Managed Detection and Response

Podpora

Podpora řešení pro firmy

Kaspersky Endpoint Security 11 pro systém Windows

Detection and Response

Managed Detection and Response

20. července 2023

ID 206310

Kaspersky Endpoint Security 11.6.0 představuje integrovaného agenta pro řešení Managed Detection and Response. Řešení Kaspersky Managed Detection and Response (MDR) automaticky detekuje a analyzuje bezpečnostní incidenty ve vaší infrastruktuře. K tomu používá MDR telemetrická data přijatá z koncových bodů a strojové učení. MDR zasílá údaje o incidentech odborníkům společnosti Kaspersky. Tito odborníci pak mohou incident zpracovat a například přidat nový záznam do antivirových databází. Alternativně mohou odborníci vydat doporučení ke zpracování incidentu a například navrhnout izolaci počítače od sítě. Podrobné informace o tom, jak řešení funguje, najdete v nápovědě k aplikaci Kaspersky Managed Detection and Response.

Při interakci s řešením Kaspersky Managed Detection and Response vám aplikace umožňuje provádět následující funkce:

Aktivovat součást Managed Detection and Response pomocí konfiguračního souboru BLOB.
Provádět příkazy z řešení Kaspersky Managed Detection and Response.
Odesílat telemetrická data do řešení Kaspersky Managed Detection and Response pro detekci hrozeb.

Integrace s řešením Kaspersky Managed Detection and Response

Integrace s řešením Kaspersky Managed Detection and Response sestává z následujících kroků:

Konfigurace privátní služby Kaspersky Security Network
Pokud používáte cloudovou konzolu aplikace Kaspersky Security Center, tento krok přeskočte. Cloudová konzola aplikace Kaspersky Security Center automaticky konfiguruje místní síť Kaspersky Security Network při instalaci modulu plug-in MDR.

Privátní KSN podporuje výměnu dat mezi počítači a dedikovanými servery služby Kaspersky Security Network, ale ne globální KSN.

Nahrajte konfigurační soubor služby Kaspersky Security Network do vlastností serveru pro správu. Konfigurační soubor aplikace Kaspersky Security Network je umístěn v archivu ZIP konfiguračního souboru MDR. Archiv ZIP můžete získat v konzole aplikace Kaspersky Managed Detection and Response. Podrobnosti o konfiguraci privátní služby Kaspersky Security Network najdete v nápovědě k aplikaci Kaspersky Security Center. Konfigurační soubor služby Kaspersky Security Network můžete také nahrát do počítače z příkazového řádku (viz pokyny níže).

Jak nakonfigurovat privátní službu Kaspersky Security Network z příkazového řádku
1. Spusťte překladač příkazového řádku (cmd.exe) jako správce.
2. Přejděte do složky, kde se nachází distribuční balíček aplikace Kaspersky Endpoint Security.
3. Spusťte následující příkaz:
  avp.com KSN /private <název souboru>,
  
  kde <název souboru> je název konfiguračního souboru obsahujícího nastavení privátní KSN (formát souboru PKCS7 nebo PEM).
  
  Příklad:
  
  avp.com KSN /private C:\kpsn_config.pkcs7
Aplikace Kaspersky Endpoint Security tak bude používat privátní KSN k určení reputace souborů, aplikací a webů. V nastavení zásad v části Kaspersky Security Network se zobrazí tento provozní stav: Síť KSN: privátní KSN.

Aby mohla součást Managed Detection and Response fungovat, musíte povolit rozšířený režim KSN.
Aktivace součásti Managed Detection and Response
Načtěte konfigurační soubor BLOB do zásad Kaspersky Endpoint Security (viz pokyny níže). Soubor BLOB obsahuje ID klienta a informace o licenci pro řešení Kaspersky Managed Detection and Response. Soubor BLOB je umístěn uvnitř archivu ZIP konfiguračního souboru MDR. Archiv ZIP můžete získat v konzole aplikace Kaspersky Managed Detection and Response. Podrobné informace o souboru BLOB najdete v nápovědě k řešení Kaspersky Managed Detection and Response.

Jak aktivovat součást Managed Detection and Response v konzole pro správu (MMC)
1. Otevřete konzolu pro správu aplikace Kaspersky Security Center.
2. Ve složce Managed devices stromu konzole pro správu otevřete složku s názvem skupiny správy, do které patří příslušné klientské počítače.
3. V pracovním prostoru vyberte kartu Policies.
4. Vyberte potřebnou zásadu a dvojitým kliknutím otevřete vlastnosti zásady.
5. V okně zásad vyberte Detection and Response → Managed Detection and Response.
6. Zaškrtněte políčko Managed Detection and Response.
7. V bloku Nastavení klikněte na možnost Importovat a vyberte soubor BLOB obdržený v konzole aplikace Kaspersky Managed Detection and Response. Soubor má příponu P7.
8. Uložte změny.
Jak aktivovat součást Managed Detection and Response ve webové konzole a cloudové konzole
1. V hlavním okně webové konzoly vyberte možnosti Devices → Policies & profiles.
2. Klikněte na název zásad aplikace Kaspersky Endpoint Security.
  Otevře se okno vlastností zásad.
3. Vyberte kartu Application settings.
4. Vyberte Detection and Response → Managed Detection and Response.
5. Zapněte přepínač Managed Detection and Response.
6. Klikněte na tlačítko Importovat a vyberte soubor BLOB, který byl získán v konzole řešení Managed Detection and Response. Soubor má příponu P7.
7. Uložte změny.
Jak aktivovat součást Managed Detection and Response z příkazového řádku
1. Spusťte překladač příkazového řádku (cmd.exe) jako správce.
2. Přejděte do složky, kde se nachází distribuční balíček aplikace Kaspersky Endpoint Security.
3. Spusťte následující příkaz:
  - Pokud nastavení aplikace není chráněno heslem:
    avp.com MDRLICENSE /ADD <název souboru>
    
