Kaspersky Managed Detection and Response
- Справка Kaspersky Managed Detection and Response
- Что нового
- О решении Kaspersky Managed Detection and Response
- Аппаратные и программные требования
- Архитектура Kaspersky Managed Detection and Response
- Интерфейс Kaspersky Managed Detection and Response
- Раздел MDR в Kaspersky Security Center
- Настройка плагина MDR в Kaspersky Security Center
- Настройка плагина MDR
- Настройка прав доступа в Kaspersky Security Center
- Просмотр и изменение параметров MDR в Kaspersky Security Center
- Использование функций плагина MDR на виртуальном Сервере администрирования
- Использование функций MDR в Kaspersky Security Center с помощью прокси-сервера
- Изменение сертификатов для использования функций MDR в Kaspersky Security Center с прокси-сервером или антивирусным приложением
- Скрытие и отображение функций MDR в Kaspersky Security Center
- Настройка плагина MDR в Kaspersky Security Center
- Консоль MDR
- Переключение языка интерфейса в Kaspersky Security Center
- Переключение языка для уведомлений и отчетов в Kaspersky Security Center
- Переключение языка интерфейса в Консоли MDR
- Раздел MDR в Kaspersky Security Center
- Активация Kaspersky Managed Detection and Response
- Деактивация Kaspersky Managed Detection and Response
- Развертывание Kaspersky Managed Detection and Response
- О конфигурационном файле MDR
- Лицензирование
- Предоставление данных
- О Kaspersky Security Network
- Панели мониторинга в Консоли MDR
- Получение сводной информации
- Получение уведомлений
- Управление пользователями
- Управление активами
- Управление инцидентами
- Об инцидентах
- Просмотр и поиск инцидентов в Консоли MDR
- Фильтрация инцидентов в Консоли MDR
- Создание пользовательских инцидентов в Консоли MDR
- Просмотр подробной информации об инцидентах в Консоли MDR
- Типы реагирования на инциденты
- Обработка реагирования на инциденты в Консоли MDR
- Автоматическое подтверждение действий по реагированию в Консоли MDR
- Автоматическое применение действий по реагированию в Kaspersky Security Center
- Закрытие инцидентов в Консоли MDR
- Использование функций Kaspersky Endpoint Detection and Response Optimum
- Мультитенантность
- Управление решением с помощью REST API
- Сценарий: авторизация на основе токенов
- Создание API-подключения в Kaspersky Security Center
- Создание API-подключения в Консоли MDR
- Изменение API-подключения в Kaspersky Security Center
- Изменение API-подключения в Консоли MDR
- Создание токена доступа в Kaspersky Security Center
- Создание токена доступа в Консоли MDR
- Работа с REST API
- Отзыв обновления токена в Kaspersky Security Center
- Удаление API-подключения в Kaspersky Security Center
- Удаление API-подключения в Консоли MDR
- Известные проблемы
- Обращение в Службу технической поддержки
- Источники информации о решении
- Глоссарий
- Информация о стороннем коде
- Уведомления о товарных знаках
Развертывание с помощью Kaspersky Security Center
Предварительные требования
- ИТ-инфраструктура должна соответствовать аппаратным и программным требованиям Kaspersky Managed Detection and Response.
- На каждом активе, который требуется защитить, должен быть разрешен исходящий незашифрованный сетевой трафик для портов 443 и 1443, а проверка трафика должна быть выключена. Эти порты используются для передачи данных телеметрии от активов на следующие серверы "Лаборатории Касперского":
- *.ksn.kaspersky-labs.com
- ksn-*.kaspersky-labs.com
- ds.kaspersky.com
Развертывание Kaspersky Managed Detection and Response с помощью Kaspersky Security Center состоит из следующих шагов:
- Активация решения
Активируйте решение Kaspersky Managed Detection and Response с использованием вашей лицензии.
- Установка EPP-программ
Убедитесь, что на активах установлены EPP-программы, которые поддерживают функции Kaspersky Managed Detection and Response.
- Скачивание конфигурационного файла MDR
Скачайте конфигурационный файл MDR для вашей организации или отдельные архивы для каждого тенанта из раздела Tenants в Консоли MDR.
