Managed Detection and Response

В Kaspersky Endpoint Security версии 11.6.0 добавлен встроенный агент для работы решения Managed Detection and Response. Kaspersky Managed Detection and Response (MDR) – решение, которое автоматически обнаруживает и анализирует инциденты безопасности в вашей инфраструктуре. Для этого MDR использует данные телеметрии, полученные от конечных точек, и машинное обучение. Данные об инцидентах MDR передает экспертам "Лаборатории Касперского". Далее эксперты могут самостоятельно обработать инцидент и, например, добавить новую запись в антивирусные базы. Или эксперты могут дать рекомендации по обработке инцидента и, например, предложить изолировать компьютер от сети. Подробную информацию о работе решения см. в справке Kaspersky Managed Detection and Response.

При взаимодействии с Kaspersky Managed Detection and Response программа позволяет выполнять следующие функции:

Интеграция с Kaspersky Managed Detection and Response

Интеграция с Kaspersky Managed Detection and Response состоит из следующих этапов:

  1. Настройка Локального Kaspersky Security Network

    Локальный KSN обеспечивает обмен данными между компьютерами и выделенными серверами Kaspersky Security Network, а не Глобальным KSN.

    Загрузите конфигурационный файл Kaspersky Security Network в свойствах Сервера администрирования. Конфигурационный файл Kaspersky Security Network находится в ZIP-архиве конфигурационного файла MDR. Вы можете получить ZIP-архив в Консоли Kaspersky Managed Detection and Response. Подробнее о настройке Локального Kaspersky Security Network см. в справке Kaspersky Security Center. Также вы можете загрузить конфигурационный файл Kaspersky Security Network на компьютер из командной строки (см. инструкцию ниже).

    Как настроить Локальный Kaspersky Security Network из командной строки

    В результате Kaspersky Endpoint Security будет использовать Локальный KSN для определения репутации файлов, программ и веб-сайтов. В параметрах политики в разделе Kaspersky Security Network будет указан статус работы Сеть KSN: Локальный KSN.

    Для работы Managed Detection and Response необходимо включить расширенный режим KSN.

  2. Активация Managed Detection and Response

    Загрузите конфигурационный файл BLOB в политике Kaspersky Endpoint Security (см. инструкцию ниже). BLOB-файл содержит идентификатор клиента и информацию о лицензии Kaspersky Managed Detection and Response. BLOB-файл находится в ZIP-архиве конфигурационного файла MDR. Вы можете получить ZIP-архив в Консоли Kaspersky Managed Detection and Response. Подробную информацию о BLOB-файле см. в справке Kaspersky Managed Detection and Response.

    Как активировать Managed Detection and Response в Консоли администрирования (MMC)

    Как активировать Managed Detection and Response в Web Console и Cloud Console

    Как активировать Managed Detection and Response из командной строки

    В результате Kaspersky Endpoint Security проверит BLOB-файл. Проверка BLOB-файла включает в себя проверку цифровой подписи и срока действия лицензии. Если BLOB-файл прошел проверку, Kaspersky Endpoint Security загрузит файл и отправит файл на компьютер при следующей синхронизации с Kaspersky Security Center. Проверьте статус работы компонента с помощью отчета Отчет о статусе компонентов программы. Также вы можете посмотреть статус работы компонента в локальном интерфейсе Kaspersky Endpoint Security в отчетах. В список компонентов Kaspersky Endpoint Security будет добавлен компонент Managed Detection and Response.

  3. Обеспечение работы Managed Detection and Response

    Для работы Managed Detection and Response должны быть включены следующие компоненты:

    Эти компоненты должны быть включены обязательно. В противном случае Kaspersky Managed Detection and Response не работает, так как не получает необходимые данные телеметрии.

    Дополнительно Kaspersky Managed Detection and Response использует данные полученные от других компонентов программы. Включение этих компонентов не является обязательным. К компонентам, которые предоставляют дополнительные данные, относятся следующие компоненты:

    Также для работы Kaspersky Managed Detection and Response c Сервером администрирования через Kaspersky Security Center Web Console вам нужно установить новое безопасное соединение – фоновое соединение. Kaspersky Managed Detection and Response предлагает установить фоновое соединение при развертывании решения. Убедитесь, что фоновое соединение установлено. Подробнее об интеграции Kaspersky Security Center с другими решениями "Лаборатории Касперского" см. в справке Kaspersky Security Center.

Миграция из Kaspersky Endpoint Agent на Kaspersky Endpoint Security для Windows

Программа Kaspersky Endpoint Security версии 11 или выше поддерживает работу с решением MDR. Kaspersky Endpoint Security версий 11 – 11.5.0 только отправляет данные телеметрии для обнаружения угроз в Kaspersky Managed Detection and Response. Kaspersky Endpoint Security версии 11.6.0 выполняет все функции встроенного агента (Kaspersky Endpoint Agent).

Если вы используете Kaspersky Endpoint Security 11 – 11.5.0, для работы с решением MDR нужно обновить базы до актуальной версии. Также требуется установить Kaspersky Endpoint Agent.

Если вы используете Kaspersky Endpoint Security 11.6.0 или выше, для работы с решением MDR нужно выбрать компонент Managed Detection and Response при установке программы. Устанавливать Kaspersky Endpoint Agent при этом не требуется.

Для миграции из Kaspersky Endpoint Agent на Kaspersky Endpoint Security для Windows вам нужно выполнить следующие действия:

  1. Настройте интеграцию с Kaspersky Managed Detection and Response в политике Kaspersky Endpoint Security.
  2. Выключите компонент Managed Detection and Response в политике Kaspersky Endpoint Agent.

Если политика Kaspersky Endpoint Security также применяется к компьютерам, на которых установлена программа Kaspersky Endpoint Security 11 – 11.5.0, необходимо сначала создать отдельную политику Kaspersky Endpoint Agent для этих компьютеров. В новой политике необходимо настроить интеграцию с Kaspersky Managed Detection and Response.

В начало