Beheerde detectie en respons

Ondersteuning

Ondersteuning voor bedrijfsoplossingen

Kaspersky Endpoint Security 11 voor Windows

Detection and Response

Beheerde detectie en respons

20 juli 2023

ID 206310

Kaspersky Endpoint Security 11.6.0 heeft een ingebouwde agent voor de Managed Detection and Response-oplossing. De Kaspersky Managed Detection and Response (MDR)-oplossing detecteert en analyseert automatisch beveiligingsincidenten in uw bedrijf. Hiertoe gebruikt MDR telemetriegegevens van eindpunten en machine learning. MDR stuurt incidentgegevens naar Kaspersky-experts. De experts kunnen vervolgens het incident verwerken en bijvoorbeeld een nieuwe vermelding toevoegen aan de antivirusdatabases. Of de experts kunnen aanbevelingen geven voor de verwerking van het incident en bijvoorbeeld voorstellen om de computer te isoleren van het netwerk. Voor gedetailleerde informatie over de werking van de oplossing raadpleegt u de Help van Kaspersky Managed Detection and Response.

Bij interactie met Kaspersky Beheerde detectie en respons kunt u met dit programma de volgende functies uitvoeren:

Beheerde detectie en respons activeren met behulp van een BLOB-configuratiebestand.
Opdrachten van Kaspersky Beheerde detectie en respons uitvoeren.
Telemetriegegevens naar Kaspersky Beheerde detectie en respons sturen voor detectie van bedreigingen.

Integratie met Kaspersky Beheerde detectie en respons

Integratie met Kaspersky Beheerde detectie en respons bestaat uit de volgende stappen:

Privé Kaspersky Security Network configureren
Sla deze stap over als u Kaspersky Security Center Cloud Console gebruikt. Kaspersky Security Center Cloud Console configureert automatisch Lokaal Kaspersky Security Netwerk bij het installeren van de MDR plug-in.

Privé KSN ondersteunt gegevensuitwisseling tussen computers en dedicated servers van Kaspersky Security Network, maar niet Global KSN.

Upload het Kaspersky Security Network-configuratiebestand in de Administration Server-eigenschappen. Het configuratiebestand van Kaspersky Security Network bevindt zich in het Ziparchief van het MDR-configuratiebestand. U kunt het Ziparchief verkrijgen in de Kaspersky Beheerde detectie en respons-console. Voor details over het configureren van Privé Kaspersky Security Network, zie Kaspersky Security Center Help. U kunt ook een Kaspersky Security Network-configuratiebestand uploaden naar de computer vanaf de opdrachtregel (zie onderstaande instructies).

Het privé Kaspersky Security Network configureren vanaf de opdrachtregel
1. Voer de interpreter van de opdrachtregel (cmd.exe) uit als een beheerder.
2. Ga naar de map waar het distributiepakket van Kaspersky Endpoint Security is opgeslagen.
3. Voer de volgende opdracht uit:
  avp.com KSN /private <bestandsnaam>
  
  Waarbij <bestandsnaam> is de naam van het configuratiebestand met de Privaat KSN-instellingen (PKCS7- of PEM-bestandsindeling).
  
  Voorbeeld:
  
  avp.com KSN /private C:\kpsn_config.pkcs7
Als gevolg hiervan zal Kaspersky Endpoint Security Privaat KSN gebruiken om de reputatie van bestanden, programma's en websites te bepalen. De beleidsinstellingen in het gedeelte Kaspersky Security Network geven de volgende bedrijfsstatus weer: KSN-netwerk: Privé-KSN.

U moet de uitgebreide KSN-modus inschakelen zodat Managed Detection and Response kan werken.
Beheerde detectie en respons activeren
Laad het BLOB-configuratiebestand in het Kaspersky Endpoint Security-beleid (zie onderstaande instructies). Het BLOB-bestand bevat de client-ID en informatie over de licentie voor Kaspersky Beheerde detectie en respons. Het BLOB-bestand bevindt zich in het ZIP-archief van het MDR-configuratiebestand. U kunt het Ziparchief verkrijgen in de Kaspersky Beheerde detectie en respons-console. Raadpleeg de Help van Kaspersky Managed Detection and Response voor gedetailleerde informatie over een BLOB-bestand.