Начиная с версии Kaspersky Endpoint Security для Windows 12.6, если у вас есть только корневой тенант и вы не используете решение MDR вместе с Kaspersky Endpoint Detection and Response Optimum, вам не нужно загружать конфигурационный файл MDR. См. инструкцию для Kaspersky Endpoint Security для Windows на шаге 5.
- Конфигурация Kaspersky Private Security Network (KPSN).
Настройте KPSN на активах, используя конфигурационный файл KSN из файла конфигурации MDR.
Этот шаг гарантирует отправку телеметрии на выделенные серверы, соответствующие требованиям Общего регламента по защите данных (GDPR). Если вы не настроите KPSN, телеметрия не будет передаваться и услуга Kaspersky Managed Detection and Response не будет предоставлена.
- Интеграция с EPP-программами
Выполните сценарии развертывания для всех приложений "Лаборатории Касперского", установленных на ваших активах.
- Kaspersky Endpoint Security для Windows
Развертывание зависит от того, какая версия Kaspersky Endpoint Security для Windows установлена на ваших активах. Если в вашей инфраструктуре установлено несколько версий Kaspersky Endpoint Security для Windows, можно выполнять сценарии для этих версий в любом порядке.
Если у вас есть только корневой тенант, вы можете не загружать конфигурационный файл MDR, а добавить и распространить лицензионный ключ прямо в Kaspersky Security Center.
Чтобы развернуть Kaspersky Managed Detection and Response в Kaspersky Endpoint Security для Windows 12.6 и выше:
- Убедитесь, что все ваши активы принадлежат корневому тенанту.
- Проверьте, обновлен ли Kaspersky Endpoint Security для Windows на всех активах до версии 12.6 или выше.
- Убедитесь, что компонент Kaspersky Managed Detection and Response включен в Kaspersky Endpoint Security для Windows на всех активах.
- Добавьте лицензионный ключ в хранилище лицензионных ключей Kaspersky Security Center.
- Распространите лицензионный ключ на активы автоматически или с помощью задачи Добавить лицензионный ключ.
Подробнее об одновременном использовании решений MDR и EDR Optimum см. в справке Kaspersky Endpoint Security для Windows.
Kaspersky Endpoint Security для Windows версий 11.6–12.5 и выше с несколькими тенантами
Если вы переключаетесь на встроенные функции MDR в Kaspersky Endpoint Security для Windows после работы с решением с использованием функций Kaspersky Endpoint Agent, обязательно выключите Kaspersky Managed Detection and Response в политике Kaspersky Endpoint Agent после настройки интеграции с Kaspersky Managed Detection and Response в политике Kaspersky Endpoint Security для Windows для всех активов с Kaspersky Endpoint Security для Windows 11.6 и выше.
Обратите внимание, что если та же политика применяется к активам с Kaspersky Endpoint Security для Windows версии 11.5 и ниже, необходимо сначала создать и настроить отдельную политику для этих активов, чтобы поддерживать их интеграцию с Kaspersky Managed Detection and Response с помощью политики Kaspersky Endpoint Agent.
Kaspersky Endpoint Security для Windows 11.0–11.5
- Создайте задачу Удаленная установка приложения в Kaspersky Security Center. В окне Выбор дистрибутива для установки выберите BAT-файл из файла конфигурации MDR.
- Запустите задачу вручную или дождитесь ее запуска по расписанию, указанному в параметрах задачи.
Убедитесь, что задача выполняется на всех активах.
- Настройте Kaspersky Endpoint Security для Windows на ваших активах.
Должны быть включены следующие компоненты:
- Kaspersky Security Network
В параметрах Kaspersky Security Network установите флажок Включить расширенный режим KSN.
- Анализ поведения
Включение этих компонентов обязательно. В противном случае Kaspersky Managed Detection and Response не будет работать, поскольку будет невозможна отправка телеметрии.
Кроме того, Kaspersky Managed Detection and Response может использовать данные следующих компонентов:
- Защита от веб-угроз
- Защита от почтовых угроз
- Сетевой экран
Включение этих компонентов не является обязательным. Если эти компоненты останутся выключенными, Kaspersky Managed Detection and Response продолжит отправлять телеметрию, но с ограниченными данными.
