Controllo dello stato delle risorse in Kaspersky Security Center

Espandi tutto | Comprimi tutto

È possibile controllare lo stato delle risorse utilizzando la funzionalità Integrità di MDR. Consente di verificare quali risorse sono attualmente protette da Kaspersky Managed Detection and Response e quali non hanno mai inviato la

Per le risorse con Kaspersky Endpoint Security for Windows 12.3 e versioni successive che funzionano nella configurazione Endpoint Detection and Response Agent (EDR Agent), lo stato visualizzato in MDR non riflette lo stato effettivo.

Stati delle risorse per cui è stata inviata la telemetria almeno una volta

Per verificare lo stato delle risorse:

1. Nella sezione MDR di Kaspersky Security Center passare alla scheda Integrità di MDR.
2. Selezionare la scheda Tutte le risorse visualizzate.

   Viene visualizzato l'elenco di tutte le risorse che hanno inviato telemetria a Kaspersky Managed Detection and Response almeno una volta.

   Per ogni risorsa vengono visualizzati i seguenti dettagli:

   • Stato

     Lo stato riflette lo stato corrente della risorsa. Per le risorse negli stati OK, Avviso o Critico, l'applicazione elenca anche i problemi (se presenti) delle ultime 72 ore.

     Per le risorse con Kaspersky Endpoint Security for Windows nella configurazione Endpoint Detection and Response Agent (EDR Agent), gli stati Avviso e Critico per i componenti di controllo e protezione possono essere visualizzati in modo errato.

     Le risorse hanno uno dei seguenti stati:

     • OK (verde)

       Invio telemetria in corso, protezione completamente operativa.

     • Avviso (giallo)

       Possibili ragioni dello stato Avviso:

       • Piccole perdite di telemetria. Leggere il seguente articolo: Come evitare la perdita dei dati di telemetria dalle risorse
       • Almeno uno dei seguenti componenti dell'applicazione EPP nella risorsa è disabilitato o non installato:
         • Firewall: Ecco come abilitare o configurare questo componente in Kaspersky Endpoint Security for Windows, Kaspersky Endpoint Security for Linux o Kaspersky Security for Virtualization Light Agent.
         • Protezione minacce di rete: Ecco come abilitare o configurare questo componente in Kaspersky Endpoint Security for Windows, Kaspersky Endpoint Security for Linux o Kaspersky Endpoint Security for Mac.
         • Protezione minacce di posta e l'Estensione aggiuntiva per Microsoft Office Outlook: ecco come abilitare o configurare questi componenti in Kaspersky Endpoint Security for Windows.
         • Protezione minacce Web: Ecco come abilitare o configurare questo componente in Kaspersky Endpoint Security for Windows, Kaspersky Endpoint Security for Linux, Kaspersky Endpoint Security for Mac, o Kaspersky Security for Virtualization Light Agent.
         • Auto-Difesa del prodotto: Ecco come abilitare o configurare questo componente in Kaspersky Endpoint Security for Windows o Kaspersky Security for Virtualization Light Agent.
         • I database anti-virus sono obsoleti da più di 7 giorni.

         Questi componenti influiscono sulla completezza dei dati di telemetria inviati. Se un componente è disabilitato o mancante, Kaspersky Managed Detection and Response non invia gli eventi di telemetria relativi a questo componente. L'applicazione EPP installata potrebbe non includere tutti i componenti elencati.

       • Il file di configurazione KSN sta per scadere. L'applicazione visualizza la data di scadenza. Prendere in considerazione l'aggiornamento del file di configurazione KSN. Se si continua a lavorare con il file di configurazione corrente, lo stato cambia in Critico pochi giorni prima della data di scadenza.

       Lo stato Avviso è applicabile alle risorse con Kaspersky Endpoint Security for Windows 11 o versione successiva, Kaspersky Endpoint Security for Linux 11.2 o versione successiva, Kaspersky Endpoint Security for Mac 11.2 o versione successiva o Kaspersky Security for Virtualization Light Agent 5.2 o versione successiva. Per le risorse con Kaspersky Endpoint Security for Windows nella configurazione Endpoint Detection and Response Agent (EDR Agent), questo stato non viene visualizzato.

