Интеграция EDR Agent с MDR

EDR Agent устанавливаются на рабочие станции и серверы в IT-инфраструктуре организации. EDR Agent обрабатывает данные и отправляет их по потокам Kaspersky Security Network в Kaspersky Managed Detection and Response.

Для интеграции с Kaspersky Managed Detection and Response вам нужно включить компонент Managed Detection and Response и настроить параметры EDR Agent. Также для работы Kaspersky Managed Detection and Response c Сервером администрирования через Kaspersky Security Center Web Console вам нужно установить новое безопасное соединение – фоновое соединение. Kaspersky Managed Detection and Response предлагает установить фоновое соединение при развертывании решения. Убедитесь, что фоновое соединение установлено.

Как установить фоновое соединение в Web Console

Интеграция с Kaspersky Managed Detection and Response состоит из следующих этапов:

1. Установка компонента Managed Detection and Response

   Вы можете выбрать компонент MDR во время установки или обновления приложения, а также с помощью задачи Изменение состава компонентов приложения.

   Для завершения обновления приложения с новыми компонентами нужно перезагрузить компьютер.

2. Настройка Kaspersky Private Security Network

   Если вы используете Kaspersky Security Center Cloud Console, этот шаг нужно пропустить. Kaspersky Security Center Cloud Console автоматически настраивает Kaspersky Private Security Network при установке плагина MDR.

   Kaspersky Private Security Network (KPSN) – это решение, позволяющее пользователям компьютеров, на которые установлено приложение Kaspersky Endpoint Security или другие приложение "Лаборатории Касперского", получать доступ к репутационным базам "Лаборатории Касперского", а также другим статистическим данным, не отправляя данные в "Лабораторию Касперского" со своих компьютеров.

   Загрузите конфигурационный файл Kaspersky Security Network в свойствах Сервера администрирования. Конфигурационный файл Kaspersky Security Network находится в ZIP-архиве конфигурационного файла MDR. Вы можете получить ZIP-архив в Консоли Kaspersky Managed Detection and Response. Подробнее о настройке Kaspersky Private Security Network см. в справке Kaspersky Security Center. Также вы можете загрузить конфигурационный файл Kaspersky Security Network на компьютер из командной строки (см. инструкцию ниже).

   Как настроить Kaspersky Private Security Network из командной строки

   1. Запустите интерпретатор командной строки cmd от имени администратора.
   2. Перейдите в папку, в которой расположен исполняемый файл Kaspersky Endpoint Security.
   3. Выполните команду:

      avp.com KSN /private <file name>

      где <file name> – имя конфигурационного файла с параметрами Kaspersky Private Security Network (формат файла PKCS7 или PEM).

      Пример: avp.com KSN /private C:\kpsn_config.pkcs7

   В результате Kaspersky Endpoint Security будет использовать Kaspersky Private Security Network для определения репутации файлов, приложений и веб-сайтов. В параметрах политики в разделе Kaspersky Security Network будет указан статус работы Инфраструктура: Kaspersky Private Security Network.

   Для работы Managed Detection and Response необходимо включить расширенный режим KSN.

3. Активация Kaspersky Managed Detection and Response

   Kaspersky Managed Detection and Response поддерживает следующие способы лицензирования:

   • Функциональность Managed Detection and Response включена в состав лицензии на использование Kaspersky Endpoint Security для Windows.

     Функциональность будет доступна сразу после активации Kaspersky Endpoint Security для Windows.

   • Отдельная лицензия на использование MDR (Kaspersky Managed Detection and Response Add-on).

     Функциональность будет доступна после добавления отдельного ключа Kaspersky Managed Detection and Response. В результате на компьютере будет установлено два ключа: ключ для Kaspersky Endpoint Security и ключ для Kaspersky Managed Detection and Response.

     Лицензирование отдельной функциональности Managed Detection and Response не отличается от лицензирования Kaspersky Endpoint Security.

   Убедитесь, что функциональность MDR в лицензию и работает в локальном интерфейсе приложения.

