Kaspersky Endpoint Security 11.6.0 为 Managed Detection and Response 解决方案引入了内置代理。Kaspersky Managed Detection and Response (MDR) 解决方案自动检测和分析您基础架构中的安全事故。为此,MDR 使用从端点和机器学习接收的遥测数据。MDR 发送事故数据到 Kaspersky 专家。然后专家便可以处理事故,例如,添加新条目到反病毒数据库。或者,专家可以发布处理事件的建议,例如,建议将计算机从网络隔离。对于该解决方案如何工作的详情,请参考 Kaspersky Managed Detection and Response 帮助。 |
当与 Kaspersky Managed Detection and Response 交互时,应用程序允许您执行以下功能:
与 Kaspersky Managed Detection and Response 的整合
与 Kaspersky Managed Detection and Response 的整合包括以下步骤:
如果您正在使用 Kaspersky Security Center 云控制台则跳过此步骤。Kaspersky Security Center 云控制台在安装 MDR 插件时自动配置本地卡巴斯基安全网络。
私人 KSN 支持计算机与卡巴斯基安全网络专用服务器的数据交换,但不是全局 KSN。
在管理服务器属性中上传卡巴斯基安全网络配置文件。卡巴斯基安全网络配置文件存在于 MDR 配置文件的 ZIP 存档中。您可以在 Kaspersky Managed Detection and Response 控制台获取 ZIP 存档。对于配置私人卡巴斯基安全网络的详情,请参阅 Kaspersky Security Center 帮助。您也可以从命令行上传卡巴斯基安全网络配置文件到计算机(参见以下说明)。
结果,Kaspersky Endpoint Security 将使用私有 KSN 决定文件、应用程序和网站的信誉。卡巴斯基安全网络区域中的策略设置将显示以下操作状态:KSN 网络:私人 KSN。
您必须启用扩展 KSN 模式以便 Managed Detection and Response 正常工作。
在 Kaspersky Endpoint Security 策略中加载 BLOB 配置文件(参见以下说明)。BLOB 文件包含客户端 ID 和 Kaspersky Managed Detection and Response 的授权许可信息。BLOB 文件存在于 MDR 配置文件的 ZIP 存档中。您可以在 Kaspersky Managed Detection and Response 控制台获取 ZIP 存档。对于 BLOB 文件的详情,请参考 Kaspersky Managed Detection and Response 帮助。
如何在管理控制台 (MMC) 中激活 Managed Detection and Response
如何在 Web Console 和 Cloud Console 中激活 Managed Detection and Response
如何从命令行激活 Managed Detection and Response
结果,Kaspersky Endpoint Security 将检查 BLOB 文件。BLOB 文件验证包括检查数字签名和授权许可条款。如果 BLOB 文件被成功验证,Kaspersky Endpoint Security 将上传文件并在与 Kaspersky Security Center 的下次同步过程中发送该文件到计算机。通过查看应用程序组件状态报告检查组件的操作状态。您也可以利用 Kaspersky Endpoint Security 的本地界面在报告中查看组件的操作状态。Managed Detection and Response 组件将被添加到 Kaspersky Endpoint Security 组件列表。
您必须启用以下组件以便 Managed Detection and Response 正常工作:
启用这些组件不是可选的。否则 Kaspersky Managed Detection and Response 无法工作,因为它不接收所需的遥测数据。
另外,Kaspersky Managed Detection and Response 使用从其他应用程序组件接收的数据。启用那些组件是可选的。提供附加数据的组件包括:
为了 Kaspersky Managed Detection and Response 通过 Kaspersky Security Center Web Console 与管理服务器协作,您还必须建立新的安全连接,一个后台连接。Kaspersky Managed Detection and Response 在您部署解决方案时提示您建立后台连接。确保后台连接已建立。对于 Kaspersky Security Center 与其他 Kaspersky 解决方案整合的详情,请参阅 Kaspersky Security Center 帮助。
从 Kaspersky Endpoint Agent 迁移到 Kaspersky Endpoint Security for Windows
Kaspersky Endpoint Security 版本 11 和后续版本支持 MDR 解决方案。Kaspersky Endpoint Security 版本 11 – 11.5.0 仅发送遥测数据到 Kaspersky Managed Detection and Response 以启用威胁检测。Kaspersky Endpoint Security 版本 11.6.0 具有内置代理(Kaspersky Endpoint Agent)的所有功能。
如果您正在使用 Kaspersky Endpoint Security 11 – 11.5.0,您必须更新数据库到最新版本以整合 MDR 解决方案。您还必须安装 Kaspersky Endpoint Agent。
如果您正在使用 Kaspersky Endpoint Security 11.6.0 或后续版本,为了使用 MDR 解决方案,您必须在安装应用程序时选择 Managed Detection and Response 组件。此种情况下,您不需要安装 Kaspersky Endpoint Agent。
要从 Kaspersky Endpoint Agent 迁移到 Kaspersky Endpoint Security for Windows:
如果 Kaspersky Endpoint Security 策略还应用到未安装 Kaspersky Endpoint Security 11 – 11.5.0 的计算机,您必须先为这些计算机创建单独的 Kaspersky Endpoint Agent 策略。在新策略中,配置与 Kaspersky Managed Detection and Response 的整合。
页面顶部