    <Název souboru> je název konfiguračního souboru BLOB pro aktivaci součásti Managed Detection and Response (formát souboru P7).
  - Pokud je nastavení aplikace chráněno heslem:
    avp.com MDRLICENSE /ADD <název souboru> / login=<uživatelské jméno> /password=<heslo>
Kaspersky Endpoint Security ověří soubor BLOB. Ověření souboru BLOB zahrnuje kontrolu digitálního podpisu a licenčního období. Pokud je soubor BLOB úspěšně ověřen, aplikace Kaspersky Endpoint Security soubor nahraje a odešle jej do počítače během další synchronizace s aplikací Kaspersky Security Center. Provozní stav součásti zkontrolujete zobrazením zprávy o stavu součástí aplikace. Provozní stav součásti můžete také zobrazit ve zprávách v místním rozhraní aplikace Kaspersky Endpoint Security. Součást Managed Detection and Response bude přidána do seznamu součástí aplikace Kaspersky Endpoint Security.
Podpora součásti Managed Detection and Response
Aby mohla součást Managed Detection and Response fungovat, musíte povolit následující součásti:
- Kaspersky Security Network (rozšířený režim).
- Detekce chování.
Povolení těchto součástí není volitelné. V opačném případě nemůže Kaspersky Managed Detection and Response fungovat, protože neobdrží potřebná telemetrická data.

Kromě toho používá Kaspersky Managed Detection and Response data obdržená z jiných součástí aplikace. Povolení těchto součástí je volitelné. Mezi součásti, které poskytují další data, patří:
Aby součást Kaspersky Managed Detection and Response fungovala se serverem pro správu prostřednictvím webové konzoly aplikace Kaspersky Security Center, musíte rovněž navázat nové bezpečné připojení, připojení na pozadí. Kaspersky Managed Detection and Response vás vyzve k navázání připojení na pozadí, když nasazujete toto řešení. Ujistěte se, že je připojení na pozadí navázáno. Podrobnosti o integraci aplikace Kaspersky Security Center s ostatními řešeními společnosti Kaspersky najdete v nápovědě k aplikaci Kaspersky Security Center.

Migrace z aplikace Kaspersky Endpoint Agent na aplikaci Kaspersky Endpoint Security pro systém Windows

Řešení MDR podporuje aplikace Kaspersky Endpoint Security verze 11 a novější. Kaspersky Endpoint Security verze 11–11.5.0 odesílá telemetrická data do řešení Kaspersky Managed Detection and Response za účelem zjišťování hrozeb. Kaspersky Endpoint Security verze 11.6.0 má všechny funkce integrovaného agenta (Kaspersky Endpoint Agent).

Pokud používáte aplikaci Kaspersky Endpoint Security 11–11.5.0, musíte pro práci s řešením aktualizovat databáze na nejnovější verzi. Musíte rovněž nainstalovat aplikaci Kaspersky Endpoint Agent.

Pokud používáte Kaspersky Endpoint Security 11.6.0 nebo novější, pro práci s řešením MDR musíte při instalaci aplikace vybrat součást Managed Detection and Response. V tomto případě není nutné instalovat aplikaci Kaspersky Endpoint Agent.

Postup migrace z aplikace Kaspersky Endpoint Agent na Kaspersky Endpoint Security pro systém Windows:

V zásadách aplikace Kaspersky Endpoint Security nakonfigurujte integraci s řešením Kaspersky Managed Detection and Response.
V zásadách aplikace Kaspersky Endpoint Agent zakažte součást Managed Detection and Response.

Pokud se zásady aplikace Kaspersky Endpoint Security vztahují i na počítače, na nichž není nainstalován aplikace Kaspersky Endpoint Security 11–11.5.0, musíte pro tyto počítače nejdříve vytvořit samostatné zásady aplikace Kaspersky Endpoint Agent. V nových zásadách nakonfigurujte integraci s řešením Kaspersky Managed Detection and Response.

Byl článek užitečný?

Co můžeme vylepšit?

Děkujeme za vaši zpětnou vazbu! Pomáháte nám se zlepšovat.