- Kaspersky Security Network
- Если вы включили Сетевой экран в Kaspersky Endpoint Security для Windows, создайте правило Сетевого экрана со следующими свойствами:
- В раскрывающемся списке Действие выберите пункт Разрешить.
- В раскрывающемся списке Направление выберите значение Входящее / исходящее.
- В раскрывающихся списках Удаленные адреса и Локальные адреса выберите пункт Любой адрес.
После создания правила переместите его, чтобы оно стало первым в списке правил.
- Убедитесь, что Kaspersky Endpoint Agent установлен в составе Kaspersky Endpoint Security для Windows.
Установка Kaspersky Endpoint Agent может быть выполнена:
- В процессе установки Kaspersky Endpoint Security для Windows.
- После установки Kaspersky Endpoint Security для Windows.
- Проверьте актуальность версии Kaspersky Endpoint Agent для Windows и при необходимости обновите ее.
Для работы Kaspersky Endpoint Security для Windows 11.5 требуется Kaspersky Endpoint Agent версии 3.10 или выше.
- Настройте решение Kaspersky Endpoint Detection and Response Optimum.
- Создайте политику Kaspersky Endpoint Agent.
- Настройка интеграции между Kaspersky Endpoint Agent для Windows и Kaspersky Managed Detection and Response путем загрузки файла BLOB из файла конфигурации MDR в политику Kaspersky Endpoint Agent.
- Настройте Kaspersky Endpoint Security для Windows на ваших активах.
Должны быть включены следующие компоненты:
- Kaspersky Security Network
В параметрах Kaspersky Security Network установите флажок Включить расширенный режим KSN.
- Анализ поведения
Включение этих компонентов обязательно. В противном случае Kaspersky Managed Detection and Response не будет работать, поскольку будет невозможна отправка телеметрии.
Кроме того, Kaspersky Managed Detection and Response может использовать данные следующих компонентов:
- Защита от веб-угроз
- Защита от почтовых угроз
- Сетевой экран
Включение этих компонентов не является обязательным. Если эти компоненты останутся выключенными, Kaspersky Managed Detection and Response продолжит отправлять телеметрию, но с ограниченными данными.
- Kaspersky Security Network
- Если вы включили Сетевой экран в Kaspersky Endpoint Security для Windows, создайте правило Сетевого экрана со следующими свойствами:
- В раскрывающемся списке Действие выберите пункт Разрешить.
- В раскрывающемся списке Направление выберите значение Входящее / исходящее.
- В раскрывающихся списках Удаленные адреса и Локальные адреса выберите пункт Любой адрес.
После создания правила переместите его, чтобы оно стало первым в списке правил.
- Kaspersky Endpoint Security для Linux
- Kaspersky Endpoint Security для Mac
- Kaspersky Security для Windows Server
Развертывание зависит от того, какая версия Kaspersky Security для Windows Server установлена на ваших активах. Если в вашей инфраструктуре установлено несколько версий Kaspersky Security для Windows Server, можно выполнять сценарии для этих версий в любом порядке.
Kaspersky Security для Windows Server 11 и выше
- Убедитесь, что Kaspersky Endpoint Agent для Windows установлен в составе Kaspersky Security для Windows Server.
Установка Kaspersky Endpoint Agent для Windows может быть выполнена:
- В процессе установки Kaspersky Security для Windows Server
- После установки Kaspersky Security для Windows Server
- Проверьте актуальность версии Kaspersky Endpoint Agent для Windows и при необходимости обновите ее.
- Создайте политику Kaspersky Endpoint Agent для Windows с помощью Kaspersky Security Center.
- Чтобы настроить интеграцию Kaspersky Endpoint Agent для Windows и Kaspersky Managed Detection and Response, загрузите файл BLOB из файла конфигурации MDR в политику.
- Настройте Kaspersky Security для Windows Server на ваших активах. Каждый шаг можно выполнить локально в Kaspersky Security для Windows Server на каждом из активов или глобально в Kaspersky Security Center.
- Запустите задачу Использование KSN.
Запуск задачи Использование KSN позволяет использовать Kaspersky Security Network в Kaspersky Security для Windows Server.
В окне Обработка данных задачи Использование KSN установите все флажки на всех вкладках.
В окне Параметры задачи Использование KSN на вкладке Управление задачами установите флажок Запускать по расписанию. В раскрывающемся списке Периодичность выберите пункт При запуске приложения.
