoint Agent a Kaspersky Endpoint Security for Windows:

1. Configurare l'integrazione con Kaspersky Managed Detection and Response nei criteri di Kaspersky Endpoint Security.
2. Disabilitare il componente Managed Detection and Response nei criteri di Kaspersky Endpoint Agent.

Se i criteri di Kaspersky Endpoint Security si applicano anche ai computer senza Kaspersky Endpoint Security 11-11.5.0 installato, è innanzitutto necessario creare un criterio di Kaspersky Endpoint Agent separato per tali computer. Nel nuovo criterio, configurare l'integrazione con Kaspersky Managed Detection and Response.

Inizio pagina