     • Critico (rosso)

       Possibili motivi dello stato Critico:

       • Gravi perdite di telemetria, i dati di telemetria non sono sufficienti per l'analisi. Leggere il seguente articolo: Come evitare la perdita dei dati di telemetria dalle risorse
       • Almeno uno dei seguenti componenti dell'applicazione EPP nella risorsa è disabilitato o non installato:
         • System Watcher o Rilevamento del comportamento: Ecco come abilitare o configurare questi componenti in Kaspersky Endpoint Security for Windows, Kaspersky Endpoint Security for Linux o Kaspersky Security for Virtualization Light Agent.
         • Protezione minacce file: ecco come abilitare o configurare questo componente in Kaspersky Endpoint Security for Windows, Kaspersky Endpoint Security for Linux, Kaspersky Endpoint Security for Mac, o Kaspersky Security for Virtualization Light Agent.

         Se uno di questi componenti è disabilitato o mancante, Kaspersky Managed Detection and Response interrompe l'invio dei dati di telemetria dalla risorsa. L'applicazione EPP installata potrebbe non includere tutti i componenti elencati.

       • Il file di configurazione KSN sta per scadere o è già scaduto. L'applicazione visualizza la data di scadenza. Prendere in considerazione l'aggiornamento del file di configurazione KSN.

       Questo stato è applicabile alle risorse con Kaspersky Endpoint Security for Windows 11 o versione successiva, Kaspersky Endpoint Security for Linux 11.2 o versione successiva, Kaspersky Endpoint Security for Mac 11.2 o versione successiva o Kaspersky Security for Virtualization 5.2 Light Agent o versione successiva. Per le risorse con Kaspersky Endpoint Security for Windows nella configurazione Endpoint Detection and Response Agent (EDR Agent), questo stato non viene visualizzato.

     • Offline (nero)

       Nessun dato di telemetria da più di 7 giorni (valore predefinito). È possibile modificare il numero di giorni di assenza della telemetria, dopo i quali viene visualizzato lo stato Offline per la risorsa, nella sezione Impostazioni. L'intervallo disponibile è 2–29 giorni.

       Se si visualizza lo stato Offline per le risorse:

       • Assicurarsi che i componenti dell'applicazione EPP elencati negli stati Avviso e Critico siano installati e abilitati nelle risorse.
       • Assicurarsi che Kaspersky Managed Detection and Response sia distribuito correttamente nell'infrastruttura.

       Lo stato Offline non è applicabile alle risorse VDI (macchine virtuali temporanee).

     • Assente (nero)

       Nessun dato di telemetria da più di 30 giorni per le risorse fisiche o da più di 24 ore per le risorse VDI (macchine virtuali temporanee).

       Se si visualizza lo stato Assente per le proprie risorse:

       • Assicurarsi che i componenti dell'applicazione EPP elencati negli stati Avviso e Critico siano installati e abilitati nelle risorse.
       • Assicurarsi che Kaspersky Managed Detection and Response sia distribuito correttamente nell'infrastruttura.

       È possibile nascondere le risorse con stato Assente nell'elenco delle risorse, nei rapporti e nei dati ricevuti tramite l'interfaccia API.

   • Nome risorsa

     Il nome di rete di un computer.

     È possibile fare clic su Nome risorsa per visualizzare le informazioni sulla risorsa in Kaspersky Security Center Web Console.

   • ID risorsa

     Identificatore univoco di una risorsa. Un ID risorsa viene generato automaticamente da Kaspersky Managed Detection and Response prima che la risorsa invii la telemetria per la prima volta.

   • Dominio

     Dominio di rete a cui appartiene la risorsa.

   • Versione sistema operativo

     Sistema operativo installato nella risorsa.

   • Applicazioni EPP

     Un'applicazione EPP (Endpoint Protection Platform) installata nella risorsa e configurata per l'utilizzo con Kaspersky Managed Detection and Response.

   • Interfacce

     Numero di tutte le interfacce di rete disponibili del dispositivo.

   • Tenant

     Nome del tenant, se la risorsa appartiene a uno dei tenant. Se la risorsa non appartiene a un tenant, il campo è vuoto.

   • Ultima visibilità

     Numero di giorni dall'ultima volta che la risorsa è stata vista nella Console.

     Le risorse sono ordinate in base a questo attributo, in ordine decrescente.

     Per impostazione predefinita, vengono mostrate le risorse che sono risultate visibili negli ultimi 30 giorni. È possibile estendere l'intervallo di tempo filtrando le risorse.

3. Utilizzare le seguenti opzioni di ordinamento e filtro per lavorare con questo elenco:
   • Fare clic su qualsiasi intestazione di colonna per ordinare l'elenco in base ai valori della colonna selezionata.
   • Fare clic sulla colonna Stato, quindi selezionare gli stati desiderati. L'elenco verrà filtrato per mostrare solo le risorse con gli stati selezionati.
   • Fare clic sull'icona del filtro ( ), quindi selezionare il periodo di tempo per visualizzare solo le ultime risorse visualizzate durante il periodo di tempo selezionato. È inoltre possibile specificare un periodo di tempo personalizzato.
   • Fare clic sull'icona di esportazione () sopra l'elenco delle risorse per eseguire un'esportazione CSV.
   • Utilizzare il campo Cerca per cercare le risorse per nome.

