集成 Kaspersky Managed Detection and Response
2023年12月20日
ID 247439
Kaspersky Endpoint Security 与卡巴斯基托管检测与响应 (MDR) 之间的集成可实现持续搜索、检测和消除针对您组织的威胁。
与卡巴斯基托管检测与响应交互时,Kaspersky Endpoint Security 可以执行以下功能:
- 将遥测数据发送到卡巴斯基托管检测与响应以进行威胁检测。
- 执行卡巴斯基托管检测与响应命令以提供安全功能。
要配置 Kaspersky Endpoint Security 与卡巴斯基托管检测与响应之间的集成,请执行以下操作:
- 确保文件威胁防护和行为检测任务已启动。否则,卡巴斯基托管检测与响应中的计算机状态将为红色。我们还建议启动 Web 威胁防护和网络威胁防护任务。否则,Kaspersky Managed Detection and Response 中的计算机状态将为红色。请参阅卡巴斯基托管检测与响应的在线帮助以了解有关状态的更多信息。
- 允许在扩展模式下使用卡巴斯基安全网络。
您可以通过命令行、在管理控制台中或在 Kaspersky Security Center Web Console 中启用卡巴斯基安全网络。
- 使用位于 MDR 配置文件 ZIP 存档中的卡巴斯基安全网络配置文件配置卡巴斯基私有安全网络以发送遥测数据。
您只能在管理控制台或 Kaspersky Security Center Web Console 中配置私有 KSN。
- 启用与卡巴斯基托管检测与响应的集成,然后上传 BLOB 配置文件,该文件位于 MDR 配置文件的 ZIP 存档中。
建议在管理控制台或 Kaspersky Security Center Web Console 中配置 Kaspersky Endpoint Security 与卡巴斯基托管检测与响应之间的集成。
您还可以从命令行配置 Kaspersky Endpoint Security 与卡巴斯基托管检测与响应之间的集成并上传 BLOB 配置文件。
要启用与卡巴斯基托管检测与响应的集成,请执行以下命令:
kesl-control --set-app-settings UseMDR=Yes
要禁用与卡巴斯基托管检测与响应的集成,请执行以下命令:
kesl-control --set-app-settings UseMDR=No
要加载 BLOB 配置文件,请执行以下命令:
kesl-control --load-mdr-blob <MDR BLOB 配置文件路径>
要删除 BLOB 配置文件,请执行以下命令:
kesl-control --remove-mdr-blob
在启用 Kaspersky Endpoint Security 与卡巴斯基托管检测与响应的集成后,将在应用程序中创建一个 Mdr_Autostart_Scan 任务并每天运行一次。如有必要,您可以使用 kesl-control --set-schedule <任务 ID|任务名称> --file <文件的完整路径> 命令配置该任务的开始时间,指定任务名称“Mdr_Autostart_Scan”或应用程序为该任务分配的 ID。该任务的其他设置和计划无法进行配置。
如果 Kaspersky Endpoint Security 与卡巴斯基托管检测与响应集成,可以将大量事件写入 systemd 日志。如果要禁用将审计事件记录到 systemd 日志,请禁用 systemd-journald-audit 套接字并重新启动操作系统。
要禁用 systemd-journald-audit 套接字,请运行以下命令:
systemctl stop systemd-journald-audit.socket
systemctl disable systemd-journald-audit.socket
systemctl mask systemd-journald-audit.socket