Убедитесь, что в подразделе Использование KSN отображается закрытый замок. Закрытый замок означает, что политика устанавливает указанные параметры для активов.
- Запустите задачу Защита трафика.
Запуск задачи Защита трафика позволяет обрабатывать веб-трафик (включая трафик, получаемый по электронной почте), а также перехватывать и проверять объекты, передаваемые через веб-трафик, для обнаружения известных компьютерных и других угроз на защищаемом устройстве.
В окне Параметры задачи Защита трафика на вкладке Общие в раскрывающемся списке Режим задачи выберите значение Драйверный перехват.
В окне Параметры задачи Защита трафика на вкладке Управление задачами установите флажок Запускать по расписанию. В раскрывающемся списке Периодичность выберите пункт При запуске приложения.
Убедитесь, что в подразделе Защита трафика отображается закрытый замок. Закрытый замок означает, что политика устанавливает указанные параметры для активов.
- Запустите задачу Контроль запуска приложений.
Запуск задачи Контроль запуска приложений позволяет отслеживать попытки пользователей запускать приложения, а также разрешает или запрещает запуск этих приложений.
В окне Параметры задачи Контроль запуска приложений на вкладке Общие установите флажки Контролировать загрузку DLL-модулей и Разрешать запуск приложений, доверенных в KSN.
В окне Параметры задачи Контроль запуска приложений на вкладке Управление задачами установите флажок Запускать по расписанию. В раскрывающемся списке Периодичность выберите пункт При запуске приложений.
Убедитесь, что в подразделе Контроль запуска приложений отображается закрытый замок. Закрытый замок означает, что политика устанавливает указанные параметры для активов.
- Запустите задачу Использование KSN.
Kaspersky Security для Windows Server 10.1.*
- Убедитесь, что вы установили Kaspersky Endpoint Agent для Windows как автономное приложение.
- Проверьте актуальность версии Kaspersky Endpoint Agent для Windows и при необходимости обновите ее.
- Создайте политику Kaspersky Endpoint Agent для Windows с помощью Kaspersky Security Center.
- Чтобы настроить интеграцию Kaspersky Endpoint Agent для Windows и Kaspersky Managed Detection and Response, загрузите файл BLOB из файла конфигурации MDR в политику.
- Настройте Kaspersky Security для Windows Server на ваших активах. Каждый шаг можно выполнить локально в Kaspersky Security для Windows Server на каждом из активов или глобально в Kaspersky Security Center.
- Запустите задачу Использование KSN.
Запуск задачи Использование KSN позволяет использовать Kaspersky Security Network в Kaspersky Security для Windows Server.
В окне Обработка данных задачи Использование KSN установите все флажки на всех вкладках.
В окне Параметры задачи Использование KSN на вкладке Управление задачами установите флажок Запускать по расписанию. В раскрывающемся списке Периодичность выберите пункт При запуске приложения.
Убедитесь, что в подразделе Использование KSN отображается закрытый замок. Закрытый замок означает, что политика устанавливает указанные параметры для активов.
- Запустите задачу Защита трафика.
Запуск задачи Защита трафика позволяет обрабатывать веб-трафик (включая трафик, получаемый по электронной почте), а также перехватывать и проверять объекты, передаваемые через веб-трафик, для обнаружения известных компьютерных и других угроз на защищаемом устройстве.
В окне Параметры задачи Защита трафика на вкладке Общие в раскрывающемся списке Режим задачи выберите значение Драйверный перехват.
В окне Параметры задачи Защита трафика на вкладке Управление задачами установите флажок Запускать по расписанию. В раскрывающемся списке Периодичность выберите пункт При запуске приложения.
Убедитесь, что в подразделе Защита трафика отображается закрытый замок. Закрытый замок означает, что политика устанавливает указанные параметры для активов.
- Запустите задачу Контроль запуска приложений.
Запуск задачи Контроль запуска приложений позволяет отслеживать попытки пользователей запускать приложения, а также разрешает или запрещает запуск этих приложений.
В окне Параметры задачи Контроль запуска приложений на вкладке Общие установите флажки Контролировать загрузку DLL-модулей и Разрешать запуск приложений, доверенных в KSN.
