Kaspersky Managed Detection and Response
- Справка Kaspersky Managed Detection and Response
- Что нового
- О решении Kaspersky Managed Detection and Response
- Аппаратные и программные требования
- Архитектура Kaspersky Managed Detection and Response
- Интерфейс Kaspersky Managed Detection and Response
- Раздел MDR в Kaspersky Security Center
- Настройка плагина MDR в Kaspersky Security Center
- Настройка плагина MDR
- Настройка прав доступа в Kaspersky Security Center
- Просмотр и изменение параметров MDR в Kaspersky Security Center
- Использование функций плагина MDR на виртуальном Сервере администрирования
- Использование функций MDR в Kaspersky Security Center с помощью прокси-сервера
- Изменение сертификатов для использования функций MDR в Kaspersky Security Center с прокси-сервером или антивирусным приложением
- Скрытие и отображение функций MDR в Kaspersky Security Center
- Настройка плагина MDR в Kaspersky Security Center
- Консоль MDR
- Переключение языка интерфейса в Kaspersky Security Center
- Переключение языка для уведомлений и отчетов в Kaspersky Security Center
- Переключение языка интерфейса в Консоли MDR
- Раздел MDR в Kaspersky Security Center
- Активация Kaspersky Managed Detection and Response
- Деактивация Kaspersky Managed Detection and Response
- Развертывание Kaspersky Managed Detection and Response
- О конфигурационном файле MDR
- Лицензирование
- Предоставление данных
- О Kaspersky Security Network
- Панели мониторинга в Консоли MDR
- Получение сводной информации
- Получение уведомлений
- Управление пользователями
- Управление активами
- Управление инцидентами
- Об инцидентах
- Просмотр и поиск инцидентов в Консоли MDR
- Фильтрация инцидентов в Консоли MDR
- Создание пользовательских инцидентов в Консоли MDR
- Просмотр подробной информации об инцидентах в Консоли MDR
- Типы реагирования на инциденты
- Обработка реагирования на инциденты в Консоли MDR
- Автоматическое подтверждение действий по реагированию в Консоли MDR
- Автоматическое применение действий по реагированию в Kaspersky Security Center
- Закрытие инцидентов в Консоли MDR
- Использование функций Kaspersky Endpoint Detection and Response Optimum
- Мультитенантность
- Управление решением с помощью REST API
- Сценарий: авторизация на основе токенов
- Создание API-подключения в Kaspersky Security Center
- Создание API-подключения в Консоли MDR
- Изменение API-подключения в Kaspersky Security Center
- Изменение API-подключения в Консоли MDR
- Создание токена доступа в Kaspersky Security Center
- Создание токена доступа в Консоли MDR
- Работа с REST API
- Отзыв обновления токена в Kaspersky Security Center
- Удаление API-подключения в Kaspersky Security Center
- Удаление API-подключения в Консоли MDR
- Известные проблемы
- Обращение в Службу технической поддержки
- Источники информации о решении
- Глоссарий
- Информация о стороннем коде
- Уведомления о товарных знаках
Облачное развертывание
Развертывание Kaspersky Managed Detection and Response с помощью Kaspersky Security Center Console состоит из следующих шагов:
- Активация решения
Активируйте решение Kaspersky Managed Detection and Response с использованием вашей лицензии.
- Установка EPP-программ
Убедитесь, что на активах установлены EPP-программы, которые поддерживают функции Kaspersky Managed Detection and Response.
- Скачивание конфигурационного файла MDR
Скачайте конфигурационный файл MDR для вашей организации или отдельные архивы для каждого тенанта из раздела Тенанты в Консоли MDR с помощью плагина MDR в Kaspersky Security Center Cloud Console.
Начиная с версии Kaspersky Endpoint Security для Windows 12.6, если у вас есть только корневой тенант и вы не используете решение MDR вместе с Kaspersky Endpoint Detection and Response Optimum, вам не нужно загружать конфигурационный файл MDR. См. инструкцию для Kaspersky Endpoint Security для Windows на шаге 4.
- Интеграция с EPP-программами
Выполните сценарии развертывания для всех приложений "Лаборатории Касперского", установленных на ваших активах.
- Kaspersky Endpoint Security для Windows
Развертывание зависит от того, какая версия Kaspersky Endpoint Security для Windows установлена на ваших активах. Если в вашей инфраструктуре установлено несколько версий Kaspersky Endpoint Security для Windows, можно выполнять сценарии для этих версий в любом порядке.