4. Включение компонента Managed Detection and Response

   Загрузите конфигурационный файл BLOB в политике Kaspersky Endpoint Security (см. инструкцию ниже). BLOB-файл содержит идентификатор клиента и информацию о лицензии Kaspersky Managed Detection and Response. BLOB-файл находится в ZIP-архиве конфигурационного файла MDR. Вы можете получить ZIP-архив в Консоли Kaspersky Managed Detection and Response. Подробную информацию о BLOB-файле см. в справке Kaspersky Managed Detection and Response.

   Как включить компонент Managed Detection and Response в Консоли администрирования (MMC)

   1. Откройте Консоль администрирования Kaspersky Security Center.
   2. В дереве консоли выберите папку Политики.
   3. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
   4. В окне политики выберите Detection and Response → Managed Detection and Response.
   5. Установите флажок Managed Detection and Response.
   6. В блоке Настройка нажмите на кнопку Загрузить и выберите BLOB-файл, полученный в Консоли Kaspersky Managed Detection and Response. Файл имеет расширение P7.
   7. Сохраните внесенные изменения.

   Как включить компонент Managed Detection and Response в Web Console и Cloud Console

   1. В главном окне Web Console выберите Устройства → Политики и профили политик.
   2. Нажмите на название политики Kaspersky Endpoint Security.

      Откроется окно свойств политики.

   3. Выберите закладку Параметры программы.
   4. Перейдите в раздел Detection and Response → Managed Detection and Response.
   5. Включите переключатель Managed Detection and Response.
   6. Нажмите на кнопку Загрузить и выберите BLOB-файл, полученный в Консоли Kaspersky Managed Detection and Response. Файл имеет расширение P7.
   7. Сохраните внесенные изменения.

   Как включить компонент Managed Detection and Response из командной строки

   1. Запустите интерпретатор командной строки cmd от имени администратора.
   2. Перейдите в папку, в которой расположен исполняемый файл Kaspersky Endpoint Security.
   3. Выполните команду:

      avp.com MDRLICENSE /ADD <file name> /login=<user name> /password=<password>

      Для выполнения команды должна быть включена Защита паролем. Пользователь должен иметь разрешение Настройка приложения.

   В результате Kaspersky Endpoint Security проверит BLOB-файл. Проверка BLOB-файла включает в себя проверку цифровой подписи и срока действия лицензии. Если BLOB-файл прошел проверку, Kaspersky Endpoint Security загрузит файл и отправит файл на компьютер при следующей синхронизации с Kaspersky Security Center. Проверьте статус работы компонента с помощью отчета Отчет о статусе компонентов приложения. Также вы можете посмотреть статус работы компонента в локальном интерфейсе Kaspersky Endpoint Security в отчетах. В список компонентов Kaspersky Endpoint Security будет добавлен компонент Managed Detection and Response.

   1. Откройте Консоль администрирования Kaspersky Security Center.
   2. В дереве консоли выберите папку Политики.
   3. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
   4. В окне политики выберите Detection and Response → Managed Detection and Response.
   5. Установите флажок Managed Detection and Response.
   6. Сохраните внесенные изменения.

   Как включить компонент Managed Detection and Response в Web Console и Cloud Console

   1. В главном окне Web Console выберите Устройства → Политики и профили политик.
   2. Нажмите на название политики Kaspersky Endpoint Security.

      Откроется окно свойств политики.

   3. Выберите закладку Параметры программы.
   4. Перейдите в раздел Detection and Response → Managed Detection and Response.
   5. Включите переключатель Managed Detection and Response.
   6. Сохраните внесенные изменения.

   В результате компонент Managed Detection and Response будет включен. Проверьте статус работы компонента с помощью отчета Отчет о статусе компонентов приложения. Также вы можете посмотреть статус работы компонента в локальном интерфейсе Kaspersky Endpoint Security в отчетах. В список компонентов Kaspersky Endpoint Security будет добавлен компонент Managed Detection and Response.