[Topic 255956]

Справка Kaspersky Managed Detection and Response

Новые функции

• Что нового в последней версии решения
  

Аппаратные и программные требования

• Проверьте, какие операционные системы и EPP-программы поддерживаются.
  

Сравнение функций

• Сравнение коммерческих лицензий решений: MDR Optimum, MDR Expert, MDR Basic, MDR Advanced и MDR Prime
  

Начало работы

• Локальное развертывание
• Облачное развертывание
• Активация Kaspersky Managed Detection and Response
  

Мониторинг и отчеты

• Получение уведомлений
• Получение расширенных уведомлений
• Получение сводной информации
• Панели мониторинга
  

Предоставление данных / Защита персональных данных

• Предоставление данных
• Задействованные субподрядчики по обработке данных
• Kaspersky Security Network
  

В начало

[Topic 218753]

Что нового

Kaspersky Managed Detection and Response предлагает следующие новые функции и улучшения.

24.02.2025

• В Консоль MDR добавлен раздел Лицензии. Доступны следующие функции:
  • Просмотр действующих и неиспользуемых лицензий MDR, а также лицензий, срок действия которых истек.
  • Просмотр общего количества активов и ограничение на количество единиц лицензирования для каждой лицензии.
  • Загрузка конфигурационного файла MDR для корневого тенанта.

    Вы можете создавать и загружать конфигурационные файлы MDR для других тенантов в разделе Тенанты.

  • Ввод нового кода активации.

    Если в вашей организации используется несколько лицензий, вы можете управлять ими только с помощью плагина MDR для Kaspersky Security Center. Раздел Лицензии в Консоли MDR становится доступным только для чтения.

• Плагин MDR для Kaspersky Security Center теперь поддерживает применение нескольких лицензий в вашей организации. Доступны следующие функции:
  • Просмотр действующих и неиспользуемых лицензий MDR, а также лицензий, срок действия которых истек.
  • Прекращение действия лицензии MDR.
  • Ввод нового кода активации.
  • Загрузка конфигурационного файла MDR корневого тенанта для лицензии.
  • Выбор лицензионного ключа для конфигурационного файла MDR при создании или изменении тенанта в разделе Тенанты.

31.12.2024

• Упрощена активация Kaspersky Managed Detection and Response на устройствах с Kaspersky Endpoint Security для Windows (начиная с версии 12.4). Для этого вам нужна стандартная лицензия для решения MDR.

  Обратите внимание, что все еще необходимо использовать конфигурационный файл MDR (BLOB-объект) в любом из следующих сценариев:

  • У вас более одного тенанта.
  • Вы используете решение MDR вместе с Kaspersky Endpoint Detection and Response Optimum.
• Добавлена ​​поддержка управления решением MDR в Консоли администрирования Kaspersky Security Center Web Console (начиная с версии 15.1).
• В справку добавлена подробная информация о требованиях к каналам связи.

29.10.2024

Выпущен плагин MDR версии 2.4.1 для Kaspersky Security Center. Плагин содержит следующие улучшения:

• В плагине MDR для Kaspersky Security Center добавлена возможность настроить автоматическое принятие действий по реагированию для выбранных тенантов.
• Расширены функциональные возможности и пользовательский интерфейс раздела со списком неактивных активов. Такие активы были добавлены в Kaspersky Security Center, на них установлен компонент MDR, но данные телеметрии никогда не отправлялись в Kaspersky Managed Detection and Response. Вы можете фильтровать активы по статусу MDR, просматривать подробную информацию о каждом активе и экспортировать список активов в файл CSV.

  Эта функция корректно работает в версии Kaspersky Security Center 15.1 для Windows и выше, Kaspersky Security Center 15.1 для Linux и выше, а также в Kaspersky Security Center Cloud Console.

• Теперь задача регулярной рассылки отчета об открытых инцидентах может быть создана только в Консоли MDR. Эта функция удалена из раздела MDR в Kaspersky Security Center.

19.07.2024

Консоль MDR теперь позволяет настроить автоматическое применение действий по реагированию для выбранных тенантов.

24.06.2024

• Доступны новые действия по реагированию:
  • Поместить файл на карантин.
  • Восстановить файл из карантина.
  • Запустить скрипт на активе.
• Обновлена документация REST API, включая новые примеры скриптов.
• Значительно переработаны отчеты:
  • Использование MITRE ATT&CK для глубокого анализа угроз.
  • Список наиболее часто атакуемых компьютеров, который помогает клиентам сосредоточиться на предельных рисках.
• Поддержка мультитенантности:
  • Создание отчетов и настройка расписания сводных отчетов для конкретных тенантов.
  • Легкое переключение веб-виджетов на статистику по конкретным тенантам в информационной панели.
  • Настройка автоматического подтверждения выполнения задачи реагирования для определенных тенантов.
  • Улучшен API MDR для управления тенантами.

18.12.2023

• Консоль MDR теперь содержит панель мониторинга Статистика телеметрии, которая показывает количество событий телеметрии, событий безопасности и инцидентов.
• Kaspersky Managed Detection and Response теперь поддерживает Kaspersky Endpoint Security для Windows в конфигурации Endpoint Detection and Response Agent (EDR Agent) (с ограничениями).

29.11.2023

• Улучшено отображение статусов активов в Консоли MDR и плагине MDR для Kaspersky Security Center: в статусе актива теперь отображается работоспособность компонентов EPP-программы, статус обновления антивирусных баз актива и статус передачи телеметрии.
• Статус актива теперь показывает наличие потери телеметрии, что позволяет идентифицировать активы с проблемами доставки телеметрии. Эта функция включена по умолчанию для новых клиентов и будет постепенно включаться для существующих клиентов.

26.10.2023

Для клиентов, которые хранят свои данные телеметрии в Королевстве Саудовская Аравия, добавлен регион резиденции клиентов Саудовская Аравия.

9.11.2023

Выпущен плагин MDR версии 2.3.1 для Kaspersky Security Center. В этой версии функции управления инцидентами удалены из раздела MDR в Kaspersky Security Center. Вы можете управлять инцидентами в Консоли MDR.

20.7.2023

Выпущен плагин MDR версии 2.3.0 для Kaspersky Security Center. Плагин содержит следующие улучшения:

• Теперь вы можете настроить расширенные уведомления в плагине MDR.
• Теперь вы можете использовать функции MDR в Kaspersky Security Center с плагином MDR с помощью прокси-сервера.
• Теперь вы можете менять сертификаты для использования функций MDR в Kaspersky Security Center с прокси-сервером или антивирусным приложением.

27.07.2022

Выпущен плагин MDR версии 2.1.17. Эта версия плагина совместима с Kaspersky Security Center версии 14 и выше.

31.05.2022

Общие улучшения:

• Для клиентов, которые хранят свои данные телеметрии в Северной Европе, добавлен регион резиденции клиентов США/Канада.
• Изменено описание процесса развертывания MDR в справке.

Улучшения в плагине MDR:

• В разделе Настройки теперь можно изменить язык уведомлений в Telegram и по электронной почте, а также язык общения в чате об инцидентах.
• Улучшен интерфейс работы с изображениями и таблицами в карточках инцидентов.
• MDR Expert. В разделе Использование решения появилась возможность выяснить, сколько инцидентов может быть создано в соответствии с Соглашением об уровне обслуживания.

Исправленные ошибки и прочие улучшения:

• При поиске в списках инцидентов и активов теперь проверяется полное вхождение искомой подстроки в любом месте строки.
• После ввода кода активации MDR и добавления конфигурационного файла KPSN в Kaspersky Endpoint Security для Mac 11.2 и более поздних версий для передачи телеметрии больше не нужно перезагружать Mac-устройство.
• При расчете количества лицензий для виртуальных машин с Kaspersky Security для виртуальных сред Легкий агент 5.2 и более поздних версий не учитываются активы, не передававшие телеметрию более 24 часов.

20.05.2022

Пользователи MDR Optimum теперь могут обсудить инцидент с аналитиками SOC "Лаборатории Касперского" в чате (со следующим ограничением: обрабатываются только запросы, касающиеся конкретного инцидента, Соглашение об уровне обслуживания не применяется).

18.10.2021

• В плагине Kaspersky Managed Detection and Response для Kaspersky Security Center Web Console и Kaspersky Security Center Cloud Console улучшена работа функции Работоспособность MDR:
  • Оптимизирован интерфейс функции Работоспособность MDR.
  • В списке активов отображаются все активы со всеми статусами, которые ранее были доступны только в Консоли MDR.
  • Добавлены параметры фильтрации и сортировки для работы со списком активов.

21.07.2021

• Реализована поддержка Kaspersky Managed Detection and Response в Kaspersky Security Center Cloud Console, что позволяет управлять решением из единой Консоли администрирования Kaspersky Security Center. Для решения Kaspersky Managed Detection and Response доступны следующие функции:
  • Работа с инцидентами:
    • Просмотр, создание и добавление комментариев к инцидентам.
    • Обращение в Kaspersky Security Operation Center (SOC) по поводу инцидента, применение или отклонение действий по реагированию, предлагаемых аналитиками SOC.
    • Реагирование на инцидент с помощью Kaspersky Endpoint Detection and Response.

    Доступны следующие действия по реагированию на инцидент:

    • Применение сетевой изоляции устройств.
    • Создание правил блокировки по хешу.
    • Создание задач на удаление, перемещение на карантин, завершение процесса и поиск по индикаторам компрометации (IoC), относящимся к инциденту.
  • Контроль событий Kaspersky Managed Detection and Response на панелях мониторинга в Kaspersky Security Center Web Console.
  • Настройка уведомлений о событиях Kaspersky Managed Detection and Response по электронной почте и Telegram.
  • Настройка периодической отправки сводной информации о работе MDR по электронной почте.
  • Просмотр устройств, на которых наблюдаются проблемы в работе MDR.
  • Новый мастер активации, позволяющий подключить MDR в единой консоли Kaspersky Security Center.
  • Автоматическая настройка KPSN. Теперь больше не требуется выполнять загрузку и выгрузку файла конфигурации вручную в параметрах Kaspersky Security Center.
  • Управление подключениями к публичному API MDR: просмотр, создание, изменение и удаление токенов.
  • Управление тенантами организации, включая создание.
  • Получение информации о количестве инцидентов, которые может зарегистрировать пользователь. Эти инциденты обрабатываются в соответствии с условиями соглашения об уровне обслуживания (SLA).

    Эти функции также доступны в Kaspersky Security Center Web Console.

• В Консоль MDR добавлена возможность управлять несколькими учетными записями администратора MDR: создавать учетные записи и управлять их правами.
• Для работы с новыми версиями совместимых приложений больше не требуется дополнительная установка Kaspersky Endpoint Agent. Встроенные функции Kaspersky Managed Detection and Response совместимы со следующими EPP-программами:
  • Kaspersky Endpoint Security для Windows 11.6 и выше
  • Kaspersky Endpoint Security для Mac 11.2
  • Kaspersky Endpoint Security для Linux 11.2
  • Kaspersky Security для виртуальных сред 5.2 Легкий агент

  Подробную информацию о различных сценариях развертывания см. в разделе Развертывание Kaspersky Managed Detection and Response.

• В Kaspersky Endpoint Security для Windows и для Linux добавлен фильтр по типу событий со встроенным функционалом Kaspersky Managed Detection and Response, что позволяет снизить нагрузку на каналы и потребление трафика при отправке данных телеметрии.
• Реализованы следующие типы реагирования на инциденты: получение файла с устройства, изоляция устройства, отключение изоляции устройства, удаление ключа реестра, завершение процесса.

  Выполнение этих действий возможно при наличии подтверждения от пользователя с ролью Администратор MDR.

• Веб-плагин для Kaspersky Security Center Web Console и Cloud Console поддерживает следующие языки: французский, немецкий, итальянский и испанский.

31.03.2021

Добавлен веб-плагин для Kaspersky Security Center Web Console, который позволяет использовать следующие функции решения Kaspersky Managed Detection and Response:

• Просмотр списка инцидентов.
• Создание инцидентов
• Добавление комментариев к инцидентам.
• Обращение в Kaspersky Security Operation Center по поводу инцидента.
• Принятие или отклонение действий по реагированию на инцидент, предложенных аналитиками SOC.
• Возможность самостоятельного реагирования на инцидент:
  • Сетевая изоляция активов.
  • Создание правил блокировки по хешу.
  • Создание задач на удаление, перемещение в карантин, завершение процесса и поиск по индикаторам компрометации (IoC), относящихся к инциденту.
• Контроль событий Kaspersky Managed Detection and Response на панелях мониторинга в Kaspersky Security Center Web Console.
• Настройка уведомлений по электронной почте и Telegram о событиях Kaspersky Managed Detection and Response
• Настройка периодической отправки сводной информации об инцидентах по электронной почте.

[Topic 196544]

О решении Kaspersky Managed Detection and Response

Kaspersky Managed Detection and Response представляет собой решение для автоматического обнаружения и анализа инцидентов безопасности в вашей инфраструктуре с помощью телеметрии и передовых технологий машинного обучения. Информация об инциденте передается специалистам "Лаборатории Касперского", которые затем могут либо обработать инцидент самостоятельно, либо дать рекомендации по его устранению.

Kaspersky Managed Detection and Response (MDR) обеспечивает круглосуточную защиту от растущего количества угроз, способных обойти автоматические средства защиты, для организаций, которым сложно найти квалифицированных специалистов или у которых ограничены внутренние ресурсы. В отличие от аналогичных предложений на рынке, решение использует успешный опыт эффективного исследования целевых атак для обеспечения непрерывной защиты даже от самых сложных угроз. Решение помогает повысить устойчивость компании к киберугрозам и освободить сотрудников, чтобы они могли сосредоточиться на других задачах.

Решение Kaspersky Managed Detection and Response (MDR) недоступно в США и для физических лиц США. Использование решения MDR на указанной территории или для физических лиц США является нарушением условий использования решения MDR. Во избежание нарушения условий использования решения MDR необходимо временно прекратить использовать MDR на всех активах, расположенных на указанной территории или физическими лицами США. Если лица, не являющиеся физическими лицами США, временно находятся в Соединенных Штатах, необходимо приостановить использование MDR на их активах.

В начало

[Topic 295786]

Принцип работы Kaspersky Managed Detection and Response

Kaspersky Managed Detection and Response анализирует телеметрические данные из EPP-программ и генерирует события безопасности, которые можно классифицировать как инциденты с помощью технологии обнаружения.

Для обработки инцидентов используется Консоль MDR. Также вы можете интегрировать Kaspersky Managed Detection and Response со сторонним решением, как описано в статье Управление решением с помощью REST API.

Решение Kaspersky Managed Detection and Response может автоматически разрешить инцидент или запросить у пользователя действие по реагированию на потенциальную угрозу компьютерной безопасности. Подробную информацию см. в статье Типы реагирования. Для обеспечения быстрого реагирования на потенциальные угрозы компьютерной безопасности решение Kaspersky Managed Detection and Response может запрашивать у вас разъяснения по подозрительному событию. Вам следует своевременно обрабатывать такие запросы.

Детальное расследование инцидента (например, установление предшествующих событий, обстоятельств и подробного механизма атаки) осуществляется компонентом Kaspersky Incident Response, который не входит в состав Kaspersky Managed Detection and Response и приобретается отдельно.

Использование Kaspersky Managed Detection and Response подразумевает, что вы обрабатываете инциденты при поддержке экспертов "Лаборатории Касперского". Подробную информацию см. разделе Зоны ответственности.

[Topic 295797]

Об источнике данных

Kaspersky Managed Detection and Response получает данные от EPP-программ, которые поддерживают MDR, обрабатывают данные и отправляют их по потокам Kaspersky Security Network в Kaspersky Managed Detection and Response. Список обрабатываемых данных см. в разделе Предоставление данных. EPP-программы устанавливаются на активы в ИТ-инфраструктуре вашей организации (например, на мобильные устройства, компьютеры или ноутбуки). Примером EPP-программы является Kaspersky Endpoint Security для Windows.

Вы можете интегрировать Kaspersky Managed Detection and Response с другими решениями "Лаборатории Касперского": Kaspersky Managed Detection and Response позволяет анализировать и отслеживать данные платформы Kaspersky Anti-Targeted Attack (KATA) Platform. Чтобы настроить интеграцию Kaspersky Managed Detection and Response с Kaspersky Anti-Targeted Attack Platform, сначала необходимо получить конфигурационный файл MDR. Информация о настройке интеграции приведена в справке Kaspersky Anti-Targeted Attack Platform.

Kaspersky Anti-Targeted Attack Platform не является частью Kaspersky Managed Detection and Response. Для использования приложения Kaspersky Anti-Targeted Attack Platform ее необходимо приобрести отдельно. Интеграция с Kaspersky Anti-Targeted Attack Platform недоступна при применении кода активации для региона Саудовская Аравия.

Если у вас возникли проблемы при установке EPP-программ или настройке интеграции MDR с другими решениями "Лаборатории Касперского", обратитесь в Службу технической поддержки.

[Topic 295787]

Зоны ответственности

Использование Kaspersky Managed Detection and Response подразумевает, что пользователи обрабатывают инциденты при поддержке экспертов "Лаборатории Касперского". Также вопросы, связанные с работой решения, помогает решать Служба технической поддержки "Лаборатории Касперского".

В таблице ниже описаны зоны ответственности пользователей, экспертов "Лаборатории Касперского" и Службы технической поддержки "Лаборатории Касперского".

В начало

[Topic 196546]

Аппаратные и программные требования

Необходимые EPP-программы и поддерживаемые конфигурации

Для использования Kaspersky Managed Detection and Response в вашей инфраструктуре должна быть развернута как минимум одна из следующих EPP-программ:

• Kaspersky Endpoint Security для Windows
• Kaspersky Endpoint Security для Linux
• Kaspersky Endpoint Security для Mac
• Kaspersky Security для Windows Server с Kaspersky Endpoint Agent для Windows

  Для использования функции MDR на серверах под управлением ОС Windows рекомендуется использовать на этих серверах Kaspersky Endpoint Security для Windows вместо Kaspersky Security для Windows Server с Kaspersky Endpoint Agent.

• Kaspersky Security для виртуальных сред 5.2 Легкий агент

Операционные системы

Kaspersky Managed Detection and Response совместим с теми же операционными системами, что и EPP-программы перечисленные ниже. Дополнительные сведения приведены в разделе Аппаратные и программные требования в документации совместимых EPP-программ, перечисленных в таблице ниже.

Совместимые приложения и решения "Лаборатории Касперского"

Kaspersky Managed Detection and Response совместим с версиями приложений "Лаборатории Касперского" и решений, указанными в таблице ниже.

Чтобы узнать больше о поддерживаемых версиях приложений и решений "Лаборатории Касперского", перейдите на страницу жизненного цикла приложений.

Консоль MDR

Консоль MDR имеет следующие аппаратные и программные требования:

• Монитор, поддерживающий разрешение 1024x768 и выше.
• Любой из следующих браузеров:
  • Apple Safari – 15 для macOS.
  • Google Chrome – 100.0.4896.88 и выше (официальная сборка).
  • Microsoft Edge – 100 и выше.
  • Mozilla Firefox – 91.8.0 и выше.

Сетевые каналы

В таблице ниже показана пропускная способность канала сети, рассчитанная на основе наших статистических данных.

Эти значения пропускной способности являются приблизительными, так как необходимая пропускная способность сильно зависит от типа нагрузки актива, генерирующего события телеметрии. Пиковая пропускная способность может быть значительно выше. Вам нужно увеличить пропускную способность сети, если ваша инфраструктура регулярно работает с пиковой пропускной способностью. В различных условиях нагрузка может быть выше. Например:

• компиляция программного кода разработчиками;
• полная проверка системы;
• высоконагруженные серверы (например, DNS и контроллеры домена);
• несколько сетевых подключений.

[Topic 196548]

Архитектура Kaspersky Managed Detection and Response

На следующем рисунке показаны компоненты Kaspersky Managed Detection and Response и взаимодействие между ними.

Архитектура Kaspersky Managed Detection and Response

Описание компонентов Kaspersky Managed Detection and Response:

• Актив

  Устройство с установленной EPP-программой от "Лаборатории Касперского" (например, Kaspersky Endpoint Security для Windows).

  Устройство с установленной EPP-программой от "Лаборатории Касперского" (например, Kaspersky Endpoint Security для Windows).

  – это принадлежащее организации устройство, защищенное решениями "Лаборатории Касперского".
• Endpoint Protection Platform (EPP) – это программа "Лаборатории Касперского", защищающая активы и хранящиеся на них данные от вредоносных программ и других угроз.
• Kaspersky Endpoint Agent – программный компонент, который устанавливается на рабочие станции и серверы корпоративной ИТ-инфраструктуры. Kaspersky Endpoint Agent постоянно отслеживает процессы, запущенные на этих компьютерах, а также активные сетевые подключения и изменяемые файлы. В последних версиях EPP-программ он был заменен встроенным функционалом.
• Агент администрирования – это компонент Kaspersky Security Center, обеспечивающий взаимодействие между Сервером администрирования и приложениями "Лаборатории Касперского", установленными на конкретном сетевом узле (рабочей станции или сервере). Этот компонент является общим для всех приложений компании для Microsoft Windows. Для приложений "Лаборатории Касперского", разработанных для Unix-подобных операционных систем и macOS, существуют отдельные версии Агента администрирования.
• Kaspersky Security Center – это приложение, предназначенное для администраторов корпоративных сетей и сотрудников, отвечающих за защиту активов в различных организациях.
• Kaspersky Security Network – это инфраструктура облачных служб, предоставляющая доступ к оперативной базе знаний "Лаборатории Касперского" о репутации файлов, интернет-ресурсов и программного обеспечения. Использование данных Kaspersky Security Network обеспечивает более высокую скорость реакции приложений "Лаборатории Касперского" на угрозы, повышает эффективность работы некоторых компонентов защиты, а также снижает вероятность ложных срабатываний.
• Kaspersky Managed Detection and Response (далее также MDR) – это решение, обеспечивающее непрерывную управляемую защиту и позволяющее организациям автоматически выявлять труднообнаружимые угрозы и освобождать сотрудников группы ИТ-безопасности для решения задач, требующих их участия.
• Консоль MDR предоставляет веб-интерфейс для управления и обслуживания системы защиты сети организации клиента, управляемой Kaspersky Managed Detection and Response. Функции Консоли MDR дополняются веб-плагином Kaspersky Security Center, позволяющим управлять Kaspersky Managed Detection and Response из единой Консоли администрирования.
• MDR API – это программный интерфейс для управления и обслуживания системы защиты сети организации клиента, управляемой Kaspersky Managed Detection and Response.

[Topic 254808]

Интерфейс Kaspersky Managed Detection and Response

В этом разделе приведена информация о пользовательском интерфейсе Kaspersky Managed Detection and Response.

С Kaspersky Managed Detection and Response можно работать, используя следующие интерфейсы:

• Портал Kaspersky Managed Detection and Response (далее также Консоль MDR).

  После входа Консоль MDR доступна по адресу https://mdr.kaspersky.com/. Для входа используйте адрес электронной почты и пароль учетной записи сайта "Лаборатории Касперского", созданные при активации Kaspersky Managed Detection and Response.

• Раздел MDR в Kaspersky Security Center Web Console или в Kaspersky Security Center Cloud Console.

  Для того чтобы использовать Kaspersky Security Center Web Console с Kaspersky Managed Detection and Response, вам необходимо скачать и настроить плагин MDR в Kaspersky Security Center Web Console. В Kaspersky Security Center Cloud Console плагин MDR предустановлен.

  Чтобы получить доступ к функциям Kaspersky Managed Detection and Response, в Kaspersky Security Center Web Console или в Kaspersky Security Center Cloud Console выберите Мониторинг и отчеты → MDR.

Возможности и доступные функции в этих интерфейсах в основном одинаковы, но некоторые задачи рекомендуется выполнять в одном из интерфейсов, поскольку имеется более широкий набор функций или доступных данных. Рекомендуемый интерфейс указан в описании задач и сценариев использования.

Интерфейс Kaspersky Security Center в основном предназначен для решения следующих задач:

• Активация Kaspersky Managed Detection and Response
• Проверка статуса активов

Интерфейс Консоли MDR в основном предназначен для решения следующих задач:

• Задачи сотрудников службы безопасности: управление инцидентами.
• Задачи администратора: управление пользователями MDR.
• Просмотр и управление активами.

[Topic 254810]

Раздел MDR в Kaspersky Security Center

Вы можете работать с Kaspersky Managed Detection and Response с помощью раздела MDR в Kaspersky Security Center Web Console или в Kaspersky Security Center Cloud Console. Чтобы получить доступ к функциям Kaspersky Managed Detection and Response, в Kaspersky Security Center выберите Мониторинг и отчеты → MDR.

Раздел MDR в Kaspersky Security Center содержит следующие вкладки:

• Инциденты. Содержит ссылку на Консоль MDR, где вы можете управлять своими инцидентами.
• Отчеты. Содержит список задач по рассылке отчетов и функции для изменения, удаления и создания задач.
• Параметры. Позволяет включить расширенные уведомления и переключить язык для данных об инцидентах, уведомлений и отчетов.
• Уведомления. Позволяет включить уведомления по электронной почте и в Telegram.
• API. Содержит список API-подключений и функций для управления API-подключениями.
• Тенанты. Содержит список тенантов и функции для управления тенантами.
• Работоспособность MDR. Содержит списки неисправных активов и всех активов, которые были.
• Начало работы. Содержит инструкции по настройке решения MDR.
• Использование MDR. Содержит информацию о статусе активации решения, лицензии, регионе хранения телеметрии, конфигурационном файле KSN и статусе принятия Условий использования.

Также вы можете добавить веб-виджет Активы MDR по статусу на панель Мониторинг и отчеты → Панель мониторинга в Kaspersky Security Center.

[Topic 213203]

Настройка плагина MDR в Kaspersky Security Center

В этом разделе описана первоначальная настройка плагина MDR в Kaspersky Security Center для работы с Kaspersky Managed Detection and Response.

[Topic 213204]

Настройка плагина MDR

Для работы с решением Kaspersky Managed Detection and Response с помощью плагина MDR, необходимо настроить плагин MDR в приложениях:

• Kaspersky Security Center Web Console в приложении Kaspersky Security Center Windows.
• Kaspersky Security Center Web Console в приложении Kaspersky Security Center Linux.
• Kaspersky Security Center Cloud Console.

Предварительные требования

Убедитесь, что у вас есть доступ к Kaspersky Security Center Web Console или к Kaspersky Security Center Cloud Console со следующими минимальными правами доступа:

• Право Чтение для функциональной области Kaspersky Security Center Общие функции: Интеграция приложений.
• Право Разрешить для функциональной области Доступ к инцидентам в Kaspersky Managed Detection and Response.

Шаги

Настройка выполняется поэтапно:

1. Скачивание плагина MDR

   Пропустите этот шаг, если вы используете Kaspersky Security Center Cloud Console, поскольку плагин MDR предустановлен в Kaspersky Security Center Cloud Console.

   В Kaspersky Security Center Web Console скачайте плагин MDR, выбрав Kaspersky Managed Detection and Response в списке доступных плагинов. Подробную информацию о том, как получить веб-плагины, см. в справке Kaspersky Security Center Windows или в справке Kaspersky Security Center Linux.

2. Установка прав доступа

   Вручную назначьте права доступа всем пользователям плагина MDR или автоматически создайте роли MDR с заданными правами доступа, перейдя по ссылке на первом шаге на вкладке Начало работы в плагине MDR.

Результаты

По завершении этого сценария плагин MDR будет настроен для работы с Kaspersky Managed Detection and Response.

[Topic 213206]

Настройка прав доступа в Kaspersky Security Center

Необходимо задать права доступа для каждого пользователя Kaspersky Security Center Web Console или Kaspersky Security Center Cloud Console, использующего функции MDR Kaspersky Security Center. Права доступа зависят от действий, которые вы хотите, чтобы пользователи могли выполнять.

Можно автоматически создавать роли MDR с заданными правами доступа, перейдя по ссылке на первом шаге на вкладке Начало работы в разделе MDR в Kaspersky Security Center.

Чтобы задать права доступа:

1. В Kaspersky Security Center перейдите в раздел Пользователи и роли → Роли и создайте роль. Подробнее о создании ролей см. в справке Kaspersky Security Center Windows, в справке Kaspersky Security Center Linux Help или в справке Kaspersky Security Center Cloud Console.
2. На вкладке Права доступа для новой роли установите значение Разрешить для следующих функциональных областей:
   • Интеграция приложений

     Позволяет пользователям настроить интеграцию Kaspersky Security Center с другими приложениями и решениями "Лаборатории Касперского".

     Для пользователей, управляющих плагином MDR, необходимо установить право Разрешить для функциональной области Интеграция приложений. Это право позволяет пользователям активировать, настраивать, использовать и прекращать использование Kaspersky Managed Detection and Response.

   • Доступ к инцидентам

     Необходимо установить право Разрешить для функциональной области Доступ к инцидентам, чтобы пользователи имели доступ к разделу MDR в Kaspersky Security Center. Если для функциональной области Доступ к инцидентам установлено право Запретить, пользователи увидят только вкладку Начало работы в разделе MDR в Kaspersky Security Center.

   • Управление тенантами

     Позволяет пользователям создавать, просматривать и редактировать тенанты.

   • Доступ к REST API

     Позволяет пользователям управлять решением Kaspersky Managed Detection and Response с помощью REST API.

   В следующей таблице приведен минимальный набор прав доступа.

   Минимальный набор прав доступа

   Функциональная область	Разрешать	Запретить
   Интеграция приложений
   Доступ к инцидентам
   Параметры автоподтверждения
   Управление действиями по реагированию
   Управление тенантами
   Сводная информация по инцидентам
   Доступ к REST API

3. Назначьте созданную роль всем пользователям, которые будут использовать функции MDR в Kaspersky Security Center.

Права доступа установлены.

[Topic 210793]

Просмотр и изменение параметров MDR в Kaspersky Security Center

Вы можете просматривать и изменять параметры плагина MDR, установленного в Kaspersky Security Center.

Чтобы просмотреть и настроить параметры плагина MDR:

1. В разделе MDR в Kaspersky Security Center откройте вкладку Параметры.
2. Если вы хотите включить расширенные уведомления, включите параметр Включить расширенные уведомления по электронной почте и установите флажок, чтобы подтвердить, что вы прочитали и поняли условия отправки расширенных уведомлений.
3. Вы можете использовать параметр Язык, чтобы выбрать английский или русский язык для отображения отчетов и уведомлений.
4. Нажмите на кнопку Сохранить в нижней части окна, чтобы сохранить параметры.

   Кнопка Сохранить становится активной только в случае изменения параметров.

[Topic 273234]

Использование функций плагина MDR на виртуальном Сервере администрирования

Чтобы использовать функции MDR в Kaspersky Security Center на виртуальном Сервере администрирования:

• Если вы используете Kaspersky Security Center для Windows:
  1. Загрузите конфигурационный файл MDR в Kaspersky Security Center Web Console или в Консоль MDR.
  2. В Kaspersky Security Center Web Console выберите главный (физический) Сервер администрирования, на котором расположен ваш виртуальный Сервер администрирования.
  3. Включите переключатель Kaspersky Private Security Network в свойствах главного (физического) Сервера администрирования.
  4. Нажмите на кнопку Выбрать файл параметров прокси-сервера KSN и выберите конфигурационный файл MDR, который вы скачали.

• Если вы используете Kaspersky Security Center Cloud Console:
  1. Активируйте Kaspersky Managed Detection and Response на главном (физическом) Сервере администрирования.
  2. На главном (физическом) Сервере администрирования перейдите в раздел Мониторинг и отчеты → MDR, откройте вкладку Использование MDR и убедитесь, что в разделе KPSN указаны правильные статус и версия конфигурационного файла KPSN. Пример правильного статуса и версии:

     Для отправки телеметрии в инфраструктуру MDR Лаборатории Касперского используется конфигурационный файл KPSN версии {{version}}

     Если статус или версия файла неверны, обратитесь в Службу технической поддержки.