Beheerde detectie en respons activeren in de beheerconsole (MMC)
1. Open de Beheerconsole van Kaspersky Security Center.
2. Open in de map Managed devices in de structuur van de Beheerconsole de map met de naam van de beheergroep waartoe de relevante clientcomputers behoren.
3. Selecteer in de werkruimte het tabblad Policies.
4. Selecteer het noodzakelijke beleid en dubbelklik om de beleidseigenschappen te openen.
5. Selecteer Detection and Response → Managed Detection and Response in het beleidsvenster.
6. Schakel het selectievakje Beheerde detectie en respons in.
7. Klik in het blok Instellingen op Importeren en selecteer het BLOB-bestand ontvangen in de Kaspersky Beheerde detectie en respons-console. Het bestand heeft de extensie P7.
8. Sla uw wijzigingen op.
Beheerde detectie en respons activeren in de Webconsole en cloudconsole
1. Selecteer Devices → Policies & profiles in het hoofdvenster van Webconsole.
2. Klik op de naam van het Kaspersky Endpoint Security-beleid.
  U ziet nu het venster met de beleidseigenschappen.
3. Selecteer het tabblad Application settings.
4. Selecteer Detection and Response → Managed Detection and Response.
5. Zet de schakelaar Beheerde detectie en respons in aan.
6. Klik op Importeren en selecteer het BLOB-bestand dat is verkregen in de Kaspersky Beheerde detectie en respons-console. Het bestand heeft de extensie P7.
7. Sla uw wijzigingen op.
Beheerde detectie en respons activeren via de opdrachtregel
1. Voer de interpreter van de opdrachtregel (cmd.exe) uit als een beheerder.
2. Ga naar de map waar het distributiepakket van Kaspersky Endpoint Security is opgeslagen.
3. Voer de volgende opdracht uit:
  - Als de programma-instellingen niet beveiligd zijn met een wachtwoord:
    avp.com MDRLICENSE / ADD<file name>
    
    <bestandsnaam> is de naam van het BLOB-configuratiebestand voor het activeren van Beheerde detectie en respons (P7-bestandsindeling).
  - Als de programma-instellingen met een wachtwoord zijn beveiligd:
    avp.com MDRLICENSE /ADD <file name> /login=<user name> /password=<password>
Kaspersky Endpoint Security controleert nu het BLOB-bestand. Verificatie van het BLOB-bestand omvat het controleren van de digitale handtekening en de geldigheidsduur van de licentie. Als het BLOB-bestand met succes is geverifieerd, zal Kaspersky Endpoint Security het bestand uploaden en naar de computer sturen tijdens de volgende synchronisatie met Kaspersky Security Center. Controleer de werkingsstatus van het onderdeel door het statusrapport van de programmaonderdelen te bekijken. U kunt de werkingsstatus van een onderdeel ook in rapporten bekijken in de lokale interface van Kaspersky Endpoint Security. Het onderdeel Beheerde detectie en respons wordt toegevoegd aan de lijst met Kaspersky Endpoint Security-onderdelen.
Ondersteuning van beheerde detectie en respons
U moet de volgende componenten inschakelen zodat Beheerde detectie en respons kan werken.
- Kaspersky Security Network (uitgebreide modus).
- Gedragsdetectie.
Het inschakelen van deze componenten is niet optioneel. Anders kan Kaspersky Beheerde detectie en respons niet werken omdat het geen vereiste telemetriegegevens ontvangt.

Daarnaast kan Kaspersky Beheerde detectie en respons de ontvangen gegevens gebruiken van andere programmacomponenten. Het inschakelen van deze componenten is optioneel. Componenten die extra gegevens leveren omvatten:
U moet ook een nieuwe beveiligde verbinding (een achtergrondverbinding) tot stand brengen opdat Kaspersky Managed Detection and Response kan werken met Administration Server via de Webconsole van Kaspersky Security Center. U wordt door Kaspersky Managed Detection and Response gevraagd om een achtergrondverbinding te maken wanneer u de oplossing implementeert. Zorg ervoor dat de achtergrondverbinding tot stand is gebracht. Voor informatie over de integratie van Kaspersky Security Center met andere Kaspersky-oplossingen raadpleegt u de Help van Kaspersky Security Center.

Migratie van Kaspersky Endpoint Agent naar Kaspersky Endpoint Security for Windows

Kaspersky Endpoint Security versie 11 en hoger ondersteunt de MDR-oplossing. Kaspersky Endpoint Security versies 11 – 11.5.0 verzendt alleen telemetriegegevens naar Kaspersky Beheerde detectie en respons om detectie van dreigingen mogelijk te maken. Kaspersky Endpoint Security versie 11.6.0 heeft alle functies van de ingebouwde agent (Kaspersky Endpoint Agent).

Als u Kaspersky Endpoint Security 11 - 11.5.0 gebruikt, moet u de databases updaten naar de nieuwste versie om te werken met de MDR-oplossing. U moet ook Kaspersky Endpoint Agent installeren.

Als u Kaspersky Endpoint Security 11.6.0 of hoger gebruikt om met de MDR-oplossing te werken, moet u het onderdeel Beheerde detectie en respons selecteren wanneer u het programma installeert. In dit geval hoeft u Kaspersky Endpoint Agent niet te installeren.

Kaspersky Endpoint Agent migreren naar Kaspersky Endpoint Security voor Windows:

Configureer integratie met Kaspersky Managed Detection and Response in het Kaspersky Endpoint Security-beleid.
Schakel de component Beheerde detectie en respons in het Kaspersky Endpoint Agent-beleid uit.

Als het Kaspersky Endpoint Security-beleid ook van toepassing is op computers waarop Kaspersky Endpoint Security 11 - 11.5.0 niet is geïnstalleerd, moet u eerst een afzonderlijk Kaspersky Endpoint Agent-beleid voor die computers maken. Configureer in het nieuwe beleid de integratie met Kaspersky Beheerde detectie en respons.

Vond je dit artikel nuttig?

Wat kunnen we beter doen?

Bedankt voor je feedback! Je helpt ons verbeteren.