将 EDR Agent 与 MDR 集成
EDR Agent 安装在组织 IT 基础设施中的工作站和服务器上。EDR Agent 处理数据并通过卡巴斯基安全网络流将其发送到 Kaspersky Managed Detection and Response。
要设置与 Kaspersky Managed Detection and Response 的整合,您必须启用 Managed Detection and Response 组件并配置 EDR Agent。为了 Kaspersky Managed Detection and Response 通过 Kaspersky Security Center Web Console 与管理服务器协作,您还必须建立新的安全连接,一个后台连接。Kaspersky Managed Detection and Response 在您部署解决方案时提示您建立后台连接。确保后台连接已建立。
与 Kaspersky Managed Detection and Response 的整合包括以下步骤:
- 安装 Managed Detection and Response 组件
您可以在安装或升级过程中选择 MDR 组件,也可以使用“更改应用程序组件”任务。
您必须重新启动计算机才能使用新组件完成应用程序的升级。
- 配置卡巴斯基私有安全网络
如果您正在使用 Kaspersky Security Center 云控制台则跳过此步骤。Kaspersky Security Center 云控制台在安装 MDR 插件时自动配置卡巴斯基私有安全网络。
卡巴斯基私有安全网络是让运行 Kaspersky Endpoint Security 或其他卡巴斯基应用程序的计算机的用户获得卡巴斯基信誉数据库以及其他统计数据的访问权限的解决方案,无需从他们自己的计算机向卡巴斯基发送数据。
在管理服务器属性中上传卡巴斯基安全网络配置文件。卡巴斯基安全网络配置文件存在于 MDR 配置文件的 ZIP 存档中。您可以在 Kaspersky Managed Detection and Response 控制台获取 ZIP 存档。对于配置卡巴斯基私有安全网络的详情,请参考 Kaspersky Security Center 帮助。您也可以从命令行上传卡巴斯基安全网络配置文件到计算机(参见以下说明)。
结果,Kaspersky Endpoint Security 将使用卡巴斯基私有安全网络决定文件、应用程序和网站的信誉。策略设置的“卡巴斯基安全网络”区域将显示以下运行状态: 基础设施: 卡巴斯基私人安全网络。
您必须启用扩展 KSN 模式以便 Managed Detection and Response 正常工作。
- 激活 Kaspersky Managed Detection and Response
Kaspersky Managed Detection and Response 支持以下授权许可方式:
- Managed Endpoint Detection and Response 功能被包含在 Kaspersky Endpoint Security for Windows 授权许可中。
该功能将在激活 Kaspersky Endpoint Security for Windows 后立即可用。
- MDR 使用单独的许可证(Kaspersky Managed Detection and Response 插件)。
该功能将在您为 Kaspersky Managed Detection and Response 添加单独密钥后可用。因此,计算机上将安装两个密钥:Kaspersky Endpoint Security 密钥和 Kaspersky Managed Detection and Response 密钥。
独立 Managed Detection and Response 功能的授权许可与 Kaspersky Endpoint Security 的相同。
确保 MDR 功能包含在授权许可中,并在应用程序的本地界面中工作。
- Managed Endpoint Detection and Response 功能被包含在 Kaspersky Endpoint Security for Windows 授权许可中。
- 启用 Managed Detection and Response 组件
在 Kaspersky Endpoint Security 策略中加载 BLOB 配置文件(参见以下说明)。BLOB 文件包含客户端 ID 和 Kaspersky Managed Detection and Response 的授权许可信息。BLOB 文件存在于 MDR 配置文件的 ZIP 存档中。您可以在 Kaspersky Managed Detection and Response 控制台获取 ZIP 存档。对于 BLOB 文件的详情,请参考 Kaspersky Managed Detection and Response 帮助。
如何在管理控制台 (MMC) 中启用 Managed Detection and Response 组件
如何在 Web Console 和云控制台中启用 Managed Detection and Response 组件
如何从命令行启用 Managed Detection and Response 组件
结果,Kaspersky Endpoint Security 将检查 BLOB 文件。BLOB 文件验证包括检查数字签名和授权许可条款。如果 BLOB 文件被成功验证,Kaspersky Endpoint Security 将下载文件并在与 Kaspersky Security Center 的下次同步过程中发送该文件到计算机。通过查看应用程序组件状态报告检查组件的操作状态。您也可以利用 Kaspersky Endpoint Security 的本地界面在报告中查看组件的操作状态。Managed Detection and Response 组件将被添加到 Kaspersky Endpoint Security 组件列表。
如何在 Web Console 和云控制台中启用 Managed Detection and Response 组件
Kaspersky Managed Detection and Response 组件被启用。通过查看应用程序组件状态报告检查组件的操作状态。您也可以利用 Kaspersky Endpoint Security 的本地界面在报告中查看组件的操作状态。Managed Detection and Response 组件将被添加到 Kaspersky Endpoint Security 组件列表。