[Topic 256804]

Использование функций MDR в Kaspersky Security Center с помощью прокси-сервера

Если в сети, где работает Kaspersky Security Center, используется прокси-сервер, необходимо задать две переменные среды с параметрами прокси-сервера для протокола HTTP и протокола HTTPS, чтобы функции MDR в Kaspersky Security Center работали должным образом. Эти переменные среды должны быть заданы на устройстве, на котором установлено приложение Kaspersky Security Center Web Console.

Переменные окружения имеют следующий формат:

HTTP_PROXY=<protocol>://<proxy_user_name>:<proxy_user_password>@<host>:<port>

где:

• <protocol> – это http или https.
• <proxy_user_name> – имя пользователя для авторизации на прокси-сервере.
• <proxy_user_password> – пароль для авторизации на прокси-сервере.
• <host>:<port> – это имя или IP-адрес прокси-сервера и номер его порта.

  Пример переменных окружения: HTTP_PROXY=http://proxy_user_name:proxy_user_password@proxy.domain.com:8080 HTTPS_PROXY=https://proxy_user_name:proxy_user_password@proxy.domain.com:443

Вы можете установить переменные окружения двумя способами:

• Если вы хотите применить параметры прокси-сервера ко всем приложениям на устройстве, на котором установлено приложение Kaspersky Security Center Web Console, добавьте эти переменные окружения с помощью компонента операционной системы Windows Настройка системных переменных окружения. Информацию об использовании этого компонента см. в документации к используемой вами версии операционной системы.
• Если вы хотите применить эти параметры прокси-сервера только к Kaspersky Security Center Web Console, добавьте эти переменные окружения в файл с расширением .ENV, расположенный в папке установки Kaspersky Security Center Web Console (по умолчанию C:\Program Files\Kaspersky Lab\Kaspersky Security Center Web Console\). Если файл с расширением .ENV отсутствует в папке установки, создайте его.

После настройки переменных окружения вам необходимо перезагрузить устройство, на котором установлено приложение Kaspersky Security Center Web Console, чтобы изменения вступили в силу.

[Topic 257038]

Изменение сертификатов для использования функций MDR в Kaspersky Security Center с прокси-сервером или антивирусным приложением

Вам необходимо настроить цепочку сертификатов для настройки соединения Kaspersky Security Center Web Console с плагином MDR и инфраструктурой решения MDR в следующих случаях:

• В сети, где запущен Kaspersky Security Center, используется прокси-сервер с TLS-соединением.
• Антивирусное приложение с шифрованием TLS-трафика запущена на устройстве, на котором установлено приложение Kaspersky Security Center Web Console.

Чтобы настроить цепочку сертификатов:

1. Сохраните необходимые сертификаты в виде файлов на своем устройстве.
   • Чтобы сохранить файл сертификата приложения, шифрующей трафик, на устройстве с установленным приложением Kaspersky Security Center Web Console, в браузере Chrome откройте ссылку https://mdr-ksc.kaspersky.com/, нажмите на значок замка в адресной строке рядом с адресом сайта, выберите пункт Безопасное подключение, нажмите Действительный сертификат, перейдите на вкладку Подробнее и нажмите на кнопку Экспорт. Инструкции для других браузеров см. в документации для этих браузеров.
   • Для того чтобы получить сертификат, используемый для подключения к прокси-серверу, обратитесь к администратору сети.
2. Добавьте сохраненные сертификаты в файл с расширением .PEM (например, KL_Root.pem).
3. Поместите созданный файл с расширением .PEM в папку установки Kaspersky Security Center Web Console (по умолчанию C:\Program Files\Kaspersky Lab\Kaspersky Security Center Web Console\).
4. Добавьте переменную окружения NODE_EXTRA_CA_CERTS в файл с расширением .ENV, расположенный в папке установки Kaspersky Security Center Web Console. Если файл с расширением .ENV отсутствует в папке установки, создайте его.

   Пример переменной: NODE_EXTRA_CA_CERTS="C:\Program Files\Kaspersky Lab\Kaspersky Security Center Web Console\KL_Root.pem"

Чтобы изменения вступили в силу после того, как вы задали переменную окружения, перезапустите устройство, на котором установлено приложение Kaspersky Security Center Web Console.

[Topic 219765]

Скрытие и отображение функций MDR в Kaspersky Security Center

По умолчанию элементы интерфейса, связанные с Kaspersky Managed Detection and Response, отображаются в интерфейсе Kaspersky Security Center. Если вы не используете Kaspersky Managed Detection and Response, вы можете скрыть его функции из интерфейса. В дальнейшем можно изменить параметры интерфейса, чтобы отображались скрытые ранее элементы.

Чтобы скрыть функции MDR в Kaspersky Security Center Cloud Console:

1. В Kaspersky Security Center Web Console или Kaspersky Security Center Cloud Console наведите курсор мыши на имя пользователя в нижней части левой панели. Откроется меню параметров интерфейса.
2. Выберите Параметры интерфейса.
3. Выключите или включите параметр Показать функции MDR.
4. Нажмите на кнопку Сохранить.

   Kaspersky Security Center сохраняет значение этого параметра только для вашей учетной записи. Другие пользователи могут установить другое значение.

   Раздел MDR скрыт или отображен.

[Topic 254813]

Консоль MDR

Вы можете работать с Kaspersky Managed Detection and Response в веб-интерфейсе, далее также Консоль MDR.

Окно Консоли MDR содержит следующие элементы:

• Главное меню в левой части окна.
• Рабочая область в правой части окна.

Главное меню

Главное меню состоит из следующих разделов:

• Мониторинг. Содержит веб-виджеты со сводной информацией об активных инцидентах, активах и действиях по реагированию.
• Инциденты. Содержит подробную информацию о ваших инцидентах и инструментах для работы с ними.
• Активы. Содержит подробную информацию об активах и инструментах для работы с ними.
• Параметры. Содержит вкладки для работы с учетными записями пользователей, уведомлениями, параметрами инцидентов, сводными отчетами, API, тенантами и общими параметрами.
• О решении. Содержит информацию о решении, ссылки на Соглашение MDR, Соглашение об обработке данных, эту справку и веб-сайт Службы технической поддержки.

В нижней части левой панели находится элемент управления параметрами учетной записи, который позволяет получить доступ к руководству Начало работы, изменить язык интерфейса, перейти на страницу профиля пользователя и выйти из Консоли MDR.

Рабочая область

В рабочей области отображается информация, которую вы выбираете для просмотра в Консоли MDR. Рабочая область также содержит элементы управления, которые можно использовать для настройки отображения информации.

[Topic 196734]

Переключение языка интерфейса в Kaspersky Security Center

Интерфейс MDR в Kaspersky Security Center доступен на следующих языках:

• английском;
• русском;
• немецком;
• испанском;
• французском;
• итальянском.

Чтобы переключить язык интерфейса в Kaspersky Security Center:

1. В Kaspersky Security Center Web Console или Kaspersky Security Center Cloud Console наведите курсор мыши на имя пользователя в нижней части левой панели.

   Откроется меню параметров интерфейса.

   

   Переключение языка интерфейса в Kaspersky Security Center

2. Выберите пункт Язык.

   Отобразится раздел Параметры пользователя.

3. На вкладке Язык выберите один из языков, который вы хотите применить к интерфейсу MDR в Kaspersky Security Center.

Язык будет изменен.

Вы можете изменить язык в любое время.

[Topic 255178]

Переключение языка для уведомлений и отчетов в Kaspersky Security Center

В Kaspersky Security Center вы можете выбрать английский или русский язык для отображения данных об инцидентах, уведомлений и отчетов.

Чтобы переключить язык для уведомлений и отчетов в Kaspersky Security Center:

1. В Kaspersky Security Center Web Console или в Kaspersky Security Center Cloud Console перейдите в раздел MDR → Параметры.
2. В области Язык выберите Русский или Английский.
3. Нажмите на кнопку Сохранить.

Язык будет изменен.

Вы можете изменить язык в любое время.

[Topic 255143]

Переключение языка интерфейса в Консоли MDR

Интерфейс Консоли MDR доступен на следующих языках:

• английском;
• русском.

Чтобы изменить язык интерфейса Консоли MDR:

1. В окне Консоли MDR перейдите в раздел Параметры учетной записи, расположенный в нижней части на левой панели. Этот раздел содержит подраздел Язык.
2. В разделе Язык выберите язык, который вы хотите использовать в интерфейсе Консоли MDR.

Язык изменен. Вы можете изменить его на другой язык в любое время.

[Topic 194468]

Активация Kaspersky Managed Detection and Response

Рекомендуется активировать Kaspersky Managed Detection and Response в Kaspersky Security Center с установленным плагином MDR, как описано в этом разделе.

[Topic 255700]

Активация Kaspersky Managed Detection and Response в Kaspersky Security Center

Активация Kaspersky Managed Detection and Response недоступна в пробной рабочей области Kaspersky Security Center Cloud Console.

Чтобы активировать Kaspersky Managed Detection and Response:

1. Убедитесь, что плагин MDR установлен и настроен в Kaspersky Security Center.
2. В Kaspersky Security Center Web Console или в Kaspersky Security Center Cloud Console перейдите в раздел Мониторинг и отчеты → MDR.
3. Нажмите на кнопку Активировать решение.
4. Kaspersky Managed Detection and Response проверяет, включено ли фоновое соединение между Kaspersky Security Center Web Console и Сервером администрирования, и при необходимости предлагает включить его.
5. Если вы ранее не создавали учетную запись на Kaspersky Account, создайте ее и подтвердите, перейдя по ссылке подтверждения, отправленной на вашу электронную почту.

   Если ранее созданная учетная запись Kaspersky Account (то есть ваша электронная почта) использовалась для доступа к Kaspersky Managed Detection and Response, она может быть связана с данными MDR другой организации и может быть недоступна для применения нового кода активации. Чтобы использовать существующую учетную запись Kaspersky для новой активации, обратитесь в Службу технической поддержки.
   Обратите внимание: после того как сотрудники Службы технической поддержки удалят привязку вашей учетной записи Kaspersky Account к данным другой организации в MDR, ваша учетная запись Kaspersky Account больше не может использоваться для доступа к данным другой организации, для которых она использовалась ранее.

6. После активации вашей учетной записи Kaspersky Account в разделе MDR Kaspersky Security Center войдите в свою учетную запись Kaspersky Account.
7. Kaspersky Managed Detection and Response проверяет, есть ли для учетной записи действующая лицензия для Kaspersky Managed Detection and Response:
   • Если действующая лицензия отсутствует, введите код активации, полученный от "Лаборатории Касперского", выберите ваш регион и нажмите на кнопку Активировать.

     Выбранный регион влияет на язык решения (русский или английский) и место хранения ваших данных телеметрии. При выборе региона Европа или Канада данные телеметрии хранятся в Северной Европе. Если вы выберете Саудовскую Аравию, ваши данные телеметрии будут храниться в Королевстве Саудовская Аравия. Если вы выберете Россия или другие регионы, ваши данные телеметрии будут храниться в России.

   • Если действующая лицензия найдена и есть тенанты, выберите тенанты, к которым пользователи этого Сервера администрирования будут иметь доступ.

   Включенное фоновое соединение необходимо для работы Kaspersky Managed Detection and Response.

8. Прочтите и примите Соглашения, применимые к выбранному вами региону, нажав на кнопку Принять.

   Если вы не согласны с условиями использования Соглашений, вы не сможете использовать Kaspersky Managed Detection and Response.

9. Ознакомьтесь и примите Положение о KSN, включите использование KSN и примените файл конфигурации KSN для вашей организации.

   Если вы не согласны с условиями использования Положения о KSN, вы не сможете использовать Kaspersky Managed Detection and Response.

Активация будет завершена.

Чтобы прекратить использование Kaspersky Managed Detection and Response, см. раздел Прекращение использования Kaspersky Managed Detection and Response или обратитесь в Службу технической поддержки.

[Topic 255130]

Активация Kaspersky Managed Detection and Response в Консоли MDR

Чтобы активировать Kaspersky Managed Detection and Response:

1. Если вы ранее не создавали учетную запись на Kaspersky Account, создайте ее и подтвердите, перейдя по ссылке подтверждения, отправленной на вашу электронную почту.

   Если ранее созданная учетная запись Kaspersky Account (то есть ваша электронная почта) использовалась для доступа к Kaspersky Managed Detection and Response, она может быть связана с данными MDR другой организации и может быть недоступна для применения нового кода активации. Чтобы использовать существующую учетную запись Kaspersky для новой активации, обратитесь в Службу технической поддержки.
   Обратите внимание: после того как сотрудники Службы технической поддержки удалят привязку вашей учетной записи Kaspersky Account к данным другой организации в MDR, ваша учетная запись Kaspersky Account больше не может использоваться для доступа к данным другой организации, для которых она использовалась ранее.

2. После активации вашей учетной записи Kaspersky Account в Консоли MDR войдите в свою учетную запись Kaspersky Account.
3. Для использования Консоли MDR введите полученный от "Лаборатории Касперского" код активации в соответствующее поле на странице.
4. Прочтите и примите Соглашения, применимые к вашему региону, нажав на кнопку Подтвердить.

   Если вы не согласны с условиями использования Соглашений, вы не сможете использовать Kaspersky Managed Detection and Response.

Активация будет завершена.

Чтобы прекратить использование Kaspersky Managed Detection and Response, ознакомьтесь с этой статьей или обратитесь в Службу технической поддержки.

[Topic 283536]

Деактивация Kaspersky Managed Detection and Response

Если вы хотите остановить использование Kaspersky Managed Detection and Response, вы можете либо полностью прекратить его использование, либо временно приостановить его на определенных активах.

[Topic 216535]

Прекращение использования Kaspersky Managed Detection and Response

При желании вы можете вручную прекратить использование Kaspersky Managed Detection and Response.

Когда вы прекращаете использование Kaspersky Managed Detection and Response, прекращается отправка телеметрии с ваших активов. Чтобы удалить данные о вашей организации из инфраструктуры Kaspersky Managed Detection and Response, обратитесь в Службу технической поддержки.

Чтобы прекратить использование Kaspersky Managed Detection and Response:

1. Если вы используете EPP-программы, поддерживающие политики, в Kaspersky Security Center Web Console или Kaspersky Security Center Cloud Console перейдите в раздел Устройства → Политики и профили.

   Если вы используете EPP-программу, которая не поддерживает политики, перейдите в раздел Устройства → Задачи.

   Откроется список политик (или список задач).

2. Выберите политику или задачу, созданную при развертывании Kaspersky Managed Detection and Response, чтобы настроить интеграцию между EPP-программой и Kaspersky Managed Detection and Response.

   Откроется окно параметров политики (или параметров задачи).

3. На вкладке Параметры приложения в левой панели выберите Detection and Response и в правой панели выберите Managed Detection and Response.

   Откроется панель параметров Managed Detection and Response.

4. Выключите параметр Managed Detection and Response включено.

   Название опции изменится на Managed Detection and Response отключен.

5. Сохраните изменения политики или задачи.
6. Отзовите согласие с условиями использования решения MDR.
7. Если вы используете приложение Kaspersky Security Center Web Console, работающее локально, для работы с Kaspersky MDR дополнительно рекомендуется удалить конфигурационный файл Kaspersky Security Network с Сервера администрирования Kaspersky Security Center.

Использование Kaspersky Managed Detection and Response будет прекращено.

[Topic 283535]

Временная приостановка использования Kaspersky Managed Detection and Response

Для соблюдения условий использования решения MDR необходимо приостановить использование решения на активах, если они временно находятся на территории США (например на время командировки).

Чтобы временно приостановить использование решения MDR на определенных активах:

1. В Kaspersky Security Center создайте группу администрирования для управления активами, на которых вы хотите приостановить использование решения MDR. Вы можете изменить список активов в этой группе позже.
2. Для этой группы администрирования создайте политики EPP-программ, используемых для предоставления телеметрии MDR с активов, и выключите использование решения MDR и Kaspersky Security Network в параметрах политики.

   Подробную информацию о настройке политик см. в справках для конкретных EPP-программ. Например, справка Kaspersky Endpoint Security для Windows содержит инструкции по управлению политиками и настройке интеграции с решением MDR.

3. Переместите активы, на которых вы хотите приостановить использование решения MDR, в созданную группу администрирования.

   После синхронизации к активам будет применена новая политика, в которой выключено использование решения MDR и Kaspersky Security Network. Также можно вручную выполнить принудительную синхронизацию.

Чтобы возобновить использование Kaspersky Managed Detection and Response после приостановления:

1. Исключите актив из группы администрирования, которая используется для приостановки.
2. Примените обычную политику, в которой использование решения MDR включено и настроено для этого актива.

   Активы не будут контролироваться решением MDR до тех пор, пока к ним не будет применена политика, в которой разрешено и настроено использование решения MDR.

[Topic 206214]

Развертывание Kaspersky Managed Detection and Response

В этом разделе приведена информация о развертывании Kaspersky Managed Detection and Response. Сценарии развертывания различаются в зависимости от используемых в вашей инфраструктуре приложений "Лаборатории Касперского".

Прежде всего, необходимо выполнить предварительные требования, зависящие от приложения, используемой для централизованного управления сетевой безопасностью:

• Локальные приложения – это Kaspersky Security Center (Консоль администрирования на базе Microsoft Management Console) и Kaspersky Security Center Web Console.
• Облачное решение – это Kaspersky Security Center Cloud Console.

Дальнейшие шаги по развертыванию Kaspersky Managed Detection and Response зависят от того, какие именно

KSN будет отключен до тех пор, пока не будет принято Положение о Kaspersky Security Network. Кроме того, активы в Kaspersky Security Center могут иметь статус Критический, и возникнет событие Серверы KSN недоступны. Использование KSN включается после применения политики, в которой администратор принимает условия использования KSN.

[Topic 219884]

Локальное развертывание

В этом разделе описаны сценарии развертывания Kaspersky Managed Detection and Response с использованием локальных приложений: Kaspersky Security Center (Консоль администрирования на базе Microsoft Management Console) и Kaspersky Security Center Web Console.

[Topic 219473]

Развертывание с помощью Kaspersky Security Center

Развернуть все | Свернуть все

Предварительные требования

• ИТ-инфраструктура должна соответствовать аппаратным и программным требованиям Kaspersky Managed Detection and Response.
• На каждом активе, который требуется защитить, должен быть разрешен исходящий незашифрованный сетевой трафик для портов 443 и 1443, а проверка трафика должна быть выключена. Эти порты используются для передачи данных телеметрии от активов на следующие серверы "Лаборатории Касперского":
  • *.ksn.kaspersky-labs.com
  • ksn-*.kaspersky-labs.com
  • ds.kaspersky.com

Развертывание Kaspersky Managed Detection and Response с помощью Kaspersky Security Center состоит из следующих шагов:

1. Активация решения

   Активируйте решение Kaspersky Managed Detection and Response с использованием вашей лицензии.

2. Установка EPP-программ

   Убедитесь, что на активах установлены EPP-программы, которые поддерживают функции Kaspersky Managed Detection and Response.

3. Скачивание конфигурационного файла MDR

   Скачайте конфигурационный файл MDR для вашей организации или отдельные архивы для каждого тенанта из раздела Tenants в Консоли MDR.

   Начиная с версии Kaspersky Endpoint Security для Windows 12.6, если у вас есть только корневой тенант и вы не используете решение MDR вместе с Kaspersky Endpoint Detection and Response Optimum, вам не нужно загружать конфигурационный файл MDR. См. инструкцию для Kaspersky Endpoint Security для Windows на шаге 5.

4. Конфигурация Kaspersky Private Security Network (KPSN).

   Настройте KPSN на активах, используя конфигурационный файл KSN из файла конфигурации MDR.

   Этот шаг гарантирует отправку телеметрии на выделенные серверы, соответствующие требованиям Общего регламента по защите данных (GDPR). Если вы не настроите KPSN, телеметрия не будет передаваться и услуга Kaspersky Managed Detection and Response не будет предоставлена.

5. Интеграция с EPP-программами

   Выполните сценарии развертывания для всех приложений "Лаборатории Касперского", установленных на ваших активах.

   • Kaspersky Endpoint Security для Windows

     Развертывание зависит от того, какая версия Kaspersky Endpoint Security для Windows установлена на ваших активах. Если в вашей инфраструктуре установлено несколько версий Kaspersky Endpoint Security для Windows, можно выполнять сценарии для этих версий в любом порядке.

     Kaspersky Endpoint Security для Windows 12.6 и выше с только корневым тенантом и без Kaspersky Endpoint Detection and Response Optimum

     Если у вас есть только корневой тенант, вы можете не загружать конфигурационный файл MDR, а добавить и распространить лицензионный ключ прямо в Kaspersky Security Center.

     Чтобы развернуть Kaspersky Managed Detection and Response в Kaspersky Endpoint Security для Windows 12.6 и выше:

     1. Убедитесь, что все ваши активы принадлежат корневому тенанту.
     2. Проверьте, обновлен ли Kaspersky Endpoint Security для Windows на всех активах до версии 12.6 или выше.
     3. Убедитесь, что компонент Kaspersky Managed Detection and Response включен в Kaspersky Endpoint Security для Windows на всех активах.
     4. Добавьте лицензионный ключ в хранилище лицензионных ключей Kaspersky Security Center.
     5. Распространите лицензионный ключ на активы автоматически или с помощью задачи Добавить лицензионный ключ.

     Подробнее об одновременном использовании решений MDR и EDR Optimum см. в справке Kaspersky Endpoint Security для Windows.

     Kaspersky Endpoint Security для Windows версий 11.6–12.5 и выше с несколькими тенантами

     Если вы переключаетесь на встроенные функции MDR в Kaspersky Endpoint Security для Windows после работы с решением с использованием функций Kaspersky Endpoint Agent, обязательно выключите Kaspersky Managed Detection and Response в политике Kaspersky Endpoint Agent после настройки интеграции с Kaspersky Managed Detection and Response в политике Kaspersky Endpoint Security для Windows для всех активов с Kaspersky Endpoint Security для Windows 11.6 и выше.

     Обратите внимание, что если та же политика применяется к активам с Kaspersky Endpoint Security для Windows версии 11.5 и ниже, необходимо сначала создать и настроить отдельную политику для этих активов, чтобы поддерживать их интеграцию с Kaspersky Managed Detection and Response с помощью политики Kaspersky Endpoint Agent.

     Kaspersky Endpoint Security для Windows 11.0–11.5

     1. Создайте задачу Удаленная установка приложения в Kaspersky Security Center. В окне Выбор дистрибутива для установки выберите BAT-файл из файла конфигурации MDR.
     2. Запустите задачу вручную или дождитесь ее запуска по расписанию, указанному в параметрах задачи.

        Убедитесь, что задача выполняется на всех активах.

     3. Настройте Kaspersky Endpoint Security для Windows на ваших активах.

        Должны быть включены следующие компоненты:

        • Kaspersky Security Network

          В параметрах Kaspersky Security Network установите флажок Включить расширенный режим KSN.

        • Анализ поведения

          Включение этих компонентов обязательно. В противном случае Kaspersky Managed Detection and Response не будет работать, поскольку будет невозможна отправка телеметрии.

        Кроме того, Kaspersky Managed Detection and Response может использовать данные следующих компонентов:

        • Защита от веб-угроз
        • Защита от почтовых угроз
        • Сетевой экран

          Включение этих компонентов не является обязательным. Если эти компоненты останутся выключенными, Kaspersky Managed Detection and Response продолжит отправлять телеметрию, но с ограниченными данными.

     4. Если вы включили Сетевой экран в Kaspersky Endpoint Security для Windows, создайте правило Сетевого экрана со следующими свойствами:
        • В раскрывающемся списке Действие выберите пункт Разрешить.
        • В раскрывающемся списке Направление выберите значение Входящее / исходящее.
        • В раскрывающихся списках Удаленные адреса и Локальные адреса выберите пункт Любой адрес.

          После создания правила переместите его, чтобы оно стало первым в списке правил.

     При использовании Kaspersky Endpoint Detection and Response Optimum (для Kaspersky Endpoint Security для Windows 11.6 и ниже)

     1. Убедитесь, что Kaspersky Endpoint Agent установлен в составе Kaspersky Endpoint Security для Windows.

        Установка Kaspersky Endpoint Agent может быть выполнена:

        • В процессе установки Kaspersky Endpoint Security для Windows.
        • После установки Kaspersky Endpoint Security для Windows.
     2. Проверьте актуальность версии Kaspersky Endpoint Agent для Windows и при необходимости обновите ее.

        Для работы Kaspersky Endpoint Security для Windows 11.5 требуется Kaspersky Endpoint Agent версии 3.10 или выше.

     3. Настройте решение Kaspersky Endpoint Detection and Response Optimum.
     4. Создайте политику Kaspersky Endpoint Agent.
     5. Настройка интеграции между Kaspersky Endpoint Agent для Windows и Kaspersky Managed Detection and Response путем загрузки файла BLOB из файла конфигурации MDR в политику Kaspersky Endpoint Agent.
     6. Настройте Kaspersky Endpoint Security для Windows на ваших активах.

        Должны быть включены следующие компоненты:

        • Kaspersky Security Network

          В параметрах Kaspersky Security Network установите флажок Включить расширенный режим KSN.

        • Анализ поведения

          Включение этих компонентов обязательно. В противном случае Kaspersky Managed Detection and Response не будет работать, поскольку будет невозможна отправка телеметрии.

        Кроме того, Kaspersky Managed Detection and Response может использовать данные следующих компонентов:

        • Защита от веб-угроз
        • Защита от почтовых угроз
        • Сетевой экран

          Включение этих компонентов не является обязательным. Если эти компоненты останутся выключенными, Kaspersky Managed Detection and Response продолжит отправлять телеметрию, но с ограниченными данными.

     7. Если вы включили Сетевой экран в Kaspersky Endpoint Security для Windows, создайте правило Сетевого экрана со следующими свойствами:
        • В раскрывающемся списке Действие выберите пункт Разрешить.
        • В раскрывающемся списке Направление выберите значение Входящее / исходящее.
        • В раскрывающихся списках Удаленные адреса и Локальные адреса выберите пункт Любой адрес.

          После создания правила переместите его, чтобы оно стало первым в списке правил.

   • Kaspersky Endpoint Security для Linux
   • Kaspersky Endpoint Security для Mac
   • Kaspersky Security для Windows Server

     Развертывание зависит от того, какая версия Kaspersky Security для Windows Server установлена на ваших активах. Если в вашей инфраструктуре установлено несколько версий Kaspersky Security для Windows Server, можно выполнять сценарии для этих версий в любом порядке.

     Kaspersky Security для Windows Server 11 и выше

     1. Убедитесь, что Kaspersky Endpoint Agent для Windows установлен в составе Kaspersky Security для Windows Server.

        Установка Kaspersky Endpoint Agent для Windows может быть выполнена:

        • В процессе установки Kaspersky Security для Windows Server
        • После установки Kaspersky Security для Windows Server
     2. Проверьте актуальность версии Kaspersky Endpoint Agent для Windows и при необходимости обновите ее.
     3. Создайте политику Kaspersky Endpoint Agent для Windows с помощью Kaspersky Security Center.
     4. Чтобы настроить интеграцию Kaspersky Endpoint Agent для Windows и Kaspersky Managed Detection and Response, загрузите файл BLOB из файла конфигурации MDR в политику.
     5. Настройте Kaspersky Security для Windows Server на ваших активах. Каждый шаг можно выполнить локально в Kaspersky Security для Windows Server на каждом из активов или глобально в Kaspersky Security Center.
        1. Запустите задачу Использование KSN.

           Запуск задачи Использование KSN позволяет использовать Kaspersky Security Network в Kaspersky Security для Windows Server.

           В окне Обработка данных задачи Использование KSN установите все флажки на всех вкладках.

           В окне Параметры задачи Использование KSN на вкладке Управление задачами установите флажок Запускать по расписанию. В раскрывающемся списке Периодичность выберите пункт При запуске приложения.

           Убедитесь, что в подразделе Использование KSN отображается закрытый замок. Закрытый замок означает, что политика устанавливает указанные параметры для активов.

        2. Запустите задачу Защита трафика.

           Запуск задачи Защита трафика позволяет обрабатывать веб-трафик (включая трафик, получаемый по электронной почте), а также перехватывать и проверять объекты, передаваемые через веб-трафик, для обнаружения известных компьютерных и других угроз на защищаемом устройстве.

           В окне Параметры задачи Защита трафика на вкладке Общие в раскрывающемся списке Режим задачи выберите значение Драйверный перехват.

           В окне Параметры задачи Защита трафика на вкладке Управление задачами установите флажок Запускать по расписанию. В раскрывающемся списке Периодичность выберите пункт При запуске приложения.

           Убедитесь, что в подразделе Защита трафика отображается закрытый замок. Закрытый замок означает, что политика устанавливает указанные параметры для активов.

        3. Запустите задачу Контроль запуска приложений.

           Запуск задачи Контроль запуска приложений позволяет отслеживать попытки пользователей запускать приложения, а также разрешает или запрещает запуск этих приложений.

           В окне Параметры задачи Контроль запуска приложений на вкладке Общие установите флажки Контролировать загрузку DLL-модулей и Разрешать запуск приложений, доверенных в KSN.

           В окне Параметры задачи Контроль запуска приложений на вкладке Управление задачами установите флажок Запускать по расписанию. В раскрывающемся списке Периодичность выберите пункт При запуске приложений.

           Убедитесь, что в подразделе Контроль запуска приложений отображается закрытый замок. Закрытый замок означает, что политика устанавливает указанные параметры для активов.

     Kaspersky Security для Windows Server 10.1.*

     1. Убедитесь, что вы установили Kaspersky Endpoint Agent для Windows как автономное приложение.
     2. Проверьте актуальность версии Kaspersky Endpoint Agent для Windows и при необходимости обновите ее.
     3. Создайте политику Kaspersky Endpoint Agent для Windows с помощью Kaspersky Security Center.
     4. Чтобы настроить интеграцию Kaspersky Endpoint Agent для Windows и Kaspersky Managed Detection and Response, загрузите файл BLOB из файла конфигурации MDR в политику.
     5. Настройте Kaspersky Security для Windows Server на ваших активах. Каждый шаг можно выполнить локально в Kaspersky Security для Windows Server на каждом из активов или глобально в Kaspersky Security Center.
        1. Запустите задачу Использование KSN.

           Запуск задачи Использование KSN позволяет использовать Kaspersky Security Network в Kaspersky Security для Windows Server.

           В окне Обработка данных задачи Использование KSN установите все флажки на всех вкладках.

           В окне Параметры задачи Использование KSN на вкладке Управление задачами установите флажок Запускать по расписанию. В раскрывающемся списке Периодичность выберите пункт При запуске приложения.

           Убедитесь, что в подразделе Использование KSN отображается закрытый замок. Закрытый замок означает, что политика устанавливает указанные параметры для активов.

        2. Запустите задачу Защита трафика.

           Запуск задачи Защита трафика позволяет обрабатывать веб-трафик (включая трафик, получаемый по электронной почте), а также перехватывать и проверять объекты, передаваемые через веб-трафик, для обнаружения известных компьютерных и других угроз на защищаемом устройстве.

           В окне Параметры задачи Защита трафика на вкладке Общие в раскрывающемся списке Режим задачи выберите значение Драйверный перехват.

           В окне Параметры задачи Защита трафика на вкладке Управление задачами установите флажок Запускать по расписанию. В раскрывающемся списке Периодичность выберите пункт При запуске приложения.

           Убедитесь, что в подразделе Защита трафика отображается закрытый замок. Закрытый замок означает, что политика устанавливает указанные параметры для активов.

        3. Запустите задачу Контроль запуска приложений.

           Запуск задачи Контроль запуска приложений позволяет отслеживать попытки пользователей запускать приложения, а также разрешает или запрещает запуск этих приложений.

           В окне Параметры задачи Контроль запуска приложений на вкладке Общие установите флажки Контролировать загрузку DLL-модулей и Разрешать запуск приложений, доверенных в KSN.

           В окне Параметры задачи Контроль запуска приложений на вкладке Управление задачами установите флажок Запускать по расписанию. В раскрывающемся списке Периодичность выберите пункт При запуске приложений.

           Убедитесь, что в подразделе Контроль запуска приложений отображается закрытый замок. Закрытый замок означает, что политика устанавливает указанные параметры для активов.

     При использовании Kaspersky Endpoint Detection and Response Optimum (для Kaspersky Endpoint Security для Windows 11.6 и ниже)

     1. Убедитесь, что Kaspersky Endpoint Agent установлен в составе Kaspersky Endpoint Security для Windows.