В окне Параметры задачи Контроль запуска приложений на вкладке Управление задачами установите флажок Запускать по расписанию. В раскрывающемся списке Периодичность выберите пункт При запуске приложений.
Убедитесь, что в подразделе Контроль запуска приложений отображается закрытый замок. Закрытый замок означает, что политика устанавливает указанные параметры для активов.
- Запустите задачу Использование KSN.
- Убедитесь, что Kaspersky Endpoint Agent установлен в составе Kaspersky Endpoint Security для Windows.
Установка Kaspersky Endpoint Agent может быть выполнена:
- В процессе установки Kaspersky Endpoint Security для Windows.
- После установки Kaspersky Endpoint Security для Windows.
- Проверьте актуальность версии Kaspersky Endpoint Agent для Windows и при необходимости обновите ее.
Для работы Kaspersky Endpoint Security для Windows 11.5 требуется Kaspersky Endpoint Agent версии 3.10 или выше.
- Настройте решение Kaspersky Endpoint Detection and Response Optimum.
- Создайте политику Kaspersky Endpoint Agent.
- Настройка интеграции между Kaspersky Endpoint Agent для Windows и Kaspersky Managed Detection and Response путем загрузки файла BLOB из файла конфигурации MDR в политику Kaspersky Endpoint Agent.
- Настройте Kaspersky Endpoint Security для Windows на ваших активах.
Должны быть включены следующие компоненты:
- Kaspersky Security Network
В параметрах Kaspersky Security Network установите флажок Включить расширенный режим KSN.
- Анализ поведения
Включение этих компонентов обязательно. В противном случае Kaspersky Managed Detection and Response не будет работать, поскольку будет невозможна отправка телеметрии.
Кроме того, Kaspersky Managed Detection and Response может использовать данные следующих компонентов:
- Защита от веб-угроз
- Защита от почтовых угроз
- Сетевой экран
Включение этих компонентов не является обязательным. Если эти компоненты останутся выключенными, Kaspersky Managed Detection and Response продолжит отправлять телеметрию, но с ограниченными данными.
- Kaspersky Security Network
- Если вы включили Сетевой экран в Kaspersky Endpoint Security для Windows, создайте правило Сетевого экрана со следующими свойствами:
- В раскрывающемся списке Действие выберите пункт Разрешить.
- В раскрывающемся списке Направление выберите значение Входящее / исходящее.
- В раскрывающихся списках Удаленные адреса и Локальные адреса выберите пункт Любой адрес.
После создания правила переместите его, чтобы оно стало первым в списке правил.
- Убедитесь, что Kaspersky Endpoint Agent для Windows установлен в составе Kaspersky Security для Windows Server.
- Kaspersky Security для виртуальных сред 5.2 Легкий агент
- Kaspersky Security для виртуальных сред 5.2 Легкий агент
- При использовании Kaspersky Endpoint Detection and Response Optimum (для Kaspersky Endpoint Security для Windows 11.6 и ниже)
- Убедитесь, что Kaspersky Endpoint Agent установлен в составе Kaspersky Endpoint Security для Windows.
Установка Kaspersky Endpoint Agent может быть выполнена:
- В процессе установки Kaspersky Endpoint Security для Windows.
- После установки Kaspersky Endpoint Security для Windows.
- Проверьте актуальность версии Kaspersky Endpoint Agent для Windows и при необходимости обновите ее.
Для работы Kaspersky Endpoint Security для Windows 11.5 требуется Kaspersky Endpoint Agent версии 3.10 или выше.
- Настройте решение Kaspersky Endpoint Detection and Response Optimum.
- Создайте политику Kaspersky Endpoint Agent.
- Настройка интеграции между Kaspersky Endpoint Agent для Windows и Kaspersky Managed Detection and Response путем загрузки файла BLOB из файла конфигурации MDR в политику Kaspersky Endpoint Agent.
- Настройте Kaspersky Endpoint Security для Windows на ваших активах.
Должны быть включены следующие компоненты:
- Kaspersky Security Network
В параметрах Kaspersky Security Network установите флажок Включить расширенный режим KSN.
- Анализ поведения
Включение этих компонентов обязательно. В противном случае Kaspersky Managed Detection and Response не будет работать, поскольку будет невозможна отправка телеметрии.
