Интеграция с Kaspersky Managed Detection and Response
12 декабря 2023
ID 247439
Интеграция приложения Kaspersky Endpoint Security с решением Kaspersky Managed Detection and Response (MDR) обеспечивает непрерывный поиск, обнаружение и устранение угроз, направленных на вашу организацию.
При взаимодействии с Kaspersky Managed Detection and Response приложение Kaspersky Endpoint Security может выполнять следующие функции:
- Отправка данных телеметрии в Kaspersky Managed Detection and Response для обнаружения угроз.
- Выполнение команд от Kaspersky Managed Detection and Response, направленных на обеспечение функций безопасности.
Для настройки интеграции приложения Kaspersky Endpoint Security с решением Kaspersky Managed Detection and Response требуется выполнить следующие действия:
- Убедиться, что запущены задачи Защита от файловых угроз и Анализ поведения, иначе компьютер в Kaspersky Managed Detection and Response будет иметь красный статус. Рекомендуется также запустить задачи Защита от веб-угроз и Защита от сетевых угроз, иначе компьютер в Kaspersky Managed Detection and Response будет иметь желтый статус. Подробнее о статусах см. в в онлайн-справке решения Kaspersky Managed Detection and Response.
- Включить использование Kaspersky Security Network в расширенном режиме.
Вы можете включить использование Kaspersky Security Network с помощью командной строки, в Консоли администрирования или в Kaspersky Security Center Web Console.
- Настроить Kaspersky Private Security Network для отправки телеметрии, используя конфигурационный файл Kaspersky Security Network, который находится в ZIP-архиве конфигурационного файла MDR.
Вы можете настроить Kaspersky Private Security Network только в Консоли администрирования или в Kaspersky Security Center Web Console.
- Включить интеграцию с Kaspersky Managed Detection and Response и загрузить конфигурационный файл BLOB, который находится в ZIP-архиве конфигурационного файла MDR.
Настройку интеграции приложения Kaspersky Endpoint Security с решением Kaspersky Managed Detection and Response рекомендуется выполнять в Консоли администрирования или в Kaspersky Security Center Web Console.
Вы также можете настроить интеграцию приложения Kaspersky Endpoint Security с решением Kaspersky Managed Detection and Response и загрузить конфигурационный файл BLOB из командной строки.
Чтобы включить интеграцию с Kaspersky Managed Detection and Response, выполните следующую команду:
kesl-control --set-app-settings UseMDR=Yes
Чтобы выключить интеграцию с Kaspersky Managed Detection and Response, выполните следующую команду:
kesl-control --set-app-settings UseMDR=No
Чтобы загрузить конфигурационный файл BLOB, выполните следующую команду:
kesl-control --load-mdr-blob <путь к конфигурационному файлу MDR BLOB>
Чтобы удалить конфигурационный файл BLOB, выполните следующую команду:
kesl-control --remove-mdr-blob
После включения интеграции приложения Kaspersky Endpoint Security с решением Kaspersky Managed Detection and Response в приложении создается задача Mdr_Autostart_Scan. При необходимости вы можете настроить в командной строке расписание работы этой задачи с помощью команды /opt/kaspersky/kesl/bin/kesl-control --set-schedule <ID задачи|имя задачи> --file <полный путь к файлу>, указав имя задачи Mdr_Autostart_Scan или ID, который приложение присвоило этой задаче.
При интеграции приложения Kaspersky Endpoint Security с решением Kaspersky Managed Detection and Response в журнал systemd может записываться большое количество событий. Если вы хотите отключить запись событий аудита в systemd, вам нужно отключить сокет systemd-journald-audit и перезагрузить операционную систему.
Чтобы отключить сокет systemd-journald-audit, выполните следующие команды:
systemctl stop systemd-journald-audit.socket
systemctl disable systemd-journald-audit.socket
systemctl mask systemd-journald-audit.socket