        Установка Kaspersky Endpoint Agent может быть выполнена:

        • В процессе установки Kaspersky Endpoint Security для Windows.
        • После установки Kaspersky Endpoint Security для Windows.
     2. Проверьте актуальность версии Kaspersky Endpoint Agent для Windows и при необходимости обновите ее.

        Для работы Kaspersky Endpoint Security для Windows 11.5 требуется Kaspersky Endpoint Agent версии 3.10 или выше.

     3. Настройте решение Kaspersky Endpoint Detection and Response Optimum.
     4. Создайте политику Kaspersky Endpoint Agent.
     5. Настройка интеграции между Kaspersky Endpoint Agent для Windows и Kaspersky Managed Detection and Response путем загрузки файла BLOB из файла конфигурации MDR в политику Kaspersky Endpoint Agent.
     6. Настройте Kaspersky Endpoint Security для Windows на ваших активах.

        Должны быть включены следующие компоненты:

        • Kaspersky Security Network

          В параметрах Kaspersky Security Network установите флажок Включить расширенный режим KSN.

        • Анализ поведения

          Включение этих компонентов обязательно. В противном случае Kaspersky Managed Detection and Response не будет работать, поскольку будет невозможна отправка телеметрии.

        Кроме того, Kaspersky Managed Detection and Response может использовать данные следующих компонентов:

        • Защита от веб-угроз
        • Защита от почтовых угроз
        • Сетевой экран

          Включение этих компонентов не является обязательным. Если эти компоненты останутся выключенными, Kaspersky Managed Detection and Response продолжит отправлять телеметрию, но с ограниченными данными.

     7. Если вы включили Сетевой экран в Kaspersky Endpoint Security для Windows, создайте правило Сетевого экрана со следующими свойствами:
        • В раскрывающемся списке Действие выберите пункт Разрешить.
        • В раскрывающемся списке Направление выберите значение Входящее / исходящее.
        • В раскрывающихся списках Удаленные адреса и Локальные адреса выберите пункт Любой адрес.

          После создания правила переместите его, чтобы оно стало первым в списке правил.

   • Kaspersky Security для виртуальных сред 5.2 Легкий агент

     1. Убедитесь, что Kaspersky Endpoint Agent установлен в составе Kaspersky Endpoint Security для Windows.

        Установка Kaspersky Endpoint Agent может быть выполнена:

        • В процессе установки Kaspersky Endpoint Security для Windows.
        • После установки Kaspersky Endpoint Security для Windows.
     2. Проверьте актуальность версии Kaspersky Endpoint Agent для Windows и при необходимости обновите ее.

        Для работы Kaspersky Endpoint Security для Windows 11.5 требуется Kaspersky Endpoint Agent версии 3.10 или выше.

     3. Настройте решение Kaspersky Endpoint Detection and Response Optimum.
     4. Создайте политику Kaspersky Endpoint Agent.
     5. Настройка интеграции между Kaspersky Endpoint Agent для Windows и Kaspersky Managed Detection and Response путем загрузки файла BLOB из файла конфигурации MDR в политику Kaspersky Endpoint Agent.
     6. Настройте Kaspersky Endpoint Security для Windows на ваших активах.

        Должны быть включены следующие компоненты:

        • Kaspersky Security Network

          В параметрах Kaspersky Security Network установите флажок Включить расширенный режим KSN.

        • Анализ поведения

          Включение этих компонентов обязательно. В противном случае Kaspersky Managed Detection and Response не будет работать, поскольку будет невозможна отправка телеметрии.

        Кроме того, Kaspersky Managed Detection and Response может использовать данные следующих компонентов:

        • Защита от веб-угроз
        • Защита от почтовых угроз
        • Сетевой экран

          Включение этих компонентов не является обязательным. Если эти компоненты останутся выключенными, Kaspersky Managed Detection and Response продолжит отправлять телеметрию, но с ограниченными данными.

     7. Если вы включили Сетевой экран в Kaspersky Endpoint Security для Windows, создайте правило Сетевого экрана со следующими свойствами:
        • В раскрывающемся списке Действие выберите пункт Разрешить.
        • В раскрывающемся списке Направление выберите значение Входящее / исходящее.
        • В раскрывающихся списках Удаленные адреса и Локальные адреса выберите пункт Любой адрес.

          После создания правила переместите его, чтобы оно стало первым в списке правил.

     • Kaspersky Security для виртуальных сред 5.2 Легкий агент
     • При использовании Kaspersky Endpoint Detection and Response Optimum (для Kaspersky Endpoint Security для Windows 11.6 и ниже)
       1. Убедитесь, что Kaspersky Endpoint Agent установлен в составе Kaspersky Endpoint Security для Windows.

          Установка Kaspersky Endpoint Agent может быть выполнена:

          • В процессе установки Kaspersky Endpoint Security для Windows.
          • После установки Kaspersky Endpoint Security для Windows.
       2. Проверьте актуальность версии Kaspersky Endpoint Agent для Windows и при необходимости обновите ее.

          Для работы Kaspersky Endpoint Security для Windows 11.5 требуется Kaspersky Endpoint Agent версии 3.10 или выше.

       3. Настройте решение Kaspersky Endpoint Detection and Response Optimum.
       4. Создайте политику Kaspersky Endpoint Agent.
       5. Настройка интеграции между Kaspersky Endpoint Agent для Windows и Kaspersky Managed Detection and Response путем загрузки файла BLOB из файла конфигурации MDR в политику Kaspersky Endpoint Agent.
       6. Настройте Kaspersky Endpoint Security для Windows на ваших активах.

          Должны быть включены следующие компоненты:

          • Kaspersky Security Network

            В параметрах Kaspersky Security Network установите флажок Включить расширенный режим KSN.

          • Анализ поведения

            Включение этих компонентов обязательно. В противном случае Kaspersky Managed Detection and Response не будет работать, поскольку будет невозможна отправка телеметрии.

          Кроме того, Kaspersky Managed Detection and Response может использовать данные следующих компонентов:

          • Защита от веб-угроз
          • Защита от почтовых угроз
          • Сетевой экран

            Включение этих компонентов не является обязательным. Если эти компоненты останутся выключенными, Kaspersky Managed Detection and Response продолжит отправлять телеметрию, но с ограниченными данными.

       7. Если вы включили Сетевой экран в Kaspersky Endpoint Security для Windows, создайте правило Сетевого экрана со следующими свойствами:
          • В раскрывающемся списке Действие выберите пункт Разрешить.
          • В раскрывающемся списке Направление выберите значение Входящее / исходящее.
          • В раскрывающихся списках Удаленные адреса и Локальные адреса выберите пункт Любой адрес.

            После создания правила переместите его, чтобы оно стало первым в списке правил.

   • Kaspersky Anti-Targeted Attack Platform

     Kaspersky Managed Detection and Response позволят выполнять анализ и мониторинг данных, получаемых от Kaspersky Anti-Targeted Attack (KATA) Platform.

     Интеграция с Kaspersky Anti-Targeted Attack Platform недоступна при использовании лицензионного ключа для региона Саудовская Аравия.

     Чтобы настроить интеграцию Kaspersky Managed Detection and Response с Kaspersky Anti-Targeted Attack Platform, сначала необходимо получить конфигурационный файл MDR. Информация о настройке интеграции приведена в справке Kaspersky Anti-Targeted Attack Platform.

     Kaspersky Anti-Targeted Attack Platform не является частью Kaspersky Managed Detection and Response. Для использования приложения Kaspersky Anti-Targeted Attack Platform ее необходимо приобрести отдельно.

   Если в инфраструктуре установлено несколько приложений "Лаборатории Касперского", можно выполнять сценарии для определенных приложений в любом порядке.

   Вы можете проверить статус активов с помощью функции Работоспособность MDR.

[Topic 219474]

Развертывание с помощью Kaspersky Security Center Web Console

Развернуть все | Свернуть все

Предварительные требования

• ИТ-инфраструктура должна соответствовать аппаратным и программным требованиям Kaspersky Managed Detection and Response.
• На каждом активе, который требуется защитить, должен быть разрешен исходящий незашифрованный сетевой трафик, для портов 443 и 1443, а проверка трафика должна быть отключена. Эти порты используются для передачи данных телеметрии от активов на следующие серверы "Лаборатории Касперского":
  • *.ksn.kaspersky-labs.com
  • ksn-*.kaspersky-labs.com
  • ds.kaspersky.com

Развертывание Kaspersky Managed Detection and Response с помощью Kaspersky Security Center Web Console состоит из следующих шагов:

1. Установка плагина MDR

   Скачайте и настройте плагин MDR для управления решением с помощью Kaspersky Security Center Web Console.

2. Активация решения

   Активируйте решение Kaspersky Managed Detection and Response с использованием вашей лицензии.

3. Скачивание конфигурационного файла MDR

   Скачайте конфигурационный файл MDR для вашей организации или отдельные архивы для каждого тенанта из раздела Тенанты в Консоли MDR с помощью плагина MDR в Kaspersky Security Center Web Console.

   Начиная с версии Kaspersky Endpoint Security для Windows 12.6, если у вас есть только корневой тенант и вы не используете решение MDR вместе с Kaspersky Endpoint Detection and Response Optimum, вам не нужно загружать конфигурационный файл MDR. См. инструкцию для Kaspersky Endpoint Security для Windows на шаге 5.

4. Установка EPP-программ

   Убедитесь, что на активах установлены EPP-программы, которые поддерживают функции Kaspersky Managed Detection and Response.

5. Интеграция с EPP-программами

   Выполните сценарии развертывания для всех приложений "Лаборатории Касперского", установленных на ваших активах.

   • Kaspersky Endpoint Security для Windows

     Развертывание зависит от того, какая версия Kaspersky Endpoint Security для Windows установлена на ваших активах. Если в вашей инфраструктуре установлено несколько версий Kaspersky Endpoint Security для Windows, можно выполнять сценарии для этих версий в любом порядке.

     Kaspersky Endpoint Security для Windows 12.6 и выше с только корневым тенантом и без Kaspersky Endpoint Detection and Response Optimum

     Если у вас есть только корневой тенант, вы можете не загружать конфигурационный файл MDR, а добавить и распространить лицензионный ключ прямо в Kaspersky Security Center.

     Чтобы развернуть Kaspersky Managed Detection and Response в Kaspersky Endpoint Security для Windows 12.6 и выше:

     1. Убедитесь, что все ваши активы принадлежат корневому тенанту.
     2. Проверьте, обновлен ли Kaspersky Endpoint Security для Windows на всех активах до версии 12.6 или выше.
     3. Убедитесь, что компонент Kaspersky Managed Detection and Response включен в Kaspersky Endpoint Security для Windows на всех активах.
     4. Добавьте лицензионный ключ в хранилище лицензионных ключей Kaspersky Security Center.
     5. Распространите лицензионный ключ на активы автоматически или с помощью задачи Добавить лицензионный ключ.

     Если у вас только корневой тенант, вы можете не загружать конфигурационный файл MDR, а добавить и распространить лицензионный ключ прямо в Kaspersky Security Center Web Console.

     Чтобы развернуть Kaspersky Managed Detection and Response в Kaspersky Endpoint Security для Windows 12.6 и выше:

     1. Убедитесь, что все ваши активы принадлежат корневому тенанту.
     2. Проверьте, обновлен ли Kaspersky Endpoint Security для Windows на всех активах до версии 12.6 или выше.
     3. Убедитесь, что компонент Kaspersky Managed Detection and Response включен в Kaspersky Endpoint Security для Windows на всех активах.
     4. Добавьте лицензионный ключ в хранилище лицензионных ключей Kaspersky Security Center Web Console.
     5. Распространите лицензионный ключ на активы автоматически или с помощью задачи Добавить лицензионный ключ.

     Подробнее об одновременном использовании решений MDR и EDR Optimum см. в справке Kaspersky Endpoint Security для Windows.

     Kaspersky Endpoint Security для Windows версий 11.6–12.5 и выше с несколькими тенантами

     Если вы переключаетесь на встроенные функции MDR в Kaspersky Endpoint Security для Windows после работы с решением с использованием функций Kaspersky Endpoint Agent, обязательно выключите Kaspersky Managed Detection and Response в политике Kaspersky Endpoint Agent после настройки интеграции с Kaspersky Managed Detection and Response в политике Kaspersky Endpoint Security для Windows для всех активов с Kaspersky Endpoint Security для Windows 11.6 и выше.

     Обратите внимание, что если та же политика применяется к активам с Kaspersky Endpoint Security для Windows версии 11.5 и ниже, необходимо сначала создать и настроить отдельную политику для этих активов, чтобы поддерживать их интеграцию с Kaspersky Managed Detection and Response с помощью политики Kaspersky Endpoint Agent.

     Kaspersky Endpoint Security для Windows 11.0–11.5

     1. Создайте задачу Удаленная установка приложения в Kaspersky Security Center. В окне Выбор дистрибутива для установки выберите BAT-файл из файла конфигурации MDR.
     2. Запустите задачу вручную или дождитесь ее запуска по расписанию, указанному в параметрах задачи.

        Убедитесь, что задача выполняется на всех активах.

     3. Настройте Kaspersky Endpoint Security для Windows на ваших активах.

        Должны быть включены следующие компоненты:

        • Kaspersky Security Network

          В параметрах Kaspersky Security Network установите флажок Включить расширенный режим KSN.

        • Анализ поведения

          Включение этих компонентов обязательно. В противном случае Kaspersky Managed Detection and Response не будет работать, поскольку будет невозможна отправка телеметрии.

        Кроме того, Kaspersky Managed Detection and Response может использовать данные следующих компонентов:

        • Защита от веб-угроз
        • Защита от почтовых угроз
        • Сетевой экран

          Включение этих компонентов не является обязательным. Если эти компоненты останутся выключенными, Kaspersky Managed Detection and Response продолжит отправлять телеметрию, но с ограниченными данными.

     4. Если вы включили Сетевой экран в Kaspersky Endpoint Security для Windows, создайте правило Сетевого экрана со следующими свойствами:
        • В раскрывающемся списке Действие выберите пункт Разрешить.
        • В раскрывающемся списке Направление выберите значение Входящее / исходящее.
        • В раскрывающихся списках Удаленные адреса и Локальные адреса выберите пункт Любой адрес.

          После создания правила переместите его, чтобы оно стало первым в списке правил.

     При использовании Kaspersky Endpoint Detection and Response Optimum

     1. Убедитесь, что Kaspersky Endpoint Agent установлен в составе Kaspersky Endpoint Security для Windows.

        Установка Kaspersky Endpoint Agent может быть выполнена:

        • В процессе установки Kaspersky Endpoint Security для Windows.
        • После установки Kaspersky Endpoint Security для Windows.
     2. Проверьте актуальность версии Kaspersky Endpoint Agent для Windows и при необходимости обновите ее.

        Для работы Kaspersky Endpoint Security для Windows 11.5 требуется Kaspersky Endpoint Agent версии 3.10 или выше.

     3. Настройте решение Kaspersky Endpoint Detection and Response Optimum.
     4. Создайте политику Kaspersky Endpoint Agent.
     5. Настройка интеграции между Kaspersky Endpoint Agent для Windows и Kaspersky Managed Detection and Response путем загрузки файла BLOB из файла конфигурации MDR в политику Kaspersky Endpoint Agent.
     6. Настройте Kaspersky Endpoint Security для Windows на ваших активах.

        Должны быть включены следующие компоненты:

        • Kaspersky Security Network

          В параметрах Kaspersky Security Network необходимо установить флажок Включить расширенный режим KSN.

        • Анализ поведения

          Включение этих компонентов обязательно. В противном случае Kaspersky Managed Detection and Response не будет работать, поскольку будет невозможна отправка телеметрии.

        Кроме того, Kaspersky Managed Detection and Response может использовать данные следующих компонентов:

        • Защита от веб-угроз
        • Защита от почтовых угроз
        • Сетевой экран

          Включение этих компонентов не является обязательным. Если эти компоненты останутся выключенными, Kaspersky Managed Detection and Response продолжит отправлять телеметрию, но с ограниченными данными.

     7. Если вы включили Сетевой экран в Kaspersky Endpoint Security для Windows, создайте правило Сетевого экрана со следующими свойствами:
        • В раскрывающемся списке Действие выберите пункт Разрешить.
        • В раскрывающемся списке Направление выберите значение Входящее / исходящее.
        • В раскрывающихся списках Удаленные адреса и Локальные адреса выберите пункт Любой адрес.

          После создания правила переместите его, чтобы оно стало первым в списке правил.

   • Kaspersky Endpoint Security для Linux
   • Kaspersky Endpoint Security для Mac
   • Kaspersky Security для Windows Server

     Развертывание зависит от того, какая версия Kaspersky Security для Windows Server установлена на ваших активах. Если в вашей инфраструктуре установлено несколько версий Kaspersky Security для Windows Server, можно выполнять сценарии для этих версий в любом порядке.

     Kaspersky Security для Windows Server 11 и выше

     1. Убедитесь, что Kaspersky Endpoint Agent для Windows установлен в составе Kaspersky Security для Windows Server.

        Установка Kaspersky Endpoint Agent для Windows может быть выполнена:

        • В процессе установки Kaspersky Security для Windows Server
        • После установки Kaspersky Security для Windows Server
     2. Проверьте актуальность версии Kaspersky Endpoint Agent для Windows и при необходимости обновите ее.
     3. Создайте политику Kaspersky Endpoint Agent для Windows с помощью Kaspersky Security Center Web Console.
     4. Чтобы настроить интеграцию Kaspersky Endpoint Agent для Windows и Kaspersky Managed Detection and Response, загрузите файл BLOB из файла конфигурации MDR в политику.
     5. Настройте Kaspersky Security для Windows Server на ваших активах. Каждый шаг можно выполнить локально в Kaspersky Security для Windows Server на каждом из активов или глобально в Kaspersky Security Center.
        1. Запустите задачу Использование KSN.

           Запуск задачи Использование KSN позволяет использовать Kaspersky Security Network в Kaspersky Security для Windows Server.

           В окне Обработка данных задачи Использование KSN установите все флажки на всех вкладках.

           В окне Параметры задачи Использование KSN на вкладке Управление задачами установите флажок Запускать по расписанию. В раскрывающемся списке Периодичность выберите пункт При запуске приложения.

           Убедитесь, что в подразделе Использование KSN отображается закрытый замок. Закрытый замок означает, что политика устанавливает указанные параметры для активов.

        2. Запустите задачу Защита трафика.

           Запуск задачи Защита трафика позволяет обрабатывать веб-трафик (включая трафик, получаемый по электронной почте), а также перехватывать и проверять объекты, передаваемые через веб-трафик, для обнаружения известных компьютерных и других угроз на защищаемом устройстве.

           В окне Параметры задачи Защита трафика на вкладке Общие в раскрывающемся списке Режим задачи выберите значение Драйверный перехват.

           В окне Параметры задачи Защита трафика на вкладке Управление задачами установите флажок Запускать по расписанию. В раскрывающемся списке Периодичность выберите пункт При запуске приложения.

           Убедитесь, что в подразделе Защита трафика отображается закрытый замок. Закрытый замок означает, что политика устанавливает указанные параметры для активов.

        3. Запустите задачу Контроль запуска приложений.

           Запуск задачи Контроль запуска приложений позволяет отслеживать попытки пользователей запускать приложения, а также разрешает или запрещает запуск этих приложений.

           В окне Параметры задачи Контроль запуска приложений на вкладке Общие установите флажки Контролировать загрузку DLL-модулей и Разрешать запуск приложений, доверенных в KSN.

           В окне Параметры задачи Контроль запуска приложений на вкладке Управление задачами установите флажок Запускать по расписанию. В раскрывающемся списке Периодичность выберите пункт При запуске приложений.

           Убедитесь, что в подразделе Контроль запуска приложений отображается закрытый замок. Закрытый замок означает, что политика устанавливает указанные параметры для активов.

     Kaspersky Security для Windows Server 10.1.*

     1. Убедитесь, что вы установили Kaspersky Endpoint Agent для Windows как автономное приложение.
     2. Проверьте актуальность версии Kaspersky Endpoint Agent для Windows и при необходимости обновите ее.
     3. Создайте политику Kaspersky Endpoint Agent для Windows с помощью Kaspersky Security Center Web Console.
     4. Чтобы настроить интеграцию Kaspersky Endpoint Agent для Windows и Kaspersky Managed Detection and Response, загрузите файл BLOB из файла конфигурации MDR в политику.
     5. Настройте Kaspersky Security для Windows Server на ваших активах. Каждый шаг можно выполнить локально в Kaspersky Security для Windows Server на каждом из активов или глобально в Kaspersky Security Center.
        1. Запустите задачу Использование KSN.

           Запуск задачи Использование KSN позволяет использовать Kaspersky Security Network в Kaspersky Security для Windows Server.

           В окне Обработка данных задачи Использование KSN установите все флажки на всех вкладках.

           В окне Параметры задачи Использование KSN на вкладке Управление задачами установите флажок Запускать по расписанию. В раскрывающемся списке Периодичность выберите пункт При запуске приложения.

           Убедитесь, что в подразделе Использование KSN отображается закрытый замок. Закрытый замок означает, что политика устанавливает указанные параметры для активов.

        2. Запустите задачу Защита трафика.

           Запуск задачи Защита трафика позволяет обрабатывать веб-трафик (включая трафик, получаемый по электронной почте), а также перехватывать и проверять объекты, передаваемые через веб-трафик, для обнаружения известных компьютерных и других угроз на защищаемом устройстве.

           В окне Параметры задачи Защита трафика на вкладке Общие в раскрывающемся списке Режим задачи выберите значение Драйверный перехват.

           В окне Параметры задачи Защита трафика на вкладке Управление задачами установите флажок Запускать по расписанию. В раскрывающемся списке Периодичность выберите пункт При запуске приложения.

           Убедитесь, что в подразделе Защита трафика отображается закрытый замок. Закрытый замок означает, что политика устанавливает указанные параметры для активов.

        3. Запустите задачу Контроль запуска приложений.

           Запуск задачи Контроль запуска приложений позволяет отслеживать попытки пользователей запускать приложения, а также разрешает или запрещает запуск этих приложений.

           В окне Параметры задачи Контроль запуска приложений на вкладке Общие установите флажки Контролировать загрузку DLL-модулей и Разрешать запуск приложений, доверенных в KSN.

           В окне Параметры задачи Контроль запуска приложений на вкладке Управление задачами установите флажок Запускать по расписанию. В раскрывающемся списке Периодичность выберите пункт При запуске приложений.

           Убедитесь, что в подразделе Контроль запуска приложений отображается закрытый замок. Закрытый замок означает, что политика устанавливает указанные параметры для активов.

   • Kaspersky Security для виртуальных сред 5.2 Легкий агент

     1. Убедитесь, что Kaspersky Endpoint Agent установлен в составе Kaspersky Endpoint Security для Windows.

        Установка Kaspersky Endpoint Agent может быть выполнена:

        • В процессе установки Kaspersky Endpoint Security для Windows.
        • После установки Kaspersky Endpoint Security для Windows.
     2. Проверьте актуальность версии Kaspersky Endpoint Agent для Windows и при необходимости обновите ее.

        Для работы Kaspersky Endpoint Security для Windows 11.5 требуется Kaspersky Endpoint Agent версии 3.10 или выше.

     3. Настройте решение Kaspersky Endpoint Detection and Response Optimum.
     4. Создайте политику Kaspersky Endpoint Agent.
     5. Настройка интеграции между Kaspersky Endpoint Agent для Windows и Kaspersky Managed Detection and Response путем загрузки файла BLOB из файла конфигурации MDR в политику Kaspersky Endpoint Agent.
     6. Настройте Kaspersky Endpoint Security для Windows на ваших активах.

        Должны быть включены следующие компоненты:

        • Kaspersky Security Network

          В параметрах Kaspersky Security Network установите флажок Включить расширенный режим KSN.

        • Анализ поведения

          Включение этих компонентов обязательно. В противном случае Kaspersky Managed Detection and Response не будет работать, поскольку будет невозможна отправка телеметрии.

        Кроме того, Kaspersky Managed Detection and Response может использовать данные следующих компонентов:

        • Защита от веб-угроз
        • Защита от почтовых угроз
        • Сетевой экран

          Включение этих компонентов не является обязательным. Если эти компоненты останутся выключенными, Kaspersky Managed Detection and Response продолжит отправлять телеметрию, но с ограниченными данными.

     7. Если вы включили Сетевой экран в Kaspersky Endpoint Security для Windows, создайте правило Сетевого экрана со следующими свойствами:
        • В раскрывающемся списке Действие выберите пункт Разрешить.
        • В раскрывающемся списке Направление выберите значение Входящее / исходящее.
        • В раскрывающихся списках Удаленные адреса и Локальные адреса выберите пункт Любой адрес.

          После создания правила переместите его, чтобы оно стало первым в списке правил.

     • Kaspersky Security для виртуальных сред 5.2 Легкий агент
     • При использовании Kaspersky Endpoint Detection and Response Optimum (для Kaspersky Endpoint Security для Windows 11.6 и ниже)
       1. Убедитесь, что Kaspersky Endpoint Agent установлен в составе Kaspersky Endpoint Security для Windows.

          Установка Kaspersky Endpoint Agent может быть выполнена:

          • В процессе установки Kaspersky Endpoint Security для Windows.
          • После установки Kaspersky Endpoint Security для Windows.
       2. Проверьте актуальность версии Kaspersky Endpoint Agent для Windows и при необходимости обновите ее.

          Для работы Kaspersky Endpoint Security для Windows 11.5 требуется Kaspersky Endpoint Agent версии 3.10 или выше.

       3. Настройте решение Kaspersky Endpoint Detection and Response Optimum.
       4. Создайте политику Kaspersky Endpoint Agent.
       5. Настройка интеграции между Kaspersky Endpoint Agent для Windows и Kaspersky Managed Detection and Response путем загрузки файла BLOB из файла конфигурации MDR в политику Kaspersky Endpoint Agent.
       6. Настройте Kaspersky Endpoint Security для Windows на ваших активах.

          Должны быть включены следующие компоненты:

          • Kaspersky Security Network

            В параметрах Kaspersky Security Network установите флажок Включить расширенный режим KSN.

          • Анализ поведения

            Включение этих компонентов обязательно. В противном случае Kaspersky Managed Detection and Response не будет работать, поскольку будет невозможна отправка телеметрии.

          Кроме того, Kaspersky Managed Detection and Response может использовать данные следующих компонентов:

          • Защита от веб-угроз
          • Защита от почтовых угроз
          • Сетевой экран

            Включение этих компонентов не является обязательным. Если эти компоненты останутся выключенными, Kaspersky Managed Detection and Response продолжит отправлять телеметрию, но с ограниченными данными.

       7. Если вы включили Сетевой экран в Kaspersky Endpoint Security для Windows, создайте правило Сетевого экрана со следующими свойствами:
          • В раскрывающемся списке Действие выберите пункт Разрешить.
          • В раскрывающемся списке Направление выберите значение Входящее / исходящее.
          • В раскрывающихся списках Удаленные адреса и Локальные адреса выберите пункт Любой адрес.

            После создания правила переместите его, чтобы оно стало первым в списке правил.

   • Kaspersky Anti-Targeted Attack Platform

     Kaspersky Managed Detection and Response позволят выполнять анализ и мониторинг данных, получаемых от Kaspersky Anti-Targeted Attack (KATA) Platform.

     Интеграция с Kaspersky Anti-Targeted Attack Platform недоступна при использовании лицензионного ключа для региона Саудовская Аравия.

     Чтобы настроить интеграцию Kaspersky Managed Detection and Response с Kaspersky Anti-Targeted Attack Platform, сначала необходимо получить конфигурационный файл MDR. Информация о настройке интеграции приведена в справке Kaspersky Anti-Targeted Attack Platform.

     Kaspersky Anti-Targeted Attack Platform не является частью Kaspersky Managed Detection and Response. Для использования приложения Kaspersky Anti-Targeted Attack Platform ее необходимо приобрести отдельно.

   Если в инфраструктуре установлено несколько приложений "Лаборатории Касперского", можно выполнять сценарии для определенных приложений в любом порядке.

Если вы не используете плагин MDR, вручную настройте KPSN на активах с помощью файла конфигурации KSN из файла конфигурации MDR. Этот шаг гарантирует отправку телеметрии на выделенные серверы, соответствующие требованиям Общего регламента по защите данных (GDPR). Если вы не настроили KPSN и не использовали плагин MDR для первоначального развертывания Kaspersky Managed Detection and Response, ваша телеметрия не передается и служба Kaspersky Managed Detection and Response не предоставляется.

Вы можете проверить статус активов с помощью функции Работоспособность MDR.

[Topic 219539]

Облачное развертывание

Развернуть все | Свернуть все

Развертывание Kaspersky Managed Detection and Response с помощью Kaspersky Security Center Console состоит из следующих шагов:

1. Активация решения

   Активируйте решение Kaspersky Managed Detection and Response с использованием вашей лицензии.

2. Установка EPP-программ

   Убедитесь, что на активах установлены EPP-программы, которые поддерживают функции Kaspersky Managed Detection and Response.

3. Скачивание конфигурационного файла MDR

   Скачайте конфигурационный файл MDR для вашей организации или отдельные архивы для каждого тенанта из раздела Тенанты в Консоли MDR с помощью плагина MDR в Kaspersky Security Center Cloud Console.

   Начиная с версии Kaspersky Endpoint Security для Windows 12.6, если у вас есть только корневой тенант и вы не используете решение MDR вместе с Kaspersky Endpoint Detection and Response Optimum, вам не нужно загружать конфигурационный файл MDR. См. инструкцию для Kaspersky Endpoint Security для Windows на шаге 4.

4. Интеграция с EPP-программами

   Выполните сценарии развертывания для всех приложений "Лаборатории Касперского", установленных на ваших активах.

   • Kaspersky Endpoint Security для Windows

     Развертывание зависит от того, какая версия Kaspersky Endpoint Security для Windows установлена на ваших активах. Если в вашей инфраструктуре установлено несколько версий Kaspersky Endpoint Security для Windows, можно выполнять сценарии для этих версий в любом порядке.

     Kaspersky Endpoint Security для Windows 12.6 и выше с только корневым тенантом и без Kaspersky Endpoint Detection and Response Optimum

     Если вы используете только корневой тенант, вы можете не загружать конфигурационный файл MDR, а ввести код активации прямо в Kaspersky Security Center Cloud Console.

     Чтобы развернуть Kaspersky Managed Detection and Response в Kaspersky Endpoint Security для Windows 12.6 и выше:

     1. Убедитесь, что все ваши активы принадлежат корневому тенанту.
     2. Проверьте, обновлен ли Kaspersky Endpoint Security для Windows на всех активах до версии 12.6 или выше.
     3. Убедитесь, что компонент Kaspersky Managed Detection and Response включен в Kaspersky Endpoint Security для Windows на всех активах.
     4. Добавьте лицензионный ключ в хранилище лицензионных ключей Kaspersky Security Center Cloud Console.
     5. Активируйте Kaspersky Managed Detection and Response на активах автоматически или с помощью задачи Добавить лицензионный ключ.

     Подробнее об одновременном использовании решений MDR и EDR Optimum см. в справке Kaspersky Endpoint Security для Windows.

     Kaspersky Endpoint Security для Windows версий 11.6–12.5 и выше с несколькими тенантами

     Если вы переключаетесь на встроенные функции MDR в Kaspersky Endpoint Security для Windows после работы с решением с использованием функций Kaspersky Endpoint Agent, обязательно выключите Kaspersky Managed Detection and Response в политике Kaspersky Endpoint Agent после настройки интеграции с Kaspersky Managed Detection and Response в политике Kaspersky Endpoint Security для Windows для всех активов с Kaspersky Endpoint Security для Windows 11.6 и выше.

     Обратите внимание, что если та же политика применяется к активам с Kaspersky Endpoint Security для Windows версии 11.5 и ниже, необходимо сначала создать и настроить отдельную политику для этих активов, чтобы поддерживать их интеграцию с Kaspersky Managed Detection and Response с помощью политики Kaspersky Endpoint Agent.

