Managed Detection and Response

Kaspersky Endpoint Security 11.6.0 为 Managed Detection and Response 解决方案引入了内置代理。Kaspersky Managed Detection and Response (MDR) 解决方案自动检测和分析您基础架构中的安全事故。为此，MDR 使用从端点和机器学习接收的遥测数据。MDR 发送事故数据到 Kaspersky 专家。然后专家便可以处理事故，例如，添加新条目到反病毒数据库。或者，专家可以发布处理事件的建议，例如，建议将计算机从网络隔离。对于该解决方案如何工作的详情，请参考 Kaspersky Managed Detection and Response 帮助。

当与 Kaspersky Managed Detection and Response 交互时，应用程序允许您执行以下功能：

• 使用 BLOB 配置文件激活 Managed Detection and Response。
• 从 Kaspersky Managed Detection and Response 执行命令。
• 发送遥测数据到 Kaspersky Managed Detection and Response 以检测威胁。

与 Kaspersky Managed Detection and Response 的整合

与 Kaspersky Managed Detection and Response 的整合包括以下步骤：

1. 配置私人卡巴斯基安全网络

   如果您正在使用 Kaspersky Security Center 云控制台则跳过此步骤。Kaspersky Security Center 云控制台在安装 MDR 插件时自动配置本地卡巴斯基安全网络。

   私人 KSN 支持计算机与卡巴斯基安全网络专用服务器的数据交换，但不是全局 KSN。

   在管理服务器属性中上传卡巴斯基安全网络配置文件。卡巴斯基安全网络配置文件存在于 MDR 配置文件的 ZIP 存档中。您可以在 Kaspersky Managed Detection and Response 控制台获取 ZIP 存档。对于配置私人卡巴斯基安全网络的详情，请参阅 Kaspersky Security Center 帮助。您也可以从命令行上传卡巴斯基安全网络配置文件到计算机（参见以下说明）。

   如何从命令行配置私人卡巴斯基安全网络

   1. 以管理员身份运行命令行解释器 (cmd.exe)。
   2. 转到 Kaspersky Endpoint Security 分发包所在文件夹。
   3. 运行以下命令：

      avp.com KSN /private <文件名>

      <文件名>是包含私人 KSN 设置的配置文件名称 (PKCS7 或 PEM 文件格式)。

      例如： avp.com KSN /private C:\kpsn_config.pkcs7

   结果，Kaspersky Endpoint Security 将使用私有 KSN 决定文件、应用程序和网站的信誉。卡巴斯基安全网络区域中的策略设置将显示以下操作状态：KSN 网络：私人 KSN。

   您必须启用扩展 KSN 模式以便 Managed Detection and Response 正常工作。

2. 激活 Managed Detection and Response

   在 Kaspersky Endpoint Security 策略中加载 BLOB 配置文件（参见以下说明）。BLOB 文件包含客户端 ID 和 Kaspersky Managed Detection and Response 的授权许可信息。BLOB 文件存在于 MDR 配置文件的 ZIP 存档中。您可以在 Kaspersky Managed Detection and Response 控制台获取 ZIP 存档。对于 BLOB 文件的详情，请参考 Kaspersky Managed Detection and Response 帮助。

   如何在管理控制台 (MMC) 中激活 Managed Detection and Response

   1. 打开 Kaspersky Security Center Administration Console。
   2. 在管理控制台树的“受管理设备”文件夹中，打开相关客户端计算机所属的管理组名称的文件夹。
   3. 在工作区中选择“策略”选项卡。
   4. 选择必要的策略并双击以打开策略属性。
   5. 在策略窗口中，选择 Detection and Response → Managed Detection and Response。
   6. 选择 Managed Detection and Response 复选框。
   7. 在设置块，单击导入并选择在 Kaspersky Managed Detection and Response 控制台接收的 BLOB 文件。该文件具有 P7 扩展名。
   8. 保存更改。

   如何在 Web Console 和 Cloud Console 中激活 Managed Detection and Response

   1. 在 Web Console 的主窗口中，选择“设备”→“策略和配置文件”。
   2. 单击 Kaspersky Endpoint Security 策略的名称。

