Kaspersky Managed Detection and Response
- Справка Kaspersky Managed Detection and Response
- Что нового
- О решении Kaspersky Managed Detection and Response
- Аппаратные и программные требования
- Архитектура Kaspersky Managed Detection and Response
- Интерфейс Kaspersky Managed Detection and Response
- Раздел MDR в Kaspersky Security Center
- Настройка плагина MDR в Kaspersky Security Center
- Настройка плагина MDR
- Настройка прав доступа в Kaspersky Security Center
- Просмотр и изменение параметров MDR в Kaspersky Security Center
- Использование функций плагина MDR на виртуальном Сервере администрирования
- Использование функций MDR в Kaspersky Security Center с помощью прокси-сервера
- Изменение сертификатов для использования функций MDR в Kaspersky Security Center с прокси-сервером или антивирусным приложением
- Скрытие и отображение функций MDR в Kaspersky Security Center
- Настройка плагина MDR в Kaspersky Security Center
- Консоль MDR
- Переключение языка интерфейса в Kaspersky Security Center
- Переключение языка для уведомлений и отчетов в Kaspersky Security Center
- Переключение языка интерфейса в Консоли MDR
- Раздел MDR в Kaspersky Security Center
- Активация Kaspersky Managed Detection and Response
- Деактивация Kaspersky Managed Detection and Response
- Развертывание Kaspersky Managed Detection and Response
- О конфигурационном файле MDR
- Лицензирование
- Предоставление данных
- О Kaspersky Security Network
- Панели мониторинга в Консоли MDR
- Получение сводной информации
- Получение уведомлений
- Управление пользователями
- Управление активами
- Управление инцидентами
- Об инцидентах
- Просмотр и поиск инцидентов в Консоли MDR
- Фильтрация инцидентов в Консоли MDR
- Создание пользовательских инцидентов в Консоли MDR
- Просмотр подробной информации об инцидентах в Консоли MDR
- Типы реагирования на инциденты
- Обработка реагирования на инциденты в Консоли MDR
- Автоматическое подтверждение действий по реагированию в Консоли MDR
- Автоматическое применение действий по реагированию в Kaspersky Security Center
- Закрытие инцидентов в Консоли MDR
- Использование функций Kaspersky Endpoint Detection and Response Optimum
- Мультитенантность
- Управление решением с помощью REST API
- Сценарий: авторизация на основе токенов
- Создание API-подключения в Kaspersky Security Center
- Создание API-подключения в Консоли MDR
- Изменение API-подключения в Kaspersky Security Center
- Изменение API-подключения в Консоли MDR
- Создание токена доступа в Kaspersky Security Center
- Создание токена доступа в Консоли MDR
- Работа с REST API
- Отзыв обновления токена в Kaspersky Security Center
- Удаление API-подключения в Kaspersky Security Center
- Удаление API-подключения в Консоли MDR
- Известные проблемы
- Обращение в Службу технической поддержки
- Источники информации о решении
- Глоссарий
- Информация о стороннем коде
- Уведомления о товарных знаках
Просмотр и поиск активов в Консоли MDR
С помощью списка активов можно просматривать и выполнять поиск доступных активов.
Чтобы просмотреть список активов:
- В окне Консоли MDR перейдите к пункту Активы.
Откроется список активов. Каждая строка соответствует одному активу. Можно щелкнуть в любом месте строки, чтобы посмотреть информацию об активе.
Над списком могут отображаться следующие атрибуты актива:
- Имя актива
Сетевое имя компьютера.
По нажатию на Имя актива можно просмотреть информацию об активе в Kaspersky Security Center Web Console.
- Идентификатор актива
Уникальный идентификатор актива. Идентификатор актива автоматически формируется в Kaspersky Managed Detection and Response до первой отправки телеметрии активом.
- Приложения
Программы Endpoint Protection Platform (EPP), установленные на активе и настроенные для использования с Kaspersky Managed Detection and Response.
- Интерфейсы
Количество доступных сетевых интерфейсов устройства.
- Операционная система
Операционная система актива.
- Домен
Сетевой домен, которому принадлежит актив.
- Тенант
Имя тенанта, если актив принадлежит одному из тенантов. Если актив не принадлежит ни одному из тенантов, поле остается пустым.
- Последнее появление
Количество дней с момента последнего появления актива в Консоли.
Активы отсортированы в соответствии с этим значением в порядке убывания.
По умолчанию отображаются активы, видимые в сети за последние 30 дней. Можно увеличить этот временной интервал, отфильтровав активы.
- Статус.
Статус отражает текущее состояние актива. Для активов со статусами ОК, Предупреждение или Критический в приложении дополнительно перечислены проблемы (если были) за последние 72 часа.
Для активов с Kaspersky Endpoint Security для Windows в конфигурации Endpoint Detection and Response Agent (EDR Agent) статусы Предупреждение и Критический для компонентов защиты и управления не отображаются.
Актив может иметь один из следующих статусов:
- ОК (зеленый)
Телеметрия отправляется, защита полностью работоспособна.
- Внимание (желтый)
Возможные причины статуса Предупреждение:
- Незначительные потери телеметрии. См. статью Как избежать потери данных телеметрии от активов.
- По крайней мере, один из следующих компонентов EPP-программы на активе выключен или не установлен:
- Сетевой экран – узнайте, как включить или настроить этот компонент в Kaspersky Endpoint Security для Windows, Kaspersky Endpoint Security для Linux или Kaspersky Security для виртуальных сред Легкий агент.