     Kaspersky Endpoint Security для Windows 11.3–11.5

     1. Создайте задачу Удаленная установка программы в Kaspersky Security Center Cloud Console. В окне Выбор дистрибутива для установки выберите BAT-файл из файла конфигурации MDR.
     2. Запустите задачу вручную или дождитесь ее запуска по расписанию, указанному в параметрах задачи.

        Убедитесь, что задача выполняется на всех активах.

     3. Настройте Kaspersky Endpoint Security для Windows на ваших активах.

        Должны быть включены следующие компоненты:

        • Kaspersky Security Network

          В параметрах Kaspersky Security Network установите флажок Включить расширенный режим KSN.

        • Анализ поведения

          Включение этих компонентов обязательно. В противном случае Kaspersky Managed Detection and Response не будет работать, поскольку будет невозможна отправка телеметрии.

        Кроме того, Kaspersky Managed Detection and Response может использовать данные следующих компонентов:

        • Защита от веб-угроз
        • Защита от почтовых угроз
        • Сетевой экран

          Включение этих компонентов не является обязательным. Если эти компоненты останутся выключенными, Kaspersky Managed Detection and Response продолжит отправлять телеметрию, но с ограниченными данными.

     4. Если вы включили Сетевой экран в Kaspersky Endpoint Security для Windows, создайте правило Сетевого экрана со следующими свойствами:
        • В раскрывающемся списке Действие выберите пункт Разрешить.
        • В раскрывающемся списке Направление выберите значение Входящее / исходящее.
        • В раскрывающихся списках Удаленные адреса и Локальные адреса выберите пункт Любой адрес.

          После создания правила переместите его, чтобы оно стало первым в списке правил.

   • Kaspersky Endpoint Security для Linux
   • Kaspersky Endpoint Security для Mac
   • Kaspersky Security для Windows Server
     1. Убедитесь, что Kaspersky Endpoint Agent для Windows установлен в составе Kaspersky Security для Windows Server.

        Установка Kaspersky Endpoint Agent для Windows может быть выполнена:

        • В процессе установки Kaspersky Security для Windows Server
        • После установки Kaspersky Security для Windows Server
     2. Проверьте актуальность версии Kaspersky Endpoint Agent для Windows и при необходимости обновите ее.

        Для работы с Kaspersky Security Center Cloud Console требуется Kaspersky Endpoint Agent 3.11.

     3. Создайте политику Kaspersky Endpoint Agent для Windows с помощью Kaspersky Security Center Cloud Console.
     4. Чтобы настроить интеграцию Kaspersky Endpoint Agent для Windows и Kaspersky Managed Detection and Response, загрузите файл BLOB из файла конфигурации MDR в политику.
     5. Настройте Kaspersky Security для Windows Server на ваших активах. Каждый шаг можно выполнить локально в Kaspersky Security для Windows Server на каждом из активов или глобально в Kaspersky Security Center.
        1. Запустите задачу Использование KSN.

           Запуск задачи Использование KSN позволяет использовать Kaspersky Security Network в Kaspersky Security для Windows Server.

           В окне Обработка данных задачи Использование KSN установите все флажки на всех вкладках.

           В окне Параметры задачи Использование KSN на вкладке Управление задачами установите флажок Запускать по расписанию. В раскрывающемся списке Периодичность выберите пункт При запуске приложения.

           Убедитесь, что в подразделе Использование KSN отображается закрытый замок. Закрытый замок означает, что политика устанавливает указанные параметры для активов.

        2. Запустите задачу Защита трафика.

           Запуск задачи Защита трафика позволяет обрабатывать веб-трафик (включая трафик, получаемый по электронной почте), а также перехватывать и проверять объекты, передаваемые через веб-трафик, для обнаружения известных компьютерных и других угроз на защищаемом устройстве.

           В окне Параметры задачи Защита трафика на вкладке Общие в раскрывающемся списке Режим задачи выберите значение Драйверный перехват.

           В окне Параметры задачи Защита трафика на вкладке Управление задачами установите флажок Запускать по расписанию. В раскрывающемся списке Периодичность выберите пункт При запуске приложения.

           Убедитесь, что в подразделе Защита трафика отображается закрытый замок. Закрытый замок означает, что политика устанавливает указанные параметры для активов.

        3. Запустите задачу Контроль запуска приложений.

           Запуск задачи Контроль запуска приложений позволяет отслеживать попытки пользователей запускать приложения, а также разрешает или запрещает запуск этих приложений.

           В окне Параметры задачи Контроль запуска приложений на вкладке Общие установите флажки Контролировать загрузку DLL-модулей и Разрешать запуск приложений, доверенных в KSN.

           В окне Параметры задачи Контроль запуска приложений на вкладке Управление задачами установите флажок Запускать по расписанию. В раскрывающемся списке Периодичность выберите пункт При запуске приложений.

           Убедитесь, что в подразделе Контроль запуска приложений отображается закрытый замок. Закрытый замок означает, что политика устанавливает указанные параметры для активов.

   • Kaspersky Anti-Targeted Attack Platform

     Kaspersky Managed Detection and Response позволят выполнять анализ и мониторинг данных, получаемых от Kaspersky Anti-Targeted Attack (KATA) Platform.

     Интеграция с Kaspersky Anti-Targeted Attack Platform недоступна при использовании лицензионного ключа для региона Саудовская Аравия.

     Чтобы настроить интеграцию Kaspersky Managed Detection and Response с Kaspersky Anti-Targeted Attack Platform, сначала необходимо получить конфигурационный файл MDR. Информация о настройке интеграции приведена в справке Kaspersky Anti-Targeted Attack Platform.

     Kaspersky Anti-Targeted Attack Platform не является частью Kaspersky Managed Detection and Response. Для использования приложения Kaspersky Anti-Targeted Attack Platform ее необходимо приобрести отдельно.

   Если в инфраструктуре установлено несколько приложений "Лаборатории Касперского", можно выполнять сценарии для определенных приложений в любом порядке.

5. Создание точки распространения

   Выполните следующие действия:

   1. Проверьте, есть ли у вас хотя бы одна точка распространения в вашей сети или настройте устройство в сети вашей организации в качестве точки распространения. Точка распространения будет выступать в роли прокси-сервера для устройств, участвующих в Kaspersky Security Network.
   2. Включите прокси-сервер KSN на стороне точки распространения в свойствах точки распространения в разделе Прокси-сервер KSN (точки распространения).
   3. Настройте Область действия точки распространения, выбрав группу администрирования и/или сетевое местоположение.

Вы можете проверить статус активов с помощью функции Работоспособность MDR.

[Topic 196547]

О конфигурационном файле MDR

Kaspersky Managed Detection and Response использует конфигурационный файл MDR, чтобы включить решение в EPP-программах "Лаборатории Касперского" для рабочих станций (таких как Kaspersky Endpoint Security для Windows), установленных на активах, и чтобы настроить интеграцию с Kaspersky Anti-Targeted Attack Platform.

Конфигурационный файл MDR может не понадобиться в следующих случаях:

Обратите внимание, что даже если вы не используете конфигурационный файл MDR, необходимо активировать решение с помощью Консоли MDR или плагина MDR в Kaspersky Security Center.

• Вы используете Kaspersky Endpoint Security для Windows 12.6 или выше в качестве EPP-программы.
• У вас есть только корневой тенант.
• Вы не используете решение Kaspersky Endpoint Detection and Response Optimum одновременно с решением Kaspersky MDR.

В этом случае Kaspersky Endpoint Security для Windows применяет лицензию Kaspersky Security Center. Если вы используете тенанты, отличные от корневого, вам необходимо загрузить конфигурационный файл MDR для каждого тенанта.

Файл конфигурации MDR формируется автоматически средствами Kaspersky Managed Detection and Response, при активации решения с помощью кода активации. Конфигурационный файл MDR представляет собой ZIP-архив, содержащий следующие файлы:

• Файл конфигурации Kaspersky Security Network.
• Файл BLOB (P7) для развертывания программ EPP, поддерживающих интеграцию с MDR с помощью политик Kaspersky Security Center.
• Файл BAT для развертывания устаревших конфигураций с предыдущими версиями EPP-программ, не поддерживающих интеграцию с MDR с помощью политик Kaspersky Security Center.

  Вы можете скачать конфигурационный файл MDR с файлом BLOB (P7) или с файлом BAT. Подробную информацию о различных сценариях развертывания см. в разделе Развертывание Kaspersky Managed Detection and Response.

Скачайте конфигурационный файл MDR и используйте его в соответствии с инструкциями для EPP-программ, установленных на ваших активах:

• Kaspersky Endpoint Security для Windows
• Kaspersky Endpoint Security для Linux
• Kaspersky Endpoint Security для Mac

[Topic 255698]

Скачивание конфигурационного файла MDR из Kaspersky Security Center

Чтобы скачать конфигурационный файл MDR из Kaspersky Security Center:

1. В Kaspersky Security Center Web Console или Kaspersky Security Center Cloud Console в панели слева нажмите MDR и перейдите на вкладку Лицензии.
2. Выберите столбец Архив для настройки актива и нажмите Загрузить, чтобы загрузить конфигурационный файл MDR для действующей лицензии.

[Topic 255699]

Скачивание конфигурационного файла MDR из Консоли MDR

Чтобы скачать конфигурационный файл MDR из Консоли MDR:

1. Откройте страницу Начало работы в Консоли MDR (https://mdr.kaspersky.com/guide). Страница Начало работы доступна только для пользователей, выполнивших вход.
2. На шаге 4 перейдите по ссылке MDR configuration file (BLOB file included) или MDR configuration file (BAT file included).

Уведомление о том, включено ли решение, постоянно отображается в нижней части Консоли MDR.

[Topic 221233]

Лицензирование

В этом разделе описаны основные аспекты лицензирования решения Kaspersky Managed Detection and Response.

[Topic 206800]

Сравнение коммерческих типов лицензий:

Набор функций, доступных в Kaspersky Managed Detection and Response, зависит от вашей коммерческой лицензии (см. таблицу ниже).

Сравнение коммерческих лицензий Kaspersky Managed Detection and Response

*Этот уровень доступен только для некоторых регионов и может быть недоступен для покупки новыми тенантами. Обратитесь к поставщику решения Kaspersky Managed Detection and Response для получения подробной информации о доступных вам типах коммерческих лицензий.

**Решение Kaspersky Managed Detection and Response обеспечивает обработку трех обращений в неделю в соответствии с целевыми показателями предоставления решения. Количество обращений, обрабатываемых согласно целевым показателям предоставления решения, увеличивается пропорционально: на каждые 10 000 подключенных конечных устройств количество обращений увеличивается на 1.

[Topic 203014]

О лицензии

Лицензия – это ограниченное по времени право на использование приложения, предоставляемое на основании Условий использования.

Лицензия предоставляет право на получение следующих видов услуг:

• использование приложения в соответствии с Условиями использования;
• получение технической поддержки.

Объем предоставляемых услуг и срок использования приложения зависят от типа лицензии, по которой было активировано приложение.

Предусмотрены следующие типы лицензий:

• Пробная – бесплатная лицензия, предназначенная для ознакомления с приложением.

  Пробная лицензия имеет небольшой срок действия. По истечении срока действия пробной лицензии Kaspersky Managed Detection and Response прекращает выполнять все свои функции. Чтобы продолжить использование приложения, вам нужно приобрести коммерческую лицензию.

  Вы можете активировать приложение по пробной лицензии только один раз.

• Коммерческая – платная лицензия, предоставляемая при приобретении приложения.

  По истечении срока действия коммерческой лицензии приложение продолжает работать, но с ограниченной функциональностью (не предоставляется телеметрия). Чтобы продолжить использование Kaspersky Managed Detection and Response в режиме полной функциональности, необходимо продлить срок действия коммерческой лицензии.

  Рекомендуется продлить лицензию до истечения срока ее действия, чтобы обеспечить максимальную защиту от всех угроз безопасности.

• Подписка – платная лицензия, позволяющая использовать приложение с ежемесячной или ежегодной оплатой, с автоматическим продлением до отмены или истечения срока действия.

  Лицензия по подписке бывает двух типов:

  • Срочная – автоматически продлевается в конце каждого расчетного периода до заданной даты истечения срока.
  • С неограниченным сроком – автоматически продлевается в конце каждого расчетного периода до отмены клиентом.

  Вы можете управлять лицензией по подписке на Портале управления лицензиями "Лаборатории Касперского".

  Если вы измените объем лицензии, например измените количество активов, информация о лицензии будет обновлена в Консоли MDR в течение 24 часов.

  При отмене или по истечении срока действия лицензии по подписке приложение продолжает работать, но с ограниченной функциональностью (не предоставляется телеметрия). Чтобы продолжить использование Kaspersky Managed Detection and Response в режиме полной функциональности, необходимо продлить срок действия лицензии по подписке.

  Рекомендуется продлить лицензию до истечения срока ее действия, чтобы обеспечить максимальную защиту от всех угроз безопасности.

Лицензия Kaspersky Managed Detection and Response также позволяет использовать решение Kaspersky Endpoint Detection and Response Optimum. Решение становится доступно на активе после настройки интеграции Kaspersky Managed Detection and Response с Kaspersky Endpoint Agent.

[Topic 224185]

О коде активации

Код активации – это уникальная последовательность из двадцати латинских букв и цифр. Код активации нужно указать для активации Kaspersky Managed Detection and Response. Код активации отправляется на адрес электронной почты, указанный при приобретении решения Kaspersky Managed Detection and Response.

Для активации решения с помощью кода активации необходим доступ в интернет для подключения к серверам активации "Лаборатории Касперского".

Если вы потеряли код активации, обратитесь к партнеру "Лаборатории Касперского", у которого вы приобрели лицензию.

[Topic 219733]

Предоставление нового кода активации

Если требуется обновить решение или продлить срок действия лицензии, необходимо указать новый код активации Kaspersky Managed Detection and Response.

Эта функция доступна, только если установлено разрешение Интеграция приложений в Kaspersky Security Center Web Console или в Kaspersky Security Center Cloud Console.

Чтобы ввести новый код активации для Kaspersky Managed Detection and Response:

1. В разделе MDR окна Kaspersky Security Center перейдите на вкладку Использование MDR.
2. В разделе Использование лицензии перейдите по ссылке Ввести новый код активации.
3. В окне с уведомлением нажмите на кнопку ОК.

   Отобразится начальный экран Kaspersky Managed Detection and Response.

4. Нажмите на кнопку Активировать решение.
5. Kaspersky Managed Detection and Response проверяет, выполнен ли вход в систему:
   • Если вход в систему выполнен, введите новый код активации, выберите регион и нажмите на кнопку Активировать.
   • Если вход в систему не выполнен, выполните вход, введите новый код активации, выберите регион и нажмите на кнопку Активировать.
6. Выберите тенанты, к которым будет доступ у пользователей этого Сервера администрирования.

Новый код активации будет применен. Kaspersky Managed Detection and Response будет работать в соответствии с предоставленной лицензией.

[Topic 219682]

О Соглашении о MDR

Соглашение MDR – это юридическое соглашение между вами и АО "Лаборатория Касперского", в котором указано, на каких условиях вы можете использовать решение.

Прежде чем начать использовать решение, ознакомьтесь с Соглашением MDR.

Соглашение о MDR доступно:

• Во время активации Kaspersky Managed Detection and Response.
• По ссылке Условия использования решения MDR в разделе Условия использования решения MDR (MDR → Использование MDR → Условия использования решения MDR).

Вы принимаете условия Соглашения MDR, подтверждая свое согласие с Соглашением MDR при активации решения. Если вы не принимаете Соглашение MDR, отмените активацию Kaspersky Managed Detection and Response и не используйте решение.

[Topic 259270]

О Соглашении об обработке данных

Соглашение об обработке данных (DPA) является неотъемлемой частью Соглашения об Kaspersky Managed Detection and Response. Соглашение об обработке данных применяется к обработке пользовательских данных АО "Лаборатории Касперского" от имени пользователя.

Содержание Соглашения об обработке данных (DPA), его доступность в интерфейсах решения и список данных пользователя зависят от региона, в котором используется решение.

Соглашение об обработке данных доступно для просмотра:

• Во время активации Kaspersky Managed Detection and Response (для некоторых регионов).
• В разделе Информация о Консоли MDR: https://mdr.kaspersky.com/about (для некоторых регионов).

  Раздел Информация доступен только для пользователей, выполнивших вход.

• В наборе документов, который вы получаете при покупке решения Kaspersky Managed Detection and Response (только для некоторых регионов).

Прежде чем начать использовать решение, ознакомьтесь с Соглашением об обработке данных.

Вы подтверждаете, что полностью прочитали и поняли Соглашение об обработке данных при активации решения или при покупке решения Kaspersky Managed Detection and Response. Если вы не согласны с тем, что ваши данные будут обрабатываться в соответствии с Соглашением об обработке данных, отмените активацию Kaspersky Managed Detection and Response и не используйте решение.

[Topic 219678]

Отзыв согласия с условиями использования решения MDR

Если вы решили прекратить использование Kaspersky Managed Detection and Response, отзовите свое согласие с условиями использования решения MDR, а затем отключите использование Kaspersky Managed Detection and Response на активах.

Эта функция доступна, только если установлено разрешение Интеграция приложений в Kaspersky Security Center Web Console или в Kaspersky Security Center Cloud Console.

Чтобы отозвать согласие с условиями использования решения MDR:

1. В разделе MDR окна Kaspersky Security Center перейдите на вкладку Использование MDR.
2. Разверните раздел Условия использования решения MDR, щелкнув по его названию.
3. Перейдите по ссылке Отозвать подтверждение принятия условий использования решения MDR.
4. Подтвердите, что вы хотите отозвать свое согласие с условиями использования решения MDR.

   Ваше согласие с условиями использования решения MDR будет отозвано.

Чтобы удалить информацию о вашей организации из инфраструктуры MDR, обратитесь в Службу технической поддержки.

[Topic 293996]

Управление лицензиями в Kaspersky Security Center

Развернуть все | Свернуть все

Если в вашей организации используется несколько действующих лицензий, вы можете управлять ими только в Kaspersky Security Center.

Для управления лицензиями требуется роль Администратор MDR.

Чтобы просмотреть лицензии:

В разделе MDR в Kaspersky Security Center перейдите на вкладку Лицензии.

Отобразится список Лицензионные ключи, используемые вашей организацией. В верхней панели отображается следующая общая информация о лицензионных ключах:

• Регион
• Тип коммерческой лицензии
• Общее количество подключенных активов и максимальное количество активов, которые можно подключить

На вкладке Активные отображаются только действующие лицензии. Перейдите на вкладку Все, чтобы просмотреть все лицензии в вашей организации.

В таблице приведена следующая информация о лицензионных сертификатах:

• Имя лицензии

  Название лицензии, включающее такие данные, как уровень лицензии и максимальное количество активов.

• Подключенные активы / лимит

  Количество активов, использующих этот лицензионный ключ, и максимальное количество активов.

  При превышении лицензионного ограничения на максимальное количество активов, активы выделяются красным цветом.

  В это число не входят устройства с конфигурационными BLOB-файлами, созданными до 1 января 2024 года. Чтобы устранить эту проблему, обновите BLOB-файл в параметрах тенанта и примените его к активам тенанта. Подробную информацию см. в разделе О конфигурационном файле MDR.

• ID

  Идентификатор лицензии.

• Дата активации
• Дата окончания срока действия

  Дата окончания срока действия лицензии выделена красным цветом, если срок действия лицензии истек или срок действия лицензии истекает через 14 дней или раньше.

• Статус.

  Один из следующих статусов:

  • Активен
  • Срок действия истек
  • Заблокировано
  • Удален
  • Неактивен

Чтобы загрузить CSV-файл с действующими лицензиями,

нажмите на кнопку Экспортировать по тенантам в CSV.

CSV-файл содержит распределение активов по тенантам для каждой лицензии.

Чтобы загрузить конфигурационный файл MDR для лицензионного сертификата,

выберите столбец Архив для настройки актива и нажмите на кнопку Скачать.

Чтобы ввести код активации,

нажмите на кнопку Добавить лицензионный ключ и в открывшейся панели введите код активации.

Тип лицензии и регион новой лицензии должны соответствовать типу лицензии и региону других кодов активации вашей организации.

Чтобы удалить активный лицензионный ключ:

1. Выберите столбец Действия и нажмите на значок .
2. В открывшемся окне подтвердите удаление лицензионного ключа.

   Статус лицензионного ключа изменится на Удален. Вы можете повторно ввести код активации для активации решения по лицензии.

[Topic 198749]

Предоставление данных

Для корректной работы компонентов Kaspersky Managed Detection and Response требуется обработка данных на стороне "Лаборатории Касперского". Компоненты не отправляют данные без разрешения администратора Kaspersky Managed Detection and Response.

Список пользовательских данных зависит от региона, в котором используется решение. Для вашего региона список пользовательских данных может отличаться от приведенного в этом разделе.

"Лаборатория Касперского" обеспечивает защиту всех полученных данных в соответствии с законодательством и применимыми правилами "Лаборатории Касперского". Данные передаются по безопасным каналам связи.

Список данных о событиях, происходящих на устройствах Пользователя

В целях выявления новых комплексных угроз безопасности данных и их источников, а также угроз вторжения, и принятия оперативных мер по усилению защиты данных, хранящихся и обрабатываемых Клиентом с помощью компьютера, для получения Услуги Клиент обязуется автоматически предоставлять следующие данные:

• Дата установки и активации программного обеспечения, полные имя и версия программного обеспечения, включая информацию об установленных обновлениях и языковой локализации программного обеспечения.
• Данные об установленном на компьютере программном обеспечении, включая версию операционной системы дату ее загрузки и установленных обновлений, объектах ядра, драйверах, службах, точках автозапуска, программах, которые запускаются автоматически при различных системных событиях (например, запуск операционной системы, вход пользователя в систему и т. д.), и их конфигурациях, расширениях браузеров, расширениях Microsoft Internet Explorer, расширениях системы печати, расширениях Проводника Windows, расширениях оболочки операционной системы, контрольных суммах загруженных объектов (MD5), элементах Active Setup, приложениях панели управления, версиях браузеров и почтовых клиентов.
• Данные о разрешенных возможностях на основе файловой системы, эффективный бит возможностей файловой системы, версия возможностей файловой системы, переменные среды, имена системных вызовов.
• Данные об унаследованных возможностях на основе файловой системы.
• Данные об имени компьютера, IP-адресах, шлюзах по умолчанию, MAC-адресах и оборудовании, включая контрольную сумму серийного номера жесткого диска, последние 12 байтов идентификатора компьютерной безопасности (SID), идентификатор зоны безопасности, извлеченный из потока NTFS.
• Данные о программных средствах, используемых для устранения проблем в программном обеспечении, установленном на компьютере Пользователя или для изменения его функциональных возможностей, а также коды возврата, полученные после установки каждого элемента программного обеспечения.
• Данные о состоянии антивирусной защиты компьютера, включая версию, дату и время выпуска используемых антивирусных баз, статистику обновлений и подключений к службам АО "Лаборатории Касперского", идентификаторы задания, идентификаторы и версии программных компонентов, выполняющих проверку, флаги, обозначающие внутреннюю тестовую среду Kaspersky, коды первичной ошибки для конкретного события, коды вторичной ошибки для конкретного события, порядковые номера событий.
• Действующая лицензия и серийный номер приложений АО "Лаборатория Касперского", названия и версии этих приложений. Идентификаторы установок приложений АО "Лаборатории Касперского", описание клиента из файла информации о лицензии.
• Данные об учетных записях пользователей: имя учетной записи, имя пользователя, идентификатор операционной системы, информация для входа, права, членство в группах, типы сеансов входа в систему, имя пакета аутентификации, имена доменов, DNS имена, используемые при аутентификации сеансов входа в систему, имя сервера, используемого для аутентификации, основное имя пользователя (UPN) учетной записи, SID.
• Полное содержимое журналов операционной системы.
• Данные системных вызовов.
• Данные об обнаружениях от приложений АО "Лаборатории Касперского", поддерживающих работу Kaspersky Managed Detection and Response.
• Данные о полученных электронных письмах, включая: адреса электронной почты отправителя и получателя, тему, информацию о вложениях: имя прикрепленного файла, размер, хеш (MD5) и результаты анализа формата файла.
• Данные о координатах области экрана, с которой снят снимок экрана.
• Данные о сетевых подключениях, включая IP-адреса и порты отправителя и получателя, индексы зон IPv6, информация о направлении сетевого подключения (входящее/исходящее), типы и маски выполненных DNS-запросов, коды ошибок для операции запроса DNS, действия по реагированию на запрос DNS, информация о запрошенном DNS-сервере.
• Данные и методы HTTP-соединений, включая посещенные веб-адреса, источники ссылок, агента пользователя, данные сетевого протокола аутентификации: MD5-хеш данных для аутентификации Kerberos, имя учетной записи или компьютера, имя области Kerberos, которой принадлежит имя сервера, домен, к которому принадлежит имя клиента, основное имя пользователя (UPN) учетной записи, криптографический пакет, который использовался для выданного билета Kerberos, маска флагов билета Kerberos в шестнадцатеричном формате, время выдачи билета Kerberos, время истечения срока действия билета Kerberos, окончательный срок действия билета (после которого билет не может быть продлен), имя контроллера домена, используемого для выдачи тикета Kerberos.
• Данные о протоколах прикладного уровня: объем поискового запроса LDAP, фильтр для поискового запроса LDAP, отличительное имя для поискового запроса LDAP, список атрибутов для поискового запроса LDAP.
• Данные о .NET: полное имя загруженной сборки .NET, флаги сборки для загруженной сборки .NET, флаги модуля для загруженного .NET-модуля, имя домена, в который загружена сборка .NET, флаги для сгенерированной заглушки MSIL, данные управляемого метода: пространство имен управляемого метода взаимодействия, имя управляемого метода взаимодействия, сигнатура управляемого метода взаимодействия, сигнатура собственного метода, сигнатура метода-заглушки.
• Данные о файлах, обрабатываемых в операционной системе: имя и путь, размер, атрибуты, типы файлов и объектов, результаты анализа формата файла, контрольная сумма (MD5), веб-адрес, с которого был загружен файл, адрес электронной почты отправителя, от которого был получен файл, и тема сообщения электронной почты, содержимое файловой системы, структуры VERSIONINFO из метаданных файла, информация об издателе, если файл подписан, ID пользователя-владельца файла, идентификатор группы владельцев файла, время последнего доступа к файлу, время последнего изменения метаданных файла, время создания файла, маски флагов проверки цифровой подписи, временные метки и коды операций над файлами и объектами, количество запусков исполняемого файла, идентификатор формата файла, полный путь к объекту и пути к контейнеру объекта, содержимое файла автозапуска, имя файла и путь к файлу на удаленном сетевом ресурсе, к которому выполняется обращение.
• Содержимое каталога "\etc\".
• Данные выводов команд.
• Данные аудита: результат операции, описание операции, тип события и пользователь операции.
• Данные о процессе: идентификатор процесса (PID), трассировка вызова процесса, информация об исполняемом файле процесса и его командной строки, информация о родительском процессе, MD5-хеш кода ошибки вычисления исполняемого файла, коды первичных ошибок, информация о целостности процесса, информация о сеансе входа, командная строка, аргументы командной строки для процесса, переменные среды для целевого процесса, уникальный идентификатор журнала активности процесса, название и/или адрес места инъекции кода, информация о правах доступа для процесса, коды ошибок вычисления хеша MD5 для объекта из командной строки процесса, список файловых упаковщиков, которыми упакован объект, начальный рабочий каталог для целевого процесса, массив идентификаторов процессов (PID), которые были завершены.
• Данные о реестре: имена, разделы и значения.
• Данные об удаленных операциях: имя удаленного компьютера и полное (FQDN) имя удаленного компьютера, на котором была выполнена удаленная операция, имя учетной записи пользователя, которая инициировала удаленную операцию, предоставляемый системой идентификатор удаленного процесса, инициировавшего удаленную операцию, время начала удаленного процесса, инициировавшего удаленную операцию, имя пространства имен для потребителя событий WMI, имя фильтра, используемого потребителем событий WMI, имя созданного потребителя событий WMI, исходный код потребителя событий WMI.
• Данные об ошибках: код ошибки расчета сумм MD5, код ошибки доступа к файлу, коды первичных ошибок, коды вторичных ошибок.
• Данные о событиях выполнения задач по реагированию, созданных специалистами АО "Лаборатории Касперского" и специалистами Пользователя: название и тип события, дата и время возникновения события, настройки и результаты выполнения задачи по реагированию (информация об объекте (путь к объекту, название и размер объекта, контрольные суммы объекта MD5 и SHA256), информация о помещении объекта в карантин, информация об удалении объекта, информация о завершении процесса, информация об удалении ключа/ветки реестра, информация о запуске процесса, информация об объектах, запрошенных специалистами АО "Лаборатории Касперского" для детального анализа с согласия Пользователя (имя, путь, размер и тип объекта, контрольные суммы объекта MD5 и SHA256, описание объекта, дата и время обработки запроса файла, содержимое файла), информация об установке и снятии сетевой изоляции устройства, информация об ошибках в результате выполнения задачи на реагирование).
• Данные о скриптах, запускаемых на компьютере: аргументы командной строки, содержимое скрипта или части скрипта, запущенного на компьютере и содержимое объекта или части объекта, полученного по AMSI.
• Данные о командах, полученных консольным приложением, включая интерпретаторы, с использованием перенаправления ввода через канал или файл, а также командах, выполненных пользователем в консольных приложениях, включая интерпретаторы.

Список данных о событиях, выявленных в результате анализа сетевого трафика:

В целях выявления новых комплексных событий безопасности данных и их источников, а также угроз вторжения, и принятия оперативных мер по усилению защиты данных, хранящихся и обрабатываемых Клиентом с помощью компьютера, для получения Услуги Клиент обязуется автоматически предоставлять следующие данные:

• Данные об идентификаторе, версии, типе и временной отметке записи в антивирусной базе данных, используемой для обнаружения события информационной безопасности, название угрозы на основе классификации АО "Лаборатории Касперского", временная отметка используемых антивирусных баз, код типа файла, идентификатор формата файла, идентификатор задачи программного обеспечения, обнаружившего событие, индикатор проверки репутации или проверки подписи файла.
• Данные для определения репутации файлов и веб-ресурсов, включая IP-адрес и доменное имя веб-адреса, для которого запрашивается репутация, имя файла, который исполнялся в момент обнаружения события, путь к файлу и контрольные суммы (MD5) файла и пути к нему.
• Данные об эмуляции исполняемого файла, включая размер файла и его контрольные суммы (MD5, SHA256, SHA1), версию компонента эмуляции, глубину эмуляции, массив свойств логических блоков и функций внутри логических блоков, полученные во время эмуляции и данные из PE-заголовков исполняемого файла.
• Данные обо всех обнаруженных объектах, включая имя и размер объекта, полный путь к объекту на компьютере, контрольные суммы (MD5, SHA256) обрабатываемых файлов, имя события, связанного с объектом, дата и время обнаружения, признак наличия цифровой подписи файла, название организации, подписавшей файл, статус доверенности и уровень угрозы файла, идентификатор и приоритет правила, используемого для обнаружения и тип технологии обнаружения.
• Тип источника, из которого был загружен объект, IP-адрес источника (или контрольная сумма (MD5) IP-адреса, если он локальный), веб-адрес источника, веб-адрес источника ссылки, имя, доменное имя и контрольная сумма (MD5) имени устройства, отправившего запрос на загрузку, и служебная информации о веб-браузере, отправившем запрос на загрузку.
• Контрольные суммы (MD5) локальной и доменной частей адресов электронной почты отправителя и получателя, а также контрольная сумма (MD5) темы сообщения электронной почты.
• Локальный и удаленный IP-адреса сетевого подключения, номера локальных и удаленных портов и идентификатор протокола подключения.
• Веб-адрес и имя целевого устройства, а также IP-адреса устройства.
• Идентификатор операционной системы, установленной на виртуальной машине, используемой программным обеспечением для анализа объектов.
• Дополнительная информация о событиях, включая индекс частоты встречаемости файла в локальной сети Пользователя, дату проникновения файла в локальную сеть и на компьютер Пользователя, идентификаторы учетных записей, с которых был запущен процесс, контрольные суммы их имен пользователей, а также имена их доменов или рабочих групп, информация о правах учетных записей пользователей.
• Информация о сетевой активности процесса, включая доменные имена сетевых ресурсов, используемых для установления соединения, и IP-адреса доменов, частота подключения к выбранному сетевому ресурсу, размер и тип передаваемых данных.
• Информация об использовании домена сетевого ресурса, включая индекс частоты запросов к домену из локальной сети, временную отметку первого запроса к домену из локальной сети, длительность запросов от различных пользователей и контрольные суммы их имен, имен их компьютеров, инициировавших запросы к домену, дополнительная информация о причинах обнаружения.
• Служебная информация о компоненте обработки статистики, включая дату и время начала и окончания периода, используемого для анализа статистических данных, объем свободной и использованной дисковой памяти, время последней обработки события, время работы различных алгоритмов обнаружения, сообщения об ошибках компонента, сообщения об успешном запуске различных алгоритмов обнаружения.
• Данные, передаваемые в службу технической поддержки.

