Managed Detection and Response

Managed Detection and Response 元件已新增到 Kaspersky Endpoint Security 版本11.6.0中。該元件有助於與稱為 Kaspersky Managed Detection and Response 的解決方案進行交互。Kaspersky Managed Detection and Response（MDR）持續搜尋、偵測並消除針對您組織的威脅。如欲瞭解該解決方案如何工作的詳細資訊，請參閱 Kaspersky Managed Detection and Response 說明指南。

與 Kaspersky Managed Detection and Response 進行交互時，該應用程式可讓您執行以下功能：

• 使用 BLOB 設定檔啟動 Managed Detection and Response。
• 從 Kaspersky Managed Detection and Response 中執行命令。
• 將遙測資料發送到 Kaspersky Managed Detection and Response 以進行威脅偵測。

與 Kaspersky Managed Detection and Response 集成

與 Kaspersky Managed Detection and Response 集成包括以下步驟：

1. 配置私有卡巴斯基安全網路

   如果您使用的是卡巴斯基安全管理中心雲端主控台，略過這一步。卡巴斯基安全管理中心雲端主控台會在安裝 MDR 外挂程式時自動配置本機卡巴斯基安全網路。

   私有 KSN 支援電腦和卡巴斯基安全網路專用伺服器（但不是 Global KSN）之間的資料交換。

   在管理伺服器屬性中上傳卡巴斯基安全網路設定檔。卡巴斯基安全網路設定檔位於 MDR 設定檔的 ZIP 存檔中。您可以在 Kaspersky Managed Detection and Response 主控台中獲取 ZIP 存檔。有關配置私有 KSN 的詳細資訊，請參閱卡巴斯基安全管理中心說明手冊。您也可以從命令行將卡巴斯基安全網路設定檔上傳到電腦（請參閱以下說明）。

   如何從命令行配置私有 KSN

   1. 以管理員身分執行命令列解譯器 (cmd.exe)。
   2. 轉到 Kaspersky Endpoint Security 分發套件所在資料夾。
   3. 執行以下指令：

      avp.com KSN /私有 <檔案名稱>

      <檔案名稱>是包含私有 KSN 設定（PKCS7 或 PEM 檔案格式）的設定檔的名稱。

      範例: avp.com KSN /private C:\kpsn_config.pkcs7

   結果，Kaspersky Endpoint Security 將使用私有 KSN 來確定檔案、應用程式和網站的信譽。“卡巴斯基安全網路”區域中的策略設定將顯示以下操作狀態： KSN 網路：私有 KSN。

   您必須啟用延伸 KSN 模式才能使 Managed Detection and Response 正常工作。

2. 啟動 Managed Detection and Response。

   在 Kaspersky Endpoint Security 政策中加載 BLOB 設定檔（請參閱以下說明）。BLOB 檔案包含用戶端 ID 以及有關卡巴斯基 Managed Detection and Response 產品許可的資訊。BLOB 檔案位於 MDR 設定檔的 ZIP 存檔中。您可以在 Kaspersky Managed Detection and Response 主控台中獲取 ZIP 存檔。有關 BLOB 檔案的詳細資訊，請參閱 Kaspersky Managed Detection and Response 說明指南。

   如何在管理主控台 (MMC) 中啟動 Managed Detection and Response

   1. 開啟卡巴斯基安全管理中心管理主控台。
   2. 在管理主控台樹狀目錄的“受管理裝置”資料夾中，開啟相關用戶端電腦所屬的管理群組名稱的資料夾。
   3. 在工作區選擇“政策”標籤。
   4. 選擇必要的政策並點擊以開啟政策內容。
   5. 在政策視窗中，選擇“擴展威脅防護 → Detection and Response。
   6. 選擇“ Managed Detection and Response“核取方塊。
   7. 在“設定“塊中，點擊“匯入”，然後選擇在 Kaspersky Managed Detection and Response Console 中接收到的 BLOB 檔案。該檔案具有 P7 副檔名。
   8. 存儲變更。