Кроме того, Kaspersky Managed Detection and Response может использовать данные следующих компонентов:
- Защита от веб-угроз
- Защита от почтовых угроз
- Сетевой экран
Включение этих компонентов не является обязательным. Если эти компоненты останутся выключенными, Kaspersky Managed Detection and Response продолжит отправлять телеметрию, но с ограниченными данными.
- Kaspersky Security Network
- Если вы включили Сетевой экран в Kaspersky Endpoint Security для Windows, создайте правило Сетевого экрана со следующими свойствами:
- В раскрывающемся списке Действие выберите пункт Разрешить.
- В раскрывающемся списке Направление выберите значение Входящее / исходящее.
- В раскрывающихся списках Удаленные адреса и Локальные адреса выберите пункт Любой адрес.
После создания правила переместите его, чтобы оно стало первым в списке правил.
- Убедитесь, что Kaspersky Endpoint Agent установлен в составе Kaspersky Endpoint Security для Windows.
Установка Kaspersky Endpoint Agent может быть выполнена:
- В процессе установки Kaspersky Endpoint Security для Windows.
- После установки Kaspersky Endpoint Security для Windows.
- Проверьте актуальность версии Kaspersky Endpoint Agent для Windows и при необходимости обновите ее.
Для работы Kaspersky Endpoint Security для Windows 11.5 требуется Kaspersky Endpoint Agent версии 3.10 или выше.
- Настройте решение Kaspersky Endpoint Detection and Response Optimum.
- Создайте политику Kaspersky Endpoint Agent.
- Настройка интеграции между Kaspersky Endpoint Agent для Windows и Kaspersky Managed Detection and Response путем загрузки файла BLOB из файла конфигурации MDR в политику Kaspersky Endpoint Agent.
- Настройте Kaspersky Endpoint Security для Windows на ваших активах.
Должны быть включены следующие компоненты:
- Kaspersky Security Network
В параметрах Kaspersky Security Network установите флажок Включить расширенный режим KSN.
- Анализ поведения
Включение этих компонентов обязательно. В противном случае Kaspersky Managed Detection and Response не будет работать, поскольку будет невозможна отправка телеметрии.
Кроме того, Kaspersky Managed Detection and Response может использовать данные следующих компонентов:
- Защита от веб-угроз
- Защита от почтовых угроз
- Сетевой экран
Включение этих компонентов не является обязательным. Если эти компоненты останутся выключенными, Kaspersky Managed Detection and Response продолжит отправлять телеметрию, но с ограниченными данными.
- Kaspersky Security Network
- Если вы включили Сетевой экран в Kaspersky Endpoint Security для Windows, создайте правило Сетевого экрана со следующими свойствами:
- В раскрывающемся списке Действие выберите пункт Разрешить.
- В раскрывающемся списке Направление выберите значение Входящее / исходящее.
- В раскрывающихся списках Удаленные адреса и Локальные адреса выберите пункт Любой адрес.
После создания правила переместите его, чтобы оно стало первым в списке правил.
- Убедитесь, что Kaspersky Endpoint Agent установлен в составе Kaspersky Endpoint Security для Windows.
- Kaspersky Anti-Targeted Attack Platform
Kaspersky Managed Detection and Response позволят выполнять анализ и мониторинг данных, получаемых от Kaspersky Anti-Targeted Attack (KATA) Platform.
Интеграция с Kaspersky Anti-Targeted Attack Platform недоступна при использовании лицензионного ключа для региона Саудовская Аравия.
Чтобы настроить интеграцию Kaspersky Managed Detection and Response с Kaspersky Anti-Targeted Attack Platform, сначала необходимо получить конфигурационный файл MDR. Информация о настройке интеграции приведена в справке Kaspersky Anti-Targeted Attack Platform.
Kaspersky Anti-Targeted Attack Platform не является частью Kaspersky Managed Detection and Response. Для использования приложения Kaspersky Anti-Targeted Attack Platform ее необходимо приобрести отдельно.
Если в инфраструктуре установлено несколько приложений "Лаборатории Касперского", можно выполнять сценарии для определенных приложений в любом порядке.
Вы можете проверить статус активов с помощью функции Работоспособность MDR.
- Kaspersky Endpoint Security для Windows