Managed Detection and Response

В Kaspersky Endpoint Security версии 11.6.0 добавлен встроенный агент для работы решения Managed Detection and Response. Kaspersky Managed Detection and Response (MDR) – решение, которое автоматически обнаруживает и анализирует инциденты безопасности в вашей инфраструктуре. Для этого MDR использует данные телеметрии, полученные от конечных точек, и машинное обучение. Данные об инцидентах MDR передает экспертам "Лаборатории Касперского". Далее эксперты могут самостоятельно обработать инцидент и, например, добавить новую запись в антивирусные базы. Или эксперты могут дать рекомендации по обработке инцидента и, например, предложить изолировать компьютер от сети. Подробную информацию о работе решения см. в справке Kaspersky Managed Detection and Response.

При взаимодействии с Kaspersky Managed Detection and Response программа позволяет выполнять следующие функции:

• Активация Managed Detection and Response с помощью конфигурационного файла BLOB.
• Выполнение команд от Kaspersky Managed Detection and Response.
• Отправка данных телеметрии для обнаружения угроз в Kaspersky Managed Detection and Response.

Интеграция с Kaspersky Managed Detection and Response

Интеграция с Kaspersky Managed Detection and Response состоит из следующих этапов:

1. Настройка Локального Kaspersky Security Network

   Если вы используете Kaspersky Security Center Cloud Console, этот шаг нужно пропустить. Kaspersky Security Center Cloud Console автоматически настраивает Локальный Kaspersky Security Network при установке плагина MDR.

   Локальный KSN обеспечивает обмен данными между компьютерами и выделенными серверами Kaspersky Security Network, а не Глобальным KSN.

   Загрузите конфигурационный файл Kaspersky Security Network в свойствах Сервера администрирования. Конфигурационный файл Kaspersky Security Network находится в ZIP-архиве конфигурационного файла MDR. Вы можете получить ZIP-архив в Консоли Kaspersky Managed Detection and Response. Подробнее о настройке Локального Kaspersky Security Network см. в справке Kaspersky Security Center. Также вы можете загрузить конфигурационный файл Kaspersky Security Network на компьютер из командной строки (см. инструкцию ниже).

   Как настроить Локальный Kaspersky Security Network из командной строки

   1. Запустите интерпретатор командной строки cmd от имени администратора.
   2. Перейдите в папку, в которой расположен дистрибутив Kaspersky Endpoint Security.
   3. Выполните команду:

      avp.com KSN /private <имя файла>

      где <имя файла> – имя конфигурационного файла с параметрами Локального KSN (формат файла PKCS7 или PEM).

      Пример: avp.com KSN /private C:\kpsn_config.pkcs7

   В результате Kaspersky Endpoint Security будет использовать Локальный KSN для определения репутации файлов, программ и веб-сайтов. В параметрах политики в разделе Kaspersky Security Network будет указан статус работы Сеть KSN: Локальный KSN.

   Для работы Managed Detection and Response необходимо включить расширенный режим KSN.

2. Активация Managed Detection and Response

   Загрузите конфигурационный файл BLOB в политике Kaspersky Endpoint Security (см. инструкцию ниже). BLOB-файл содержит идентификатор клиента и информацию о лицензии Kaspersky Managed Detection and Response. BLOB-файл находится в ZIP-архиве конфигурационного файла MDR. Вы можете получить ZIP-архив в Консоли Kaspersky Managed Detection and Response. Подробную информацию о BLOB-файле см. в справке Kaspersky Managed Detection and Response.

   Как активировать Managed Detection and Response в Консоли администрирования (MMC)

   1. Откройте Консоль администрирования Kaspersky Security Center.
   2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
   3. В рабочей области выберите закладку Политики.
   4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
   5. В окне политики выберите Detection and Response → Managed Detection and Response.
   6. Установите флажок Managed Detection and Response.
   7. В блоке Настройка нажмите на кнопку Импорт и выберите BLOB-файл, полученный в Консоли Kaspersky Managed Detection and Response. Файл имеет расширение P7.
   8. Сохраните внесенные изменения.

   Как активировать Managed Detection and Response в Web Console и Cloud Console

   1. В главном окне Web Console выберите Устройства → Политики и профили политик.
   2. Нажмите на название политики Kaspersky Endpoint Security.

      Откроется окно свойств политики.