Stati delle risorse che non hanno mai inviato la telemetria

Questa funzionalità funziona correttamente in Kaspersky Security Center 15.1 Windows e versioni successive, Kaspersky Security Center 15.1 Linux e versioni successive e Kaspersky Security Center Cloud Console.

Per visualizzare le risorse che non hanno mai inviato la telemetria:

1. Nella sezione MDR di Kaspersky Security Center passare alla scheda Integrità di MDR.
2. Selezionare la scheda Risorse malfunzionanti.

   Web Console MDR mostra un elenco delle risorse che sono state aggiunte a Kaspersky Security Center, ma non hanno mai inviato la telemetria a Kaspersky Managed Detection and Response.

   Per ogni risorsa vengono visualizzati i seguenti dettagli:

   • Nome risorsa

     Il nome di rete di un computer.

     È possibile fare clic su Nome risorsa per visualizzare le informazioni sulla risorsa in Kaspersky Security Center Web Console.

   • Applicazioni EPP

     Un'applicazione EPP (Endpoint Protection Platform) installata nella risorsa e configurata per l'utilizzo con Kaspersky Managed Detection and Response.

   • Stato MDR

     Il componente MDR di un'applicazione EPP installata in una risorsa può avere uno dei seguenti stati:

     • Sconosciuto: a differenza degli altri stati, lo stato Sconosciuto non viene inviato dalle applicazioni. Questa opzione mostra che le applicazioni non dispongono di informazioni sullo stato del componente selezionato. Questo problema può ad esempio verificarsi quando il componente selezionato non appartiene a nessuna delle applicazioni installate nel dispositivo o quando il dispositivo è spento.
     • Arrestato: il componente è disabilitato e al momento non funziona.
     • Sospeso: Il componente è sospeso, ad esempio dopo che l'utente ha sospeso la protezione nell'applicazione gestita.
     • Avvio: il componente è attualmente in fase di inizializzazione.
     • In esecuzione: il componente è abilitato e funziona correttamente.
     • Non riuscito: si è verificato un errore durante il funzionamento del componente.
     • Non installato: l'utente non ha selezionato il componente per l'installazione durante la configurazione dell'installazione personalizzata dell'applicazione.
     • Nessuna licenza: la licenza che copre la funzionalità MDR è assente o scaduta.

   • Server KSC

     Nome del Kaspersky Security Center Administration Server che gestisce la risorsa selezionata.

   • Stato dei componenti critici

     Elenco dei componenti dell'applicazione PPE critici per l'esecuzione di MDR. Ogni componente ha un'indicazione a colori a seconda dello stato del componente:

     • L'indicazione gialla viene utilizzata quando il componente ha uno dei seguenti stati: Sospeso, Avvio o Sconosciuto.
     • L'indicazione rossa viene utilizzata quando il componente ha uno dei seguenti stati: Arrestato, Non riuscito, Nessuna licenza o Non installato.

       Inoltre, la funzionalità Autodifesa è elencata insieme ai componenti dell'applicazione PPE. Se questa funzionalità è disabilitata, presenta anche un'indicazione rossa.

     • I componenti con lo stato In esecuzione non sono elencati nella tabella e non hanno un'indicazione.

     Per visualizzare l'elenco completo dei componenti, inclusi quelli non critici per il funzionamento di MDR, fare clic sul nome della risorsa. I componenti e i relativi stati verranno visualizzati nella finestra dei dettagli della risorsa.

3. Se necessario, è possibile filtrare le risorse in base allo stato MDR. A tale scopo, fare clic sull'icona del filtro (), quindi selezionare gli stati di MDR richiesti. Web Console MDR mostrerà solo le risorse in cui il componente MDR ha uno degli stati di MDR selezionati. In alternativa, selezionare una delle seguenti opzioni:
   • Installato e attivato: l'elenco verrà filtrato in modo da mostrare le risorse con uno dei seguenti stati di MDR: Sconosciuto, Arrestato, Sospeso, Avvio, In esecuzione o Non riuscito.
   • Licenza mancante o scaduta: l'elenco verrà filtrato per visualizzare le risorse con lo stato di MDR Nessuna licenza.
4. Se necessario, fare clic sul pulsante Esporta per esportare l'elenco delle risorse in un file CSV.