Integration des EDR-Agenten in MDR

Der EDR-Agent wird auf Workstations und Servern in der IT-Infrastruktur des Unternehmens installiert. Der EDR-Agent verarbeitet Daten und sendet sie über Kaspersky Security Network-Streams an Kaspersky Managed Detection and Response.

Um die Integration mit Kaspersky Managed Detection and Response einzurichten, müssen Sie die Managed Detection and Response-Komponente aktivieren und den EDR-Agenten konfigurieren. Damit „Kaspersky Managed Detection and Response“ gemeinsam mit dem Administrationsserver über „Kaspersky Security Center Web Console“ funktioniert, müssen Sie auch eine neue sichere Verbindung herstellen, und zwar eine Hintergrundverbindung. Kaspersky Managed Detection and Response fordert Sie auf, eine Hintergrundverbindung herzustellen, wenn Sie die Lösung bereitstellen. Stellen Sie sicher, dass die Hintergrundverbindung hergestellt wurde.

Erstellung einer Hintergrundverbindung in Web Console

Zur Integration von Kaspersky Managed Detection and Response sind folgende Schritte erforderlich:

1. Installation der Komponente „Managed Detection and Response“

   Sie können die Komponente MDR während der Installation oder beim Upgrade auswählen oder die Aufgabe Auswahl der Programmkomponenten ändern verwenden.

   Sie müssen Ihren Computer neu starten, um das Upgrade des Programms mit den neuen Komponenten abzuschließen.

2. Kaspersky Private Security Network konfigurieren

   Überspringen Sie diesen Schritt, wenn Sie „Kaspersky Security Center Cloud Console“ verwenden. Kaspersky Security Center Cloud Console konfiguriert Kaspersky Private Security Network automatisch, wenn das MDR-Plug-in installiert wird.

   Die Lösung Kaspersky Private Security Network (KPSN) ermöglicht Benutzern den Zugriff auf die Kaspersky-Reputationsdatenbanken und auf andere statistische Daten, ohne dabei Daten von den Benutzercomputern an Kaspersky zu senden. Auf diesen Computern müssen Kaspersky Endpoint Security oder andere Kaspersky-Programme installiert sein.

   Laden Sie in den Eigenschaften des Administrationsservers die Konfigurationsdatei von Kaspersky Security Network hoch. Die Konfigurationsdatei von Kaspersky Security Network befindet sich im ZIP-Archiv der MDR-Konfigurationsdatei. Sie können das ZIP-Archiv in der Konsole von Kaspersky Managed Detection and Response abrufen. Ausführliche Informationen über die Konfiguration von Kaspersky Private Security Network finden Sie in der Hilfe zu Kaspersky Security Center. Die Konfigurationsdatei von Kaspersky Security Network kann auch über die Befehlszeile auf den Computer hochgeladen werden (siehe Anleitung unten).

   So konfigurieren Sie Kaspersky Private Security Network über die Befehlszeile

   1. Starten Sie den Befehlszeileninterpreter cmd als Administrator.
   2. Wechseln Sie zu dem Ordner, in dem sich die ausführbare Datei von Kaspersky Endpoint Security befindet.
   3. Führen Sie den folgenden Befehl aus:

      avp.com KSN /private <Dateiname>

      wobei <Dateiname> der Name der Konfigurationsdatei ist, welche die Einstellungen für Kaspersky Private Security Network enthält (Dateiformat PKCS7 oder PEM).

      Beispiel: avp.com KSN /private C:\kpsn_config.pkcs7

   Künftig verwendet Kaspersky Endpoint Security das Kaspersky Private Security Network, um die Reputation von Dateien, Programmen und Websites zu ermitteln. Im Abschnitt Kaspersky Security Network der Richtlinieneinstellungen wird der folgende Betriebsstatus angezeigt: Infrastruktur: Kaspersky Private Security Network.

   Sie müssen den erweiterten KSN-Modus aktivieren, damit „Managed Detection and Response“ funktioniert.

3. Aktivieren von Kaspersky Endpoint Detection and Response

   Kaspersky Managed Detection and Response unterstützt die folgenden Lizenzierungsmethoden:

   • Die Funktionalität von Managed Detection and Response wird durch die Lizenz für Kaspersky Endpoint Security für Windows abgedeckt.

     Die Funktion ist sofort nach der Aktivierung von Kaspersky Endpoint Security für Windows verfügbar.

   • Eine separate Lizenz für MDR (Add-on für Kaspersky Managed Detection and Response) wird verwendet.

     Die Funktion ist verfügbar, sobald Sie einen separaten Schlüssel für Kaspersky Managed Detection and Response hinzufügen. Dadurch werden zwei Schlüssel auf dem Computer installiert: ein Schlüssel für Kaspersky Endpoint Security und ein Schlüssel für Kaspersky Managed Detection and Response.

     Die Lizenzverwaltung für die eigenständige Funktionalität von Managed Detection and Response entspricht der Lizenzverwaltung für Kaspersky Endpoint Security.

   Stellen Sie sicher, dass die MDR-Funktionalität in der Lizenz enthalten ist und dass sie auf der lokalen App-Oberfläche funktioniert.

4. Aktivieren der Komponente „Managed Detection and Response“

   Laden Sie die BLOB-Konfigurationsdatei in die Richtlinie von Kaspersky Endpoint Security (siehe Anleitung unten). Die BLOB-Datei enthält die Client-ID und Informationen zur Lizenz für Kaspersky Managed Detection and Response. Die BLOB-Datei befindet sich im ZIP-Archiv der MDR-Konfigurationsdatei. Sie können das ZIP-Archiv in der Konsole von Kaspersky Managed Detection and Response abrufen. Ausführliche Informationen zur BLOB-Datei finden Sie in der Hilfe zu „Kaspersky Managed Detection and Response“.