- Защита от сетевых угроз – узнайте, как включить или настроить этот компонент в Kaspersky Endpoint Security для Windows, Kaspersky Endpoint Security для Linux или Kaspersky Endpoint Security для Mac.
- Защита от почтовых угроз и дополнительное расширение Microsoft Office Outlook – узнайте, как включить или настроить эти компоненты в Kaspersky Endpoint Security для Windows.
- Защита от веб-угроз – узнайте, как включить или настроить этот компонент в Kaspersky Endpoint Security для Windows, Kaspersky Endpoint Security для Linux, Kaspersky Endpoint Security для Mac или Kaspersky Security для виртуальных сред Легкий агент.
- Самозащита продукта – узнайте, как включить или настроить этот компонент в Kaspersky Endpoint Security для Windows или Kaspersky Security для виртуальных сред Легкий агент.
- Антивирусные базы не обновлялись более 7 дней.
Эти компоненты влияют на полноту отправляемой телеметрии. Если компонент выключен или отсутствует, Kaspersky Managed Detection and Response не отправляет события телеметрии, связанные с этим компонентом. Установленная EPP-программа может включать не все из перечисленных компонентов.
- Срок действия конфигурационного файла KSN истекает. В приложении отображается срок действия. Рассмотрите возможность обновления конфигурационного файла KSN. Если вы продолжите работу с текущим конфигурационным файлом, статус изменится на Критический за несколько дней до истечения срока его действия.
Статус Предупреждение применим к активам с установленным Kaspersky Endpoint Security для Windows 11 и выше, Kaspersky Endpoint Security для Linux 11.2 и выше, Kaspersky Endpoint Security для Mac 11.2 и выше, Kaspersky Security для виртуальных сред 5.2 Легкий агент и выше. Для активов с Kaspersky Endpoint Security для Windows в конфигурации Endpoint Detection and Response Agent (EDR Agent), этот статус не отображается.
- Критический (красный)
Возможные причины статуса Критический:
- Значительные потери телеметрии, данных телеметрии недостаточно для анализа. См. статью Как избежать потери данных телеметрии от активов.
- По крайней мере, один из следующих компонентов EPP-программы на активе выключен или не установлен:
- Мониторинг активности или Анализ поведения – узнайте, как включить или настроить эти компоненты в Kaspersky Endpoint Security для Windows, Kaspersky Endpoint Security для Linux или Kaspersky Security для виртуальных сред Легкий агент.
- Защита от файловых угроз— узнайте, как включить или настроить этот компонент в Kaspersky Endpoint Security для Windows, Kaspersky Endpoint Security для Linux, Kaspersky Endpoint Security для Mac или Kaspersky Security для виртуальных сред Легкий агент.
Если какой-либо из этих компонентов выключен или отсутствует, Kaspersky Managed Detection and Response прекращает отправку телеметрии с актива. Установленная EPP-программа может включать не все из перечисленных компонентов.
- Конфигурационный файл KSN скоро истекает или уже истек. В приложении отображается срок действия. Рассмотрите возможность обновления конфигурационного файла KSN.
Этот статус применим к активам с установленным Kaspersky Endpoint Security для Windows 11 и выше, Kaspersky Endpoint Security для Linux 11.2 и выше, Kaspersky Endpoint Security для Mac 11.2 и выше, Kaspersky Security для виртуальных сред 5.2 Легкий агент и выше. Для активов с Kaspersky Endpoint Security для Windows в конфигурации Endpoint Detection and Response Agent (EDR Agent), этот статус не отображается.
- Не в сети (черный).
Телеметрия не отправлялась более 7 дней (значение по умолчанию). Вы можете изменить количество дней отсутствия телеметрии, по истечении которых для актива будет отображаться статус Не в сети в разделе Параметры. Доступный диапазон: 2–29 дней.
Если вы видите статус Не в сети для ваших активов:
- Убедитесь, что компоненты EPP-программы, перечисленные в статусах Предупреждение и Критический, установлены и включены на активах.
- Убедитесь, что Kaspersky Managed Detection and Response правильно развернут в вашей инфраструктуре.
Статус Не в сети не применим к активам VDI (временным виртуальным машинам).
- Отсутствует (черный).
Отсутствие телеметрии более 30 дней для физических активов или более 24 часов для VDI-активов (временных виртуальных машин).
Если вы видите статус Отсутствует для ваших активов:
- Убедитесь, что компоненты EPP-программы, перечисленные в статусах Предупреждение и Критический, установлены и включены на активах.
- Убедитесь, что Kaspersky Managed Detection and Response правильно развернут в вашей инфраструктуре.
Вы можете скрыть активы со статусом Отсутствует в списке активов, в отчетах и в данных, полученных через API-интерфейс.
- ОК (зеленый)
- Имя актива
- Чтобы изменить количество активов, отображаемых на странице списка, выберите требуемое количество, нажав на ссылку Записей на странице в нижней части страницы.
Можно выбрать отображение по 10, 20 или 50 активов на странице.
Вы можете скрыть активы со статусом Отсутствует в списке активов, установив флажок в разделе Параметры.
Для перехода по списку активов выберите номер страницы под списком. Для перехода между соседними страницами используйте кнопки Назад и Вперед.
По умолчанию список активов содержит активы, доступные в Консоли за последние 30 дней.
Чтобы изменить этот период:
- Нажмите на значок воронки, расположенный над списком.
- Справа в панели Фильтр выберите период в поле Последнее появление.
- Нажмите на кнопку Сохранить.
Поиск активов можно выполнить, выбрав значок лупы, расположенный рядом со значком воронки над списком активов.
|
См. также |