Kaspersky Managed Detection and Response
- Справка Kaspersky Managed Detection and Response
- Что нового
- О решении Kaspersky Managed Detection and Response
- Аппаратные и программные требования
- Архитектура Kaspersky Managed Detection and Response
- Интерфейс Kaspersky Managed Detection and Response
- Раздел MDR в Kaspersky Security Center
- Настройка плагина MDR в Kaspersky Security Center
- Настройка плагина MDR
- Настройка прав доступа в Kaspersky Security Center
- Просмотр и изменение параметров MDR в Kaspersky Security Center
- Использование функций плагина MDR на виртуальном Сервере администрирования
- Использование функций MDR в Kaspersky Security Center с помощью прокси-сервера
- Изменение сертификатов для использования функций MDR в Kaspersky Security Center с прокси-сервером или антивирусным приложением
- Скрытие и отображение функций MDR в Kaspersky Security Center
- Настройка плагина MDR в Kaspersky Security Center
- Консоль MDR
- Переключение языка интерфейса в Kaspersky Security Center
- Переключение языка для уведомлений и отчетов в Kaspersky Security Center
- Переключение языка интерфейса в Консоли MDR
- Раздел MDR в Kaspersky Security Center
- Активация Kaspersky Managed Detection and Response
- Деактивация Kaspersky Managed Detection and Response
- Развертывание Kaspersky Managed Detection and Response
- О конфигурационном файле MDR
- Лицензирование
- Предоставление данных
- О Kaspersky Security Network
- Панели мониторинга в Консоли MDR
- Получение сводной информации
- Получение уведомлений
- Управление пользователями
- Управление активами
- Управление инцидентами
- Об инцидентах
- Просмотр и поиск инцидентов в Консоли MDR
- Фильтрация инцидентов в Консоли MDR
- Создание пользовательских инцидентов в Консоли MDR
- Просмотр подробной информации об инцидентах в Консоли MDR
- Типы реагирования на инциденты
- Обработка реагирования на инциденты в Консоли MDR
- Автоматическое подтверждение действий по реагированию в Консоли MDR
- Автоматическое применение действий по реагированию в Kaspersky Security Center
- Закрытие инцидентов в Консоли MDR
- Использование функций Kaspersky Endpoint Detection and Response Optimum
- Мультитенантность
- Просмотр тенантов в Kaspersky Security Center
- Просмотр тенантов в Консоли MDR
- Просмотр параметров тенанта в Kaspersky Security Center
- Просмотр параметров тенанта в Консоли MDR
- Изменение параметров тенанта в Kaspersky Security Center
- Изменение параметров тенанта в Консоли MDR
- Добавление тенантов в Kaspersky Security Center
- Добавление тенантов в Консоли MDR
- Удаление тенантов в Kaspersky Security Center
- Удаление тенантов в Консоли MDR
- Перемещение активов от корневого тенанта к новому тенанту
- Разграничение прав доступа к тенантам
- Управление решением с помощью REST API
- Сценарий: авторизация на основе токенов
- Создание API-подключения в Kaspersky Security Center
- Создание API-подключения в Консоли MDR
- Изменение API-подключения в Kaspersky Security Center
- Изменение API-подключения в Консоли MDR
- Создание токена доступа в Kaspersky Security Center
- Создание токена доступа в Консоли MDR
- Работа с REST API
- Отзыв обновления токена в Kaspersky Security Center
- Удаление API-подключения в Kaspersky Security Center
- Удаление API-подключения в Консоли MDR
- Известные проблемы
- Обращение в Службу технической поддержки
- Источники информации о решении
- Глоссарий
- Информация о стороннем коде
- Уведомления о товарных знаках
Настройка параметров аудита для работы с Kaspersky Managed Detection and Response
Для стабильной работы и максимальной эффективности Kaspersky Managed Detection and Response рекомендуется настроить параметры аудита следующим образом:
- Настройка политики аудита событий Windows
Чтобы повысить эффективность работы Kaspersky Managed Detection and Response, необходимо настроить политику аудита событий Windows на активах.
