Kaspersky Managed Detection and Response
- Справка Kaspersky Managed Detection and Response
- Что нового
- О решении Kaspersky Managed Detection and Response
- Аппаратные и программные требования
- Архитектура Kaspersky Managed Detection and Response
- Интерфейс Kaspersky Managed Detection and Response
- Раздел MDR в Kaspersky Security Center
- Настройка плагина MDR в Kaspersky Security Center
- Настройка плагина MDR
- Настройка прав доступа в Kaspersky Security Center
- Просмотр и изменение параметров MDR в Kaspersky Security Center
- Использование функций плагина MDR на виртуальном Сервере администрирования
- Использование функций MDR в Kaspersky Security Center с помощью прокси-сервера
- Изменение сертификатов для использования функций MDR в Kaspersky Security Center с прокси-сервером или антивирусным приложением
- Скрытие и отображение функций MDR в Kaspersky Security Center
- Настройка плагина MDR в Kaspersky Security Center
- Консоль MDR
- Переключение языка интерфейса в Kaspersky Security Center
- Переключение языка для уведомлений и отчетов в Kaspersky Security Center
- Переключение языка интерфейса в Консоли MDR
- Раздел MDR в Kaspersky Security Center
- Активация Kaspersky Managed Detection and Response
- Деактивация Kaspersky Managed Detection and Response
- Развертывание Kaspersky Managed Detection and Response
- О конфигурационном файле MDR
- Лицензирование
- Предоставление данных
- О Kaspersky Security Network
- Панели мониторинга в Консоли MDR
- Получение сводной информации
- Получение уведомлений
- Управление пользователями
- Управление активами
- Управление инцидентами
- Об инцидентах
- Просмотр и поиск инцидентов в Консоли MDR
- Фильтрация инцидентов в Консоли MDR
- Создание пользовательских инцидентов в Консоли MDR
- Просмотр подробной информации об инцидентах в Консоли MDR
- Типы реагирования на инциденты
- Обработка реагирования на инциденты в Консоли MDR
- Автоматическое подтверждение действий по реагированию в Консоли MDR
- Автоматическое применение действий по реагированию в Kaspersky Security Center
- Закрытие инцидентов в Консоли MDR
- Использование функций Kaspersky Endpoint Detection and Response Optimum
- Мультитенантность
- Управление решением с помощью REST API
- Сценарий: авторизация на основе токенов
- Создание API-подключения в Kaspersky Security Center
- Создание API-подключения в Консоли MDR
- Изменение API-подключения в Kaspersky Security Center
- Изменение API-подключения в Консоли MDR
- Создание токена доступа в Kaspersky Security Center
- Создание токена доступа в Консоли MDR
- Работа с REST API
- Отзыв обновления токена в Kaspersky Security Center
- Удаление API-подключения в Kaspersky Security Center
- Удаление API-подключения в Консоли MDR
- Известные проблемы
- Обращение в Службу технической поддержки
- Источники информации о решении
- Глоссарий
- Информация о стороннем коде
- Уведомления о товарных знаках
Фильтрация активов в Консоли MDR
Можно создавать фильтры и применять их к списку активов.
Чтобы создать фильтр для списка активов:
- В Консоли MDR перейдите в разделу Активы.
Откроется список активов.
- Нажмите на значок воронки, расположенный над списком активов.
Отобразится меню Фильтр.
Параметры, доступные для фильтрации:
- Последнее появление
Момент, последнего появления актива в Консоли.
- Имя актива.
Доступные имена активов.
Имя актива – это сетевое имя компьютера.
- Тенант
Доступные названия тенантов.
Чтобы просмотреть список активов, не назначенных ни одному из ваших тенантов, выберите значение Не имеет тенантов.
Наряду с выбором значения Не имеет тенантов можно указать названия тенантов.
- Статус.
Статус отражает текущее состояние актива. Для активов со статусами ОК, Предупреждение или Критический в приложении дополнительно перечислены проблемы (если были) за последние 72 часа.
Для активов с Kaspersky Endpoint Security для Windows в конфигурации Endpoint Detection and Response Agent (EDR Agent) статусы Предупреждение и Критический для компонентов защиты и управления не отображаются.
Актив может иметь один из следующих статусов:
- ОК (зеленый)
Телеметрия отправляется, защита полностью работоспособна.
- Внимание (желтый)
Незначительные потери телеметрии. См. статью Как избежать потери данных телеметрии от активов.
Возможные причины статуса Предупреждение:
- По крайней мере, один из следующих компонентов EPP-программы на активе выключен или не установлен:
- Сетевой экран – узнайте, как включить или настроить этот компонент в Kaspersky Endpoint Security для Windows, Kaspersky Endpoint Security для Linux или Kaspersky Security для виртуальных сред Легкий агент.
- Защита от сетевых угроз – узнайте, как включить или настроить этот компонент в Kaspersky Endpoint Security для Windows, Kaspersky Endpoint Security для Linux или Kaspersky Endpoint Security для Mac.
- Защита от почтовых угроз и дополнительное расширение Microsoft Office Outlook – узнайте, как включить или настроить эти компоненты в Kaspersky Endpoint Security для Windows.
