Integrazione dell'agente integrato con MDR

Per configurare l'integrazione con Kaspersky Managed Detection and Response, è necessario abilitare il componente Managed Detection and Response e configurare Kaspersky Endpoint Security.

Per consentire il funzionamento di Managed Detection and Response, è necessario abilitare i seguenti componenti.

• Kaspersky Security Network (modalità estesa).
• Rilevamento del Comportamento.

L'abilitazione di questi componenti non è facoltativa. Se non abilitati, Kaspersky Managed Detection and Response potrebbe non funzionare, poiché non riceve i dati di telemetria necessari.

Inoltre, Kaspersky Managed Detection and Response utilizza i dati ricevuti da altri componenti applicativi. L'abilitazione di tali componenti è facoltativa. I componenti che forniscono ulteriori dati includono:

• Protezione minacce web.
• Protezione minacce di posta.
• Firewall.

Affinché Kaspersky Managed Detection and Response funzioni con Administration Server tramite Kaspersky Security Center Web Console, è inoltre necessario stabilire una nuova connessione sicura: una connessione in background. Kaspersky Managed Detection and Response richiede di stabilire una connessione in background durante la distribuzione della soluzione. Verificare che la connessione in background venga stabilita.

Stabilire una connessione in background in Web Console

L'integrazione con Kaspersky Managed Detection and Response prevede i seguenti passaggi:

1. Installazione del componente Managed Detection and Response

   È possibile selezionare il componente MDR durante l'installazione o l'upgrade, oltre a utilizzare l'attività Modifica i componenti dell'applicazione.

   È necessario riavviare il computer per completare l'aggiornamento dell'applicazione con i nuovi componenti.

2. Configurazione di Kaspersky Private Security Network

   Ignorare questo passaggio se si utilizza Kaspersky Security Center Cloud Console. Kaspersky Security Center Cloud Console configura automaticamente Kaspersky Private Security Network quando si installa il plug-in MDR.

   Kaspersky Private Security Network (KPSN) è una soluzione che consente agli utenti di computer che ospitano Kaspersky Endpoint Security o altre applicazioni Kaspersky di ottenere l'accesso ai database di reputazione di Kaspersky e ad altri dati statistici senza inviare dati a Kaspersky dai propri computer.

   Caricare il file di configurazione di Kaspersky Security Network nelle proprietà di Administration Server. Il file di configurazione di Kaspersky Security Network si trova nell'archivio ZIP del file di configurazione MDR. È possibile ottenere l'archivio ZIP in Kaspersky Managed Detection and Response Console. Per informazioni dettagliate su Kaspersky Private Security Network, consultare la Guida di Kaspersky Security Center. È inoltre possibile caricare un file di configurazione di Kaspersky Security Network nel computer dalla riga di comando (vedere le istruzioni di seguito).

   Come configurare l'istanza privata di Kaspersky Private Security Network dalla riga di comando

   1. Eseguire l'interprete della riga di comando (cmd.exe) come amministratore.
   2. Passare alla cartella in cui si trova il file eseguibile di Kaspersky Endpoint Security.
   3. Eseguire il seguente comando:

      avp.com KSN /private <nome file>

      dove <nome file> è il nome del file di configurazione contenente le impostazioni di Kaspersky Private Security Network (formato file PKCS7 o PEM).

      Esempio: avp.com KSN /private C:\kpsn_config.pkcs7

   Di conseguenza, Kaspersky Endpoint Security utilizzerà Kaspersky Private Security Network per determinare la reputazione di file, applicazioni e siti Web. La sezione Kaspersky Security Network delle impostazioni dei criteri mostrerà il seguente stato operativo: Infrastruttura: Kaspersky Private Security Network.

   Per consentire il funzionamento di Managed Detection and Response è necessario abilitare la modalità KSN estesa.

3. Attivazione di Kaspersky Managed Detection and Response

   Kaspersky Managed Detection and Response supporta i seguenti metodi di concessione di licenza:

   • La funzionalità Managed Detection and Response è inclusa nella licenza di Kaspersky Endpoint Security for Windows.

     La funzionalità sarà disponibile immediatamente dopo l'attivazione di Kaspersky Endpoint Security for Windows.

   • Viene utilizzata una licenza separata di MDR (componente aggiuntivo di Kaspersky Managed Detection and Response).

     La funzionalità sarà disponibile dopo aver aggiunto una chiave separata per Kaspersky Managed Detection and Response. Di conseguenza, nel computer vengono installate due chiavi: una per Kaspersky Endpoint Security e l'altra per Kaspersky Managed Detection and Response.

     La licenza per la funzionalità Managed Detection and Response standalone è la stessa della licenza di Kaspersky Endpoint Security.