Чтобы настроить политику аудита событий Windows:
- В Windows нажмите сочетание клавиш Win+R, чтобы открыть окно Выполнить.
- В поле Открыть введите
gpedit.msc
, и нажмите на клавишу Enter или на кнопку ОК. Откроется окно Редактор локальной групповой политики. - В дереве консоли выберите Конфигурация компьютера → Конфигурация Windows → Параметры безопасности → Конфигурация расширенной политики аудита → Политики аудита системы – Объект локальной групповой политики.
- Выберите узел Вход в учетные записи. В правой части окна укажите следующие значения:
Подкатегория
События аудита
Аудит проверки учетных данных
Успех и Отказ
Аудит службы аутентификации Kerberos
Успех и Отказ
Аудит операций с билетами службы Kerberos
Успех и Отказ
- Выберите узел Управление учетными записями. В правой части окна укажите следующие значения:
Подкатегория
События аудита
Аудит управления учетными записями компьютеров
Успех и Отказ
Аудит управления группами безопасности
Успех
Аудит управления учетными записями пользователей
Успех и Отказ
- Выберите узел Доступ к службе каталогов (DS). В правой части окна укажите следующие значения:
Подкатегория
События аудита
Аудит доступа к службе каталогов
Успех и Отказ
Аудит изменений службы каталогов
Успех и Отказ
- Выберите узел Вход/выход. В правой части окна укажите следующие значения:
Подкатегория
События аудита
Аудит блокировки учетных записей
Ошибка
Аудит входа в систему
Успех и Отказ
Аудит специального входа в систему
Успех и Отказ
- Выберите узел Доступ к объектам. В правой части окна укажите следующие значения:
Подкатегория
События аудита
Аудит служб по сертификации
Успех и Отказ
Аудит общих папок
Успех
Аудит подключения платформы фильтрации
Успех
Аудит других событий доступа к объектам
Успех
- Выберите узел Изменение политики. В правой части окна укажите следующие значения:
Подкатегория
События аудита
Аудит изменения политики
Успех
Аудит изменения политики на уровне правил MPSSVC
Успех
- Выберите узел Использование прав. В правой части окна укажите следующее значение:
Подкатегория
События аудита
Аудит использования прав, затрагивающих конфиденциальные данные
Успех
- Выберите узел Система. В правой части окна укажите следующие значения:
Подкатегория
События аудита
Аудит изменения состояния безопасности
Успех
Аудит расширения системы безопасности
Успех
- В дереве консоли выберите Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Windows PowerShell. В правой части окна укажите следующее значение:
Подкатегория
События аудита
Включить регистрацию блоков сценариев PowerShell
Включено
- Закройте окно Редактор локальной групповой политики.
Все изменения сохранятся автоматически.
Будет настроена политика аудита событий Windows для работы с Kaspersky Managed Detection and Response.
- Настройка аудита объектов Active Directory
Чтобы повысить эффективность работы Kaspersky Managed Detection and Response, необходимо настроить параметры аудита на контроллерах доменов Windows.
Чтобы настроить аудит для объектов Active Directory:
- В контроллере домена Windows нажмите сочетание клавиш Win+R, чтобы открыть окно Выполнить.
- В поле Открыть введите
dsa.msc
и нажмите на клавишу Enter или на кнопку OK. Откроется окно Пользователи и компьютеры Active Directory. - В дереве консоли нажмите правой кнопкой мыши в поле <доменное имя> и выберите Найти. Откроется окно Поиск пользователей, контактов и групп.
- Введите Администратор в поле Имя и нажмите на кнопку Найти.
- В области Результаты поиска нажмите правой кнопкой мыши объект Администратор и выберите Свойства → Безопасность → Дополнительно и перейдите на вкладку Аудит.
- Нажмите на кнопку Добавить, чтобы открыть окно Аудит для администратора. Нажмите на кнопку Выбрать участника, введите
Все
, нажмите на кнопку Проверить имена и ОК. - В окне Аудит записи для администратора установите флажки Список содержимого, Чтение разрешений, Смена разрешений, Смена владельца, Чтение всех свойств и Запись всех свойств.
