Первоначальная настройка Kaspersky EDR Expert

Этот сценарий содержит действия по обязательной предварительной настройке и интеграции Kaspersky EDR Expert.

Предварительные требования

Перед тем как начать, убедитесь в следующем:

• Имеется лицензионный ключ для Kaspersky EDR Expert и совместимых EPP-приложений.
• Ваша инфраструктура соответствует требованиям к аппаратному и программному обеспечению.

Этапы

Основной сценарий первоначальной настройки состоит из следующих этапов:

1. Активация

   Активируйте по лицензии решение Kaspersky EDR Expert.

2. Настройка мультитенантности

   Если требуется, вы можете использовать возможности мультитенантности:

   1. Спланируйте и создайте требуемую иерархию тенантов.
   2. Создайте соответствующую иерархию Серверов администрирования в Open Single Management Platform.
   3. Привяжите тенанты к соответствующим Серверам администрирования.
   4. Создайте учетные записи для всех пользователей Kaspersky EDR Expert и назначьте роли.
3. Добавление активов

   Защищаемые устройства в инфраструктуре представлены в Kaspersky EDR Expert как активы. Open Single Management Platform позволяет обнаруживать устройства в вашей сети и управлять их защитой. Вы также сможете добавлять активы вручную или импортировать их из других источников на этапе 8.

   Учетные записи пользователей также представлены в Kaspersky EDR Expert как активы. Убедитесь что интеграция с Active Directory на этапе 9 настроена, чтобы включить отображение затронутых учетных записей пользователей в связанных событиях, алертах и инцидентах.

4. Добавление пользователей и назначение ролей

   Назначьте роли учетным записям пользователей, чтобы определить их права доступа к различным функциям Kaspersky EDR Expert в зависимости от их задач.

5. Подключение к SMTP-серверу

   Настройте подключение к SMTP-серверу для получения уведомлений по электронной почте о событиях, возникающих в Kaspersky EDR Expert.

6. Настройка источников событий, хранения и корреляции

   Укажите, откуда должны быть получены события, а также как они должны храниться и обрабатываться:

   1. Настройте интеграцию Kaspersky Unified Monitoring and Analysis Platform и Kaspersky Security Center.
   2. Импортируйте активы из Open Single Management Platform.
   3. Добавьте активы вручную или импортируйте их из других источников (необязательно).
   4. Настройте источники событий, чтобы указать, откуда вы хотите получать события.
   5. Создайте хранилище для событий.
   6. Создайте коллекторы для приема, обработки (нормализации) и передачи событий.
   7. Создайте корреляторы для первоначального анализа нормализованных событий и их дальнейшей обработки.

      При создании коррелятора можно создать правила корреляции, определяющие правила обработки и реагирования на события, а также импортировать ранее сохраненные правила корреляции или использовать готовый набор правил корреляции, входящий в состав решения Kaspersky EDR Expert. После создания коррелятора вы можете связать правила корреляции с коррелятором, если это необходимо.

      Рекомендуется настроить исключения на этом этапе, чтобы избежать ложных срабатываний и нерелевантных данных.

7. Настройка интеграций

   Для расширения возможностей и обогащения данных, доступных для расследования инцидентов, можно настроить интеграцию Kaspersky EDR Expert с Active Directory и c другими решениями "Лаборатории Касперского".

   1. Интеграция с Active Directory (рекомендуется).
   2. Интеграция с Kaspersky CyberTrace (необязательная интеграция; требуется лицензия).
   3. Интеграция с Kaspersky TIP (необязательная интеграция; требуется лицензия) или Kaspersky Open TIP.
   4. Интеграция с Kaspersky Managed Detection and Response (необязательная интеграция; необходима лицензия).
8. Настройка обновлений

   Создайте задачу Загрузка обновлений в хранилище Сервера администрирования.

9. Проверка корректности конфигурации

   Используйте тестовый файл EICAR на одном из активов. Если первоначальная настройка была выполнена правильно и были настроены необходимые правила корреляции, это событие вызовет создание алерта в списке алертов.

После завершения первоначальной настройки события от защищаемых активов будут получаться и обрабатываться Kaspersky EDR Expert, а при срабатывании правила корреляции будет создаваться алерт.

См. также: Проверка настройки Kaspersky EDR Expert Использование функций мониторинга, обнаружения и поиска угроз Пример расследования инцидента с помощью Kaspersky EDR Expert

В начало