Giỏ hàng

HƯỚNG DẪN CẤU HÌNH TÍNH NĂNG ISOLATION VÀ FILE ENCRYPTION KASPERSKY EDR-OPTIMUM


Kaspersky Endpoint Detection and Response Optimum

 

 

Cách triển khai EDR-Optimum cho KSC và KES

Chuẩn bị trước khi update:

  • Kaspersky Security Center (KSC):  Phải đang sử dụng version 13.2 trở lên
  • Kaspersky Endpoint Security (KES): Phải đang sử dụng version 11.7 trở lên
  • Nếu chưa cài đặt webconsole thì bạn hãy làm theo hướng dẫn sau
  1. Truy cập vào link sản phẩm của Kaspersky:  

https://www.kaspersky.com/small-to-medium-business-security/downloads/endpoint

 

  1. Sau khi tải về ta khởi chạy chương trình. Chọn ngôn ngữ để cài đặt.

 

  1. Tick vào confirm và next

 

  1. Address: Ta nhập địa chỉ IP để truy cập webconsole. Có thể điều chỉnh theo ý bạn.
  • Ví dụ: 127.0.0.1:8080

 

  1. Ta chọn default accounts hoặc custom accounts.
  • Chọn default accounts ta sẽ sử dụng accounts của máy đang cài để login.
  • Chọn custom accounts ta sẽ sử dụng account tùy chọn.
  • Sau đó Next cho tới quá trình cài đặt được tiến hành.

 

  1. Đăng nhập vào Kaspesky Security Center WebConsole theo đường link: https://<IPKSC>:8080
  • Nếu lúc cài đặt để mặc định thì user/password đăng nhập là user/password của máy KSC

 

  1. Cài đặt Kaspersky Endpoint Security và EDR-O Plug-in
  • Vào CONSOLE SETTINGS à WEB PLUG-INS à ADD

 

 

 

  1. Bật tính năng EDR-O trên máy đã có Kaspersky Endpoint Security sẵn
  • Vào DEVICES à TASKS à ADD

 

  • Application: Kaspersky Endpoint Security
  • Task Type: Change Application Component
  • Chọn Next => Finish
     

 

  • Mở task vừa tạo chọn vào Aplication Setting => thêm tick vào Endpoint Detection and Response Optimum
  • Chọn Save

 

  • Khởi chạy task vừa tạo và đợi hoàn tất task

 

 

 

  • Sau khi task hoàn thành thì trên Endpoint vẫn còn hiển thị  màu xám tức là chưa được bật

 

  1. Bật tính năng EDR trên Policy

DEVICES => POLICIES & PROFILES => Kaspersky Endpoint Security for Windows

 

  • APPLICATION SETTINGS => Detection and Response => Endpoint Detection and Response.

 

  • Bật 2 tính năng Endpoint Detection and Response v Execution Prevention => OK => Save

 

  • Sau khi Policy được bật thì tính năng EDR-O trên KES được bật

 

  1. Bật và hiển thị giao diện trên Web-Console

 

  • Bật Show EDR Alerts => Save

 

  • MONITORING & REPORTING => DASHBOARD => Add or Restore web widget => Threat statistics => stick vào Alerts => Add

 

  • Test mẫu virus: truy cập đường link

https://www.eicar.org/download-anti-malware-testfile

 

 

  • Sau khi truy cập Kaspersky sẽ chặn và thông báo alerts c enriched => truy cập vào để xem chi tiết

 

  • Vào Detail để xem thông tin chi tiết

 

  • Quá trình hoạt động của mã độc sẽ liệt kê thành sơ đồ cây từ đó có thể ra quyết định xóa, cách ly máy tính nhiễm mã độc, tạo IOC scan quét toàn bộ các thiết bị trong hệ thống 

 

 

 

 

 

 

Tính năng File Level Encryption

 

Đăng nhập vào Kaspesky Security Center WebConsole theo đường link: https://<IPKSC>:8080

  • Nếu lúc cài đặt để mặc định thì user/password đăng nhập là user/password của máy KSC

 

  • Sau đó chọn tab Device > POLICES & PROFILES > ADD để tạo policy.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

  • Ta chọn Kaspersky Endpoint Security for Window

 

  • Chọn đồng ý và next

 

  • Tiếp theo chọn tab Application settings > Data Encryption > File Level Encryption

 

 

  • Ta chọn như sau để tạo rule mã hóa.

 

  • Ở mục Folder chọn Add và thêm đường dẫn đến folder cần mã hóa.

Ví dụ: C:\Users\Chuong's SandBox\Downloads\Ma hoa

  • Ở mục Extensions and groups of extensions thêm kiểu file cần mã hóa

Ví dụ: *.txt

 

 

  • Tạo 1 file loại txt trong đường dẫn như đã cấu hình

 

  • