Интеграция с Kaspersky Managed Detection and Response
15 апреля 2024
ID 247439
Интеграция приложения Kaspersky Endpoint Security с решением Kaspersky Managed Detection and Response (MDR) обеспечивает непрерывный поиск, обнаружение и устранение угроз, направленных на вашу организацию.
При взаимодействии с Kaspersky Managed Detection and Response приложение Kaspersky Endpoint Security может выполнять следующие функции:
- Отправка данных телеметрии в Kaspersky Managed Detection and Response для обнаружения угроз.
- Выполнение команд от Kaspersky Managed Detection and Response, направленных на обеспечение функций безопасности.
Для настройки интеграции приложения Kaspersky Endpoint Security с решением Kaspersky Managed Detection and Response требуется выполнить следующие действия:
- Убедиться, что запущены задачи Защита от файловых угроз и Анализ поведения, иначе устройство в Kaspersky Managed Detection and Response будет иметь красный статус. Рекомендуется также запустить задачи Защита от веб-угроз и Защита от сетевых угроз, иначе устройство в Kaspersky Managed Detection and Response будет иметь желтый статус. Подробнее о статусах см. в онлайн-справке решения Kaspersky Managed Detection and Response.
- Включить использование Kaspersky Security Network в расширенном режиме.
Вы можете включить использование Kaspersky Security Network с помощью командной строки, в Консоли администрирования или в Kaspersky Security Center Web Console.
- Настроить Kaspersky Private Security Network для отправки телеметрии, используя конфигурационный файл Kaspersky Security Network, который находится в ZIP-архиве конфигурационного файла MDR.
Вы можете настроить Kaspersky Private Security Network только в Консоли администрирования или в Kaspersky Security Center Web Console.
- Включить интеграцию с Kaspersky Managed Detection and Response и загрузить конфигурационный файл BLOB, который находится в ZIP-архиве конфигурационного файла MDR.
Настройку интеграции приложения Kaspersky Endpoint Security с решением Kaspersky Managed Detection and Response рекомендуется выполнять в Консоли администрирования или в Kaspersky Security Center Web Console.
Вы также можете настроить интеграцию приложения Kaspersky Endpoint Security с решением Kaspersky Managed Detection and Response и загрузить конфигурационный файл BLOB из командной строки.
Чтобы включить интеграцию с Kaspersky Managed Detection and Response, выполните следующую команду:
kesl-control --set-app-settings UseMDR=Yes
Чтобы выключить интеграцию с Kaspersky Managed Detection and Response, выполните следующую команду:
kesl-control --set-app-settings UseMDR=No
Чтобы загрузить конфигурационный файл BLOB, выполните следующую команду:
kesl-control --load-mdr-blob <
путь к конфигурационному файлу
MDR BLOB>
Чтобы удалить конфигурационный файл BLOB, выполните следующую команду:
kesl-control --remove-mdr-blob
После включения интеграции приложения Kaspersky Endpoint Security с решением Kaspersky Managed Detection and Response в приложении создается задача Mdr_Autostart_Scan с режимом запуска один раз в сутки. Если требуется, вы можете настроить в командной строке время запуска этой задачи с помощью команды kesl-control --set-schedule <ID
задачи
|
имя задачи
> --file <
полный путь к файлу
>
, указав имя задачи Mdr_Autostart_Scan или ID, который приложение присвоило этой задаче. Настройка других параметров задачи и ее расписания не поддерживается.
При интеграции приложения Kaspersky Endpoint Security с решением Kaspersky Managed Detection and Response в журнал systemd может записываться большое количество событий. Если вы хотите отключить запись событий аудита в systemd, вам нужно отключить сокет systemd-journald-audit и перезагрузить операционную систему.
Чтобы отключить сокет systemd-journald-audit, выполните следующие команды:
systemctl stop systemd-journald-audit.socket
systemctl disable systemd-journald-audit.socket
systemctl mask systemd-journald-audit.socket