Если вы используете только корневой тенант, вы можете не загружать конфигурационный файл MDR, а ввести код активации прямо в Kaspersky Security Center Cloud Console.
Чтобы развернуть Kaspersky Managed Detection and Response в Kaspersky Endpoint Security для Windows 12.6 и выше:
- Убедитесь, что все ваши активы принадлежат корневому тенанту.
- Проверьте, обновлен ли Kaspersky Endpoint Security для Windows на всех активах до версии 12.6 или выше.
- Убедитесь, что компонент Kaspersky Managed Detection and Response включен в Kaspersky Endpoint Security для Windows на всех активах.
- Добавьте лицензионный ключ в хранилище лицензионных ключей Kaspersky Security Center Cloud Console.
- Активируйте Kaspersky Managed Detection and Response на активах автоматически или с помощью задачи Добавить лицензионный ключ.
Подробнее об одновременном использовании решений MDR и EDR Optimum см. в справке Kaspersky Endpoint Security для Windows.
Kaspersky Endpoint Security для Windows версий 11.6–12.5 и выше с несколькими тенантами
Если вы переключаетесь на встроенные функции MDR в Kaspersky Endpoint Security для Windows после работы с решением с использованием функций Kaspersky Endpoint Agent, обязательно выключите Kaspersky Managed Detection and Response в политике Kaspersky Endpoint Agent после настройки интеграции с Kaspersky Managed Detection and Response в политике Kaspersky Endpoint Security для Windows для всех активов с Kaspersky Endpoint Security для Windows 11.6 и выше.
Обратите внимание, что если та же политика применяется к активам с Kaspersky Endpoint Security для Windows версии 11.5 и ниже, необходимо сначала создать и настроить отдельную политику для этих активов, чтобы поддерживать их интеграцию с Kaspersky Managed Detection and Response с помощью политики Kaspersky Endpoint Agent.
Kaspersky Endpoint Security для Windows 11.3–11.5
- Создайте задачу Удаленная установка программы в Kaspersky Security Center Cloud Console. В окне Выбор дистрибутива для установки выберите BAT-файл из файла конфигурации MDR.
- Запустите задачу вручную или дождитесь ее запуска по расписанию, указанному в параметрах задачи.
Убедитесь, что задача выполняется на всех активах.
- Настройте Kaspersky Endpoint Security для Windows на ваших активах.
Должны быть включены следующие компоненты:
- Kaspersky Security Network
В параметрах Kaspersky Security Network установите флажок Включить расширенный режим KSN.
- Анализ поведения
Включение этих компонентов обязательно. В противном случае Kaspersky Managed Detection and Response не будет работать, поскольку будет невозможна отправка телеметрии.
Кроме того, Kaspersky Managed Detection and Response может использовать данные следующих компонентов:
- Защита от веб-угроз
- Защита от почтовых угроз
- Сетевой экран
Включение этих компонентов не является обязательным. Если эти компоненты останутся выключенными, Kaspersky Managed Detection and Response продолжит отправлять телеметрию, но с ограниченными данными.
- Kaspersky Security Network
- Если вы включили Сетевой экран в Kaspersky Endpoint Security для Windows, создайте правило Сетевого экрана со следующими свойствами:
- В раскрывающемся списке Действие выберите пункт Разрешить.
- В раскрывающемся списке Направление выберите значение Входящее / исходящее.
- В раскрывающихся списках Удаленные адреса и Локальные адреса выберите пункт Любой адрес.
После создания правила переместите его, чтобы оно стало первым в списке правил.
- Kaspersky Endpoint Security для Linux
- Kaspersky Endpoint Security для Mac
- Kaspersky Security для Windows Server
- Убедитесь, что Kaspersky Endpoint Agent для Windows установлен в составе Kaspersky Security для Windows Server.
Установка Kaspersky Endpoint Agent для Windows может быть выполнена:
- В процессе установки Kaspersky Security для Windows Server
- После установки Kaspersky Security для Windows Server
- Проверьте актуальность версии Kaspersky Endpoint Agent для Windows и при необходимости обновите ее.
Для работы с Kaspersky Security Center Cloud Console требуется Kaspersky Endpoint Agent 3.11.
