A medida que os ataques são cada vez mais sofisticados, direcionados e de grande potencial de prejuizo, os analistas de segurança e as empresas necessitam de ferramentas para detectar e responder aos ataques praticamente de imediato.
A resposta rápida necessita de ferramentas eficientes e equipes de segurança altamente qualificadas e preparadas para uma verdadeira “guerra” cibernética. No entanto, somente as grandes empresas dispõe de tal orçamento, espaço e tudo mais que necessita para ter um SOC (Centro de Operações de Segurança) dentro de casa.
Para estas empresas que não se enquadram ou que realmente não desejam investir nisto, a Kaspersky apresenta uma solução: Kaspersky Management Detection and Response, o MDR.
O Kaspersky MDR possui tecnologias de detecção e apoio de profissionais com ampla experiência em busca de ameaças e análise de incidentes, como os profissionais da Equipe de Pesquisa e Análise Global (GReAT) da Kaspersky. Outra função que fortalece a segurança é a análise feita por Inteligência Artificial (IA), que possibilita a resolução automática de alertas menos complexos, permitindo aos analistas da Kaspersky concentrar-se nas ameaças mais complexas. Essa combinação também protege os clientes de ameaças que se esquivam da detecção, por exemplo, imitando programas legítimos. Já os especialistas em segurança de TI dos clientes conseguem acompanhar, em tempo real, o status de proteção de todos os ativos, assim como as detecções de ameaças. O serviço também oferece a esses profissionais recomendações de respostas prontas ou autorização de cenários de resposta gerenciados.
O Kaspersky MDR
Em primeiro lugar, entre em contato com um revendedor licenciado Kaspersky para adquirir o licenciamento necessário. Depois, basta criar uma conta no portal MDR:
Uma vez criada a conta no “Kaspersky Account”, faça o login na plataforma:
Após o login, será solicitada a ativação da console MDR, utilizando o código de ativação recebido por sua revenda:
Se não houver nenhum problema com sua ativação, você logo verá o guia inicial de instalação do MDR. Nele há instruções guiadas de como proceder para finalizar a configuração de sua console.
Caso ainda não tenha as demais soluções Kaspersky, os itens 1 e 2 referem-se a instalação do Kaspersky Security Center, o KSC, para gerenciamento de Máquinas e Servidores (Windows, Linux, Mac).
O item 3 são os arquivos BLOB e BAT que deverão ser importados nas políticas de segurança dos EPPs (Endpoint Protection Platform) através do KSC:
As demais configurações referem-se ao KSC como parte da integração do Plugin MDR com o Web Console do KSC. Todas as configurações de EDR, MDR, XDR são realizadas somente pela Console Web do KSC. Certifique-se de ter instalado e funcionando sua console Web.
Feito isto, partimos para o KSC e iniciaremos as configurações da Integração do MDR. Para isto, acesse o Web Console do KSC. Clique no ícone referente ao atalho da Web Console, ou digite no navegar (se for no próprio servidor):
https://127.0.0.1:8080/login
Será carregado o dashboard principal da Console Web:
No Menu no lado esquerdo da tela, clique em “CONSOLE SETINGS” e em seguida em “Web Plug-ins”:
Neste processo vamos instalar o plugin referente ao MDR. A janela com os plugins atuais da Web Console será aberta. Verifique se o plugin referente ao MDR (Managed Detection and Response) está instalado. Se não tiver, clique no botão “+ Add” e adicione-o:
Com o plugin instalado, clique sobre ele. Serão abertas as propriedades do plugin. Clique em “Integration”. Haverá um botão para estabelecer a conexão background, ou seja, a integração do plugin do Web Console com o Console MDR:
Ative a opção de background connection:
Após ativar o botão, uma mensagem será exibida confirmando:
E são atualizadas as permissões do serviço:
Feito isto, Crie um usuário que será o Administrador MDR através da Web Console do KSC. Para isto acesse “USER & ROLES > USERS”, em seguida clique no botão “+ADD”:
Dê um nome, um email e uma descrição para este usuario:
Salve o usuario e agora acesse a opção ROLES em “USER & ROLES”:
Verifique se já existem as roles de MDR. Caso não, será necessário criá-las:
A role “MDR Roles” deve ter as seguintes permissões:
Basicamente, dentro de “Kaspersky Security Center 13.2 Administration Server” deve ter marcada somente a opção “Application Integration”:
E em Kaspersky Managed Detection and Response, deve ter marcadas as opções:
As opções default são citadas na documentação oficial: https://support.kaspersky.com/MDR/en-US/213206.htm
Agora retorne ao usuario criado “MDR” e associe a role “MDR Roles” criada à ele:
O próximo passo é configurar a Politica do Endpoint para utilizar o MDR. Para isto acesse o grupo onde serão aplicadas as configurações e em seguida clique em “POLICIES & PROFILES”. Selecione a politica referente ao Kaspersky Endpoint Security:
Dentro da Politica acesse: APPLICATION SETTINGS > Detection and Response > Managed Detection and Response:
Na tela do Managed Detection and Response, habilite a opção e clique no botão “Import ou Load” para carregar o arquivo BLOB (baixado de lá da Console MDR no incio da implantação):
Selecione o arquivo correto:
Agora volte na politica do Endpoint na sessão “APPLICATION SETTINGS > Advanced Threat Protection > Kaspersky Security Network (KSN)”:
Verifique se a opção “Extended KSN mode” está habilitado:
Salve as configurações e acesse agora as propriedades do Servidor de Administração:
Na guia “GENERAL” depois na opção “KSN Proxy Settings”, verifique se está habilitada a opção “Use Kaspersky Private Security Network”. Se não estiver, habilite e clique no botão para carregar o arquivo da KSN (também baixado direto da Console MDR):
Feito isto, agora basta se logar na Console Web do KSC utilizando o usuario criado (MDR) e realizar o processo de integração com a console MDR:
No menu esquerdo clique em “MONITORING & REPORTING” > Incidents:
Então clique no botão “Activate Solution”:
Será aberta a janela para iniciar o processo de estabelecer conexão com o portal MDR:
Insira as credenciais criadas lá no momento do registro no portal MDR. Geralmente o primeiro e-mail registrado no portal.
Neste passo é solicitado para selecionar os tenants criados lá no Portal (caso ainda não tenha criado nenhum, selecione a opção “All Tenants”):
Se tudo ocorrer bem durante o processo, a próxima tela será exibida com a ativação com sucesso:
E então a console já está integrada com o portal MDR:
A partir de agora você pode visualizar os Incidents, Tenants, a saude e as configurações diretamente do seu KSC.