Managed Detection and Response

Támogatás

Üzleti megoldások támogatása

Kaspersky Endpoint Security 11 for Windows

Detection and Response

Managed Detection and Response

2023. július 20.

ID 206310

A Kaspersky Endpoint Security 11.6.0 bevezeti a Managed Detection and Response megoldáshoz készült beépített ügynököt. A Kaspersky Managed Detection and Response (MDR) megoldás automatikusan észleli és elemzi az infrastruktúrában bekövetkező biztonsági incidenseket. Ehhez az MDR a végpontoktól és a gépi tanulásból kapott telemetriai adatokat használja. Az MDR incidensadatokat küld a Kaspersky szakértőinek. A szakértők ezután feldolgozhatják az incidenst, és például új bejegyzést adhatnak hozzá a vírusadatbázisokhoz. Alternatív megoldásként a szakértők javaslatokat tehetnek az incidens feldolgozására, és például javasolhatják a számítógép leválasztását a hálózatról. A megoldás működéséről részletes információt a Kaspersky Managed Detection and Response súgójában talál.

A Kaspersky Managed Detection and Response szolgáltatással való kommunikáció során az alkalmazás a következő funkciók végrehajtását teszi lehetővé:

A Managed Detection and Response aktiválása egy BLOB konfigurációs fájl segítségével.
Parancsok végrehajtása a Kaspersky Managed Detection and Response szolgáltatásból.
Telemetriai adatok küldése a Kaspersky Managed Detection and Response szolgáltatásba fenyegetésészlelés céljából.

Integráció a Kaspersky Managed Detection and Response szolgáltatással

A Kaspersky Managed Detection and Response integrálása a következő lépéseket foglalja magában:

A Privát Kaspersky Security Network konfigurálása
Hagyja ki ezt a lépést, ha a Kaspersky Security Center Cloud Console-t használja. A Kaspersky Security Center Cloud Console automatikusan konfigurálja a helyi Kaspersky Security Network szolgáltatást az MDR bővítmény telepítésekor.

A Privát KSN támogatja a számítógépek és a Kaspersky Security Network dedikált kiszolgálói közötti adatcserét, de a globális KSN nem.

Töltse fel a Kaspersky Security Network konfigurációs fájlját az adminisztrációs kiszolgálói tulajdonságokban. A Kaspersky Security Network konfigurációs fájlja az MDR konfigurációs fájljának ZIP-archívumában található. A ZIP-archívumot a Kaspersky Managed Detection and Response konzoljában szerezheti be. A Privát Kaspersky Security Network konfigurálásával kapcsolatos részletekért lásd a Kaspersky Security Center súgót. A Kaspersky Security Network konfigurációs fájlját a parancssorból is feltöltheti a számítógépre (lásd az alábbi utasításokat).

A Privát Kaspersky Security Network konfigurálása a parancssorból
1. Futtassa az értelmező parancssort (cmd.exe) rendszergazdaként.
2. Lépjen abba a mappába, ahol a Kaspersky Endpoint Security terjesztőcsomagja telepítve van.
3. Futtassa a következő parancsot:
  avp.com KSN /private <file name>
  
  ahol a <file name> a Privát KSN beállításait tartalmazó konfigurációs fájl neve (PKCS7 vagy PEM fájlformátum).
  
  Példa:
  
  avp.com KSN /private C:\kpsn_config.pkcs7
Ennek eredményeként a Kaspersky Endpoint Security a Private KSN-t használja a fájlok, az alkalmazások és a webhelyek megbízhatóságának meghatározására. A Kaspersky Security Network részen a szabályzat beállításai a következő működési állapotot mutatják: KSN hálózat: Privát KSN.

Engedélyeznie kell a kiterjesztett KSN módot a Managed Detection and Response használatához.
Aktiválja a Managed Detection and Response szolgáltatást
Töltse be a BLOB konfigurációs fájlt a Kaspersky Endpoint Security házirendjébe (lásd az alábbi utasításokat). A BLOB fájl tartalmazza az ügyfélazonosítót és a Kaspersky Managed Detection and Response licencére vonatkozó információkat. A BLOB fájl az MDR konfigurációs fájl ZIP-archívumában található. A ZIP-archívumot a Kaspersky Managed Detection and Response konzoljában szerezheti be. A BLOB fájlról részletes információt a Kaspersky Managed Detection and Response súgójában talál.

A Managed Detection and Response aktiválásának menete az Adminisztrációs Konzolon (MMC)
1. Nyissa meg a Kaspersky Security Center Adminisztrációs Konzolt.
2. Nyissa meg az Adminisztrációs Konzol Managed devices mappájában annak az adminisztrációs csoportnak a nevét viselő mappát, amelyhez az adott ügyfélszámítógépek tartoznak.
3. A munkaterületen válassza ki a Policies lapot.
4. Válassza ki a szükséges rendszabályt, és kattintson duplán a házirend tulajdonságainak megnyitásához.
5. A házirend ablakban válassza ki a Detection and Response → Managed Detection and Response lehetőséget.
6. Jelölje be a Managed Detection and Response jelölőnégyzetet.
7. A Beállítások területen kattintson az Importálás elemre, és válassza ki a Kaspersky Managed Detection and Response konzoljában kapott BLOB fájlt. A fájl P7 kiterjesztéssel rendelkezik.
8. Mentse el a módosításokat.
A Managed Detection and Response aktiválásának menete a Web Console-ban és a Cloud Console-ban
1. A Web Console fő ablakában válassza ki az Devices → Policies & profiles lehetőséget.
2. Kattintson a Kaspersky Endpoint Security házirend nevére.
  Megnyílik a rendszabályok tulajdonságai ablak.
3. Válassza ki az Application settings fület.
4. Válassza ki a Detection and Response → Managed Detection and Response lehetőséget.
5. Kapcsolja be a Managed Detection and Response kapcsolót.
6. Kattintson az Import elemre, és válassza ki a Kaspersky Managed Detection and Response konzoljában kapott BLOB fájlt. A fájl P7 kiterjesztéssel rendelkezik.
7. Mentse el a módosításokat.
A Managed Detection and Response aktiválásának menete a parancssorból
1. Futtassa az értelmező parancssort (cmd.exe) rendszergazdaként.
2. Lépjen abba a mappába, ahol a Kaspersky Endpoint Security terjesztőcsomagja telepítve van.
3. Futtassa a következő parancsot:
  - Ha az alkalmazás beállításai nem rendelkeznek jelszóvédelemmel:
    avp.com MDRLICENSE /ADD <file name>
    