- Защита от веб-угроз – узнайте, как включить или настроить этот компонент в Kaspersky Endpoint Security для Windows, Kaspersky Endpoint Security для Linux, Kaspersky Endpoint Security для Mac или Kaspersky Security для виртуальных сред Легкий агент.
- Самозащита продукта – узнайте, как включить или настроить этот компонент в Kaspersky Endpoint Security для Windows или Kaspersky Security для виртуальных сред Легкий агент.
- Антивирусные базы не обновлялись более 7 дней.
Эти компоненты влияют на полноту отправляемой телеметрии. Если компонент выключен или отсутствует, Kaspersky Managed Detection and Response не отправляет события телеметрии, связанные с этим компонентом. Установленная EPP-программа может включать не все из перечисленных компонентов.
- Срок действия конфигурационного файла KSN истекает. В приложении отображается срок действия. Рассмотрите возможность обновления конфигурационного файла KSN. Если вы продолжите работу с текущим конфигурационным файлом, статус изменится на Критический за несколько дней до истечения срока его действия.
Статус Предупреждение применим к активам с установленным Kaspersky Endpoint Security для Windows 11 и выше, Kaspersky Endpoint Security для Linux 11.2 и выше, Kaspersky Endpoint Security для Mac 11.2 и выше, Kaspersky Security для виртуальных сред 5.2 Легкий агент и выше. Для активов с Kaspersky Endpoint Security для Windows в конфигурации Endpoint Detection and Response Agent (EDR Agent), этот статус не отображается.
- По крайней мере, один из следующих компонентов EPP-программы на активе выключен или не установлен:
- Критический (красный)
Значительные потери телеметрии, данных телеметрии недостаточно для анализа. См. статью Как избежать потери данных телеметрии от активов.
Возможные причины статуса Критический:
- По крайней мере, один из следующих компонентов EPP-программы на активе выключен или не установлен:
- Мониторинг активности или Анализ поведения – узнайте, как включить или настроить эти компоненты в Kaspersky Endpoint Security для Windows, Kaspersky Endpoint Security для Linux или Kaspersky Security для виртуальных сред Легкий агент.
- Защита от файловых угроз— узнайте, как включить или настроить этот компонент в Kaspersky Endpoint Security для Windows, Kaspersky Endpoint Security для Linux, Kaspersky Endpoint Security для Mac или Kaspersky Security для виртуальных сред Легкий агент.
Если какой-либо из этих компонентов выключен или отсутствует, Kaspersky Managed Detection and Response прекращает отправку телеметрии с актива. Установленная EPP-программа может включать не все из перечисленных компонентов.
- Конфигурационный файл KSN скоро истекает или уже истек. В приложении отображается срок действия. Рассмотрите возможность обновления конфигурационного файла KSN.
Этот статус применим к активам с установленным Kaspersky Endpoint Security для Windows 11 и выше, Kaspersky Endpoint Security для Linux 11.2 и выше, Kaspersky Endpoint Security для Mac 11.2 и выше, Kaspersky Security для виртуальных сред 5.2 Легкий агент и выше. Для активов с Kaspersky Endpoint Security для Windows в конфигурации Endpoint Detection and Response Agent (EDR Agent), этот статус не отображается.
- По крайней мере, один из следующих компонентов EPP-программы на активе выключен или не установлен:
- Не в сети (черный).
Телеметрия не отправлялась более 7 дней (значение по умолчанию). Вы можете изменить количество дней отсутствия телеметрии, по истечении которых для актива будет отображаться статус Не в сети в разделе Параметры. Доступный диапазон: 2–29 дней.
Если вы видите статус Не в сети для ваших активов:
- Убедитесь, что компоненты EPP-программы, перечисленные в статусах Предупреждение и Критический, установлены и включены на активах.
- Убедитесь, что Kaspersky Managed Detection and Response правильно развернут в вашей инфраструктуре.
Статус Не в сети не применим к активам VDI (временным виртуальным машинам).
- Отсутствует (черный).
Отсутствие телеметрии более 30 дней для физических активов или более 24 часов для VDI-активов (временных виртуальных машин).
Если вы видите статус Отсутствует для ваших активов:
- Убедитесь, что компоненты EPP-программы, перечисленные в статусах Предупреждение и Критический, установлены и включены на активах.
- Убедитесь, что Kaspersky Managed Detection and Response правильно развернут в вашей инфраструктуре.
Вы можете скрыть активы со статусом Отсутствует в списке активов, в отчетах и в данных, полученных через API-интерфейс.
- ОК (зеленый)
- Изоляция
Показывает, включена ли сетевая изоляция. Допустимые значения фильтра:
- Изолировано
Сетевая изоляция включена.
- Не изолировано
Сетевая изоляция отключена.
- Изолировано
- Последнее появление
- Нажмите на кнопку Сохранить, чтобы применить созданный фильтр.
После применения фильтра в списке отобразятся только активы, соответствующие заданным параметрам фильтрации.
Вы можете скрыть активы со статусом Отсутствует в списке активов, установив флажок в разделе Параметры.