Предоставление данных при использовании Kaspersky Endpoint Agent

Подробную информацию о предоставлении данных при использовании Kaspersky Endpoint Agent см. в справке Kaspersky Endpoint Agent для Windows.

[Topic 219732]

Задействованные субподрядчики по обработке данных

Следующие субподрядчики участвуют в обработке пользовательских данных в соответствии с Соглашением об обработке данных Kaspersky Managed Detection and Response:

Субподрядчики, задействованные АО "Лаборатория Касперского"

В начало

[Topic 298455]

Регион обработки данных

Данные пользователей обрабатываются в следующих регионах в соответствии с Соглашением об обработке данных Kaspersky Managed Detection and Response:

Регион обработки данных

Регион обработки данных зависит от региона, который вы выбираете при активации Kaspersky Managed Detection and Response, чтобы обеспечить соблюдение требований законодательства в отношении обработки данных пользователя.

[Topic 219092]

О Kaspersky Security Network

Kaspersky Security Network (KSN) – это инфраструктура облачных служб, предоставляющая доступ к оперативной базе знаний "Лаборатории Касперского" о репутации файлов, интернет-ресурсов и программного обеспечения.

Более подробную информацию об отправке в "Лабораторию Касперского", хранении и уничтожении статистической информации, полученной во время использования KSN, вы можете прочитать в Положении о Kaspersky Security Network и на веб-сайте "Лаборатории Касперского".

Инфраструктура KSN

Kaspersky Security Network поддерживает следующие инфраструктурные решения:

• Глобальный KSN – это решение, которое используют большинство приложений "Лаборатории Касперского". Участники KSN получают информацию от Kaspersky Security Network, а также отправляют в "Лабораторию Касперского" данные об объектах, обнаруженных на компьютере пользователя, для дополнительной проверки аналитиками "Лаборатории Касперского" и пополнения репутационных и статистических баз Kaspersky Security Network.
• KPSN (Kaspersky Private Security Network) – это решение, позволяющее пользователям компьютеров, на которые установлены приложения "Лаборатории Касперского", получать доступ к репутационным базам Kaspersky Security Network, а также другим статистическим данным, не отправляя данные в KSN со своих компьютеров. KPSN разработан для корпоративных клиентов, не имеющих возможности участвовать в Kaspersky Security Network по следующим причинам:
  • Отсутствие подключения локальных рабочих мест к сети интернет.
  • Законодательный запрет или ограничение корпоративной безопасности на отправку любых данных за пределы страны или за пределы локальной сети организации.

KPSN необходим для работы Kaspersky Managed Detection and Response. KPSN настраивается автоматически в Kaspersky Security Center при активации решения Kaspersky Managed Detection and Response. При отзыве согласия с условиями использования решения MDR, KPSN автоматически отключается.

Подробную информацию о настройке KPSN см. в справке Kaspersky Security Center.

[Topic 234895]

Периодическое обновление конфигурационных файлов KSN

Чтобы обеспечить безопасную передачу данных телеметрии клиентов в Kaspersky Managed Detection and Response, "Лаборатория Касперского" периодически обновляет ключи шифрования данных телеметрии MDR. Открытый ключ передается как часть конфигурационного файла KSN.

При использовании плагина MDR для Kaspersky Security Center Cloud Console или локальной версии Kaspersky Security Center в некоторых случаях конфигурационный файл KSN обновляется автоматически (подробности приведены в таблице ниже). Зачастую вам необходимо заменить установленный конфигурационный файл KSN вручную.

Если конфигурационный файл KSN не обновлен на ваших активах, данные телеметрии не будут отправляться в Kaspersky Managed Detection and Response.

Не позднее чем за месяц до истечения срока действия текущего конфигурационного файла KSN, "Лаборатория Касперского" уведомит вас о скором истечении срока действия конфигурационного файла KSN. Существует два варианта уведомления:

• Создается инцидент, уведомляющий о скором истечении срока действия текущего конфигурационного файла KSN.
• Уведомление о приближающемся истечении срока действия текущего файла конфигурации KSN будет опубликовано в Консоли MDR. Это уведомление видят все пользователи, выполняющие вход в Консоль MDR.

  Действия, необходимые для обновления конфигурационного файла KSN

  Решение, используемое для управления активами	Интерфейс, который используют ваши SOC-аналитики	Требуемые действия
  Kaspersky Security Center Cloud Console.	Плагин MDR установлен в Kaspersky Security Center Cloud Console	Подключитесь к Kaspersky Security Center Cloud Console. При входе в приложение плагин MDR пытается установить новый конфигурационный файл KSN в Kaspersky Security Center Cloud Console. При успешном обновлении файла с помощью плагина MDR вы получите уведомление об изменении конфигурационного файла KSN. Если конфигурационный файл KSN не удалось обновить с помощью плагина MDR, вы получите уведомление о причине проблемы: Ваша учетная запись имеет недостаточно прав для обновления файла. Непредвиденная ошибка при обновлении конфигурационного файла KSN.   Если уведомления не отображаются, вероятно, конфигурационный файл KSN был успешно обновлен при подключении другого специалиста к Kaspersky Security Center Cloud Console. При появлении уведомления о недостаточных правах для обновления конфигурационного файла KSN, обратитесь к администратору сервера Kaspersky Security Center Cloud Console (роль Главный администратор): Попросите администратора подключиться к Kaspersky Security Center Cloud Console. Когда администратор подключится, конфигурационный файл KSN будет обновлен. Вы можете проверить актуальность конфигурационного файла KSN в любое время. Для этого в Kaspersky Security Center в разделе MDR перейдите на вкладку Использование MDR. Отобразится информация о текущей версии конфигурационного файла KSN. Если доступна новая версия конфигурационного файла KSN, вы можете использовать кнопку для обновления конфигурационного файла KSN.  Если при обновлении возникла непредвиденная ошибка, обратитесь в Службу технической поддержки "Лаборатории Касперского".
  Kaspersky Security Center Cloud Console.	Консоль MDR ИЛИ Вы используете API для скачивания инцидентов и последующей обработки в собственной системе	Подключитесь к Kaspersky Security Center Cloud Console. Запустите мастер первоначальной настройки, чтобы активировать плагин MDR. Если у вашей учетной записи недостаточно прав для активации плагина MDR, обратитесь к администратору сервера Kaspersky Security Center Cloud Console. Следуйте приведенным выше инструкциям для сервера Kaspersky Security Center Cloud Console и плагина MDR. Если при обновлении возникла непредвиденная ошибка, обратитесь в Службу технической поддержки "Лаборатории Касперского".
  Локальная версия Kaspersky Security Center 14 и выше	Плагин MDR установлен в локальной версии Kaspersky Security Center	Войдите в Kaspersky Security Center. При входе в приложение плагин MDR пытается установить новый конфигурационный файл KSN на Сервер Kaspersky Security Center Cloud. При успешном обновлении файла с помощью плагина MDR вы получите уведомление об изменении конфигурационного файла KSN. Если конфигурационный файл KSN не удалось обновить с помощью плагина MDR, вы получите уведомление о причине проблемы: Ваша учетная запись имеет недостаточно прав для обновления файла. Непредвиденная ошибка при обновлении конфигурационного файла KSN.   Если уведомления не отображаются, вероятно, конфигурационный файл KSN был успешно обновлен при подключении другого специалиста к Kaspersky Security Center Cloud Console. При появлении уведомления о недостаточных правах для обновления конфигурационного файла KSN, обратитесь к администратору сервера Kaspersky Security Center: Попросите администратора подключиться к Серверу администрирования Kaspersky Security Center. Когда администратор подключится, конфигурационный файл KSN будет обновлен. Если администратор не получает уведомления об изменении конфигурационного файла KSN, необходимо проверить версию установленного плагина MDR и при необходимости обновить его до текущей версии (2.1.17 или выше). Вы можете проверить актуальность конфигурационного файла KSN в любое время. Для этого в Kaspersky Security Center в разделе MDR перейдите на вкладку Использование MDR. Отобразится информация о текущей версии конфигурационного файла KSN. Если доступна новая версия конфигурационного файла KSN, вы сможете загрузить его, нажав на кнопку.  Если при обновлении возникла непредвиденная ошибка, обратитесь в Службу технической поддержки "Лаборатории Касперского".
  Локальная версия Kaspersky Security Center 14 и выше	Консоль MDR (плагин MDR не установлен в локальной версии Kaspersky Security Center) ИЛИ Для скачивания инцидентов и последующей обработки в собственной системе используется API	Попросите администратора Консоли MDR выполнить следующие действия: Скачать ZIP-архив MDR со страницы Начало работы. Извлечь конфигурационный файл KSN из загруженного ZIP-архива. Отправить этот файл администратору Сервера администрирования Kaspersky Security Center.   Попросите администратора сервера Kaspersky Security Center загрузить полученный конфигурационный файл KSN, выбрав Свойства Сервера администрирования → Параметры прокси-сервера KSN → Файл параметров прокси-сервера KSN. Если при обновлении возникла непредвиденная ошибка, обратитесь в Службу технической поддержки "Лаборатории Касперского".
  Локальная версия Kaspersky Security Center 13.* и выше	Плагин MDR установлен в локальной версии Kaspersky Security Center ИЛИ Для скачивания инцидентов и последующей обработки в собственной системе используется API

Если в вашей сети установлено несколько серверов Kaspersky Security Center, конфигурационный файл KSN необходимо обновить на каждом сервере.

Обновление конфигурационного файла KSN на серверах KATA

Если в вашей сети есть серверы KATA, подключенные к Kaspersky Managed Detection and Response, вам необходимо обновить конфигурационный файл MDR на этих серверах KATA.

Попросите администратора Консоли MDR скачать ZIP-архив для конфигурационного файла MDR со страницы Начало работы – https://mdr.kaspersky.com/guide.

Страница Начало работы консоли MDR доступна только для пользователей, выполнивших вход.

После того как вы получите конфигурационный ZIP-архив для MDR, попросите администратора сервера KATA загрузить конфигурационный файл MDR на серверы KATA. Если при обновлении конфигурационного файла MDR возникают проблемы, администратору сервера KATA следует обратиться в Службу технической поддержки "Лаборатории Касперского" для получения инструкций по обновлению конфигурационного файла MDR на сервере KATA.

В начало

[Topic 200027]

Панели мониторинга в Консоли MDR

В Консоли MDR можно просматривать сводную информацию в панели мониторинга.

Чтобы просмотреть панели мониторинга:

1. В Консоли MDR перейдите к разделу Мониторинг.

   Откроется страница Общая информация.

2. На странице Общая информация представлены следующие панели мониторинга:
   • Максимальное количество активов, на которые распространяется лицензия.

     Круговая диаграмма, показывающая количество подключенных активов в сравнении с максимальным количеством активов, доступных в рамках лицензии.

   • Активы по статусам

     Круговая диаграмма, показывающая распределение активов по их статусам.

   • Активные инциденты

     Круговая диаграмма, показывающая распределение активных инцидентов в соответствии с их статусами.

   • Действие по реагированию

     Круговая диаграмма, показывающая распределение действий по реагированию в соответствии с их статусами.

     Количество подключенных активов соответствует активам, доступным в Консоли MDR за последние 7 дней. Чтобы получить количество подключенных активов за определенный период времени, в Консоли MDR перейдите в пункт меню Активы.

   • Статистика телеметрии

     Панель мониторинга, которая отображает статистику телеметрии решения MDR для клиента, включая статистику по конкретным тенантам. Вы можете просмотреть данные за 1 день, за 7, 30, 90, 180 дней, за 1 год или за все время непрерывного использования решения MDR.

     В этой панели отображается количество каждого из следующих объектов:

     • События телеметрии – это все события, отправляемые с клиентских активов в Kaspersky Managed Detection and Response.
     • Подозрительные события – это события телеметрии, которые Kaspersky Managed Detection and Response определяет как события, требующие дополнительной проверки.
     • События безопасности – это события телеметрии, которые правила обнаружения определяют как потенциальные инциденты.
     • Инциденты – это действия, которые технология обнаружения определяет как критические. Инциденты требуют немедленной реакции (действий по реагированию) со стороны Kaspersky Managed Detection and Response.
     • Сработавшие правила обнаружения – это ряд уникальных правил обнаружения, срабатывающих при определенных событиях телеметрии в течение определенного периода времени.
   • Количество инцидентов

     График, показывающий количество инцидентов и их статусы по дням недели.

Панели мониторинга обновляются при каждом обновлении страницы Общая информация.

Чтобы переключить информационные панели на статистику по тенантам:

1. В верхней части страницы Общая информация нажмите Фильтр по тенанту.
2. В открывшемся меню выберите один или нескольких тенантов.
3. Нажмите на кнопку Сохранить.

Статистика по тенантам доступна для следующих веб-виджетов:

• Количество активов для этой лицензии
• Активы по статусам
• Активные инциденты
• Количество инцидентов
• Действие по реагированию
• Статистика телеметрии

[Topic 196559]

Получение сводной информации

Kaspersky Managed Detection and Response предоставляет несколько типов отчетов со сводной информацией, которые можно получать по электронной почте. В этом разделе приведены инструкции по настройке получения сводной информации.

[Topic 210281]

Получение информации обо всех активах в файле CSV (Консоль MDR)

Вы можете получить информацию обо всех активах, относящихся к вашей учетной записи, в CSV-файле. К сводной информации не применяются фильтры, то есть количество активов в этой сводной информации равно количеству всех активов, которые видны в Консоли MDR.

Вы можете скрыть активы со статусом Отсутствует в сводной информации, установив соответствующий флажок в разделе Параметры.

Чтобы получить сводную информацию в формате CSV:

1. В Консоли MDR перейдите к разделу Активы.

   Откроется список активов.

2. Нажмите на кнопку Получить по почте сводную информацию в формате CSV, расположенную в верхней части окна.

Сводная информация будет отправлена на адрес электронной почты, указанный при активации Kaspersky Managed Detection and Response.

[Topic 257880]

Получение информации об инциденте в формате PDF (Консоль MDR)

Вы можете получить сводную информацию о конкретном инциденте в формате PDF.

Чтобы получить сводную информацию в формате PDF:

1. В окне Консоли MDR выберите пункт меню Инциденты.

   Откроется список инцидентов.

2. Нажмите на инцидент, информацию о котором вы хотите получить.

   Откроется карточка инцидента.

3. Перейдите по ссылке Получить по почте сводную информацию в формате PDF в верхней части окна.

Сводная информация будет отправлена на адрес электронной почты, указанный при активации Kaspersky Managed Detection and Response.

В начало

[Topic 256866]

Настройка регулярной рассылки отчета в Консоли MDR

Эта функция доступна только в Консоли MDR.

Вы можете настроить расписание рассылки сводного отчета, который содержит данные об открытых инцидентах. Каждый набор параметров рассылки сохраняется в виде расписания. Вы можете создать не более 50 расписаний для организации и не более 10 расписаний для каждого тенанта.

Для создания или изменения расписаний рассылки отчетов у вас должна быть роль Администратор MDR.

Отчет отправляется по электронной почте в открытом, незашифрованном формате PDF, на указанные вами адреса и в соответствии с заданным расписанием.

Отчет всегда содержит данные за последние семь дней. День формирования отчета не включен в отчет. Если вы настроили получение сводного отчета каждый день, ваш ежедневный отчет будет содержать данные за предыдущие семь дней, кроме сегодняшнего дня. Если вы настроили получение сводного отчета каждую среду, отчет будет содержать данные с прошлой среды по последний вторник.

Чтобы настроить получение сводного отчета в PDF-файле:

1. В Консоли MDR в разделе Параметры перейдите на вкладку Расписание.
2. Нажмите на кнопку Добавить.

   Откроется окно Добавить новое расписание.

3. Переведите переключатель в положение Включено.
4. Внимательно прочтите приведенное ниже уведомление об условиях отправки сводных отчетов. Затем установите флажок, чтобы подтвердить, что вы прочитали и поняли условия. Если флажок не установлен, вы не можете сохранить внесенные изменения.
5. Укажите следующие параметры:
   • В поле Имя расписания укажите любое имя сводного отчета. Название отчета может содержать латинские буквы, цифры и специальные символы; оно не должно быть длиннее 1000 символов.
   • В поле Тенант выберите тенант, для которого вы хотите получить сводный отчет. Отчет будет содержать данные только от выбранного тенанта. Если вы хотите получить сводный отчет обо всех тенантах, выберите Все тенанты.
   • В поле Адреса электронной почты укажите адрес электронной почты или разделенный запятыми список адресов электронной почты пользователей, которые будут получать сводный отчет.

     Проверьте введенные адреса электронной почты, так как они будут добавлены без дополнительных подтверждений. Сводные отчеты могут содержать конфиденциальные данные и будут отправлены в открытом, незашифрованном формате PDF.

   • В поле День отправки выберите день недели, в который будет выполняться отправка сводной информации на указанные адреса электронной почты. Вы можете выбрать один день или каждый день.
   • В поле Время, UTC укажите время UTC в 24-часовом формате. Например, 15:00.

     Расписание влияет только на время получения отчета, но не влияет на период данных в отчете.

     Отчет всегда содержит данные за последние семь дней. День формирования отчета не включен в отчет. Если вы настроили получение сводного отчета каждый день, ваш ежедневный отчет будет содержать данные за предыдущие семь дней, кроме сегодняшнего дня. Если вы настроили получение сводного отчета каждую среду, отчет будет содержать данные с прошлой среды по последний вторник.

6. Нажмите на кнопку Сохранить.

Сводный отчет будет еженедельно или ежедневно отправляться на указанные адреса электронной почты.

[Topic 196556]

Получение уведомлений

В Kaspersky Managed Detection and Response можно настроить отправку уведомлений о событиях, произошедших с инцидентами, и о действиях по реагированию на инциденты по мере их обработки.

Kaspersky Managed Detection and Response отправляет уведомления клиентам через Telegram или по электронной почте, в зависимости от установленных вами параметров. Текст уведомления содержит описание события и ссылку на объект, где произошло событие.

Уведомления можно настроить в Консоли MDR и в разделе MDR в Kaspersky Security Center.

[Topic 255154]

Настройка уведомлений в Консоли MDR

Развернуть все | Свернуть все

Чтобы настроить отправку уведомлений в Консоли MDR:

1. В консоли в разделе Параметры перейдите на вкладку Параметры уведомлений.
2. Установите флажки, соответствующие событиям, о которых вы хотите получать уведомления по электронной почте.

   Доступные флажки:

   • Все – все события, о которых Kaspersky Managed Detection and Response отправляет уведомления.
   • Инциденты – уведомления о создании, обновлении, разрешении и закрытии инцидентов.
     • Расширенные уведомления – уведомления, которые содержат описание атаки, обнаруженной в рамках инцидента, и рекомендации по реагированию. Флажок доступен, если на вкладке Общие параметры включена функция расширенных уведомлений.
   • Комментарии – уведомления о создании, обновлении и удалении комментариев в инцидентах.
   • Реагирование – уведомления о создании, подтверждении и отклонении действий по реагированию.
   • Информация об истечении срока действия лицензии – уведомления о следующих событиях: до истечения срока действия лицензии осталось менее 30 дней, срок действия лицензии истек. Kaspersky Managed Detection and Response отправляет эти уведомления ежедневно, но прекращает их отправку после истечения срока действия лицензии или после продления лицензии.
3. Нажмите на кнопку Подписаться, расположенную над флажками, чтобы подписаться на уведомления от чат-бота Telegram. При нажатии на кнопку Подписаться появится сгенерированная приложением уникальная ссылка для активации чат-бота Telegram. Вы можете использовать эту ссылку для одной учетной записи Telegram.

   Используйте эту ссылку только на устройстве (настольном или мобильном), на котором установлено приложение Telegram. По ссылке невозможно активировать чат-бот в веб-версии Telegram.

   Если вы хотите получать уведомления на другую учетную запись Telegram, нажмите на кнопку Отписаться, а затем повторите процедуру подписки, чтобы сгенерировать новую ссылку и использовать ее для активации чат-бота для другой учетной записи.

4. Нажмите на кнопку Сохранить в нижней части окна, чтобы сохранить параметры. Кнопка Сохранить становится активной только в случае изменения параметров.

Доставка уведомлений настроена.

[Topic 255153]

Настройка уведомлений в Kaspersky Security Center

Развернуть все | Свернуть все

Чтобы настроить отправку уведомлений в разделе MDR в Kaspersky Security Center:

1. В разделе MDR в Kaspersky Security Center перейдите на вкладку Уведомления.

   Откроется вкладка Параметры.

2. Если вы хотите получать уведомления по электронной почте, включите параметр Уведомлять по электронной почте, укажите адрес электронной почты и следующие параметры уведомления:
   • Укажите адрес электронной почты в поле Электронная почта и установите хотя бы один из флажков. В противном случае не удастся сохранить параметры.
   • Инциденты – уведомления о создании, разрешении и закрытии инцидентов.
     • Расширенные уведомления – уведомления, которые содержат описание атаки, обнаруженной в рамках инцидента, и рекомендации по реагированию. Флажок доступен, если на вкладке Параметры включена функция расширенных уведомлений.
   • Комментарии – уведомления о создании, обновлении и удалении комментариев в инцидентах.
   • Реагирование – уведомления о создании, подтверждении и отклонении действий по реагированию.
3. Если вы хотите получать уведомления с помощью Telegram, включите параметр Уведомлять по Telegram и установите хотя бы один из следующих флажков:
   • Инциденты – уведомления о создании, разрешении и закрытии инцидентов.
   • Комментарии – уведомления о создании, обновлении и удалении комментариев в инцидентах.
   • Реагирование – уведомления о создании, подтверждении и отклонении действий по реагированию.

   Нажмите на кнопку Получить ссылку, расположенную над флажками, чтобы подписаться на уведомления от чат-бота Telegram. При нажатии на кнопку Получить ссылку появится сгенерированная приложением уникальная ссылка для активации чат-бота Telegram. Вы можете использовать эту ссылку для одной учетной записи Telegram.

4. Нажмите на кнопку Сохранить в нижней части окна, чтобы сохранить параметры. Кнопка Сохранить становится активной только в случае изменения параметров.

   Если вы выберете уведомление по электронной почте, уникальный код подтверждения будет отправлен на указанный вами адрес электронной почты. Срок действия кода подтверждения – 10 минут.

   Отобразится раздел подтверждения.

   В открывшемся разделе подтверждения вставьте код подтверждения для указанного адреса электронной почты.

   Если три раза подряд был указан неправильный код или код с истекшим сроком действия, появится кнопка Отправить повторно. Нажмите на эту кнопку, чтобы получить новый код подтверждения.

5. После проверки адреса электронной почты отобразится раздел с соответствующим сообщением.
6. Нажмите на кнопку Закрыть в нижней части раздела.

Доставка уведомлений настроена.

В начало

[Topic 252253]

Получение расширенных уведомлений

Вы можете настроить отправку расширенных уведомлений об инцидентах пользователям MDR по электронной почте. Расширенные уведомления содержат описание атаки, обнаруженной в рамках инцидента, и рекомендации по реагированию. Описание атаки включает в себя выборку данных, получаемых решением MDR в событиях телеметрии с устройств, подключенных к решению MDR, в связи с чем описание может содержать следующую конфиденциальную информацию:

• Имя хоста
• IP-адреса устройства
• Имя учетной записи
• Пароль от учетной записи (если на устройстве был запущен скрипт, содержащий пароль)
• URL-адреса службы
• Имя файла
• Адрес электронной почты
• Названия отделов и тенантов

Полный список данных, получаемых MDR-решением, содержится в разделе Предоставление данных.

[Topic 255182]

Включение расширенных уведомлений в Консоли MDR

Чтобы включить отправку расширенных уведомлений:

1. В Консоли MDR в разделе Параметры перейдите на вкладку Общие параметры.
2. Включите параметр Включить расширенные уведомления и установите флажок ниже, чтобы подтвердить, что вы прочитали и поняли условия отправки расширенных уведомлений.
3. Нажмите на кнопку Сохранить.

Теперь вы можете подписаться на расширенные уведомления в разделе Настройки уведомлений в Консоли MDR.

[Topic 255181]

Включение расширенных уведомлений в Kaspersky Security Center

Чтобы включить отправку расширенных уведомлений:

1. В разделе MDR Kaspersky Security Center выберите вкладку Настройка.
2. Включите параметр Включить расширенные уведомления по электронной почте и установите флажок ниже, чтобы подтвердить, что вы прочитали и поняли условия отправки расширенных уведомлений.
3. Нажмите на кнопку Сохранить.

Теперь вы можете подписаться на расширенные уведомления на вкладке Уведомления.

[Topic 198731]

Управление пользователями

Развернуть все | Свернуть все

Пользователи Kaspersky Managed Detection and Response могут иметь разные роли с разными функциями, доступными для каждой роли. Ролевая модель – это набор правил, определяющих роли пользователей.

В Kaspersky Managed Detection and Response имеются следующие роли:

• Администратор MDR

  Суперпользователь, имеющий доступ ко всем функциям Kaspersky Managed Detection and Response, предоставляемым в рамках лицензии. Администратор MDR может предоставить доступ к источникам данных клиентов другим пользователям. При активации Kaspersky Managed Detection and Response вы автоматически становитесь администратором MDR, поэтому для активации рекомендуется использовать корпоративный адрес электронной почты вместо личного. Создание учетной записи администратора MDR с использованием личного адреса электронной почты может создать угрозу безопасности, например, кражу учетной записи администратора MDR.

  В Kaspersky Security Center этой роли соответствуют следующие права доступа:

  Функциональная область	Разрешать	Запретить
  Доступ к инцидентам
  Параметры автоподтверждения
  Управление действиями по реагированию
  Управление тенантами
  Сводная информация по инцидентам
  Доступ к REST API

• Старший специалист по безопасности.

  Сотрудник, имеющий доступ к функциям Kaspersky Managed Detection and Response, предоставляемым в рамках лицензии, но не имеющий доступа к REST API. Старший специалист по безопасности имеет право принимать и отклонять

  действия по реагированию

  Действие по реагированию на инцидент – это структурированная методология обработки инцидентов и нарушений системы безопасности и киберугроз.

  Действие по реагированию на инцидент – это структурированная методология обработки инцидентов и нарушений системы безопасности и киберугроз.

  Действие по реагированию на инцидент – это структурированная методология обработки инцидентов и нарушений системы безопасности и киберугроз.

  Действие по реагированию на инцидент – это структурированная методология обработки инцидентов и нарушений системы безопасности и киберугроз.

  Действие по реагированию на инцидент – это структурированная методология обработки инцидентов и нарушений системы безопасности и киберугроз.

  .

  В Kaspersky Security Center этой роли соответствуют следующие права доступа:

  Функциональная область	Разрешать	Запретить
  Доступ к инцидентам
  Параметры автоподтверждения
  Управление действиями по реагированию
  Управление тенантами
  Сводная информация по инцидентам
  Доступ к REST API

• Специалист по безопасности.

  Сотрудник, имеющий доступ к функциям Kaspersky Managed Detection and Response, предоставляемым в рамках лицензии, но не имеющий доступа к REST API. Специалист по безопасности не имеет права принимать и отклонять действия по реагированию.

  В Kaspersky Security Center этой роли соответствуют следующие права доступа:

  Функциональная область	Разрешать	Запретить
  Доступ к инцидентам
  Параметры автоподтверждения
  Управление действиями по реагированию
  Управление тенантами
  Сводная информация по инцидентам
  Доступ к REST API

[Topic 200026]

Приглашение новых пользователей в Консоль MDR

Развернуть все | Свернуть все

Чтобы пригласить нового пользователя Kaspersky Managed Detection and Response:

1. В окне Консоли MDR выберите пункт меню Параметры.

   Откроется список пользователей.

2. Нажмите на кнопку Добавить, расположенную над списком пользователей.

   Отобразится карточка приглашения.

3. В поле Электронная почта укажите адрес электронной почты.
4. В поле Роль пользователя укажите роль нового пользователя.

   Доступны следующие роли пользователей:

   • Администратор MDR

     Суперпользователь, имеющий доступ ко всем функциям Kaspersky Managed Detection and Response, предоставляемым в рамках лицензии. Администратор MDR может предоставить доступ к источникам данных клиентов другим пользователям. При активации Kaspersky Managed Detection and Response вы автоматически становитесь администратором MDR, поэтому для активации рекомендуется использовать корпоративный адрес электронной почты вместо личного. Создание учетной записи администратора MDR с использованием личного адреса электронной почты может создать угрозу безопасности, например, кражу учетной записи администратора MDR.

     В Kaspersky Security Center этой роли соответствуют следующие права доступа:

     Функциональная область	Разрешать	Запретить
     Доступ к инцидентам
     Параметры автоподтверждения
     Управление действиями по реагированию
     Управление тенантами
     Сводная информация по инцидентам
     Доступ к REST API

     Только пользователь с ролью Администратор MDR может назначить роль Администратор MDR новому пользователю.

   • Старший специалист по безопасности.

     Сотрудник, имеющий доступ к функциям Kaspersky Managed Detection and Response, предоставляемым в рамках лицензии, но не имеющий доступа к REST API. Старший специалист по безопасности имеет право принимать и отклонять действия по реагированию.

     В Kaspersky Security Center этой роли соответствуют следующие права доступа:

     Функциональная область	Разрешать	Запретить
     Доступ к инцидентам
     Параметры автоподтверждения
     Управление действиями по реагированию
     Управление тенантами
     Сводная информация по инцидентам
     Доступ к REST API

   • Специалист по безопасности.

     Сотрудник, имеющий доступ к функциям Kaspersky Managed Detection and Response, предоставляемым в рамках лицензии, но не имеющий доступа к REST API. Специалист по безопасности не имеет права принимать и отклонять действия по реагированию.

     В Kaspersky Security Center этой роли соответствуют следующие права доступа:

     Функциональная область	Разрешать	Запретить
     Доступ к инцидентам
     Параметры автоподтверждения
     Управление действиями по реагированию
     Управление тенантами
     Сводная информация по инцидентам
     Доступ к REST API

5. При необходимости выберите одно или несколько значений в раскрывающемся списке Тенант.

   В Консоли можно выбрать существующие тенанты или значение Не имеет тенантов.

   Пользователь может просматривать только активы и инциденты, связанные с указанными тенантами. Пользователь может просмотреть активы и инциденты, не назначенные ни одному тенанту, если выбрано значение Не имеет тенантов.

   Наряду с выбором значения Не имеет тенантов можно указать названия тенантов.

6. Нажмите на кнопку Пригласить.

   Карточка приглашения закроется.

   Введите адрес электронной почты. Адрес электронной почты необходимо предварительно зарегистрировать и подтвердить на веб-портале auth.hq.uis.kaspersky.com.

Сообщение со ссылкой-приглашением будет отправлено с адреса noreply@mail.account.uis.kaspersky.com на указанный адрес электронной почты.

Приглашенному пользователю необходимо подтвердить свой адрес электронной почты, перейдя по ссылке в сообщении. Пользователь не сможет выполнить вход и использовать Kaspersky Managed Detection and Response, пока его адрес электронной почты не будет подтвержден. Разрешения, соответствующие роли пользователя, будут предоставлены после первого входа пользователя в систему.

[Topic 206046]

Изменение ролей пользователей в Консоли MDR

Можно изменить роль существующего пользователя. Например, сотрудник с ролью Специалист по безопасности получает дополнительные обязанности, для которых требуется роль Старший специалист по безопасности.