- Создайте политику Kaspersky Endpoint Agent для Windows с помощью Kaspersky Security Center Cloud Console.
- Чтобы настроить интеграцию Kaspersky Endpoint Agent для Windows и Kaspersky Managed Detection and Response, загрузите файл BLOB из файла конфигурации MDR в политику.
- Настройте Kaspersky Security для Windows Server на ваших активах. Каждый шаг можно выполнить локально в Kaspersky Security для Windows Server на каждом из активов или глобально в Kaspersky Security Center.
- Запустите задачу Использование KSN.
Запуск задачи Использование KSN позволяет использовать Kaspersky Security Network в Kaspersky Security для Windows Server.
В окне Обработка данных задачи Использование KSN установите все флажки на всех вкладках.
В окне Параметры задачи Использование KSN на вкладке Управление задачами установите флажок Запускать по расписанию. В раскрывающемся списке Периодичность выберите пункт При запуске приложения.
Убедитесь, что в подразделе Использование KSN отображается закрытый замок. Закрытый замок означает, что политика устанавливает указанные параметры для активов.
- Запустите задачу Защита трафика.
Запуск задачи Защита трафика позволяет обрабатывать веб-трафик (включая трафик, получаемый по электронной почте), а также перехватывать и проверять объекты, передаваемые через веб-трафик, для обнаружения известных компьютерных и других угроз на защищаемом устройстве.
В окне Параметры задачи Защита трафика на вкладке Общие в раскрывающемся списке Режим задачи выберите значение Драйверный перехват.
В окне Параметры задачи Защита трафика на вкладке Управление задачами установите флажок Запускать по расписанию. В раскрывающемся списке Периодичность выберите пункт При запуске приложения.
Убедитесь, что в подразделе Защита трафика отображается закрытый замок. Закрытый замок означает, что политика устанавливает указанные параметры для активов.
- Запустите задачу Контроль запуска приложений.
Запуск задачи Контроль запуска приложений позволяет отслеживать попытки пользователей запускать приложения, а также разрешает или запрещает запуск этих приложений.
В окне Параметры задачи Контроль запуска приложений на вкладке Общие установите флажки Контролировать загрузку DLL-модулей и Разрешать запуск приложений, доверенных в KSN.
В окне Параметры задачи Контроль запуска приложений на вкладке Управление задачами установите флажок Запускать по расписанию. В раскрывающемся списке Периодичность выберите пункт При запуске приложений.
Убедитесь, что в подразделе Контроль запуска приложений отображается закрытый замок. Закрытый замок означает, что политика устанавливает указанные параметры для активов.
- Запустите задачу Использование KSN.
- Убедитесь, что Kaspersky Endpoint Agent для Windows установлен в составе Kaspersky Security для Windows Server.
- Kaspersky Anti-Targeted Attack Platform
Kaspersky Managed Detection and Response позволят выполнять анализ и мониторинг данных, получаемых от Kaspersky Anti-Targeted Attack (KATA) Platform.
Интеграция с Kaspersky Anti-Targeted Attack Platform недоступна при использовании лицензионного ключа для региона Саудовская Аравия.
Чтобы настроить интеграцию Kaspersky Managed Detection and Response с Kaspersky Anti-Targeted Attack Platform, сначала необходимо получить конфигурационный файл MDR. Информация о настройке интеграции приведена в справке Kaspersky Anti-Targeted Attack Platform.
Kaspersky Anti-Targeted Attack Platform не является частью Kaspersky Managed Detection and Response. Для использования приложения Kaspersky Anti-Targeted Attack Platform ее необходимо приобрести отдельно.
Если в инфраструктуре установлено несколько приложений "Лаборатории Касперского", можно выполнять сценарии для определенных приложений в любом порядке.
- Kaspersky Endpoint Security для Windows
- Создание точки распространения
Выполните следующие действия:
- Проверьте, есть ли у вас хотя бы одна точка распространения в вашей сети или настройте устройство в сети вашей организации в качестве точки распространения. Точка распространения будет выступать в роли прокси-сервера для устройств, участвующих в Kaspersky Security Network.
- Включите прокси-сервер KSN на стороне точки распространения в свойствах точки распространения в разделе Прокси-сервер KSN (точки распространения).
- Настройте Область действия точки распространения, выбрав группу администрирования и/или сетевое местоположение.
Вы можете проверить статус активов с помощью функции Работоспособность MDR.