要设置与 Kaspersky Managed Detection and Response 的整合,您必须启用 Managed Detection and Response 组件并配置 Kaspersky Endpoint Security。
您必须启用以下组件以便 Managed Detection and Response 正常工作:
启用这些组件不是可选的。否则 Kaspersky Managed Detection and Response 无法工作,因为它不接收所需的遥测数据。
另外,Kaspersky Managed Detection and Response 使用从其他应用程序组件接收的数据。启用那些组件是可选的。提供附加数据的组件包括:
为了 Kaspersky Managed Detection and Response 通过 Kaspersky Security Center Web Console 与管理服务器协作,您还必须建立新的安全连接,一个后台连接。Kaspersky Managed Detection and Response 在您部署解决方案时提示您建立后台连接。确保后台连接已建立。对于 Kaspersky Security Center 与其他 Kaspersky 解决方案整合的详情,请参阅 Kaspersky Security Center 帮助。
与 Kaspersky Managed Detection and Response 的整合包括以下步骤:
如果您正在使用 Kaspersky Security Center 云控制台则跳过此步骤。Kaspersky Security Center 云控制台在安装 MDR 插件时自动配置本地卡巴斯基安全网络。
私人 KSN 支持计算机与卡巴斯基安全网络专用服务器的数据交换,但不是全局 KSN。
在管理服务器属性中上传卡巴斯基安全网络配置文件。卡巴斯基安全网络配置文件存在于 MDR 配置文件的 ZIP 存档中。您可以在 Kaspersky Managed Detection and Response 控制台获取 ZIP 存档。对于配置私有卡巴斯基安全网络的详情,请参考Kaspersky Security Center 帮助。您也可以从命令行上传卡巴斯基安全网络配置文件到计算机(参见以下说明)。
结果,Kaspersky Endpoint Security 将使用私有 KSN 决定文件、应用程序和网站的信誉。卡巴斯基安全网络区域中的策略设置将显示以下操作状态:KSN 网络:私人 KSN。
您必须启用扩展 KSN 模式以便 Managed Detection and Response 正常工作。
在 Kaspersky Endpoint Security 策略中加载 BLOB 配置文件(参见以下说明)。BLOB 文件包含客户端 ID 和 Kaspersky Managed Detection and Response 的授权许可信息。BLOB 文件存在于 MDR 配置文件的 ZIP 存档中。您可以在 Kaspersky Managed Detection and Response 控制台获取 ZIP 存档。对于 BLOB 文件的详情,请参考 Kaspersky Managed Detection and Response 帮助。
如何在管理控制台 (MMC) 中启用 Managed Detection and Response 组件
如何在 Web Console 和云控制台中启用 Managed Detection and Response 组件
如何从命令行启用 Managed Detection and Response 组件
结果,Kaspersky Endpoint Security 将检查 BLOB 文件。BLOB 文件验证包括检查数字签名和授权许可条款。如果 BLOB 文件被成功验证,Kaspersky Endpoint Security 将上传文件并在与 Kaspersky Security Center 的下次同步过程中发送该文件到计算机。通过查看应用程序组件状态报告检查组件的操作状态。您也可以利用 Kaspersky Endpoint Security 的本地界面在报告中查看组件的操作状态。Managed Detection and Response 组件将被添加到 Kaspersky Endpoint Security 组件列表。