    A <file name> a BLOB konfigurációs fájl neve a Managed Detection and Response aktiválásához (P7 fájlformátum).
  - Ha az alkalmazás beállításai rendelkeznek jelszóvédelemmel:
    avp.com MDRLICENSE /ADD <file name> /login=<user name> /password=<password>
Ennek eredményeként a Kaspersky Endpoint Security ellenőrizni fogja a BLOB fájlt. A BLOB fájl ellenőrzése magában foglalja a digitális aláírás és a licenc időtartamának ellenőrzését. Ha a BLOB fájl ellenőrzése sikerült, a Kaspersky Endpoint Security feltölti a fájlt, és elküldi azt a számítógépre a Kaspersky Security Centerrel való következő szinkronizálás során. Ellenőrizheti az összetevő működési állapotát az alkalmazás-összetevői állapotjelentés megtekintésével. Az összetevők működési állapotát a Kaspersky Endpoint Security helyi felületén található jelentésekben is megtekintheti. A Managed Detection and Response összetevő hozzá lesz adva a Kaspersky Endpoint Security összetevők listájához.
A Managed Detection and Response támogatása
Engedélyeznie kell a következő összetevőket a Managed Detection and Response használatához:
- Kaspersky Security Network (kiterjesztett mód).
- Viselkedéselemzés.
Ezen összetevők engedélyezése nem opcionális. Ellenkező esetben a Kaspersky Managed Detection and Response nem tud működni, mert nem kapja meg a szükséges telemetriai adatokat.

Ezenkívül a Kaspersky Managed Detection and Response a más alkalmazásösszetevőktől kapott adatokat használja. Ezen összetevők engedélyezése opcionális. A további adatokat szolgáltató összetevők a következők:
Ahhoz, hogy a Kaspersky Managed Detection and Response működni tudjon a Felügyeleti kiszolgálóval a Kaspersky Security Center Web Console-on keresztül, létre kell hoznia egy új, biztonságos kapcsolatot, egy háttérkapcsolatot. A Kaspersky Managed Detection and Response a megoldás telepítésekor rákérdez a háttérkapcsolat létrehozására. Győződjön meg arról, hogy létrejött a háttérkapcsolat. A Kaspersky Security Center és más Kaspersky-megoldások integrálásával kapcsolatos részletekért tekintse meg a Kaspersky Security Center súgót.

Áttérés a Kaspersky Endpoint Agentről a Kaspersky Endpoint Security for Windows termékre

A Kaspersky Endpoint Security 11-es és újabb verziói támogatják az MDR megoldást. A Kaspersky Endpoint Security 11–11.5.0 verziója csak telemetriai adatokat küld a Kaspersky Managed Detection and Response számára, hogy lehetővé tegye a fenyegetések észlelését. A Kaspersky Endpoint Security 11.6.0 verziója a beépített ügynök (Kaspersky Endpoint Agent) minden funkciójával rendelkezik.

Ha a Kaspersky Endpoint Security 11–11.5.0 verziót használja, akkor az MDR megoldás használatához frissítenie kell az adatbázisokat a legújabb verzióra. Telepítenie kell a Kaspersky Endpoint Agent szolgáltatást is.

Ha a Kaspersky Endpoint Security 11.6.0 vagy újabb verzióját használja, az MDR megoldással való használathoz az alkalmazás telepítésekor ki kell választania a Managed Detection and Response összetevőt. Ebben az esetben nem kell telepítenie a Kaspersky Endpoint Agent szolgáltatást.

Áttérés a Kaspersky Endpoint Agentről a Kaspersky Endpoint Security for Windows termékre:

A Kaspersky Managed Detection and Response szolgáltatással való integrációt a Kaspersky Endpoint Security házirendjében konfigurálhatja.
A Managed Detection and Response összetevőt a Kaspersky Endpoint Agent házirendjében tilthatja le.

Ha a Kaspersky Endpoint Security házirendje olyan számítógépekre is vonatkozik, amelyeken nincs telepítve a Kaspersky Endpoint Security 11–11.5.0, akkor először létre kell hoznia egy külön Kaspersky Endpoint Agent-házirendet ezekhez a számítógépekhez. Az új házirendben konfigurálhatja az integrációt a Kaspersky Managed Detection and Response szolgáltatással.

Hasznosnak találta ezt a cikket?

Min tudnánk javítani?

Köszönjük a visszajelzést! Segít nekünk a fejlesztésben.