Managed Detection and Response

W Kaspersky Endpoint Security 11.6.0 wprowadzono wbudowanego agenta dla rozwiązania Managed Detection and Response. Rozwiązanie Kaspersky Managed Detection and Response (MDR) automatycznie wykrywa i analizuje incydenty naruszenia bezpieczeństwa w Twojej infrastrukturze. W tym celu MDR używa danych telemetrycznych, otrzymanych z punktów końcowych i uczenia maszynowego. MDR wysyła dane incydentu do ekspertów z Kaspersky. Eksperci mogą następnie przetworzyć incydent i, na przykład, dodać nowy wpis do antywirusowych baz danych. Zamiast tego eksperci mogą opublikować zalecenia odnośnie przetwarzania incydentu i, na przykład, zasugerować odizolowanie komputera od sieci. Szczegółowe informacje dotyczące sposobu działania rozwiązania można znaleźć w pomocy do Kaspersky Managed Detection and Response.

Podczas interakcji z Kaspersky Managed Detection and Response aplikacja umożliwia wykonanie następujących czynności:

Integracja z Kaspersky Managed Detection and Response

Integracja z Kaspersky Managed Detection and Response obejmuje następujące kroki:

  1. Konfigurowanie prywatnej sieci Kaspersky Security Network

    Prywatna sieć KSN obsługuje wymianę danych między komputerami a dedykowanymi serwerami Kaspersky Security Network, ale nie globalną siecią KSN.

    Wczytaj plik konfiguracyjny Kaspersky Security Network we właściwościach Serwera administracyjnego. Plik konfiguracyjny Kaspersky Security Network znajduje się w archiwum ZIP pliku konfiguracyjnego MDR. Archiwum ZIP możesz uzyskać w Kaspersky Managed Detection and Response Console. Więcej informacji na temat konfiguracji prywatnej sieci Kaspersky Security Network można znaleźć w pomocy do Kaspersky Security Center. Plik konfiguracyjny Kaspersky Security Network możesz wczytać także z poziomu wiersza polecenia (zapoznaj się z poniższymi instrukcjami).

    Jak skonfigurować prywatną sieć Kaspersky Security Network z poziomu wiersza polecenia?

    W wyniku tego działania Kaspersky Endpoint Security będzie używał Prywatnej sieci KSN do określenia reputacji plików, aplikacji i stron internetowych. Ustawienia zasady w sekcji Kaspersky Security Network wyświetlą następujący stan działania: Sieć KSN: Prywatna sieć KSN.

    Musisz włączyć rozszerzony tryb KSN dla Managed Detection and Response, aby działało.

  2. Aktywuj Managed Detection and Response

    Załaduj plik konfiguracyjny BLOB w zasadzie Kaspersky Endpoint Security (zapoznaj się z poniższymi instrukcjami). Plik BLOB zawiera ID klienta oraz informacje o licencji dla Kaspersky Managed Detection and Response. Plik BLOB znajduje się w archiwum ZIP pliku konfiguracyjnego MDR. Archiwum ZIP możesz uzyskać w Kaspersky Managed Detection and Response Console. Więcej informacji o pliku BLOB można znaleźć w pomocy dla Kaspersky Managed Detection and Response.

    Jak aktywować Managed Detection and Response w Konsoli administracyjnej (MMC)?

    Jak aktywować Managed Detection and Response w Web Console i Cloud Console?

    Jak aktywować Managed Detection and Response z poziomu wiersza polecenia?

    W wyniku tego program Kaspersky Endpoint Security będzie sprawdzał plik BLOB. Weryfikacja pliku BLOB obejmuje sprawdzanie podpisu cyfrowego i okresu licencjonowania. Jeśli plik BLOB został pomyślnie zweryfikowaniu, Kaspersky Endpoint Security wczyta plik i wyśle go do komputera podczas kolejnej synchronizacji z Kaspersky Security Center. Sprawdź stan działania komponentu, przeglądając Raport dotyczący stanu komponentów aplikacji. Stan działania komponentu można sprawdzić także w raportach, w lokalnym interfejsie Kaspersky Endpoint Security. Komponent Managed Detection and Response zostanie dodany do listy komponentów Kaspersky Endpoint Security.

  3. Obsługiwanie Managed Detection and Response

    Musisz włączyć następujące komponenty dla Managed Detection and Response w celu zapewnienia działania:

    Włączenie tych komponentów jest nieopcjonalne. W innym przypadku Kaspersky Managed Detection and Response nie może działać, ponieważ nie pobiera wymaganych danych telemetrycznych.

    Dodatkowo, Kaspersky Managed Detection and Response wykorzystuje dane otrzymane od innych komponentów aplikacji. Włączenie tych komponentów jest opcjonalne. Komponenty, które udostępniają dodatkowe dane, zawierają:

    Aby rozwiązanie Kaspersky Managed Detection and Response działało z Serwerem administracyjnym poprzez Kaspersky Security Center Web Console, należy także nawiązać nowe bezpieczne połączenie - połączenie w tle. Kaspersky Managed Detection and Response wyświetla pytanie o nawiązanie połączenia w tle po wdrożeniu rozwiązania. Upewnij się, że połączenie w tle zostało nawiązane. Więcej informacji o integracji Kaspersky Security Center z innymi rozwiązaniami Kaspersky można znaleźć w pomocy dla Kaspersky Security Center.

Migracja z Kaspersky Endpoint Agent do Kaspersky Endpoint Security for Windows

Kaspersky Endpoint Security w wersji 11 i nowszej obsługuje rozwiązanie MDR. Kaspersky Endpoint Security w wersjach 11 – 11.5.0 tylko wysyła dane telemetryczne Kaspersky Managed Detection and Response, aby włączyć wykrywanie zagrożeń. Kaspersky Endpoint Security w wersji 11.6.0 posiada pełną funkcjonalność agenta wbudowanego (Kaspersky Endpoint Agent).

Jeśli korzystasz z Kaspersky Endpoint Security 11 – 11.5.0, musisz zaktualizować bazy danych do najnowszej wersji w celu pracy z rozwiązaniem MDR. Musisz także zainstalować Kaspersky Endpoint Agent.

Jeśli korzystasz z Kaspersky Endpoint Security 11.6.0 lub nowszej wersji, do pracy z rozwiązaniem MDR, podczas instalowania aplikacji musisz wybrać komponent Managed Detection and Response. W tym przypadku nie musisz instalować Kaspersky Endpoint Agent.

W celu migracji z Kaspersky Endpoint Agent do Kaspersky Endpoint Security for Windows:

  1. Konfiguruj integrację z Kaspersky Managed Detection and Response w zasadzie Kaspersky Endpoint Security.
  2. Wyłącz komponent Managed Detection and Response w zasadzie Kaspersky Endpoint Agent.

Jeśli zasada Kaspersky Endpoint Security także jest stosowana także do komputerów, na których nie jest zainstalowany program Kaspersky Endpoint Security 11 – 11.5.0, w pierwszej kolejności musisz utworzyć oddzielną zasadę Kaspersky Endpoint Agent dla tych komputerów. W nowej zasadzie skonfiguruj integrację z Kaspersky Managed Detection and Response.

Przejdź do góry