Managed Detection and Response

Apoio

Suporte técnico para soluções empresariais

Kaspersky Endpoint Security 11 for Windows

Detection and Response

Managed Detection and Response

20 de julho de 2023

ID 206310

O Kaspersky Endpoint Security 11.6.0 implementa o agente integrado para a solução Managed Detection and Response. A solução Kaspersky Managed Detection and Response (MDR) deteta e analisa automaticamente os incidentes de segurança na sua infraestrutura. Para tal, o MDR utiliza dados de telemetria recebidos de terminais e aprendizagem automática. O MDR envia os dados de incidentes aos especialistas da Kaspersky. Os especialistas podem então processar o incidente e, por exemplo, adicionar uma nova entrada às bases de dados de antivírus. Em alternativa, os especialistas podem emitir recomendações sobre o processamento do incidente e, por exemplo, sugerir que o computador seja isolado da rede. Para obter mais informações sobre a utilização da solução, consulte a Ajuda do Kaspersky Managed Detection and Response.

Ao interagir com o Kaspersky Managed Detection and Response, a aplicação permite-lhe executar as seguintes funções:

Ativar o Managed Detection and Response através de um ficheiro de configuração BLOB.
Executar comandos do Kaspersky Managed Detection and Response.
Enviar dados de telemetria para o Kaspersky Managed Detection and Response para a deteção de ameaças.

Integração com o Kaspersky Managed Detection and Response

A integração com o Kaspersky Managed Detection and Response consiste nos seguintes passos:

Configurar a Kaspersky Security Network privada
Ignore este passo se estiver a utilizar o Kaspersky Security Center Cloud Console. O Kaspersky Security Center Cloud Console configura automaticamente o Kaspersky Security Network Local ao instalar o plug-in MDR.

A KSN privada suporta a troca de dados entre os computadores e servidores dedicados da Kaspersky Security Network, mas não da KSN Global.

Carregue o ficheiro de configuração do Kaspersky Security Network nas propriedades do Servidor de administração. O ficheiro de configuração do Kaspersky Security Network está localizado no arquivo ZIP do ficheiro de configuração do MDR. Pode obter o arquivo ZIP na Consola do Kaspersky Managed Detection and Response. Para mais informações sobre a configuração da Kaspersky Security Network Privada, consulte a Ajuda do Kaspersky Security Center. Pode também carregar um ficheiro de configuração do Kaspersky Security Network para o computador a partir da command line (consulte as instruções abaixo).

Como configurar o Kaspersky Security Network Privada a partir da command line
1. Execute o interpretador de linha de comando (cmd.exe) como administrador.
2. Vá para a pasta onde o pacote de distribuição do Kaspersky Endpoint Security está localizado.
3. Execute o seguinte comando:
  avp.com KSN /private <nome do ficheiro>
  
  quando <nome do ficheiro> é o nome do ficheiro de configuração que contém as definições da KSN Privada (formato de ficheiro PKCS7 ou PEM).
  
  Exemplo:
  
  avp.com KSN /private C:\kpsn_config.pkcs7
Deste modo, o Kaspersky Endpoint Security utilizará o KSN Privado para determinar a reputação dos ficheiros, das aplicações e dos sites. As definições de políticas na secção Kaspersky Security Network serão apresentadas no estado de funcionamento: Rede da KSN: KSN Privado.

Deve ativar o modo KSN alargado para que a Managed Detection and Response funcione.
Ative o Managed Detection and Response
Carregue o ficheiro de configuração BLOB na política do Kaspersky Endpoint Security (consulte as instruções abaixo). O ficheiro BLOB contém a ID do cliente e informações sobre a licença do Kaspersky Managed Detection and Response. O ficheiro BLOB está localizado dentro do arquivo ZIP do ficheiro de configuração do MDR. Pode obter o arquivo ZIP na Consola do Kaspersky Managed Detection and Response. Para obter mais informações sobre ficheiros BLOB, consulte a Ajuda do Kaspersky Managed Detection and Response.