- Нажмите OK → Применить → OK.
Аудит для объекта Администратора Active Directory теперь настроен для использования с Kaspersky Managed Detection and Response.
- Выполните те же действия для следующих используемых по умолчанию объектов Active Directory, а также для важных пользователей и групп домена, которые существуют и включены в вашей системе:
- Администраторы
- Группа с разрешением репликации паролей RODC
- Издатели сертификатов
- Клонируемые контроллеры домена
- Запрещенная группа репликации паролей RODC
- DnsAdmins
- DnsUpdateProxy
- Администраторы домена
- Компьютеры домена
- Контроллеры домена
- Администраторы предприятия
- Администраторы ключей предприятия
- Корпоративные контроллеры домена только для чтения
- Владельцы и создатели групповой политики
- Администраторы ключей
- krbtgt
- Защищенные пользователи
- Серверы RAS и IAS
- Контроллеры домена только для чтения
- Администраторы схемы
- Настройка аудита служб сертификации Active Directory, шаблонов сертификатов и объектов сертификатов
Чтобы повысить эффективность Kaspersky Managed Detection and Response, необходимо настроить параметры аудита служб сертификации Active Directory, шаблонов и объектов сертификатов на узлах с включенными службами сертификации Active Directory.
Чтобы настроить аудит служб сертификации Active Directory:
- Нажмите сочетание клавиш Win+R, чтобы открыть окно Выполнить.
- В поле Открыть введите
cmd
и нажмите клавишу Enter или кнопку OK. Откроется окно командной строки. - Чтобы настроить параметры аудита центра сертификации, введите следующие команды и нажмите Enter:
certutil -setreg CA\AuditFilter 127
certutil -setreg policy\EditFlags +EDITF_AUDITCERTTEMPLATELOAD
- Чтобы перезапустить службу сертификации, введите следующую команду и нажмите Enter:
net stop certsvc && net start certsvc
Чтобы настроить аудит безопасности для шаблонов сертификатов:
- Нажмите сочетание клавиш Win+R, чтобы открыть окно Выполнить.
- В поле Открыть введите
adsiedit.msc
и нажмите на клавишу Enter или на кнопку OK. - Нажмите правой кнопкой мыши ADSI Edit и выберите Подключиться к.
- В разделе Точка подключения выберите Конфигурация в поле Выбор известного контекста именования.
- Дважды щелкните Конфигурация/Схема на панели слева.
- Выберите папку CN=Configuration,DC=… → CN=Services → CN=Public Key Services → CN=Certificate Templates.
- Нажмите правой кнопкой мыши на папку CN=Certificate Templates, выберите Свойства и откройте вкладку Безопасность.
- Нажмите на кнопку Дополнительно и выберите вкладку Аудит.
- Нажмите на кнопку Все субъекты, установите флажки Запись всех свойств, Удаление, Смена разрешений, Смена владельца, Все проверенные операции записи и нажмите ОК.
Чтобы настроить аудит безопасности объекта NTAuthCertificates:
- В поле Открыть введите
adsiedit.msc
, и нажмите на клавишу Enter или на кнопку OK. - Нажмите правой кнопкой мыши ADSI Edit и выберите Подключиться к.
- В разделе Точка подключения выберите Конфигурация в поле Выбор известного контекста именования.
- Дважды щелкните Конфигурация/Схема на панели слева.
- Выберите папку CN=Configuration,DC=… → CN=Services → CN=Public Key Services → CN=NTAuthCertificates.
- Нажмите правой кнопкой мыши на папку CN=NTAuthCertificates, выберите Свойства и откройте вкладку Безопасность.
- Нажмите на кнопку Дополнительно и выберите вкладку Аудит.
- Нажмите на кнопку Все субъекты, установите флажки Запись всех свойств, Удаление, Смена разрешений, Смена владельца, Все проверенные операции записи и нажмите ОК.