   So aktivieren Sie die Komponente „Managed Detection and Response“ über die Verwaltungskonsole (MMC)

   1. Öffnen Sie die Verwaltungskonsole von Kaspersky Security Center.
   2. Wählen Sie in der Konsolenstruktur den Punkt Richtlinien aus.
   3. Wählen Sie die gewünschte Richtlinie aus und öffnen Sie mit einem Doppelklick das Fenster mit den Richtlinieneigenschaften.
   4. Wählen Sie im Richtlinienfenster Detection and Response → Managed Detection and Response aus.
   5. Aktivieren Sie das Kontrollkästchen Managed Detection and Response.
   6. Klicken Sie im Block Einstellungen auf Hochladen und wählen Sie die BLOB-Datei aus, die in der Konsole von Kaspersky Managed Detection and Response empfangen wurde. Die Datei hat die Erweiterung p7.
   7. Speichern Sie die vorgenommenen Änderungen.

   So aktivieren Sie die Komponente „Managed Detection and Response“ über „Web Console“ und „Cloud Console“

   1. Wählen Sie im „Web Console“-Hauptfenster den Punkt Geräte → Richtlinien und Profile aus.
   2. Klicken Sie auf den Namen der Richtlinie von Kaspersky Endpoint Security.

      Das Fenster mit den Richtlinieneigenschaften wird geöffnet.

   3. Wählen Sie die Registerkarte Programmeinstellungen aus.
   4. Gehen Sie zu Detection and Response → Managed Detection and Response.
   5. Aktivieren Sie den Schalter Managed Detection and Response.
   6. Klicken Sie auf Laden und wählen Sie die BLOB-Datei aus, die über die Konsole von Kaspersky Managed Detection and Response abgerufen wurde. Die Datei hat die Erweiterung p7.
   7. Speichern Sie die vorgenommenen Änderungen.

   So aktivieren Sie die Komponente „Managed Detection and Response“ über die Befehlszeile

   1. Starten Sie den Befehlszeileninterpreter cmd als Administrator.
   2. Wechseln Sie zu dem Ordner, in dem sich die ausführbare Datei von Kaspersky Endpoint Security befindet.
   3. Führen Sie den folgenden Befehl aus:

      avp.com MDRLICENSE /ADD <Dateiname> /login=<Benutzername> /password=<Kennwort>

      Damit der Befehl ausgeführt werden kann, muss der Kennwortschutz aktiviert sein. Der Benutzer muss die Berechtigung App-Einstellungen anpassen besitzen.

   Daraufhin verifiziert Kaspersky Endpoint Security die BLOB-Datei. Zur Verifizierung der BLOB-Datei gehört auch die Überprüfung der digitalen Signatur und der Gültigkeitsdauer der Lizenz. Wenn die BLOB-Datei erfolgreich verifiziert wurde, lädt Kaspersky Endpoint Security die Datei herunter und sendet sie bei der nächsten Synchronisierung mit Kaspersky Security Center an den Computer. Überprüfen Sie den Betriebsstatus der Komponente, indem Sie sich den Bericht über den Status der Programmkomponenten ansehen. Den Betriebsstatus einer Komponente können Sie auch den Berichten in der lokalen Benutzeroberfläche von Kaspersky Endpoint Security entnehmen. Die Komponente Managed Detection and Response wir zur Liste der Kaspersky Endpoint Security-Komponenten hinzugefügt.

   1. Öffnen Sie die Verwaltungskonsole von Kaspersky Security Center.
   2. Wählen Sie in der Konsolenstruktur den Punkt Richtlinien aus.
   3. Wählen Sie die gewünschte Richtlinie aus und öffnen Sie mit einem Doppelklick das Fenster mit den Richtlinieneigenschaften.
   4. Wählen Sie im Richtlinienfenster Detection and Response → Managed Detection and Response aus.
   5. Aktivieren Sie das Kontrollkästchen Managed Detection and Response.
   6. Speichern Sie die vorgenommenen Änderungen.

   So aktivieren Sie die Komponente „Managed Detection and Response“ über „Web Console“ und „Cloud Console“

   1. Wählen Sie im „Web Console“-Hauptfenster den Punkt Geräte → Richtlinien und Profile aus.
   2. Klicken Sie auf den Namen der Richtlinie von Kaspersky Endpoint Security.

      Das Fenster mit den Richtlinieneigenschaften wird geöffnet.

   3. Wählen Sie die Registerkarte Programmeinstellungen aus.
   4. Gehen Sie zu Detection and Response → Managed Detection and Response.
   5. Aktivieren Sie den Schalter Managed Detection and Response.
   6. Speichern Sie die vorgenommenen Änderungen.

   Die Komponente Kaspersky Managed Detection and Response ist nun aktiviert. Überprüfen Sie den Betriebsstatus der Komponente, indem Sie sich den Bericht über den Status der Programmkomponenten ansehen. Den Betriebsstatus einer Komponente können Sie auch den Berichten in der lokalen Benutzeroberfläche von Kaspersky Endpoint Security entnehmen. Die Komponente Managed Detection and Response wir zur Liste der Kaspersky Endpoint Security-Komponenten hinzugefügt.