Managed Detection and Response

Thành phần Managed Detection and Response đã được thêm vào Kaspersky Endpoint Security phiên bản 11.6.0. Thành phần này hỗ trợ tương tác với giải pháp có tên là Managed Detection and Response của Kaspersky. Managed Detection and Response (MDR) của Kaspersky liên tục tìm kiếm, phát hiện và loại bỏ các mối đe dọa nhằm vào tổ chức của bạn. Để biết thông tin chi tiết về cách hoạt động của giải pháp này, vui lòng tham khảo Hướng dẫn sử dụng Managed Detection and Response của Kaspersky.

Khi tương tác với Managed Detection and Response của Kaspersky, ứng dụng cho phép bạn thực hiện các chức năng sau:

• Kích hoạt Managed Detection and Response bằng cách sử dụng tập tin cấu hình BLOB.
• Thực thi các lệnh từ Managed Detection and Response của Kaspersky.
• Gửi dữ liệu viễn trắc đến Managed Detection and Response của Kaspersky để phát hiện mối đe dọa.

Tích hợp với Kaspersky Managed Detection and Response

Việc tích hợp với thành phần Managed Detection and Response của Kaspersky bao gồm các bước sau:

1. Cấu hình Kaspersky Security Network Riêng

   Bỏ qua bước này nếu bạn đang sử dụng Bảng điều khiển đám mây Kaspersky Security Center. Bảng điều khiển đám mây Kaspersky Security Center sẽ tự động cấu hình Kaspersky Security Network cục bộ khi cài đặt tiện ích MDR.

   KSN Riêng hỗ trợ trao đổi dữ liệu giữa các máy tính và máy chủ chuyên dụng của Kaspersky Security Network, nhưng không hỗ trợ KSN Toàn cầu.

   Tải lên tập tin cấu hình Kaspersky Security Network trong thuộc tính Máy chủ quản trị. Tập tin cấu hình Kaspersky Security Network nằm trong tập tin nén ZIP của tập tin cấu hình MDR. Bạn có thể lấy tập tin nén ZIP trong Bảng điều khiển Managed Detection and Response của Kaspersky. Để biết chi tiết về việc cấu hình KSN Riêng, vui lòng tham khảo Hướng dẫn sử dụng Kaspersky Security Center. Bạn cũng có thể tải tập tin cấu hình Kaspersky Security Network lên máy tính từ dòng lệnh (xem hướng dẫn bên dưới).

   Cách cấu hình KSN Riêng từ dòng lệnh

   1. Chạy trình thông dịch dòng lệnh (cmd.exe) với tư cách quản trị viên.
   2. Tới thư mục chứa gói phân phối Kaspersky Endpoint Security.
   3. Chạy dòng lệnh sau:

      avp.com KSN /private <tên tập tin>

      <tên tập tin> là tên của tập tin cấu hình chứa thiết lập KSN Riêng (định dạng tập tin PKCS7 hoặc PEM).

      Ví dụ: avp.com KSN /private C:\kpsn_config.pkcs7

   Kết quả là, Kaspersky Endpoint Security sẽ sử dụng KSN Riêng để xác định danh tiếng của các tập tin, ứng dụng và trang web. Thiết lập chính sách trong mục Kaspersky Security Network sẽ hiển thị trạng thái hoạt động sau: Mạng KSN: KSN Riêng.

   Bạn phải bật chế độ KSN mở rộng để Managed Detection and Response hoạt động.

2. Kích hoạt Managed Detection and Response.

   Tải tập tin cấu hình BLOB trong chính sách Kaspersky Endpoint Security (xem hướng dẫn bên dưới). Tập tin BLOB chứa ID ứng dụng khách và thông tin về giấy phép cho thành phần Managed Detection and Response của Kaspersky. Tập tin BLOB nằm bên trong tập tin nén ZIP của tập tin cấu hình MDR. Bạn có thể lấy tập tin nén ZIP trong Bảng điều khiển Managed Detection and Response của Kaspersky. Để biết thông tin chi tiết về tập tin BLOB, vui lòng tham khảo Hướng dẫn sử dụng Managed Detection and Response của Kaspersky.

   Cách kích hoạt Managed Detection and Response trong Bảng điều khiển quản trị (MMC)

   1. Mở Bảng điều khiển quản trị Kaspersky Security Center.
   2. Trong thư mục Thiết bị được quản lý của cây Bảng điều khiển quản trị, mở thư mục với tên của nhóm quản trị chứa máy khách liên quan.
   3. Trong không gian làm việc, chọn thẻ Chính sách.
   4. Chọn chính sách cần thiết và nhấn đúp để mở các thuộc tính chính sách.
   5. Trong cửa sổ chính sách, hãy chọn Mở rộng Bảo vệ mối đe dọa → Detection and Response.
   6. Chọn hộp kiểm Managed Detection and Response.
   7. Trong mục Thiết lập, hãy nhấn Nhập và chọn tập tin BLOB nhận được trong Bảng điều khiển Managed Detection and Response của Kaspersky. Tập tin có đuôi mở rộng P7.
   8. Lưu các thay đổi của bạn.