Como ativar o Managed Detection and Response na Consola de Administração (MMC)
1. Abra a Consola de Administração do Kaspersky Security Center.
2. Na pasta Managed devices da árvore na Consola de Administração, abra a pasta com o nome do grupo de administração ao qual os computadores cliente em questão pertencem.
3. Na área de trabalho, selecione o separador Policies.
4. Selecione a política necessária e clique duas vezes para abrir as propriedades da política.
5. Na janela da política, selecione Detection and Response → Managed Detection and Response.
6. Selecione a caixa de verificação Managed Detection and Response.
7. No bloco Definições, clique em Importar e selecione o ficheiro BLOB recebido na Consola do Kaspersky Managed Detection and Response. O ficheiro possui a extensão P7.
8. Guarde as suas alterações.
Como ativar o Managed Detection and Response na Consola Web e na Consola de Nuvem
1. Na janela principal da Consola Web, selecione Devices → Policies & profiles.
2. Clique no nome da política do Kaspersky Endpoint Security.
  É apresentada a janela de propriedades da política.
3. Selecione o separador Application settings.
4. Selecione Detection and Response → Managed Detection and Response.
5. Ative o botão de alternar Managed Detection and Response.
6. Clique em Importar e selecione o ficheiro BLOB que foi obtido na Consola do Kaspersky Managed Detection and Response. O ficheiro possui a extensão P7.
7. Guarde as suas alterações.
Como ativar o Managed Detection and Response a partir da command line
1. Execute o interpretador de linha de comando (cmd.exe) como administrador.
2. Vá para a pasta onde o pacote de distribuição do Kaspersky Endpoint Security está localizado.
3. Execute o seguinte comando:
  - Se as definições da aplicação não estiverem protegidas por palavra-passe:
    avp.com MDRLICENSE /ADD <nome do ficheiro>
    
    <nome do ficheiro> é o nome do ficheiro de configuração BLOB para ativar o Managed Detection and Response (formato de ficheiro P7).
  - Se as definições da aplicação estiverem protegidas por palavra-passe:
    avp.com MDRLICENSE /ADD <nome do ficheiro> /login=<nome de utilizador> /password=<palavra-passe>
Deste modo, o Kaspersky Endpoint Security verificará o ficheiro BLOB. A verificação do ficheiro BLOB inclui a verificação da assinatura digital e da validade da licença. Se o ficheiro BLOB for verificado com êxito, o Kaspersky Endpoint Security carregará o ficheiro e enviá-lo-á para o computador durante a próxima sincronização com o Kaspersky Security Center. Verifique o estado de funcionamento do componente, ao consultar o Relatório de estado dos componentes da aplicação. Pode também ver o estado de funcionamento de um componente em relatórios na interface local do Kaspersky Endpoint Security. O componente Managed Detection and Response será adicionado à lista de componentes do Kaspersky Endpoint Security.
Suporta ao Managed Detection and Response
Deve ativar os componentes seguintes para que a Managed Detection and Response funcione:
- Kaspersky Security Network (modo ampliado).
- Deteção de comportamento.
Ativar estes componentes não é opcional. Caso contrário, o Kaspersky Managed Detection and Response não pode funcionar, porque não recebe os dados de telemetria necessários.

Além disso, o Kaspersky Managed Detection and Response utiliza dados recebidos de outros componentes da aplicação. Ativar este componentes é opcional. Os componentes que fornecem dados adicionais incluem:
Para o Kaspersky Managed Detection and Response funcionar com o Administration Server através do Consola Web do Kaspersky Security Center, deve igualmente estabelecer uma nova ligação segura, uma ligação de fundo. O Kaspersky Managed Detection and Response solicita que estabeleça uma ligação de fundo ao implementar a solução. Certifique-se de que a ligação de fundo é estabelecida. Para informações sobre a integração do Kaspersky Security Center com outras soluções da Kaspersky, consulte a Ajuda do Kaspersky Security Center.

Migração do Kaspersky Endpoint Agent para o Kaspersky Endpoint Security for Windows

O Kaspersky Endpoint Security versão 11 e posteriores suporta a solução MDR. O Kaspersky Endpoint Security versões 11–11.5.0 envia dados de telemetria para o Kaspersky Managed Detection and Response apenas para ativar a deteção de ameaças. O Kaspersky Endpoint Security versão 11.6.0 tem todas as funcionalidades do agente integrado (Kaspersky Endpoint Agent).

Se estiver a utilizar o Kaspersky Endpoint Security versões 11–11.5.0, tem de atualizar as bases de dados para a versão mais recente, para funcionar com a solução MDR. Também tem de instalar o Kaspersky Endpoint Agent.

Se estiver a utilizar o Kaspersky Endpoint Security versão 11.6.0 ou posterior, para funcionar com a solução MDR, tem de selecionar o componente Managed Detection and Response ao instalar a aplicação. Neste caso, não tem de instalar o Kaspersky Endpoint Agent.

Para migrar o Kaspersky Endpoint Agent para o Kaspersky Endpoint Security for Windows:

Configure a integração com o Kaspersky Managed Detection and Response na política do Kaspersky Endpoint Security.
Desative o componente Managed Detection and Response na política do Kaspersky Endpoint Agent.

Se a política do Kaspersky Endpoint Security também se aplicar aos computadores que não têm o Kaspersky Endpoint Security versões 11–11.5.0 instalado, primeiro tem de criar uma política separada do Kaspersky Endpoint Agent para esses computadores. Na nova política, configure a integração com o Kaspersky Managed Detection and Response.

Achou este artigo útil?

O que podemos melhorar?

Agradecemos o seu comentário! Está a ajudar-nos a melhorar.