Чтобы изменить роль существующего пользователя:

1. В окне Консоли MDR выберите пункт меню Параметры.

   Откроется список пользователей.

2. Выберите строку, содержащую пользователя, роль которого вы хотите изменить.

   Отобразится карточка пользователя.

3. Измените роль пользователя, выбрав другую роль в раскрывающемся списке ролей в карточке пользователя.

Роль существующего пользователя изменена.

[Topic 209809]

Изменение способов уведомления пользователей в Консоли MDR

Изменение способов уведомления пользователей доступно только для пользователей с ролью Администратор MDR. Пользователь с этой ролью может редактировать параметры уведомлений всех активных пользователей, включая самого себя.

Пользователи со статусом "активный" могут получать уведомления от Kaspersky Managed Detection and Response по электронной почте и Telegram.

Чтобы изменить способы уведомления пользователей:

1. В окне Консоли MDR выберите пункт меню Параметры.

   Откроется список пользователей.

2. Выберите строку, содержащую пользователя, роль которого вы хотите изменить.

   Отобразится карточка пользователя.

3. В карточке пользователя укажите следующие параметры:
   • Уведомления по электронной почте включены

     Уведомления отправляются на адрес электронной почты пользователя, указанный при приглашении.

   • Уведомления через Telegram включены

     Пользователь получает уведомления от чат-бота Telegram.

   Если пользователь потерял доступ к учетной записи Telegram, установите флажок Отключить уведомления для аккаунта Telegram. Затем попросите пользователя войти в Консоль MDR, перейти в раздел Параметры → Параметры уведомлений и повторить процедуру подписки, чтобы сгенерировать новую ссылку для активации подписки Telegram для другой учетной записи Telegram.

4. В нижней части карточки пользователя нажмите на кнопку Сохранить, чтобы закрыть карточку.

Способы уведомления пользователей отредактированы и сохранены.

[Topic 213636]

Изменение доступа пользователей к тенантам в Консоли MDR

Вы можете изменить доступ пользователей к тенантам в своей учетной записи, например, если при добавлении нового тенанта требуется, чтобы существующий пользователь имел к нему доступ.

Чтобы изменить права доступа к тенантам:

1. В окне Консоли MDR выберите пункт меню Параметры.

   Откроется список пользователей.

2. Выберите строку, содержащую пользователя, права доступа которого вы хотите изменить.

   Отобразится карточка пользователя.

3. В карточке пользователя измените значения в раскрывающемся списке Тенант.
4. В нижней части карточки пользователя нажмите на кнопку Сохранить, чтобы закрыть карточку.

Права доступа пользователей к тенантам будут изменены.

В начало

[Topic 206009]

Управление активами

Актив – это устройство с установленной EPP-программой от "Лаборатории Касперского" (например, Kaspersky Endpoint Security для Windows). В этом разделе представлена информация о просмотре, сортировке и фильтрации активов.

[Topic 196557]

Просмотр и поиск активов в Консоли MDR

Развернуть все | Свернуть все

С помощью списка активов можно просматривать и выполнять поиск доступных активов.

Чтобы просмотреть список активов:

1. В окне Консоли MDR перейдите к пункту Активы.

   Откроется список активов. Каждая строка соответствует одному активу. Можно щелкнуть в любом месте строки, чтобы посмотреть информацию об активе.

   Над списком могут отображаться следующие атрибуты актива:

   • Имя актива

     Сетевое имя компьютера.

     По нажатию на Имя актива можно просмотреть информацию об активе в Kaspersky Security Center Web Console.

   • Идентификатор актива

     Уникальный идентификатор актива. Идентификатор актива автоматически формируется в Kaspersky Managed Detection and Response до первой отправки телеметрии активом.

   • Приложения

     Программы Endpoint Protection Platform (EPP), установленные на активе и настроенные для использования с Kaspersky Managed Detection and Response.

   • Интерфейсы

     Количество доступных сетевых интерфейсов устройства.

   • Операционная система

     Операционная система актива.

   • Домен

     Сетевой домен, которому принадлежит актив.

   • Тенант

     Имя тенанта, если актив принадлежит одному из тенантов. Если актив не принадлежит ни одному из тенантов, поле остается пустым.

   • Последнее появление

     Количество дней с момента последнего появления актива в Консоли.

     Активы отсортированы в соответствии с этим значением в порядке убывания.

     По умолчанию отображаются активы, видимые в сети за последние 30 дней. Можно увеличить этот временной интервал, отфильтровав активы.

   • Статус.

     Статус отражает текущее состояние актива. Для активов со статусами ОК, Предупреждение или Критический в приложении дополнительно перечислены проблемы (если были) за последние 72 часа.

     Для активов с Kaspersky Endpoint Security для Windows в конфигурации Endpoint Detection and Response Agent (EDR Agent) статусы Предупреждение и Критический для компонентов защиты и управления не отображаются.

     Актив может иметь один из следующих статусов:

     • ОК (зеленый)

       Телеметрия отправляется, защита полностью работоспособна.

     • Внимание (желтый)

       Возможные причины статуса Предупреждение:

       • Незначительные потери телеметрии. См. статью Как избежать потери данных телеметрии от активов.
       • По крайней мере, один из следующих компонентов EPP-программы на активе выключен или не установлен:
         • Сетевой экран – узнайте, как включить или настроить этот компонент в Kaspersky Endpoint Security для Windows, Kaspersky Endpoint Security для Linux или Kaspersky Security для виртуальных сред Легкий агент.
         • Защита от сетевых угроз – узнайте, как включить или настроить этот компонент в Kaspersky Endpoint Security для Windows, Kaspersky Endpoint Security для Linux или Kaspersky Endpoint Security для Mac.
         • Защита от почтовых угроз и дополнительное расширение Microsoft Office Outlook – узнайте, как включить или настроить эти компоненты в Kaspersky Endpoint Security для Windows.
         • Защита от веб-угроз – узнайте, как включить или настроить этот компонент в Kaspersky Endpoint Security для Windows, Kaspersky Endpoint Security для Linux, Kaspersky Endpoint Security для Mac или Kaspersky Security для виртуальных сред Легкий агент.
         • Самозащита продукта – узнайте, как включить или настроить этот компонент в Kaspersky Endpoint Security для Windows или Kaspersky Security для виртуальных сред Легкий агент.
         • Антивирусные базы не обновлялись более 7 дней.

         Эти компоненты влияют на полноту отправляемой телеметрии. Если компонент выключен или отсутствует, Kaspersky Managed Detection and Response не отправляет события телеметрии, связанные с этим компонентом. Установленная EPP-программа может включать не все из перечисленных компонентов.

       • Срок действия конфигурационного файла KSN истекает. В приложении отображается срок действия. Рассмотрите возможность обновления конфигурационного файла KSN. Если вы продолжите работу с текущим конфигурационным файлом, статус изменится на Критический за несколько дней до истечения срока его действия.

       Статус Предупреждение применим к активам с установленным Kaspersky Endpoint Security для Windows 11 и выше, Kaspersky Endpoint Security для Linux 11.2 и выше, Kaspersky Endpoint Security для Mac 11.2 и выше, Kaspersky Security для виртуальных сред 5.2 Легкий агент и выше. Для активов с Kaspersky Endpoint Security для Windows в конфигурации Endpoint Detection and Response Agent (EDR Agent), этот статус не отображается.

     • Критический (красный)

       Возможные причины статуса Критический:

       • Значительные потери телеметрии, данных телеметрии недостаточно для анализа. См. статью Как избежать потери данных телеметрии от активов.
       • По крайней мере, один из следующих компонентов EPP-программы на активе выключен или не установлен:
         • Мониторинг активности или Анализ поведения – узнайте, как включить или настроить эти компоненты в Kaspersky Endpoint Security для Windows, Kaspersky Endpoint Security для Linux или Kaspersky Security для виртуальных сред Легкий агент.
         • Защита от файловых угроз— узнайте, как включить или настроить этот компонент в Kaspersky Endpoint Security для Windows, Kaspersky Endpoint Security для Linux, Kaspersky Endpoint Security для Mac или Kaspersky Security для виртуальных сред Легкий агент.

         Если какой-либо из этих компонентов выключен или отсутствует, Kaspersky Managed Detection and Response прекращает отправку телеметрии с актива. Установленная EPP-программа может включать не все из перечисленных компонентов.

       • Конфигурационный файл KSN скоро истекает или уже истек. В приложении отображается срок действия. Рассмотрите возможность обновления конфигурационного файла KSN.

       Этот статус применим к активам с установленным Kaspersky Endpoint Security для Windows 11 и выше, Kaspersky Endpoint Security для Linux 11.2 и выше, Kaspersky Endpoint Security для Mac 11.2 и выше, Kaspersky Security для виртуальных сред 5.2 Легкий агент и выше. Для активов с Kaspersky Endpoint Security для Windows в конфигурации Endpoint Detection and Response Agent (EDR Agent), этот статус не отображается.

     • Не в сети (черный).

       Телеметрия не отправлялась более 7 дней (значение по умолчанию). Вы можете изменить количество дней отсутствия телеметрии, по истечении которых для актива будет отображаться статус Не в сети в разделе Параметры. Доступный диапазон: 2–29 дней.

       Если вы видите статус Не в сети для ваших активов:

       • Убедитесь, что компоненты EPP-программы, перечисленные в статусах Предупреждение и Критический, установлены и включены на активах.
       • Убедитесь, что Kaspersky Managed Detection and Response правильно развернут в вашей инфраструктуре.

       Статус Не в сети не применим к активам VDI (временным виртуальным машинам).

     • Отсутствует (черный).

       Отсутствие телеметрии более 30 дней для физических активов или более 24 часов для VDI-активов (временных виртуальных машин).

       Если вы видите статус Отсутствует для ваших активов:

       • Убедитесь, что компоненты EPP-программы, перечисленные в статусах Предупреждение и Критический, установлены и включены на активах.
       • Убедитесь, что Kaspersky Managed Detection and Response правильно развернут в вашей инфраструктуре.

       Вы можете скрыть активы со статусом Отсутствует в списке активов, в отчетах и в данных, полученных через API-интерфейс.

2. Чтобы изменить количество активов, отображаемых на странице списка, выберите требуемое количество, нажав на ссылку Записей на странице в нижней части страницы.

   Можно выбрать отображение по 10, 20 или 50 активов на странице.

Вы можете скрыть активы со статусом Отсутствует в списке активов, установив флажок в разделе Параметры.

Для перехода по списку активов выберите номер страницы под списком. Для перехода между соседними страницами используйте кнопки Назад и Вперед.

По умолчанию список активов содержит активы, доступные в Консоли за последние 30 дней.

Чтобы изменить этот период:

1. Нажмите на значок воронки, расположенный над списком.
2. Справа в панели Фильтр выберите период в поле Последнее появление.
3. Нажмите на кнопку Сохранить.

Поиск активов можно выполнить, выбрав значок лупы, расположенный рядом со значком воронки над списком активов.

[Topic 199158]

Фильтрация активов в Консоли MDR

Можно создавать фильтры и применять их к списку активов.

Чтобы создать фильтр для списка активов:

1. В Консоли MDR перейдите в разделу Активы.

   Откроется список активов.

2. Нажмите на значок воронки, расположенный над списком активов.

   Отобразится меню Фильтр.

   Параметры, доступные для фильтрации:

   • Последнее появление

     Момент, последнего появления актива в Консоли.

   • Имя актива.

     Доступные имена активов.

     Имя актива – это сетевое имя компьютера.

   • Тенант

     Доступные названия тенантов.

     Чтобы просмотреть список активов, не назначенных ни одному из ваших тенантов, выберите значение Не имеет тенантов.

     Наряду с выбором значения Не имеет тенантов можно указать названия тенантов.

   • Статус.

     Статус отражает текущее состояние актива. Для активов со статусами ОК, Предупреждение или Критический в приложении дополнительно перечислены проблемы (если были) за последние 72 часа.

     Для активов с Kaspersky Endpoint Security для Windows в конфигурации Endpoint Detection and Response Agent (EDR Agent) статусы Предупреждение и Критический для компонентов защиты и управления не отображаются.

     Актив может иметь один из следующих статусов:

     • ОК (зеленый)

       Телеметрия отправляется, защита полностью работоспособна.

     • Внимание (желтый)

       Возможные причины статуса Предупреждение:

       • Незначительные потери телеметрии. См. статью Как избежать потери данных телеметрии от активов.
       • По крайней мере, один из следующих компонентов EPP-программы на активе выключен или не установлен:
         • Сетевой экран – узнайте, как включить или настроить этот компонент в Kaspersky Endpoint Security для Windows, Kaspersky Endpoint Security для Linux или Kaspersky Security для виртуальных сред Легкий агент.
         • Защита от сетевых угроз – узнайте, как включить или настроить этот компонент в Kaspersky Endpoint Security для Windows, Kaspersky Endpoint Security для Linux или Kaspersky Endpoint Security для Mac.
         • Защита от почтовых угроз и дополнительное расширение Microsoft Office Outlook – узнайте, как включить или настроить эти компоненты в Kaspersky Endpoint Security для Windows.
         • Защита от веб-угроз – узнайте, как включить или настроить этот компонент в Kaspersky Endpoint Security для Windows, Kaspersky Endpoint Security для Linux, Kaspersky Endpoint Security для Mac или Kaspersky Security для виртуальных сред Легкий агент.
         • Самозащита продукта – узнайте, как включить или настроить этот компонент в Kaspersky Endpoint Security для Windows или Kaspersky Security для виртуальных сред Легкий агент.
         • Антивирусные базы не обновлялись более 7 дней.

         Эти компоненты влияют на полноту отправляемой телеметрии. Если компонент выключен или отсутствует, Kaspersky Managed Detection and Response не отправляет события телеметрии, связанные с этим компонентом. Установленная EPP-программа может включать не все из перечисленных компонентов.

       • Срок действия конфигурационного файла KSN истекает. В приложении отображается срок действия. Рассмотрите возможность обновления конфигурационного файла KSN. Если вы продолжите работу с текущим конфигурационным файлом, статус изменится на Критический за несколько дней до истечения срока его действия.

       Статус Предупреждение применим к активам с установленным Kaspersky Endpoint Security для Windows 11 и выше, Kaspersky Endpoint Security для Linux 11.2 и выше, Kaspersky Endpoint Security для Mac 11.2 и выше, Kaspersky Security для виртуальных сред 5.2 Легкий агент и выше. Для активов с Kaspersky Endpoint Security для Windows в конфигурации Endpoint Detection and Response Agent (EDR Agent), этот статус не отображается.

     • Критический (красный)

       Возможные причины статуса Критический:

       • Значительные потери телеметрии, данных телеметрии недостаточно для анализа. См. статью Как избежать потери данных телеметрии от активов.
       • По крайней мере, один из следующих компонентов EPP-программы на активе выключен или не установлен:
         • Мониторинг активности или Анализ поведения – узнайте, как включить или настроить эти компоненты в Kaspersky Endpoint Security для Windows, Kaspersky Endpoint Security для Linux или Kaspersky Security для виртуальных сред Легкий агент.
         • Защита от файловых угроз— узнайте, как включить или настроить этот компонент в Kaspersky Endpoint Security для Windows, Kaspersky Endpoint Security для Linux, Kaspersky Endpoint Security для Mac или Kaspersky Security для виртуальных сред Легкий агент.

         Если какой-либо из этих компонентов выключен или отсутствует, Kaspersky Managed Detection and Response прекращает отправку телеметрии с актива. Установленная EPP-программа может включать не все из перечисленных компонентов.

       • Конфигурационный файл KSN скоро истекает или уже истек. В приложении отображается срок действия. Рассмотрите возможность обновления конфигурационного файла KSN.

       Этот статус применим к активам с установленным Kaspersky Endpoint Security для Windows 11 и выше, Kaspersky Endpoint Security для Linux 11.2 и выше, Kaspersky Endpoint Security для Mac 11.2 и выше, Kaspersky Security для виртуальных сред 5.2 Легкий агент и выше. Для активов с Kaspersky Endpoint Security для Windows в конфигурации Endpoint Detection and Response Agent (EDR Agent), этот статус не отображается.

     • Не в сети (черный).

       Телеметрия не отправлялась более 7 дней (значение по умолчанию). Вы можете изменить количество дней отсутствия телеметрии, по истечении которых для актива будет отображаться статус Не в сети в разделе Параметры. Доступный диапазон: 2–29 дней.

       Если вы видите статус Не в сети для ваших активов:

       • Убедитесь, что компоненты EPP-программы, перечисленные в статусах Предупреждение и Критический, установлены и включены на активах.
       • Убедитесь, что Kaspersky Managed Detection and Response правильно развернут в вашей инфраструктуре.

       Статус Не в сети не применим к активам VDI (временным виртуальным машинам).

     • Отсутствует (черный).

       Отсутствие телеметрии более 30 дней для физических активов или более 24 часов для VDI-активов (временных виртуальных машин).

       Если вы видите статус Отсутствует для ваших активов:

       • Убедитесь, что компоненты EPP-программы, перечисленные в статусах Предупреждение и Критический, установлены и включены на активах.
       • Убедитесь, что Kaspersky Managed Detection and Response правильно развернут в вашей инфраструктуре.

       Вы можете скрыть активы со статусом Отсутствует в списке активов, в отчетах и в данных, полученных через API-интерфейс.

   • Изоляция

     Показывает, включена ли сетевая изоляция. Допустимые значения фильтра:

     • Изолировано

       Сетевая изоляция включена.

     • Не изолировано

       Сетевая изоляция отключена.

3. Нажмите на кнопку Сохранить, чтобы применить созданный фильтр.

После применения фильтра в списке отобразятся только активы, соответствующие заданным параметрам фильтрации.

Вы можете скрыть активы со статусом Отсутствует в списке активов, установив флажок в разделе Параметры.

[Topic 198800]

Просмотр подробной информации об активах в Консоли MDR

Развернуть все | Свернуть все

Чтобы просмотреть подробную информацию об активах:

1. В окне Консоли MDR перейдите к пункту Активы.

   Откроется список активов.

2. Выберите строку с активом, данные о котором вы хотите просмотреть.

   Отобразится карточка актива. Карточка актива содержит две вкладки:

   • Свойства – общая информация об активе.
   • Инциденты – информация об инцидентах, связанных с активом.

   Общая информация на вкладке Свойства содержит следующие данные:

   • Имя актива.

     Сетевое имя компьютера.

     По нажатию на Имя актива можно просмотреть информацию об активе в Kaspersky Security Center Web Console.

   • Статус.

     Статус отражает текущее состояние актива. Для активов со статусами ОК, Предупреждение или Критический в приложении дополнительно перечислены проблемы (если были) за последние 72 часа.

     Для активов с Kaspersky Endpoint Security для Windows в конфигурации Endpoint Detection and Response Agent (EDR Agent) статусы Предупреждение и Критический для компонентов защиты и управления не отображаются.

     Актив может иметь один из следующих статусов:

     • ОК (зеленый)

       Телеметрия отправляется, защита полностью работоспособна.

     • Внимание (желтый)

       Возможные причины статуса Предупреждение:

       • Незначительные потери телеметрии. См. статью Как избежать потери данных телеметрии от активов.
       • По крайней мере, один из следующих компонентов EPP-программы на активе выключен или не установлен:
         • Сетевой экран – узнайте, как включить или настроить этот компонент в Kaspersky Endpoint Security для Windows, Kaspersky Endpoint Security для Linux или Kaspersky Security для виртуальных сред Легкий агент.
         • Защита от сетевых угроз – узнайте, как включить или настроить этот компонент в Kaspersky Endpoint Security для Windows, Kaspersky Endpoint Security для Linux или Kaspersky Endpoint Security для Mac.
         • Защита от почтовых угроз и дополнительное расширение Microsoft Office Outlook – узнайте, как включить или настроить эти компоненты в Kaspersky Endpoint Security для Windows.
         • Защита от веб-угроз – узнайте, как включить или настроить этот компонент в Kaspersky Endpoint Security для Windows, Kaspersky Endpoint Security для Linux, Kaspersky Endpoint Security для Mac или Kaspersky Security для виртуальных сред Легкий агент.
         • Самозащита продукта – узнайте, как включить или настроить этот компонент в Kaspersky Endpoint Security для Windows или Kaspersky Security для виртуальных сред Легкий агент.
         • Антивирусные базы не обновлялись более 7 дней.

         Эти компоненты влияют на полноту отправляемой телеметрии. Если компонент выключен или отсутствует, Kaspersky Managed Detection and Response не отправляет события телеметрии, связанные с этим компонентом. Установленная EPP-программа может включать не все из перечисленных компонентов.

       • Срок действия конфигурационного файла KSN истекает. В приложении отображается срок действия. Рассмотрите возможность обновления конфигурационного файла KSN. Если вы продолжите работу с текущим конфигурационным файлом, статус изменится на Критический за несколько дней до истечения срока его действия.

       Статус Предупреждение применим к активам с установленным Kaspersky Endpoint Security для Windows 11 и выше, Kaspersky Endpoint Security для Linux 11.2 и выше, Kaspersky Endpoint Security для Mac 11.2 и выше, Kaspersky Security для виртуальных сред 5.2 Легкий агент и выше. Для активов с Kaspersky Endpoint Security для Windows в конфигурации Endpoint Detection and Response Agent (EDR Agent), этот статус не отображается.

     • Критический (красный)

       Возможные причины статуса Критический:

       • Значительные потери телеметрии, данных телеметрии недостаточно для анализа. См. статью Как избежать потери данных телеметрии от активов.
       • По крайней мере, один из следующих компонентов EPP-программы на активе выключен или не установлен:
         • Мониторинг активности или Анализ поведения – узнайте, как включить или настроить эти компоненты в Kaspersky Endpoint Security для Windows, Kaspersky Endpoint Security для Linux или Kaspersky Security для виртуальных сред Легкий агент.
         • Защита от файловых угроз— узнайте, как включить или настроить этот компонент в Kaspersky Endpoint Security для Windows, Kaspersky Endpoint Security для Linux, Kaspersky Endpoint Security для Mac или Kaspersky Security для виртуальных сред Легкий агент.

         Если какой-либо из этих компонентов выключен или отсутствует, Kaspersky Managed Detection and Response прекращает отправку телеметрии с актива. Установленная EPP-программа может включать не все из перечисленных компонентов.

       • Конфигурационный файл KSN скоро истекает или уже истек. В приложении отображается срок действия. Рассмотрите возможность обновления конфигурационного файла KSN.

       Этот статус применим к активам с установленным Kaspersky Endpoint Security для Windows 11 и выше, Kaspersky Endpoint Security для Linux 11.2 и выше, Kaspersky Endpoint Security для Mac 11.2 и выше, Kaspersky Security для виртуальных сред 5.2 Легкий агент и выше. Для активов с Kaspersky Endpoint Security для Windows в конфигурации Endpoint Detection and Response Agent (EDR Agent), этот статус не отображается.

     • Не в сети (черный).

       Телеметрия не отправлялась более 7 дней (значение по умолчанию). Вы можете изменить количество дней отсутствия телеметрии, по истечении которых для актива будет отображаться статус Не в сети в разделе Параметры. Доступный диапазон: 2–29 дней.

       Если вы видите статус Не в сети для ваших активов:

       • Убедитесь, что компоненты EPP-программы, перечисленные в статусах Предупреждение и Критический, установлены и включены на активах.
       • Убедитесь, что Kaspersky Managed Detection and Response правильно развернут в вашей инфраструктуре.

       Статус Не в сети не применим к активам VDI (временным виртуальным машинам).

     • Отсутствует (черный).

       Отсутствие телеметрии более 30 дней для физических активов или более 24 часов для VDI-активов (временных виртуальных машин).

       Если вы видите статус Отсутствует для ваших активов:

       • Убедитесь, что компоненты EPP-программы, перечисленные в статусах Предупреждение и Критический, установлены и включены на активах.
       • Убедитесь, что Kaspersky Managed Detection and Response правильно развернут в вашей инфраструктуре.

       Вы можете скрыть активы со статусом Отсутствует в списке активов, в отчетах и в данных, полученных через API-интерфейс.

   • IP-адрес

     IP-адрес актива.

   • Физический адрес
   • Тенант

     Имя тенанта, если актив принадлежит одному из тенантов. Если актив не принадлежит ни одному из тенантов, поле остается пустым.

   • Первое появление
   • Последнее появление
   • Операционная система

     Операционная система актива.

   • Приложения "Лаборатории Касперского", работающие с MDR
   • Домен

   На вкладке Инциденты отображается список инцидентов. В столбце Идентификатор/Создан содержится идентификатор и время создания инцидента. В столбце Статус отображается информация о статусе инцидента.

В начало

[Topic 231609]

Статусы активов

Статус отражает текущее состояние актива. Для активов со статусами ОК, Предупреждение или Критический в приложении дополнительно перечислены проблемы (если были) за последние 72 часа.

Для активов с Kaspersky Endpoint Security для Windows в конфигурации Endpoint Detection and Response Agent (EDR Agent) статусы Предупреждение и Критический для компонентов защиты и управления не отображаются.

Актив может иметь один из следующих статусов:

• ОК (зеленый)

  Телеметрия отправляется, защита полностью работоспособна.

• Внимание (желтый)

  Возможные причины статуса Предупреждение:

  • Незначительные потери телеметрии. См. статью Как избежать потери данных телеметрии от активов.
  • По крайней мере, один из следующих компонентов EPP-программы на активе выключен или не установлен:
    • Сетевой экран – узнайте, как включить или настроить этот компонент в Kaspersky Endpoint Security для Windows, Kaspersky Endpoint Security для Linux или Kaspersky Security для виртуальных сред Легкий агент.
    • Защита от сетевых угроз – узнайте, как включить или настроить этот компонент в Kaspersky Endpoint Security для Windows, Kaspersky Endpoint Security для Linux или Kaspersky Endpoint Security для Mac.
    • Защита от почтовых угроз и дополнительное расширение Microsoft Office Outlook – узнайте, как включить или настроить эти компоненты в Kaspersky Endpoint Security для Windows.
    • Защита от веб-угроз – узнайте, как включить или настроить этот компонент в Kaspersky Endpoint Security для Windows, Kaspersky Endpoint Security для Linux, Kaspersky Endpoint Security для Mac или Kaspersky Security для виртуальных сред Легкий агент.
    • Самозащита продукта – узнайте, как включить или настроить этот компонент в Kaspersky Endpoint Security для Windows или Kaspersky Security для виртуальных сред Легкий агент.
    • Антивирусные базы не обновлялись более 7 дней.

    Эти компоненты влияют на полноту отправляемой телеметрии. Если компонент выключен или отсутствует, Kaspersky Managed Detection and Response не отправляет события телеметрии, связанные с этим компонентом. Установленная EPP-программа может включать не все из перечисленных компонентов.

  • Срок действия конфигурационного файла KSN истекает. В приложении отображается срок действия. Рассмотрите возможность обновления конфигурационного файла KSN. Если вы продолжите работу с текущим конфигурационным файлом, статус изменится на Критический за несколько дней до истечения срока его действия.

  Статус Предупреждение применим к активам с установленным Kaspersky Endpoint Security для Windows 11 и выше, Kaspersky Endpoint Security для Linux 11.2 и выше, Kaspersky Endpoint Security для Mac 11.2 и выше, Kaspersky Security для виртуальных сред 5.2 Легкий агент и выше. Для активов с Kaspersky Endpoint Security для Windows в конфигурации Endpoint Detection and Response Agent (EDR Agent), этот статус не отображается.

• Критический (красный)

  Возможные причины статуса Критический:

  • Значительные потери телеметрии, данных телеметрии недостаточно для анализа. См. статью Как избежать потери данных телеметрии от активов.
  • По крайней мере, один из следующих компонентов EPP-программы на активе выключен или не установлен:
    • Мониторинг активности или Анализ поведения – узнайте, как включить или настроить эти компоненты в Kaspersky Endpoint Security для Windows, Kaspersky Endpoint Security для Linux или Kaspersky Security для виртуальных сред Легкий агент.
    • Защита от файловых угроз— узнайте, как включить или настроить этот компонент в Kaspersky Endpoint Security для Windows, Kaspersky Endpoint Security для Linux, Kaspersky Endpoint Security для Mac или Kaspersky Security для виртуальных сред Легкий агент.

    Если какой-либо из этих компонентов выключен или отсутствует, Kaspersky Managed Detection and Response прекращает отправку телеметрии с актива. Установленная EPP-программа может включать не все из перечисленных компонентов.

  • Конфигурационный файл KSN скоро истекает или уже истек. В приложении отображается срок действия. Рассмотрите возможность обновления конфигурационного файла KSN.

  Этот статус применим к активам с установленным Kaspersky Endpoint Security для Windows 11 и выше, Kaspersky Endpoint Security для Linux 11.2 и выше, Kaspersky Endpoint Security для Mac 11.2 и выше, Kaspersky Security для виртуальных сред 5.2 Легкий агент и выше. Для активов с Kaspersky Endpoint Security для Windows в конфигурации Endpoint Detection and Response Agent (EDR Agent), этот статус не отображается.

• Не в сети (черный).

  Телеметрия не отправлялась более 7 дней (значение по умолчанию). Вы можете изменить количество дней отсутствия телеметрии, по истечении которых для актива будет отображаться статус Не в сети в разделе Параметры. Доступный диапазон: 2–29 дней.

  Если вы видите статус Не в сети для ваших активов:

  • Убедитесь, что компоненты EPP-программы, перечисленные в статусах Предупреждение и Критический, установлены и включены на активах.
  • Убедитесь, что Kaspersky Managed Detection and Response правильно развернут в вашей инфраструктуре.

  Статус Не в сети не применим к активам VDI (временным виртуальным машинам).

• Отсутствует (черный).

  Отсутствие телеметрии более 30 дней для физических активов или более 24 часов для VDI-активов (временных виртуальных машин).

  Если вы видите статус Отсутствует для ваших активов:

  • Убедитесь, что компоненты EPP-программы, перечисленные в статусах Предупреждение и Критический, установлены и включены на активах.
  • Убедитесь, что Kaspersky Managed Detection and Response правильно развернут в вашей инфраструктуре.

  Вы можете скрыть активы со статусом Отсутствует в списке активов, в отчетах и в данных, полученных через API-интерфейс.

[Topic 213221]

Проверка статуса активов в Kaspersky Security Center

Развернуть все | Свернуть все

Вы можете проверить статус активов с помощью функции Работоспособность MDR. Она позволяет вам проверить, какие активы в настоящее время защищены Kaspersky Managed Detection and Response, а какие никогда не отправляли

Для активов с Kaspersky Endpoint Security для Windows 12.3 и выше, работающих в конфигурации Endpoint Detection and Response Agent (EDR Agent), отображаемый статус в Консоли MDR не отражает фактический статус.

Статусы активов, которые хотя бы раз отправляли телеметрию

Чтобы проверить статус активов:

1. В разделе MDR в Kaspersky Security Center перейдите на вкладку Работоспособность MDR.
2. Перейдите на вкладку Все когда-либо подключенные активы.

   Отобразится список всех активов, которые хотя бы один раз отправляли телеметрию в Kaspersky Managed Detection and Response.

   Для каждого актива отображается следующая информация:

   • Статус.

     Статус отражает текущее состояние актива. Для активов со статусами ОК, Предупреждение или Критический в приложении дополнительно перечислены проблемы (если были) за последние 72 часа.

     Для активов с Kaspersky Endpoint Security для Windows в конфигурации Endpoint Detection and Response Agent (EDR Agent) статусы Предупреждение и Критический для компонентов защиты и управления не отображаются.

     Актив может иметь один из следующих статусов:

     • ОК (зеленый)

       Телеметрия отправляется, защита полностью работоспособна.