   3. Выберите закладку Параметры программы.
   4. Перейдите в раздел Detection and Response → Managed Detection and Response.
   5. Включите переключатель Managed Detection and Response.
   6. Нажмите на кнопку Импорт и выберите BLOB-файл, полученный в Консоли Kaspersky Managed Detection and Response. Файл имеет расширение P7.
   7. Сохраните внесенные изменения.

   Как активировать Managed Detection and Response из командной строки

   1. Запустите интерпретатор командной строки cmd от имени администратора.
   2. Перейдите в папку, в которой расположен дистрибутив Kaspersky Endpoint Security.
   3. Выполните команду:
      • Если настройка параметров программы не защищена паролем:

        avp.com MDRLICENSE /ADD <имя файла>

        где <имя файла> – имя конфигурационного файла BLOB для активации Managed Detection and Response (формат файла P7).

      • Если настройка параметров программы защищена паролем:

        avp.com MDRLICENSE /ADD <имя файла> /login=<имя пользователя> /password=<пароль>

   В результате Kaspersky Endpoint Security проверит BLOB-файл. Проверка BLOB-файла включает в себя проверку цифровой подписи и срока действия лицензии. Если BLOB-файл прошел проверку, Kaspersky Endpoint Security загрузит файл и отправит файл на компьютер при следующей синхронизации с Kaspersky Security Center. Проверьте статус работы компонента с помощью отчета Отчет о статусе компонентов программы. Также вы можете посмотреть статус работы компонента в локальном интерфейсе Kaspersky Endpoint Security в отчетах. В список компонентов Kaspersky Endpoint Security будет добавлен компонент Managed Detection and Response.

3. Обеспечение работы Managed Detection and Response

   Для работы Managed Detection and Response должны быть включены следующие компоненты:

   • Kaspersky Security Network (расширенный режим).
   • Анализ поведения.

   Эти компоненты должны быть включены обязательно. В противном случае Kaspersky Managed Detection and Response не работает, так как не получает необходимые данные телеметрии.

   Дополнительно Kaspersky Managed Detection and Response использует данные полученные от других компонентов программы. Включение этих компонентов не является обязательным. К компонентам, которые предоставляют дополнительные данные, относятся следующие компоненты:

   • Защита от веб-угроз.
   • Защита от почтовых угроз.
   • Сетевой экран.

   Также для работы Kaspersky Managed Detection and Response c Сервером администрирования через Kaspersky Security Center Web Console вам нужно установить новое безопасное соединение – фоновое соединение. Kaspersky Managed Detection and Response предлагает установить фоновое соединение при развертывании решения. Убедитесь, что фоновое соединение установлено. Подробнее об интеграции Kaspersky Security Center с другими решениями "Лаборатории Касперского" см. в справке Kaspersky Security Center.

Миграция из Kaspersky Endpoint Agent на Kaspersky Endpoint Security для Windows

Программа Kaspersky Endpoint Security версии 11 или выше поддерживает работу с решением MDR. Kaspersky Endpoint Security версий 11 – 11.5.0 только отправляет данные телеметрии для обнаружения угроз в Kaspersky Managed Detection and Response. Kaspersky Endpoint Security версии 11.6.0 выполняет все функции встроенного агента (Kaspersky Endpoint Agent).

Если вы используете Kaspersky Endpoint Security 11 – 11.5.0, для работы с решением MDR нужно обновить базы до актуальной версии. Также требуется установить Kaspersky Endpoint Agent.

Если вы используете Kaspersky Endpoint Security 11.6.0 или выше, для работы с решением MDR нужно выбрать компонент Managed Detection and Response при установке программы. Устанавливать Kaspersky Endpoint Agent при этом не требуется.

Для миграции из Kaspersky Endpoint Agent на Kaspersky Endpoint Security для Windows вам нужно выполнить следующие действия:

1. Настройте интеграцию с Kaspersky Managed Detection and Response в политике Kaspersky Endpoint Security.
2. Выключите компонент Managed Detection and Response в политике Kaspersky Endpoint Agent.

Если политика Kaspersky Endpoint Security также применяется к компьютерам, на которых установлена программа Kaspersky Endpoint Security 11 – 11.5.0, необходимо сначала создать отдельную политику Kaspersky Endpoint Agent для этих компьютеров. В новой политике необходимо настроить интеграцию с Kaspersky Managed Detection and Response.

В начало