      策略属性窗口将打开。

   3. 选择“应用程序设置”选项卡。
   4. 选择 Detection and Response → Managed Detection and Response。
   5. 开启 Managed Detection and Response 开关。
   6. 单击导入并选择在 Kaspersky Managed Detection and Response 控制台获取的 BLOB 文件。该文件具有 P7 扩展名。
   7. 保存更改。

   如何从命令行激活 Managed Detection and Response

   1. 以管理员身份运行命令行解释器 (cmd.exe)。
   2. 转到 Kaspersky Endpoint Security 分发包所在文件夹。
   3. 运行以下命令：
      • 如果应用程序设置不是密码保护的：

        avp.com MDRLICENSE /ADD <文件名>

        <文件名>是用来激活 Managed Detection and Response 的 BLOB 配置文件名称 (P7 文件格式)。

      • 如果应用程序设置是密码保护的：

        avp.com MDRLICENSE /ADD <文件名> /login=<用户名> /password=<密码>

   结果，Kaspersky Endpoint Security 将检查 BLOB 文件。BLOB 文件验证包括检查数字签名和授权许可条款。如果 BLOB 文件被成功验证，Kaspersky Endpoint Security 将上传文件并在与 Kaspersky Security Center 的下次同步过程中发送该文件到计算机。通过查看应用程序组件状态报告检查组件的操作状态。您也可以利用 Kaspersky Endpoint Security 的本地界面在报告中查看组件的操作状态。Managed Detection and Response 组件将被添加到 Kaspersky Endpoint Security 组件列表。

3. 支持 Managed Detection and Response

   您必须启用以下组件以便 Managed Detection and Response 正常工作：

   • 卡巴斯基安全网络（扩展模式）。
   • 行为检测。

   启用这些组件不是可选的。否则 Kaspersky Managed Detection and Response 无法工作，因为它不接收所需的遥测数据。

   另外，Kaspersky Managed Detection and Response 使用从其他应用程序组件接收的数据。启用那些组件是可选的。提供附加数据的组件包括：

   • Web 威胁防护。
   • 邮件威胁防护。
   • 防火墙。

   为了 Kaspersky Managed Detection and Response 通过 Kaspersky Security Center Web Console 与管理服务器协作，您还必须建立新的安全连接，一个后台连接。Kaspersky Managed Detection and Response 在您部署解决方案时提示您建立后台连接。确保后台连接已建立。对于 Kaspersky Security Center 与其他 Kaspersky 解决方案整合的详情，请参阅 Kaspersky Security Center 帮助。

从 Kaspersky Endpoint Agent 迁移到 Kaspersky Endpoint Security for Windows

Kaspersky Endpoint Security 版本 11 和后续版本支持 MDR 解决方案。Kaspersky Endpoint Security 版本 11 – 11.5.0 仅发送遥测数据到 Kaspersky Managed Detection and Response 以启用威胁检测。Kaspersky Endpoint Security 版本 11.6.0 具有内置代理（Kaspersky Endpoint Agent）的所有功能。

如果您正在使用 Kaspersky Endpoint Security 11 – 11.5.0，您必须更新数据库到最新版本以整合 MDR 解决方案。您还必须安装 Kaspersky Endpoint Agent。

如果您正在使用 Kaspersky Endpoint Security 11.6.0 或后续版本，为了使用 MDR 解决方案，您必须在安装应用程序时选择 Managed Detection and Response 组件。此种情况下，您不需要安装 Kaspersky Endpoint Agent。

要从 Kaspersky Endpoint Agent 迁移到 Kaspersky Endpoint Security for Windows：

1. 在 Kaspersky Endpoint Security 策略中配置与 Kaspersky Managed Detection and Response 的整合。
2. 在 Kaspersky Endpoint Agent 策略中禁用 Managed Detection and Response 组件。

如果 Kaspersky Endpoint Security 策略还应用到未安装 Kaspersky Endpoint Security 11 – 11.5.0 的计算机，您必须先为这些计算机创建单独的 Kaspersky Endpoint Agent 策略。在新策略中，配置与 Kaspersky Managed Detection and Response 的整合。

页面顶部