     • Внимание (желтый)

       Возможные причины статуса Предупреждение:

       • Незначительные потери телеметрии. См. статью Как избежать потери данных телеметрии от активов.
       • По крайней мере, один из следующих компонентов EPP-программы на активе выключен или не установлен:
         • Сетевой экран – узнайте, как включить или настроить этот компонент в Kaspersky Endpoint Security для Windows, Kaspersky Endpoint Security для Linux или Kaspersky Security для виртуальных сред Легкий агент.
         • Защита от сетевых угроз – узнайте, как включить или настроить этот компонент в Kaspersky Endpoint Security для Windows, Kaspersky Endpoint Security для Linux или Kaspersky Endpoint Security для Mac.
         • Защита от почтовых угроз и дополнительное расширение Microsoft Office Outlook – узнайте, как включить или настроить эти компоненты в Kaspersky Endpoint Security для Windows.
         • Защита от веб-угроз – узнайте, как включить или настроить этот компонент в Kaspersky Endpoint Security для Windows, Kaspersky Endpoint Security для Linux, Kaspersky Endpoint Security для Mac или Kaspersky Security для виртуальных сред Легкий агент.
         • Самозащита продукта – узнайте, как включить или настроить этот компонент в Kaspersky Endpoint Security для Windows или Kaspersky Security для виртуальных сред Легкий агент.
         • Антивирусные базы не обновлялись более 7 дней.

         Эти компоненты влияют на полноту отправляемой телеметрии. Если компонент выключен или отсутствует, Kaspersky Managed Detection and Response не отправляет события телеметрии, связанные с этим компонентом. Установленная EPP-программа может включать не все из перечисленных компонентов.

       • Срок действия конфигурационного файла KSN истекает. В приложении отображается срок действия. Рассмотрите возможность обновления конфигурационного файла KSN. Если вы продолжите работу с текущим конфигурационным файлом, статус изменится на Критический за несколько дней до истечения срока его действия.

       Статус Предупреждение применим к активам с установленным Kaspersky Endpoint Security для Windows 11 и выше, Kaspersky Endpoint Security для Linux 11.2 и выше, Kaspersky Endpoint Security для Mac 11.2 и выше, Kaspersky Security для виртуальных сред 5.2 Легкий агент и выше. Для активов с Kaspersky Endpoint Security для Windows в конфигурации Endpoint Detection and Response Agent (EDR Agent), этот статус не отображается.

     • Критический (красный)

       Возможные причины статуса Критический:

       • Значительные потери телеметрии, данных телеметрии недостаточно для анализа. См. статью Как избежать потери данных телеметрии от активов.
       • По крайней мере, один из следующих компонентов EPP-программы на активе выключен или не установлен:
         • Мониторинг активности или Анализ поведения – узнайте, как включить или настроить эти компоненты в Kaspersky Endpoint Security для Windows, Kaspersky Endpoint Security для Linux или Kaspersky Security для виртуальных сред Легкий агент.
         • Защита от файловых угроз— узнайте, как включить или настроить этот компонент в Kaspersky Endpoint Security для Windows, Kaspersky Endpoint Security для Linux, Kaspersky Endpoint Security для Mac или Kaspersky Security для виртуальных сред Легкий агент.

         Если какой-либо из этих компонентов выключен или отсутствует, Kaspersky Managed Detection and Response прекращает отправку телеметрии с актива. Установленная EPP-программа может включать не все из перечисленных компонентов.

       • Конфигурационный файл KSN скоро истекает или уже истек. В приложении отображается срок действия. Рассмотрите возможность обновления конфигурационного файла KSN.

       Этот статус применим к активам с установленным Kaspersky Endpoint Security для Windows 11 и выше, Kaspersky Endpoint Security для Linux 11.2 и выше, Kaspersky Endpoint Security для Mac 11.2 и выше, Kaspersky Security для виртуальных сред 5.2 Легкий агент и выше. Для активов с Kaspersky Endpoint Security для Windows в конфигурации Endpoint Detection and Response Agent (EDR Agent), этот статус не отображается.

     • Не в сети (черный).

       Телеметрия не отправлялась более 7 дней (значение по умолчанию). Вы можете изменить количество дней отсутствия телеметрии, по истечении которых для актива будет отображаться статус Не в сети в разделе Параметры. Доступный диапазон: 2–29 дней.

       Если вы видите статус Не в сети для ваших активов:

       • Убедитесь, что компоненты EPP-программы, перечисленные в статусах Предупреждение и Критический, установлены и включены на активах.
       • Убедитесь, что Kaspersky Managed Detection and Response правильно развернут в вашей инфраструктуре.

       Статус Не в сети не применим к активам VDI (временным виртуальным машинам).

     • Отсутствует (черный).

       Отсутствие телеметрии более 30 дней для физических активов или более 24 часов для VDI-активов (временных виртуальных машин).

       Если вы видите статус Отсутствует для ваших активов:

       • Убедитесь, что компоненты EPP-программы, перечисленные в статусах Предупреждение и Критический, установлены и включены на активах.
       • Убедитесь, что Kaspersky Managed Detection and Response правильно развернут в вашей инфраструктуре.

       Вы можете скрыть активы со статусом Отсутствует в списке активов, в отчетах и в данных, полученных через API-интерфейс.

   • Имя актива.

     Сетевое имя компьютера.

     По нажатию на Имя актива можно просмотреть информацию об активе в Kaspersky Security Center Web Console.

   • Идентификатор актива

     Уникальный идентификатор актива. Идентификатор актива автоматически формируется в Kaspersky Managed Detection and Response до первой отправки телеметрии активом.

   • Домен

     Сетевой домен, которому принадлежит актив.

   • Версия ОС

     Операционная система актива.

   • EPP-программы

     Программы Endpoint Protection Platform (EPP), установленные на активе и настроенные для использования с Kaspersky Managed Detection and Response.

   • Интерфейсы

     Количество доступных сетевых интерфейсов устройства.

   • Тенант

     Имя тенанта, если актив принадлежит одному из тенантов. Если актив не принадлежит ни одному из тенантов, поле остается пустым.

   • Последнее появление

     Количество дней с момента последнего появления актива в Консоли.

     Активы отсортированы в соответствии с этим значением в порядке убывания.

     По умолчанию отображаются активы, видимые в сети за последние 30 дней. Можно увеличить этот временной интервал, отфильтровав активы.

3. Для работы с этим списком используйте следующие параметры сортировки и фильтрации:
   • Нажмите на заголовок любого столбца, чтобы отсортировать список по выбранным значениям столбца.
   • Нажмите на столбец Статус и выберите требуемые статусы. Список отфильтрован и отображаются только активы с выбранными статусами.
   • Нажмите на значок фильтра () и выберите период времени, чтобы просмотреть активы, последнее появление которых было в течение выбранного периода. Можно также указать произвольный период времени.
   • Нажмите на значок экспорта () над списком активов, чтобы выполнить экспорт в CSV.
   • Используйте поле Поиск для поиска активов по имени.

Статусы активов, которые никогда не отправляли телеметрию

Эта функция корректно работает в версии Kaspersky Security Center 15.1 для Windows и выше, Kaspersky Security Center 15.1 для Linux и выше, а также в Kaspersky Security Center Cloud Console.

Чтобы просмотреть активы, которые никогда не отправляли телеметрию:

1. В разделе MDR в Kaspersky Security Center перейдите на вкладку Работоспособность MDR.
2. Перейдите на вкладку Активы со сбоем.

   В Консоли MDR отобразится список активов, которые были добавлены в Kaspersky Security Center, но никогда не отправляли телеметрию в Kaspersky Managed Detection and Response.

   Для каждого актива отображается следующая информация:

   • Имя актива.

     Сетевое имя компьютера.

     По нажатию на Имя актива можно просмотреть информацию об активе в Kaspersky Security Center Web Console.

   • EPP-программы.

     Программы Endpoint Protection Platform (EPP), установленные на активе и настроенные для использования с Kaspersky Managed Detection and Response.

   • Состояние MDR.

     Компонент MDR для EPP-программы, установленной на активе, может иметь один из следующих статусов:

     • Неизвестно – в отличие от других статусов, статус Неизвестно не отправляется приложениями. Этот статус показывает, что у приложений нет информации о состоянии выбранного компонента. Например, это может произойти, когда выбранный компонент не принадлежит ни одному из приложений, установленных на устройстве, или когда устройство выключено.
     • Остановлен – компонент выключен и в настоящий момент не работает.
     • Приостановлен – компонент приостановлен, например, после того, как пользователь приостановил защиту в управляемом приложении.
     • Запускается – компонент в процессе инициализации.
     • Работает – компонент включен и работает правильно.
     • Сбой – во время работы компонента произошла ошибка.
     • Не установлен – пользователь не выбрал компонент для установки при настройке выборочной установки приложения.
     • Нет лицензии – лицензия, охватывающая функции MDR, отсутствует или срок ее действия истек.

   • Сервер администрирования Kaspersky Security Center.

     Имя Сервера администрирования Kaspersky Security Center, управляющего выбранным активом.

   • Состояние критических компонентов.

     Список компонентов EPP-программ, важных для работы MDR. Каждый компонент имеет цветовой индикатор в зависимости от статуса компонента:

     • Желтый индикатор используется, когда компонент находится в одном из следующих статусов: Приостановлен, Запускается или Неизвестно.
     • Красный индикатор используется, когда компонент находится в одном из следующих статусов: Остановлен, Сбой, Нет лицензии или Не установлен.

       Также функция самозащиты указана вместе с компонентами EPP-программы. Если эта функция выключена, она имеет красный индикатор.

     • Компоненты, которые имеют статус Работает, не указаны в таблице и не имеют цветового индикатора.

     Чтобы просмотреть полный список компонентов, в том числе некритичных для работы MDR, нажмите на название актива. Компоненты и их статусы отобразятся в окне сведений об активе.

3. При необходимости вы можете отфильтровать активы по статусу MDR. Для этого нажмите на значок фильтра () и выберите нужные статусы MDR. В Консоли MDR отобразятся только те активы, на которых компонент MDR имеет один из выбранных статусов MDR. Или выберите один из следующих вариантов:
   • Установлено и активировано – список будет отфильтрован для отображения активов, которые имеют один из следующих статусов MDR: Неизвестно, Остановлен, Приостановлен, Запускается, Работает или Сбой.
   • Лицензия отсутствует или истек срок действия – список будет отфильтрован для отображения активов, имеющих статус MDR Нет лицензии.
4. При необходимости нажмите на кнопку Экспорт, чтобы экспортировать список активов в файл CSV.

[Topic 267483]

Как избежать потери данных телеметрии от активов

Активы отправляют данные телеметрии в Kaspersky Managed Detection and Response для регистрации и анализа инцидентов безопасности в вашей инфраструктуре. Если вы видите, что в статусе актива есть потери телеметрии, убедитесь, что выполнены следующие инструкции:

1. Рекомендованные версии приложений "Лаборатории Касперского" установлены на ваши активы (см. столбец Рекомендуемые версии и срок их поддержки в подразделе Совместимые версии приложений "Лаборатории Касперского" раздела Аппаратные и программные требования).
2. Пропускная способность вашего сетевого канала соответствует характеристикам, приведенным в подразделе Сетевые каналы раздела Аппаратные и программные требования.
3. Ваш прокси-сервер KSN обеспечивает достаточную пропускную способность.

   Если есть проблемы с пропускной способностью прокси-сервера KSN, выключите прокси-сервер KSN в политике в KSC для принудительного подключения ресурсов к KSN напрямую:

   1. В главном меню Kaspersky Security Center перейдите в раздел Устройства → Политики и профили политик.
   2. Нажмите на политику Kaspersky Endpoint Security для Windows, Linux или Mac. Откроется окно свойств выбранной политики.
   3. В свойствах политики выберите Параметры приложения → Продвинутая защита → Kaspersky Security Network.
   4. Включите параметр Использовать серверы KSN, если прокси-сервер KSN недоступен (если это применимо для политики).
   5. Нажмите на кнопку ОК.
4. Прокси-сервер KSN включен на стороне точки распространения в Kaspersky Security Center Cloud Console или Kaspersky Security Center Web Console для оптимизации загрузки сети.
5. Нагрузка на Сервер администрирования Kaspersky Security Center не превышает установленных ограничений.
6. Используется рекомендованная версия Kaspersky Security Center, указанная в разделе Аппаратные и программные требования, установлены последние доступные исправления и патчи.

[Topic 206008]

Управление инцидентами

Инцидент – это действие, оцениваемое технологией обнаружения как критическое и требующее немедленной реакции со стороны решения. В этом разделе приведена информация об управлении существующими инцидентами и добавлении новых инцидентов.

С выходом версии 2.3.1 плагина MDR функции управления инцидентами удалены из раздела MDR в Kaspersky Security Center. Вы можете управлять инцидентами в Консоли MDR.

Если вы используете плагин MDR версии 2.3.0 или ниже, рекомендуется управлять инцидентами в MDR Web Console, так как функции управления инцидентами в Kaspersky Security Center с плагином MDR больше не разрабатываются.

Для управления инцидентами в Консоли MDR необходимо создать учетную запись Kaspersky и попросить администратора MDR (пользователя Консоли MDR с ролью Администратор MDR) пригласить вас в Консоль MDR, используя адрес электронной почты, который вы используете для вашей учетной записи Kaspersky.

Затем вы получите письмо с приглашением, содержащее ссылку на Консоль MDR.

[Topic 276796]

Об инцидентах

Что такое инцидент

Инцидент в контексте информационной безопасности – это любое непредвиденное или нежелательное событие, которое может нарушить нормальную деятельность или безопасность информации.

Событие – это идентифицированные внешние признаки определенного состояния системы, сервиса или сети.

К основным критериям принятия решений в рамках Kaspersky MDR о том, что наблюдаемая активность является инцидентом, относится возможность принять эффективные меры по противодействию, предотвращению или уменьшению возможного ущерба от последствий этой активности. В таблице ниже приведены примеры возможных критериев инцидента и мер реагирования в зависимости от источника события.

Примеры критериев обнаружения инцидентов и мер реагирования

Сценарии обнаружения инцидентов

Сценарий 1. Обнаружение инцидентов с помощью решения Kaspersky MDR

В этом сценарии инцидент информационной безопасности обнаружен в результате работы Kaspersky MDR. Инцидент регистрируется в системе отслеживания инцидентов автоматически. Приоритет инцидента по умолчанию можно изменить позже, но для этого потребуется указать причину изменения в соответствии с таблицей приоритетов инцидента (см. ниже). Kaspersky MDR обрабатывает зарегистрированные инциденты, чтобы оперативно получать информацию о состоянии ИТ-инфраструктуры клиента.

Если в результате анализа выявляются первопричины инцидента, клиенту предоставляются рекомендации по реагированию. Если информации для определения первопричины инцидента недостаточно, вся доступная информация и результаты анализа предоставляются клиенту для независимого исследования.

Сценарий 2. Обнаружение инцидентов клиентом (создание пользовательских инцидентов недоступно для некоторых типов коммерческой лицензии)

В этом сценарии инцидент информационной безопасности обнаружен клиентом независимо от работы Kaspersky MDR. Если инцидент требует обработки в Kaspersky MDR, клиент может зарегистрировать инцидент вручную и предоставить всю доступную информацию об обнаруженном инциденте с помощью функций Kaspersky MDR. Для приоритета инцидента установлено значение по умолчанию Низкий, если иное не указано клиентом при регистрации инцидента.

Дальнейшие этапы обработки инцидента аналогичны сценарию 1.

Уровни приоритета инцидентов

Приоритеты инцидентов и их описания

Приоритет инцидента по умолчанию – Низкий.

Целевые показатели предоставления решения

Целевое время реакции и целевой показатель предоставления Kaspersky MDR в зависимости от приоритета инцидента

Инцидент считается решенным, если клиенту были предоставлены рекомендации по мерам реагирования.

*Время реакции – это время между обнаружением инцидента (время создания) и его публикацией в Консоли MDR (время обновления).

**Целевой показатель – процент инцидентов, у которых время реакции соответствует указанным в таблице значениям.

[Topic 257888]

Просмотр и поиск инцидентов в Консоли MDR

Чтобы просмотреть список инцидентов:

1. В окне Консоли MDR выберите пункт меню Инциденты.

   Откроется список инцидентов. Каждая строка соответствует одному инциденту. Можно щелкнуть в любом месте строки, чтобы посмотреть информацию об инциденте.

   Над списком отображаются следующие атрибуты инцидента:

   • ID/Создан – числовой идентификатор инцидента в Консоли/дата создания инцидента.
   • Статус – один из следующих статусов инцидента:
     • Открыт – инцидент должен быть обработан службой безопасности.
     • Решен – по инциденту было получено действие по реагированию от службы безопасности.
     • Ожидает решения – обработка инцидента службой безопасности временно прекращена.
     • Закрыт – инцидент обработан службой безопасности, и дополнительная работа над ним не требуется.
   • Сводная информация – краткий комментарий к инциденту.
   • Тенант – тенант, которому назначен инцидент.
   • Обновлен – дата и время обновления инцидента.

     Инциденты будут отсортированы по времени обновления в порядке убывания.

     Вы можете добавлять или удалять атрибуты (столбцы) и изменять их порядок, нажав на значок шестеренки над списком.

2. Чтобы изменить количество инцидентов, отображаемых на странице списка, выберите требуемое количество, нажав на ссылку Записей на странице в нижней части страницы. Можно выбрать отображение по 10, 20 или 50 инцидентов на страницу.

Для перехода по списку инцидентов выберите номер страницы под списком. Для перехода между соседними страницами используйте кнопки Назад и Вперед.

Чтобы отфильтровать инциденты, нажмите на значок воронки над списком.

Поиск инцидентов можно выполнить, выбрав значок лупы, расположенный рядом со значком воронки над списком инцидентов.

В начало

[Topic 198732]

Фильтрация инцидентов в Консоли MDR

Для просмотра конкретных инцидентов можно создавать фильтры и применять их к списку инцидентов.

Чтобы создать фильтр для списка инцидентов:

1. В Консоли MDR выберите раздел Инциденты.

   Откроется список инцидентов.

2. Нажмите на значок воронки, расположенный над списком инцидентов.

   Отобразится раздел Фильтр.

   Параметры, доступные для фильтрации:

   • Создан

     Время создания инцидента.

   • Обновлен

     Время обновления инцидента.

   • Приоритет

     Приоритет инцидента. Доступные приоритеты: Низкий, Средний и Высокий.

   • Статус.

     Статус инцидента.

   • Решение

     Разрешение инцидента.

   • Активы

     Доступные активы.

   • Тенант

     Доступные названия тенантов.

     Чтобы просмотреть список инцидентов, не назначенных ни одному из ваших тенантов, выберите значение Тенант по умолчанию.

     Наряду с выбором значения Тенант по умолчанию можно указать названия тенантов.

   • Тактики

     Доступная тактика MITRE реагирования на инцидент.

   • Статусы реагирования

     Показывать только инциденты с выбранными статусами соответствующих действий по реагированию.

3. Нажмите на кнопку Сохранить, чтобы применить созданный фильтр. Нажмите на кнопку Очистить, чтобы отменить созданный фильтр.

После применения фильтра в списке отобразятся только инциденты, соответствующие заданным параметрам фильтрации.

[Topic 257896]

Создание пользовательских инцидентов в Консоли MDR

Развернуть все | Свернуть все

Создание пользовательских инцидентов недоступно для некоторых типов коммерческих лицензий.

Если вы считаете определенную активность в вашей инфраструктуре угрозой, но решение Kaspersky Managed Detection and Response не создало инцидент автоматически, вы можете добавить инцидент вручную.

Согласно условиям Соглашения об уровне обслуживания (SLA), количество создаваемых вручную инцидентов, которые могут обрабатываться службой безопасности, ограничено. Информация об ограничениях доступна на вкладке Использование MDR в Kaspersky Security Center. На этой вкладке можно отслеживать количество созданных вручную инцидентов за текущий период (например, за текущую неделю):

• Общее количество инцидентов, которые вы можете создать за текущий период. Эти инциденты должны обрабатываться службой безопасности в соответствии с Соглашением об уровне обслуживания. Вы можете создать больше инцидентов, чем предусмотрено соглашением MDR, но в этом случае не гарантируется соблюдение сроков обработки инцидентов, указанных в Соглашении об уровне обслуживания.
• Оставшееся количество инцидентов, которые вы можете создать за текущий период.

Чтобы добавить инцидент:

1. В окне Консоли MDR выберите пункт меню Инциденты.

   Откроется список инцидентов.

2. В верхней части окна нажмите на кнопку Добавить.

   Отобразится раздел добавления инцидента.

3. Заполните следующие поля:
   • Общая информация

     Краткий комментарий к инциденту.

   • Описание

     Подробная информация об инциденте в свободной форме. Поддерживается разметка

   • Активы

     Активы, скомпрометированные в результате инцидента. Для этого поля предлагаются активы, уже существующие в Консоли MDR и Kaspersky Security Center.

4. При необходимости заполните поле Тенант.

   Для поля Тенант можно выбрать существующие в Консоли тенанты или значение Не имеет тенантов.

5. Нажмите на кнопку Отправить.

   Раздел добавления инцидента будет скрыт.

Новый инцидент будет добавлен в список инцидентов в Консоли MDR. Можно просмотреть подробную информацию о созданном инциденте и действия по реагированию на инцидент.

[Topic 257892]

Просмотр подробной информации об инцидентах в Консоли MDR

Чтобы просмотреть подробную информацию об инцидентах:

1. В окне Консоли MDR выберите пункт меню Инциденты.

   Откроется список инцидентов.

2. Выберите строку с инцидентом, данные о котором вы хотите просмотреть.

   Откроется страница с данными инцидента.

   В заголовке страницы отображается идентификатор инцидента. Под заголовком отображаются четыре вкладки:

   • Общая информация.

     Общая информация об инциденте.

   • Действие по реагированию.

     Информация о действиях по реагированию на инцидент.

   • Обсуждение.

     Информация об обсуждении и файлах, связанных с инцидентом.

   • История.

     Информация об изменениях инцидента.

   Данные на вкладке Общая информация начинаются с краткой сводки инцидентов. Дополнительная информация в этом разделе включает:

   • Приоритет инцидента.
   • Статус инцидента.
   • Решение по инциденту.
   • Время создания и время обновления инцидента.
   • Тактики MITRE.
   • Техники MITRE.
   • Технология обнаружения.

   Под общей информацией об инциденте приведена следующая информация:

   • Затронутые активы.
   • Индикаторы компрометации активов.
   • Индикаторы компрометации сети.

   Данные на вкладке Общая информация завершаются описанием клиента и кнопкой Закрыть инцидент.

3. Если вам известно, что инцидент является дубликатом, или если вы не собираетесь его решать, нажмите на кнопку Закрыть инцидент.
4. На вкладке Реагирование отображается информация о действиях по реагированию.

   Информация на вкладке Реагирование представлена в виде списка. Список содержит следующие столбцы:

   • Статус.
   • Идентификатор актива.
   • Тип.
   • Подробная информация.
   • Комментарий.
   • Изменен.
   • Время обновления.
5. Чтобы добавить комментарий к инциденту:
   1. На вкладке Обсуждение на странице с информацией об инциденте введите комментарий в текстовом поле.

      Поддерживается разметка и прикрепленные файлы. Максимальный размер файла – 10 МБ.

   2. Нажмите на кнопку Отправить.

      Комментарий будет добавлен на вкладку Обсуждение на страницу с информацией об инциденте. Комментарий можно изменить или удалить в течение 10 минут после публикации.

6. На вкладке История можно просмотреть информацию об изменениях инцидента.

   Под заголовком имеется переключатель для отображения различных групп изменений:

   • Все события.
   • Только инциденты.
   • Только реагирование.
   • Только обсуждение.

   Рядом с переключателем расположены следующие кнопки:

   • Кнопка Столбцы со значком шестеренки позволяет выбрать столбцы для отображения на вкладке История.
   • Кнопка Фильтр со значком воронки отображает изменения, относящиеся только к элементам, отмеченным установленными флажками.
   • Кнопка Поиск со значком лупы отображает изменения, относящиеся только к введенным словам или символам.

[Topic 215850]

Типы реагирования на инциденты

Развернуть все | Свернуть все

Аналитики MDR SOC исследуют инциденты и предлагают действия по реагированию, которые вы можете принять или отклонить. Это стандартный способ обработки инцидентов в Kaspersky Managed Detection and Response.

Однако вы можете создавать действия по реагированию вручную, используя функции Kaspersky Endpoint Detection и Response Optimum.

В этой статье описаны только типы действий по реагированию на инциденты, предлагаемые аналитику SOC.

Каждое действие по реагированию может иметь набор параметров, представленных на вкладке Реагирование для инцидента.

Доступные типы действий по реагированию:

• Получить файл

  Копирование файла из вашей инфраструктуры в Kaspersky SOC. Если вы принимаете это действие по реагированию, указанный файл будет скопирован в Kaspersky SOC.

  Обратите внимание, что при этом типе действий могут передаваться файлы, содержащие личные и конфиденциальные данные.

  Допустимые параметры:

  • Путь к зараженному файлу

    Абсолютный путь к файлу. Например, C:\\file.exe.

  • Максимальный размер файла

    Максимальный размер файла в МБ.

    Если размер зараженного файла превышает указанное максимальное значение, выполнить действие по реагированию не удастся, но предлагаемое действие появится на вкладке История для инцидента.

• Изолировать

  Изоляция указанного актива от сети.

  Если нужно срочно отключить сетевую изоляцию, обратитесь в службу технической поддержки или напишите запрос на вкладке Обсуждение инцидента.

  Допустимые параметры:

  • Пароль для отключения изоляции

    Пароль для отключения изоляции. Как только служба технической поддержки получит запрос на отключение сетевой изоляции, вам отправят информацию об использовании пароля.

  • Идентификатор задачи

    Уникальный идентификатор задачи, используемый совместно с Паролем отключения изоляции для отключения сетевой изоляции вручную.

  • Данные пароля

    Вы можете проверить действительность Пароля, сформировав на его основе производный ключ и сравнив полученное значение со значением параметра Производный ключ.

    • Версия

      Цифровая версия правил создания пароля. Версия 1 означает, что для создания производного ключа применяются следующие параметры PBKDF2:

      • Хеш-алгоритм HMACSHA256.
      • 10000 итераций.
      • Длина ключа – 32 байта.
    • Соль

      Соль в шестнадцатеричном формате (HEX) для получения производного ключа с помощью PBKDF2.

    • Производный ключ

      Производный ключ в шестнадцатеричном формате (HEX).

  • Срок изоляции актива

    Время в секундах, по истечении которого изоляция будет отключена автоматически. Если значение времени не указано, применяется значение по умолчанию, равное семи дням. Максимальное значение – 2 678 400 секунд.

  • Правила исключения

    Массив правил для настраиваемых портов, протоколов, IP-адресов и процессов, к которым не применяется изоляция.

    • Направление

      Направление трафика. Возможные значения: Входящий, Исходящий, Оба.

    • Протокол

      Номер протокола согласно спецификации IANA.

      Допустимые значения:

      • 1 (ICMP)
      • 6 (TCP)
      • 17 (UDP)
      • 58 (IPv6-ICMP)
    • Диапазон удаленных портов

      Диапазон удаленных портов, указанный в полях С и По.

    • Удаленный IPv4-адрес

      Удаленный IPv4-адрес или маска подсети.

    • Удаленный IPv6-адрес

      Удаленный IPv6-адрес или маска подсети.

    • Диапазон локальных портов

      Диапазон локальных портов, указанный в полях С и По.

    • Локальный IPv4-адрес

      Локальный IPv4-адрес или маска подсети.

    • Локальный IPv6-адрес

      Локальный IPv6-адрес или маска подсети.

    • Процесс

      Путь к образу процесса, указанный в поле Образ → Путь.

• Отключить изоляцию

  Отключение сетевой изоляции указанного актива.

• Удалить ключ реестра

  Удаление ключа реестра или ветки реестра на указанном активе.

  Допустимые параметры:

  • Ключ

    Абсолютный путь ключа, который начинается с HKEY_LOCAL_MACHINE или HKEY_USERS. Например, HKEY_LOCAL_MACHINE\\SYSTEM\\WebClient.

    Если ключ является символической ссылкой, будет удален только этот ключ, а целевой ключ ссылки останется нетронутым.

  • Значение

    Значение ключа.

    Если этот параметр не указан, ключ будет удален рекурсивно. Во время рекурсивного удаления каждый вложенный ключ, являющийся символической ссылкой, будет удален, а его целевой ключ останется нетронутым.

    Если значение ключа – пустая строка, значение по умолчанию будет удалено.

• Дамп памяти

  Создание дампа памяти и отправка его в Kaspersky SOC.

  Допустимые параметры:

  • Тип дампа

    Дамп памяти может быть одного из двух типов:

    • Полный дамп памяти

      Дамп всей памяти актива.

    • Дамп процесса

      Дамп указанного процесса.

  • Максимальный размер файла

    Максимальный размер файла дампа в формате ZIP в МБ. Значение по умолчанию – 100 МБ.

  • Процесс

    Идентификатор процесса и сведения об образе.

    • Образ
      • Путь

        Абсолютный путь к файлу. Например, %systemroot%\\system32\\svchost.exe.

      • SHA-256

        Контрольная сумма SHA256 в шестнадцатеричном формате (HEX).

      • MD5

        Контрольная сумма MD5 в шестнадцатеричном формате (HEX).

    • Уникальный идентификатор

      Уникальный идентификатор процесса.

  • Ограничение на количество процессов

    Максимальное количество процессов, которые могут содержаться в файле дампа.

• Прервать процесс

  Прервать процесс на указанном активе с помощью Kaspersky Endpoint Security для Windows. Прервать процесс можно указав его имя или идентификатор процесса (PID).

• Запустить скрипт

  Запускает скрипт на указанном активе с помощью Kaspersky Endpoint Security для Windows.

  Чтобы это действие по реагированию сработало, на активе должен быть установлен компонент PowerShell. Вы можете просмотреть запускаемый скрипт и его описание в Консоли MDR.

• Поместить файл на карантин

  Помещает потенциально опасный файл в специальное локальное хранилище. Файлы в этом хранилище хранятся в зашифрованном виде и не угрожают безопасности устройства. В запросе подтверждения указывается актив, путь к файлу и хеш файла (MD5 или SHA256).

• Восстановить файл из карантина

  Восстанавливает ранее помещенный на карантин файл в исходное местоположение. Если в исходном местоположении есть файл с таким же именем, восстановление не выполняется.

[Topic 257908]

Обработка реагирования на инциденты в Консоли MDR

Вы можете просматривать, принимать и отклонять действия по реагированию на инциденты.

Чтобы просмотреть действия по реагированию на инцидент:

1. В окне Консоли MDR выберите пункт меню Инциденты.

   Откроется список инцидентов.

2. Выберите строку с инцидентом, данные о котором вы хотите просмотреть.

   Откроется страница с данными инцидента.

3. На странице инцидента перейдите на вкладку Реагирование.

   Откроется список действий по реагированию на инцидент.

   Каждая строка соответствует одному действию. В списке отображается следующая информация о действии по реагированию на инцидент:

   • Статус.

     Статус задачи.

   • Идентификатор актива.

     Идентификатор актива для выполняемой задачи.

   • Тип.

     Тип объекта, который формирует действие по реагированию.

   • Параметры

     Локальный путь в конкретной операционной системе для получения файла действия по реагированию и ожидаемый размера файла в МБ. Максимальный размер файла – 10 МБ.

   • Комментарий.

     Последний комментарий к действию по реагированию.

   • Изменен.

     Имя пользователя, который последним изменил описание действия по реагированию.

Чтобы просмотреть описание действия по реагированию, нажмите на соответствующую строку.

Чтобы принять или отклонить действие по реагированию на инцидент:

1. В окне Консоли выберите пункт меню Инциденты.

   Откроется список инцидентов.

2. Выберите строку с инцидентом, данные о котором вы хотите просмотреть.

   Откроется страница с данными инцидента.

3. На странице инцидента перейдите на вкладку Реагирование.

   Откроется список действий по реагированию на инцидент.

4. Выберите действие по реагированию, которое вы хотите принять или отклонить, установив флажок в соответствующей строке.

   Вы также можете выбрать несколько действия по реагированию, установив соответствующие флажки слева. Чтобы выбрать все действия по реагированию, установите флажок в левой части заголовка таблицы задач.

5. Чтобы принять или отклонить действие по реагированию или реагирование, нажмите на кнопку Принять или Отклонить под списком действий. Появится окно для ввода комментариев. Введите свой комментарий и нажмите на кнопку Отправить.

   Вы также можете нажать на действие по реагированию на вкладке Реагирования, чтобы проверить его информацию и принять или отклонить его на появившейся боковой панели. Чтобы отклонить действие по реагированию, вы должны ввести свой комментарий в поле в боковой панели.