   Cách kích hoạt Managed Detection and Response trong Bảng điều khiển web và Bảng điều khiển đám mây

   1. Trong cửa sổ chính của Bảng điều khiển web, chọn Các thiết bị → Chính sách và hồ sơ.
   2. Nhấn vào tên của chính sách Kaspersky Endpoint Security.

      Cửa sổ thuộc tính chính sách sẽ được mở ra.

   3. Chọn thẻ Thiết lập ứng dụng.
   4. Chọn Mở rộng Bảo vệ mối đe dọa → Detection and Response.
   5. Bật nút bật/tắt Managed Detection and Response.
   6. Nhấn vào Nhập và chọn tập tin BLOB được lấy trong Bảng điều khiển Managed Detection and Response của Kaspersky. Tập tin có đuôi mở rộng P7.
   7. Lưu các thay đổi của bạn.

   Cách kích hoạt Managed Detection and Response lý từ dòng lệnh

   1. Chạy trình thông dịch dòng lệnh (cmd.exe) với tư cách quản trị viên.
   2. Tới thư mục chứa gói phân phối Kaspersky Endpoint Security.
   3. Chạy dòng lệnh sau:
      • Nếu các thiết lập ứng dụng không được bảo vệ bằng mật khẩu:

        avp.com MDRLICENSE /ADD <tên tập tin>

        <tên tập tin> là tên của tập tin cấu hình BLOB để kích hoạt Managed Detection and Response (định dạng tập tin P7).

      • Nếu thiết lập ứng dụng được bảo vệ bằng mật khẩu:

        avp.com MDRLICENSE /ADD <tên tập tin> /login=<tên người dùng> /password=<mật khẩu>

   Kết quả là Kaspersky Endpoint Security sẽ xác minh tập tin BLOB. Quá trình xác minh tập tin BLOB bao gồm kiểm tra chữ ký số và thời hạn giấy phép. Nếu tập tin BLOB được xác minh thành công, Kaspersky Endpoint Security sẽ tải tập tin đó lên và gửi tập tin đến máy tính trong lần đồng bộ hóa tiếp theo với Kaspersky Security Center. Kiểm tra trạng thái hoạt động của thành phần bằng cách xem Báo cáo trạng thái thành phần ứng dụng. Bạn cũng có thể xem trạng thái hoạt động của một thành phần trong mục báo cáo trong giao diện cục bộ của Kaspersky Endpoint Security. Thành phần Managed Detection and Response sẽ được thêm vào danh sách các thành phần của Kaspersky Endpoint Security.

   Bạn phải bật các thành phần sau để Managed Detection and Response hoạt động:

   • Kaspersky Security Network (chế độ mở rộng).
   • Phát hiện hành vi.

   Bắt buộc phải bật các thành phần này. Nếu không Kaspersky Managed Detection and Response không thể hoạt động bởi vì thành phần này sẽ không nhận được dữ liệu đo lường từ xa cần thiết.

   Ngoài ra, thành phần Managed Detection and Response của Kaspersky còn sử dụng dữ liệu nhận được từ các thành phần khác của ứng dụng. Không bắt buộc phải bật các thành phần đó. Các thành phần cung cấp dữ liệu bổ sung gồm có:

   • Bảo vệ mối đe dọa web.
   • Bảo vệ mối đe dọa thư điện tử.
   • Tường lửa.

Chuyển đổi từ Kaspersky Endpoint Agent sang Kaspersky Endpoint Security cho Windows

Kaspersky Endpoint Security phiên bản 11 và mới hơn hỗ trợ giải pháp MDR. Kaspersky Endpoint Security phiên bản 11 – 11.5.0 chỉ gửi dữ liệu đo lường từ xa đến thành phần Managed Detection and Response của Kaspersky để bật tính năng phát hiện mối đe dọa. Kaspersky Endpoint Security phiên bản 11.6.0 có tất cả các chức năng của tác nhân tích hợp (Kaspersky Endpoint Agent).

Nếu bạn đang sử dụng Kaspersky Endpoint Security 11 – 11.5.0 thì bạn phải cập nhật cơ sở dữ liệu lên phiên bản mới nhất để hoạt động với giải pháp MDR. Bạn cũng phải cài đặt Kaspersky Endpoint Agent.

Nếu bạn đang sử dụng Kaspersky Endpoint Security 11.6.0 hoặc mới hơn, để hoạt động với giải pháp MDR thì bạn phải chọn thành phần Managed Detection and Response khi cài đặt ứng dụng. Trong trường hợp này, bạn không cần cài đặt Kaspersky Endpoint Agent.

Để chuyển đổi từ Kaspersky Endpoint Agent sang Kaspersky Endpoint Security cho Windows:

1. Hãy cấu hình tích hợp với Kaspersky Managed Detection and Response trong chính sách của Kaspersky Endpoint Security.
2. Tắt thành phần Managed Detection and Response trong chính sách Kaspersky Endpoint Agent.

Nếu chính sách Kaspersky Endpoint Security cũng áp dụng cho các máy tính không được cài đặt Kaspersky Endpoint Security 11 – 11.5.0 thì trước hết bạn phải tạo một chính sách Kaspersky Endpoint Agent riêng cho các máy tính đó. Trong chính sách mới, hãy cấu hình tích hợp với Kaspersky Managed Detection and Response.

Về đầu trang