   如何在網頁主控台和雲端主控台中啟動 Managed Detection and Response

   1. 在網頁主控台的主視窗中，選取“裝置”→“政策和設定檔”。
   2. 點擊 Kaspersky Endpoint Security 政策的名稱。

      政策內容視窗將開啟。

   3. 選取“應用程式設定”標籤。
   4. 選擇“擴展威脅防護“ →“Detection and Response“。
   5. 開啟“Managed Detection and Response“切換。
   6. 點擊“匯入”，然後選擇在 Kaspersky Managed Detection and Response 主控台中獲取的 BLOB 檔案。該檔案具有 P7 副檔名。
   7. 存儲變更。

   如何從命令行啟動 Managed Detection and Response

   1. 以管理員身分執行命令列解譯器 (cmd.exe)。
   2. 轉到 Kaspersky Endpoint Security 分發套件所在資料夾。
   3. 執行以下指令：
      • 如果應用程式設定沒有密碼防護：

        avp.com MDRLICENSE / ADD<檔案名稱>

        <檔案名稱>是用於啟動 Managed Detection and Response 的 BLOB 設定檔的名稱（P7 檔案格式）。

      • 如果應用程式設定受密碼防護：

        avp.com MDRLICENSE /ADD <檔案名稱> /login=<使用者名稱> /password=<密碼>

   結果，Kaspersky Endpoint Security 將驗證 BLOB 檔案。BLOB 檔案驗證包括檢查數位簽章和產品授權期限。如果 BLOB 檔案驗證成功，在與卡巴斯基安全管理中心進行下一次同步時，Kaspersky Endpoint Security 將上傳該檔案並將其發送到電腦。透過檢視“應用程式元件狀態報告“來檢查元件的運行狀態。您還可以在 Kaspersky Endpoint Security 的本地介面中的報告中檢視元件的運行狀態。“Managed Detection and Response”元件將新增到 Kaspersky Endpoint Security 元件清單中。

   您必須啟用延伸以下元件才能使 Managed Detection and Response 正常工作：

   • 卡巴斯基安全網路（延伸模式）。
   • 行為偵測。

   必須啟用這些元件。否則，因為沒有收到所需的遙測資料，Kaspersky Managed Detection and Response 將無法工作。

   此外，Kaspersky Managed Detection and Response 使用從其他應用程式元件收到的資料。可選擇啟用這些元件。提供其他資料的元件包括：

   • Web 威脅防護。
   • 郵件威脅防護。
   • 防火牆。

從 Kaspersky Endpoint Agent 遷移到 Kaspersky Endpoint Security for Windows

Kaspersky Endpoint Security 版本11和更高版本支援 MDR 解決方案。Kaspersky Endpoint Security 版本 11 – 11.5.0 僅傳送遙測資料到 Kaspersky Managed Detection and Response 以啟用威脅偵測。Kaspersky Endpoint Security 版本 11.6.0 有內建代理 (Kaspersky Endpoint Agent) 的所有功能。

如果您使用的是 Kaspersky Endpoint Security 11 – 11.5.0，則必須將資料庫更新到最新版本才能使用 MDR 解決方案。您還必須安裝 Kaspersky Endpoint Agent。

如果您使用的是 Kaspersky Endpoint Security 11.6.0 或更新版本，若要使用 MDR 解決方案，您必須在安裝應用程式時選擇 Managed Detection and Response 元件。在此情況下，您不需要安裝 Kaspersky Endpoint Agent。

若要從 Kaspersky Endpoint Agent 遷移到 Kaspersky Endpoint Security for Windows：

1. 在 Kaspersky Endpoint Security 政策中設定與 Kaspersky Managed Detection and Response 的集成。
2. 在 Kaspersky Endpoint Agent 政策中停用 Managed Detection and Response 元件。

如果 Kaspersky Endpoint Security 政策也套用到沒有安裝 Kaspersky Endpoint Security 11 – 11.5.0 的電腦，則您必須為這些電腦單獨建立 Kaspersky Endpoint Agent 政策。在新政策中，設定與 Kaspersky Managed Detection and Response 的集成。