Статус действия по реагированию будет изменен.

[Topic 257913]

Автоматическое подтверждение действий по реагированию в Консоли MDR

Вы можете включить автоподтверждение предложенных действий по реагированию. В этом случае действия, предлагаемые в рамках действий по реагированию, например, удаление зараженного файла, будут выполняться автоматически. Если эта функция выключена, меры, предлагаемые в действиях по реагированию, необходимо принять или отклонить вручную.

Если вы используете тенанты, вы можете включить автоматическое применение действий по реагированию для всех тенантов или только для выбранных тенантов. Если вы не используете тенанты, включите или выключите эту функцию для своей текущей организации.

Чтобы включить автоподтверждение действий по реагированию:

1. В окне Консоли MDR выберите пункт меню Параметры.
2. Откройте вкладку Инциденты.
3. Выберите один из следующих параметров:
   • Включено для всех тенантов.

     При выборе этого параметра автоподтверждение действий по реагированию включается как для существующих, так и для новых созданных тенантов.

   • Включено для выбранных ниже тенантов.

     Выберите тенанты, для которых вы хотите включить автоподтверждение действий по реагированию. Для новых созданных тенантов автоподтверждение действий по реагированию по умолчанию выключено.

4. Нажмите на кнопку Сохранить.

Автоподтверждение действий по реагированию включено, и действия, предлагаемые в действиях по реагированию, будут выполняться автоматически для всех тенантов или для выбранных тенантов. Вы можете выключить эту функцию в любое время.

Права доступа для просмотра или изменения параметров автоподтверждения

Роли пользователей Kaspersky Managed Detection and Response имеют следующие права доступа к параметрам автоподтверждения:

[Topic 210261]

Автоматическое применение действий по реагированию в Kaspersky Security Center

Вы можете включить автоматическое применение действий по реагированию. В этом случае действия по реагированию, предлагаемые в рамках действий по реагированию, например, удаление зараженного файла, будут выполняться автоматически. Если эта функция выключена, меры, предлагаемые в действиях по реагированию, необходимо принять или отклонить вручную.

Если вы используете тенанты, вы можете включить автоматическое применение действий по реагированию для всех тенантов или только для выбранных тенантов. Если вы не используете тенанты, включите или выключите эту функцию для своей текущей организации.

Вы можете изменить параметры автоматического применения, если у вас есть роль Администратора MDR. Пользователи с ролью Специалиста по безопасности не могут изменять параметры. Пользователи с ролью Старшего специалиста по безопасности могут выполнять следующие операции:

• Просматривать текущий выбранный параметр.
• Включение или выключение автоматического применения действий по реагированию для определенных тенантов, если включен параметр Разрешить изменять настройку автоматического применения действий по реагированию для каждого тенанта.

Чтобы настроить автоматическое применение действий по реагированию:

1. В разделе MDR в Kaspersky Security Center откройте вкладку Параметры.
2. В группе параметров Автоматическое применение действий по реагированию выберите нужный вариант:
   • Выключить автоподтверждение действий по реагированию для всех тенантов.

     Выберите этот вариант, если вы хотите принимать или отклонять действия по реагированию вручную.

   • Разрешить изменение параметра автоматического применения действий по реагированию для всех тенантов.

     Выберите этот вариант, если вы хотите включить автоматическое применение действий по реагированию для всех тенантов вашей организации, включая существующих и вновь созданных тенантов.

   • Разрешить изменение параметра автоматического применения действий по реагированию для каждого тенанта.

     Выберите этот вариант, если вы хотите настроить автоматическое применение действий по реагированию для каждого тенанта индивидуально. Затем установите флажки для тех тенантов, для которых вы хотите, чтобы действия по реагированию выполнялись автоматически. Для новых созданных тенантов автоматическое применение действий по реагированию выключено по умолчанию.

     Если вы выберете параметр Все тенанты, по умолчанию для вновь созданных тенантов будет включено автоматическое применение действий по реагированию.

3. Нажмите на кнопку Сохранить.

   Кнопка Сохранить становится активной только в случае изменения параметров.

[Topic 257996]

Закрытие инцидентов в Консоли MDR

Закрыть инцидент можно, если известно, что инцидент является дубликатом или вы не планируете его решать. В остальных случаях нельзя закрывать инциденты, поскольку их должны решать аналитики MDR SOC. Аналитики MDR SOC решают инцидент в случае применения рекомендованных ими мер в рамках этого инцидента. Решенный инцидент автоматически закрывается через 72 часа.

Чтобы закрыть инцидент:

1. В окне Консоли MDR выберите пункт меню Инциденты.

   Откроется список инцидентов.

2. Выберите строку с инцидентом, данные о котором вы хотите просмотреть.

   Откроется страница с данными инцидента.

3. На вкладке Общая информация нажмите на кнопку Закрыть инцидент в нижней части окна.

   Кнопка Закрыть инцидент отсутствует для инцидентов со статусом Закрыт.

   Отобразится раздел Закрытие инцидентов.

4. В поле Причина закрытия инцидента укажите дополнительную информацию, которую вы хотите передать аналитикам Kaspersky Managed Detection and Response SOC. Например, можно подробно описать, почему вы считаете этот инцидент стандартной ситуацией, не угрожающей вашей инфраструктуре. Это поле можно оставить пустым.
5. Под полем с комментарием выберите вариант Верное срабатывание или Ложное срабатывание, в зависимости от причины закрытия.

   Выберите вариант Верное срабатывание, если решение Kaspersky Managed Detection and Response обнаружило угрозу, но вы не хотите, чтобы аналитики MDR SOC расследовали и решали инцидент.

   Выберите вариант Ложное срабатывание, если решение Kaspersky Managed Detection and Response приняло неопасную активность за угрозу. Kaspersky Managed Detection and Response использует эту информацию для улучшения алгоритмов автоматического обнаружения.

6. В нижней части раздела нажмите на кнопку Закрыть.

   Раздел Закрытие инцидентов будет скрыт.

Инцидент будет закрыт. Теперь Kaspersky Managed Detection and Response не будет выполнять никаких действий в отношении этого инцидента.

[Topic 213367]

Использование функций Kaspersky Endpoint Detection and Response Optimum

Решение Kaspersky Endpoint Detection and Response Optimum предоставляет набор функций для реагирования на инциденты (далее также реагирование EDR), которые можно запускать и настраивать вручную.

• Сетевая изоляция.
• Перемещать файлы на Карантин.
• Отправлять файлы в Cloud Sandbox.
• Удалять файлы.
• Запускать сканирование критических областей.
• Поиск IOС.
• Запрещать запуск.
• Запускать процесс.
• Завершать процесс.
• Получать файлы.

Вы можете найти более подробную информацию об этих реагированиях EDR в справке Kaspersky Endpoint Detection and Response Optimum.

Описанные в этом разделе реагирования EDR доступны для активов с Kaspersky Endpoint Security для Windows 11.7 и выше. Если на своих активах вы используете Kaspersky Endpoint Security для Windows 11.6 или более раннюю версию, для работы с реагированиями EDR на этих активах должен быть установлен Kaspersky Endpoint Agent.

Чтобы активировать функции Kaspersky Endpoint Detection and Response Optimum, вам нужно ввести на своих активах один из следующих кодов активации с помощью Kaspersky Security Center:

• Kaspersky Endpoint Detection and Response Optimum
• Надстройка Kaspersky Endpoint Detection and Response Optimum

Для управления действиями по реагированию на обнаружение EDR в Kaspersky Security Center перейдите в раздел Мониторинг и отчеты → Алерты.

.

В начало

[Topic 207078]

Мультитенантность

Развернуть все | Свернуть все

Мультитенантность – это механизм, позволяющий стать поставщиком услуг Kaspersky Managed Detection and Response для других организаций. Если у вас есть учетная запись MDR, вы можете использовать ее для создания

Ваша учетная запись в Kaspersky Security Center Web Console или Kaspersky Security Center Cloud Console должна иметь роль со следующими правами доступа: Доступ к инцидентам и Управление тенантами, чтобы вы могли просматривать, добавлять, изменять и удалять тенанты в разделе MDR в Kaspersky Security Center.

Если в вашей организации есть несколько лицензий, вы можете управлять тенантами только в Kaspersky Security Center.

Чтобы стать поставщиком услуг MDR, необходим доступ к инфраструктуре тенантов, поскольку это позволит выполнять сценарии развертывания.

Все тенанты являются независимыми и изолированными, то есть данные одного тенанта не доступны другим тенантам.

Только пользователи с назначенной ролью администратора MDR могут добавлять, изменять и удалять тенанты в Консоли MDR.

В рамках учетной записи MDR можно создать до 100 тенантов. Для каждого тенанта имеются следующие параметры:

• Статус

  Один из следующих статусов тенанта:

  • Активен

    Тенант может использовать Kaspersky Managed Detection and Response.

  • Неактивен

    Тенант не может использовать Kaspersky Managed Detection and Response.

    Вы можете установить неактивный статус вручную в карточке тенанта. Также неактивный статус устанавливается автоматически в конце срока действия тенанта.

• Имя тенанта

  Произвольное удобочитаемое название тенанта, указанное при создании или изменении тенанта. Название тенанта может содержать латинские буквы, цифры и специальные символы. Оно не должно быть длиннее 100 символов.

• Описание

  Информация в свободной форме, указанная при создании или изменении тенанта. Описание может содержать латинские буквы, цифры и специальные символы. Оно не должно быть длиннее 2000 символов.

• Количество активов

  Количество активов, назначенных тенанту.

• Срок действия

  Дата истечения срока действия конфигурационного файла тенанта.

[Topic 207079]

Управление тенантами в Kaspersky Security Center

В этом разделе приведена информация об управлении существующими тенантами и добавлении новых тенантов в Kaspersky Security Center.

[Topic 207082]

Просмотр тенантов в Kaspersky Security Center

Развернуть все | Свернуть все

С помощью списка тенантов можно выполнять просмотр доступных тенантов.

Ваша учетная запись в Kaspersky Security Center Web Console или Kaspersky Security Center Cloud Console должна иметь роль со следующими правами доступа: Доступ к инцидентам и Управление тенантами, чтобы вы могли просматривать, добавлять, изменять и удалять тенанты в разделе MDR в Kaspersky Security Center.

Чтобы просмотреть список тенантов:

1. В разделе MDR в Kaspersky Security Center перейдите на вкладку Тенанты.

   Отобразится список Тенанты. Каждая строка соответствует одному тенанту. Можно щелкнуть в любом месте строки, чтобы посмотреть информацию о тенанте.

2. Над списком отображаются следующие атрибуты тенанта:
   • Name

     Произвольное удобочитаемое название тенанта, указанное при создании или изменении тенанта. Название тенанта может содержать латинские буквы, цифры и специальные символы. Оно не должно быть длиннее 100 символов.

   • Статус

     Один из следующих статусов тенанта:

     • Активен

       Тенант может использовать Kaspersky Managed Detection and Response.

     • Неактивен

       Тенант не может использовать Kaspersky Managed Detection and Response.

       Вы можете установить неактивный статус вручную в карточке тенанта. Также неактивный статус устанавливается автоматически в конце срока действия тенанта.

   • Количество активов

     Количество активов, назначенных тенанту.

   • Описание

     Информация в свободной форме, указанная при создании или изменении тенанта. Описание может содержать латинские буквы, цифры и специальные символы. Оно не должно быть длиннее 2000 символов.

   • Создан

     Дата создания тенанта.

   • Дата окончания срока действия

     Дата окончания срока действия тенанта.

     Тенанты отсортированы по дате окончания срока действия в порядке убывания.

Вы также можете просматривать тенанты в Консоли MDR.

[Topic 207081]

Просмотр параметров тенанта в Kaspersky Security Center

Развернуть все | Свернуть все

Параметры каждого тенанта можно просмотреть в вашей учетной записи.

Ваша учетная запись в Kaspersky Security Center Web Console или Kaspersky Security Center Cloud Console должна иметь роль со следующими правами доступа: Доступ к инцидентам и Управление тенантами, чтобы вы могли просматривать, добавлять, изменять и удалять тенанты в разделе MDR в Kaspersky Security Center.

Чтобы просмотреть параметры тенанта:

1. В разделе MDR в Kaspersky Security Center перейдите на вкладку Тенанты.

   Отобразится список Тенанты. Каждая строка соответствует одному тенанту. Можно щелкнуть в любом месте строки, чтобы посмотреть информацию о тенанте.

2. Выберите строку с тенантом, данные о котором вы хотите просмотреть.

   Отобразится раздел Параметры тенанта.

   Первым параметром является переключатель Активный, показывающий, активен ли тенант. При необходимости можно изменить положение переключателя Активный. Далее отображаются следующие поля:

   • Name

     Произвольное удобочитаемое название тенанта, указанное при создании или изменении тенанта. Название тенанта может содержать латинские буквы, цифры и специальные символы. Оно не должно быть длиннее 100 символов.

   • ID

     Автоматически сгенерированный уникальный идентификатор тенанта.

   • Описание

     Информация в свободной форме, указанная при создании или изменении тенанта. Описание может содержать латинские буквы, цифры и специальные символы. Оно не должно быть длиннее 2000 символов.

   • Количество активов

     Количество активов, назначенных тенанту.

   • Конфигурационные файлы для тенанта.

     В этом разделе отображается информация о конфигурационном файле MDR для тенанта:

     • Лицензия – лицензия, соответствующая тенанту.
     • Дата истечения срока действия – время действия тенанта. Дату окончания срока действия можно указать вручную при создании тенанта. Дата прекращения действия не может совпадать или быть позже даты прекращения действия лицензии MDR.
     • Действие – вы можете перейти по ссылке Загрузить конфигурационный файл, чтобы загрузить ZIP-архив, содержащий конфигурационный файл MDR.

     Нажмите на кнопку X, чтобы удалить конфигурационный файл. Удалить конфигурационный файл можно только в том случае, если для тенанта добавлен другой конфигурационный файл.

     Нажмите на кнопку Добавить, чтобы добавить новый конфигурационный файл. Укажите лицензию и дату окончания срока действия.

3. В нижней части раздела Параметры тенанта нажмите на кнопку Закрыть, чтобы закрыть раздел.

Вы также можете просматривать параметры тенанта в Консоли MDR.

[Topic 212375]

Изменение параметров тенанта в Kaspersky Security Center

Параметры тенантов можно изменить в вашей учетной записи.

Ваша учетная запись в Kaspersky Security Center Web Console или Kaspersky Security Center Cloud Console должна иметь роль со следующими правами доступа: Доступ к инцидентам и Управление тенантами, чтобы вы могли просматривать, добавлять, изменять и удалять тенанты в разделе MDR в Kaspersky Security Center.

Чтобы изменить параметры тенанта:

1. В разделе MDR в Kaspersky Security Center перейдите на вкладку Тенанты.

   Отобразится список Тенанты. Каждая строка соответствует одному тенанту. Можно щелкнуть в любом месте строки, чтобы посмотреть информацию о тенанте.

2. Выберите строку с тенантом, параметры которого вы хотите изменить.

   Отобразится раздел Параметры тенанта. В этом разделе вы можете выполнить следующие действия:

   • Активировать или деактивировать тенант, переключив переключатель Активен.
   • Изменить значение поля Описание.
   • Удалить конфигурационный файл, нажав на кнопку X. Удалить конфигурационный файл можно только в том случае, если для тенанта добавлен другой конфигурационный файл.
   • Добавить новый конфигурационный файл, нажав на кнопку Добавить. Укажите лицензию и дату окончания срока действия.
3. В нижней части раздела Параметры тенанта нажмите на кнопку Сохранить.
   • Раздел Параметры тенанта будет скрыт. После нажатия на кнопку Сохранить Kaspersky Managed Detection and Response сформирует новый файл конфигурации MDR, соответствующий обновленным параметрам тенанта. Вы можете перейти по ссылке Загрузить конфигурационный файл, чтобы загрузить ZIP-архив, содержащий конфигурационный файл MDR.

Выполнено изменение параметров тенанта. Обновленные параметры будут применены к активам выбранных групп администрирования.

Вы также можете изменять параметры тенанта в Консоли MDR.

[Topic 207080]

Добавление тенантов в Kaspersky Security Center

Развернуть все | Свернуть все

Если вы хотите стать поставщиком услуг Kaspersky Managed Detection and Response для другой организации, необходимо добавить нового тенанта в вашу учетную запись.

Ваша учетная запись в Kaspersky Security Center Web Console или Kaspersky Security Center Cloud Console должна иметь роль со следующими правами доступа: Доступ к инцидентам и Управление тенантами, чтобы вы могли просматривать, добавлять, изменять и удалять тенанты в разделе MDR в Kaspersky Security Center.

Чтобы добавить тенант:

1. В разделе MDR в Kaspersky Security Center перейдите на вкладку Тенанты.

   Отобразится список Тенанты.

2. В верхней части окна нажмите на значок плюс ().

   Отобразится раздел Параметры тенанта.

3. При необходимости измените положение переключателя Активный.

   По умолчанию переключатель установлен в положение Активный.

4. Заполните следующие поля:
   • Name

     Произвольное удобочитаемое название тенанта, указанное при создании или изменении тенанта. Название тенанта может содержать латинские буквы, цифры и специальные символы. Оно не должно быть длиннее 100 символов.

   • Описание

     Информация в свободной форме, указанная при создании или изменении тенанта. Описание может содержать латинские буквы, цифры и специальные символы. Оно не должно быть длиннее 2000 символов.

   • Конфигурационные файлы для тенанта

     В этом разделе отображается информация о конфигурационном файле MDR для тенанта:

     • Лицензия – лицензия, соответствующая тенанту.
     • Дата истечения срока действия – время действия тенанта. Дату окончания срока действия можно указать вручную при создании тенанта. Дата прекращения действия не может совпадать или быть позже даты прекращения действия лицензии MDR.
     • Действие – вы можете перейти по ссылке Загрузить конфигурационный файл, чтобы загрузить ZIP-архив, содержащий конфигурационный файл MDR.

     Нажмите на кнопку X, чтобы удалить конфигурационный файл. Удалить конфигурационный файл можно только в том случае, если для тенанта добавлен другой конфигурационный файл.

     Нажмите на кнопку Добавить, чтобы добавить новый конфигурационный файл. Укажите лицензию и дату окончания срока действия.

5. В нижней части раздела Параметры тенанта нажмите на кнопку Сохранить.

   Раздел Параметры тенанта будет скрыт. После нажатия на кнопку Сохранить Kaspersky Managed Detection and Response сформирует файл конфигурации MDR для нового тенанта. Вы можете перейти по ссылке Загрузить конфигурационный файл, чтобы загрузить ZIP-архив, содержащий конфигурационный файл MDR.

Новый тенант будет добавлен.

Новые тенанты можно также добавлять в Консоли MDR.

[Topic 219397]

Удаление тенантов в Kaspersky Security Center

При удалении тенанта, содержащего некоторые активы, все его активы отключаются от решения MDR. Для того чтобы продолжить управление активами тенанта, вы можете переместить их корневому тенанту или новому тенанту перед удалением тенанта.

Ваша учетная запись в Kaspersky Security Center Web Console или Kaspersky Security Center Cloud Console должна иметь роль со следующими правами доступа: Доступ к инцидентам и Управление тенантами, чтобы вы могли просматривать, добавлять, изменять и удалять тенанты в разделе MDR в Kaspersky Security Center.

Чтобы удалить тенант:

1. В разделе MDR в Kaspersky Security Center перейдите на вкладку Тенанты.

   Отобразится список Тенанты.

2. В списке Тенанты наведите указатель мыши на тенанта, которого вы хотите удалить, и щелкните по значку корзины () в правой части строки.
3. Подтвердите удаление.

Выбранный тенант будет удален.

Тенанты можно также удалять в Консоли MDR.

[Topic 219428]

Перемещение активов между тенантами

При удалении тенанта, содержащего некоторые активы, все его активы перестают отправлять данные телеметрии решению MDR. Перед удалением тенанта переместите все его активы в корневой тенант или в новый тенант.

Ваша учетная запись в Kaspersky Security Center Web Console или Kaspersky Security Center Cloud Console должна иметь роль со следующими правами доступа: Доступ к инцидентам и Управление тенантами, чтобы вы могли просматривать, добавлять, изменять и удалять тенанты в разделе MDR в Kaspersky Security Center.

Чтобы переместить активы новому тенанту:

1. В разделе MDR в Kaspersky Security Center создайте тенант. Позже вы добавите активы этому тенанту.

   При создании тенанта скачивается файл конфигурации MDR.

2. Создайте новую группу администрирования в Kaspersky Security Center Web Console.
3. Добавьте активы, которые вы хотите назначить новому тенанту, в созданную группу администрирования.
4. Создайте политику для Kaspersky Endpoint Agent или EPP-программы для созданной группы администрирования.
5. Примените файл конфигурации MDR к созданной политике.

   Подробную информацию о различных сценариях развертывания см. в разделе Развертывание Kaspersky Managed Detection and Response.

После применения политики к активам группы администрирования они будут переназначены от корневого тенанта новому созданному тенанту.

Чтобы переместить активы корневому тенанту:

1. Загрузите конфигурационный файл MDR для корневого тенанта:
   • В Консоли MDR (https://mdr.kaspersky.com/guide), перейдите на страницу Начало работы и перейдите по ссылке конфигурационного файла MDR (включая BLOB-файл) или по ссылке конфигурационного файла MDR (включая BAT-файл ).
   • В Kaspersky Security Center Web Console или Kaspersky Security Center Cloud Console перейдите в раздел MDR > Начало работы и нажмите на ссылку Скачать.
2. Создайте новую группу администрирования в Kaspersky Security Center Web Console.
3. Добавьте активы, которые вы хотите назначить новому тенанту, в созданную группу администрирования.
4. Создайте политику для Kaspersky Endpoint Agent или EPP-программы для созданной группы администрирования.
5. Примените файл конфигурации MDR к созданной политике.

После применения политики к активам группы администрирования они будут переназначены от тенанта по умолчанию новому созданному тенанту.

[Topic 298430]

Управление тенантами в Консоли MDR

В этом разделе представлена информация об управлении тенантами в Консоли MDR.

[Topic 258054]

Просмотр тенантов в Консоли MDR

Развернуть все | Свернуть все

Чтобы просмотреть список тенантов:

1. В окне Консоли MDR выберите пункт меню Параметры.
2. Перейдите на вкладку Тенанты.

   Отобразится список Тенанты. Каждая строка соответствует одному тенанту. Можно щелкнуть в любом месте строки, чтобы посмотреть информацию о тенанте.

3. Над списком отображаются следующие атрибуты тенанта:
   • Name

     Произвольное удобочитаемое название тенанта, указанное при создании или изменении тенанта. Название тенанта может содержать латинские буквы, цифры и специальные символы. Оно не должно быть длиннее 100 символов.

   • Статус

     Один из следующих статусов тенанта:

     • Активен

       Тенант может использовать Kaspersky Managed Detection and Response.

     • Неактивен

       Тенант не может использовать Kaspersky Managed Detection and Response.

       Вы можете установить неактивный статус вручную в карточке тенанта. Также неактивный статус устанавливается автоматически в конце срока действия тенанта.

   • Количество активов

     Количество активов, назначенных тенанту.

   • Описание

     Информация в свободной форме, указанная при создании или изменении тенанта. Описание может содержать латинские буквы, цифры и специальные символы. Оно не должно быть длиннее 2000 символов.

   • Создан

     Дата создания тенанта.

   • Дата окончания срока действия

     Дата окончания срока действия тенанта.

     Тенанты отсортированы по дате окончания срока действия в порядке убывания.

В начало

[Topic 258059]

Просмотр параметров тенанта в Консоли MDR

Развернуть все | Свернуть все

Чтобы просмотреть параметры тенанта:

1. В окне Консоли MDR перейдите к пункту Параметры.
2. Перейдите на вкладку Тенанты.

   Отобразится список Тенанты. Каждая строка соответствует одному тенанту. Можно щелкнуть в любом месте строки, чтобы посмотреть информацию о тенанте.

3. Выберите строку с тенантом, данные о котором вы хотите просмотреть.

   Отобразится раздел Параметры тенанта.

   Первым параметром является переключатель Активный, показывающий, активен ли тенант. При необходимости можно изменить положение переключателя Активный. Далее отображаются следующие поля:

   • Имя тенанта

     Произвольное удобочитаемое название тенанта, указанное при создании или изменении тенанта. Название тенанта может содержать латинские буквы, цифры и специальные символы. Оно не должно быть длиннее 100 символов.

   • Описание

     Информация в свободной форме, указанная при создании или изменении тенанта. Описание может содержать латинские буквы, цифры и специальные символы. Оно не должно быть длиннее 2000 символов.

   • Количество активов

     Количество активов, назначенных тенанту.

   • Срок действия

     Дата истечения срока действия конфигурационного файла тенанта.

4. В нижней части раздела Параметры тенанта нажмите на кнопку Отмена, чтобы закрыть раздел.

В начало

[Topic 258062]

Изменение параметров тенанта в Консоли MDR

Добавлять, настраивать и удалять тенанты могут только пользователи с ролью Администратор MDR.

Чтобы изменить параметры тенанта:

1. Откройте Консоль MDR.
2. В Консоли MDR, в разделе Параметры перейдите на вкладку Тенанты.

   Отобразится список Тенанты. Каждая строка соответствует одному тенанту. Можно щелкнуть в любом месте строки, чтобы посмотреть информацию о тенанте.

3. Выберите строку с тенантом, параметры которого вы хотите изменить.

   Отобразится раздел Параметры тенанта.

4. При необходимости измените положение переключателя Активный.
5. При необходимости измените значения полей.
6. В нижней части раздела Параметры тенанта нажмите на кнопку Сохранить.

   Раздел Параметры тенанта будет скрыт. После нажатия на кнопку Сохранить Kaspersky Managed Detection and Response сформирует новый файл конфигурации MDR, соответствующий обновленным параметрам тенанта.

7. В списке Тенанты выберите строку с измененным тенантом.

   Отобразится раздел Параметры тенанта. В нижней части раздела расположены две кнопки для скачивания файла конфигурации MDR для развертывания тенанта:

   • Файл для активов с KEA

     Файл используется при развертывании приложений "Лаборатории Касперского" с использованием Kaspersky Endpoint Agent.

   • Файл для активов без KEA

     Файл используется при развертывании Kaspersky Endpoint Security без использования Kaspersky Endpoint Agent.

8. Нажмите на кнопку Файл для активов с KEA или Файл для активов без KEA, чтобы скачать новый конфигурационный файл MDR.
9. В нижней части раздела Параметры тенанта нажмите на кнопку Отмена, чтобы закрыть раздел.

Выполнено изменение параметров тенанта. Теперь, чтобы применить измененные параметры, необходимо развернуть новый файл конфигурации MDR на активах тенанта.

[Topic 219375]

Добавление тенантов в Консоли MDR

Развернуть все | Свернуть все

Добавлять, настраивать и удалять тенанты могут только пользователи с ролью Администратор MDR.

Чтобы добавить тенант:

1. В окне Консоли MDR выберите пункт меню Параметры.
2. Перейдите на вкладку Тенанты.

   Отобразится список Тенанты.

3. В верхней части окна нажмите на кнопку Добавить.

   Отобразится раздел Параметры тенанта.

4. При необходимости измените положение переключателя Активный.

   По умолчанию переключатель установлен в положение Активный.

5. Заполните следующие поля:
   • Имя тенанта

     Произвольное удобочитаемое название тенанта, указанное при создании или изменении тенанта. Название тенанта может содержать латинские буквы, цифры и специальные символы. Оно не должно быть длиннее 100 символов.

   • Описание

     Информация в свободной форме, указанная при создании или изменении тенанта. Описание может содержать латинские буквы, цифры и специальные символы. Оно не должно быть длиннее 2000 символов.

   • Количество активов

     Количество активов, назначенных тенанту.

   • Срок действия

     Дата истечения срока действия конфигурационного файла тенанта.

6. В нижней части раздела Параметры тенанта нажмите на кнопку Сохранить.

   Раздел Параметры тенанта будет скрыт. После нажатия на кнопку Сохранить Kaspersky Managed Detection and Response сформирует файл конфигурации MDR для нового тенанта.

7. В списке Тенанты выберите строку с новым тенантом.

   Отобразится раздел Параметры тенанта. В этом блоке вы можете загрузить конфигурационный файл MDR для развертывания тенанта:

8. Нажмите на кнопку Файл для активов с KEA или Файл для активов без KEA, чтобы скачать новый конфигурационный файл MDR.
9. В нижней части раздела Параметры тенанта нажмите на кнопку Отмена, чтобы закрыть раздел.

Новый тенант будет добавлен. Теперь можно развернуть скачанный конфигурационный файл MDR на активах тенанта.

Обратите внимание, что тенанты, созданные в Консоли MDR, недоступны в разделе MDR в Kaspersky Security Center. Для работы с этими тенантами используйте Консоль MDR.

[Topic 258067]

Удаление тенантов в Консоли MDR

При удалении тенанта, содержащего некоторые активы, все его активы отключаются от решения MDR. Перед удалением тенанта переместите все его активы в корневой тенант или в новый тенант.

Добавлять, настраивать и удалять тенанты могут только пользователи с ролью Администратор MDR.

Чтобы удалить тенанта:

1. В окне Консоли MDR перейдите к пункту Параметры.
2. Перейдите на вкладку Тенанты.

   Отобразится список Тенанты.

3. В списке тенантов наведите курсор мыши на тенант, который вы хотите удалить, и нажмите кнопку Удалить тенант со значком корзины, расположенную справа.

   Появится окно Подтвердите удаление тенанта.

4. Нажмите кнопку Удалить, чтобы удалить тенант.

Обратите внимание, что тенанты, созданные в Консоли MDR, недоступны в разделе MDR в Kaspersky Security Center. Для работы с этими тенантами используйте Консоль MDR.

В начало

[Topic 204467]

Управление решением с помощью REST API

Эта функция доступна в версиях MDR Expert, MDR Advanced (доступна только в некоторых регионах) и MDR Prime (доступна только в некоторых регионах). Сравнение лицензионных решений приведено в этом разделе.

Для доступа к REST API в Kaspersky Security Center, ваша учетная запись Kaspersky Security Center Web Console должна иметь следующие разрешения: доступ к инцидентам и доступ к REST API.

Для некоторых типов коммерческой лицензии в Консоли MDR можно будет только сгенерировать токен обновления, чтобы использовать его для настройки параметров плагина MDR, без доступа к REST API в Kaspersky Security Center.

Kaspersky Managed Detection and Response позволяет программно получать, создавать и обновлять объекты MDR с помощью REST API. REST API работает по протоколу HTTP и состоит из набора методов запросов/действий по реагированию. Другими словами, решением Kaspersky Managed Detection and Response можно управлять с помощью стороннего решения, а не только через консоль MDR.

Чтобы начать работу с REST API, необходимо создать токен обновления и токен доступа.

ОТКРЫТЬ СПРАВКУ ПО REST API

[Topic 204470]

Сценарий: авторизация на основе токенов

В этом сценарии описано, как выполнить авторизацию на основе токенов для работы с REST API.

Предварительные требования

Убедитесь, что у вас есть учетная запись MDR, которой назначена одна из следующих ролей.

• Роль Администратор MDR.
• Настраиваемая роль со следующими правами доступа (применимо только для Kaspersky Security Center):
  • Доступ к инцидентам
  • Доступ к REST API

Шаги

Авторизация на основе токенов состоит из следующих шагов:

1. Создание токена обновления в Консоли MDR

   Токен обновления необходим для создания токена доступа. Токен обновления действителен в течение 24 часов. Токен обновления можно использовать только один раз.

2. Создание токена доступа с помощью REST API

   Токен доступа необходим для работы с REST API. Токен доступа действителен в течение 1 часа. Токен доступа можно использовать несколько раз в течение срока его действия.

   При создании токена доступа REST API формирует новый токен обновления и добавляет его в действие по реагированию. После истечении срока действия токена доступа можно создать новый токен доступа с использованием последнего токена обновления, сформированного с помощью API.

   Токен обновления, сформированный с помощью API, действителен в течение 7 дней.

Результаты

По завершении этого сценария вы сможете начать работу с REST API, отправляя запросы с токеном доступа.

[Topic 204468]