   Verificare che la funzionalità MDR sia inclusa nella licenza e che venga eseguita nell'interfaccia locale dell'applicazione.

4. Abilitazione del componente Managed Detection and Response

   Caricare il file di configurazione BLOB nel criterio di Kaspersky Endpoint Security (vedere le istruzioni di seguito). Il file BLOB contiene l'ID client e le informazioni sulla licenza per Kaspersky Managed Detection and Response. Il file BLOB si trova nell'archivio ZIP del file di configurazione MDR. È possibile ottenere l'archivio ZIP in Kaspersky Managed Detection and Response Console. Per informazioni dettagliate su un file BLOB, consultare la Guida di Kaspersky Managed Detection and Response.

   Come abilitare Managed Detection and Response in Administration Console (MMC)

   1. Aprire Kaspersky Security Center Administration Console.
   2. Nella struttura della console, selezionare Criteri.
   3. Selezionare il criterio necessario e fare doppio clic per aprire le proprietà del criterio.
   4. Nella finestra del criterio, selezionare Detection and Response → Managed Detection and Response.
   5. Selezionare la casella di controllo Managed Detection and Response.
   6. Nella sezione Impostazioni fare clic su Carica e selezionare il file BLOB ricevuto in Kaspersky Managed Detection and Response Console. Il file ha l'estensione P7.
   7. Salvare le modifiche.

   Come abilitare il componente Managed Detection and Response in Web Console e Cloud Console

   1. Nella finestra principale di Web Console, selezionare Dispositivi → Criteri e profili.
   2. Fare clic sul nome del criterio di Kaspersky Endpoint Security.

      Verrà visualizzata la finestra delle proprietà del criterio.

   3. Selezionare la scheda Impostazioni applicazione.
   4. Passare a Detection and Response → Managed Detection and Response.
   5. Attivare l'interruttore Managed Detection and Response.
   6. Fare clic su Carica e selezionare il file BLOB ottenuto in Kaspersky Managed Detection and Response Console. Il file ha l'estensione P7.
   7. Salvare le modifiche.

   Come abilitare il componente Managed Detection and Response dalla riga di comando

   1. Eseguire l'interprete della riga di comando (cmd.exe) come amministratore.
   2. Passare alla cartella in cui si trova il file eseguibile di Kaspersky Endpoint Security.
   3. Eseguire il seguente comando:

      avp.com MDRLICENSE /ADD <nome file> /login=<nome utente> /password=<password>

      Per eseguire questo comando, Protezione tramite password deve essere abilitato. L'utente deve avere l'autorizzazione Configura le impostazioni dell'applicazione.

   Successivamente Kaspersky Endpoint Security verificherà il file BLOB. La verifica del file BLOB include il controllo della firma digitale e del periodo licenza. Se il file BLOB viene verificato, Kaspersky Endpoint Security scaricherà il file e lo invierà al computer durante la successiva sincronizzazione con Kaspersky Security Center. Verificare lo stato operativo del componente visualizzando il Rapporto sullo stato dei componenti dell'applicazione. È inoltre possibile visualizzare lo stato operativo di un componente nei rapporti nell'interfaccia locale di Kaspersky Endpoint Security. Il componente Managed Detection and Response verrà aggiunto all'elenco dei componenti di Kaspersky Endpoint Security.

   1. Aprire Kaspersky Security Center Administration Console.
   2. Nella struttura della console, selezionare Criteri.
   3. Selezionare il criterio necessario e fare doppio clic per aprire le proprietà del criterio.
   4. Nella finestra del criterio, selezionare Detection and Response → Managed Detection and Response.
   5. Selezionare la casella di controllo Managed Detection and Response.
   6. Salvare le modifiche.

   Come abilitare il componente Managed Detection and Response in Web Console e Cloud Console

   1. Nella finestra principale di Web Console, selezionare Dispositivi → Criteri e profili.
   2. Fare clic sul nome del criterio di Kaspersky Endpoint Security.

      Verrà visualizzata la finestra delle proprietà del criterio.

   3. Selezionare la scheda Impostazioni applicazione.
   4. Passare a Detection and Response → Managed Detection and Response.
   5. Attivare l'interruttore Managed Detection and Response.
   6. Salvare le modifiche.

   Il componente Kaspersky Managed Detection and Response è abilitato. Verificare lo stato operativo del componente visualizzando il Rapporto sullo stato dei componenti dell'applicazione. È inoltre possibile visualizzare lo stato operativo di un componente nei rapporti nell'interfaccia locale di Kaspersky Endpoint Security. Il componente Managed Detection and Response verrà aggiunto all'elenco dei componenti di Kaspersky Endpoint Security.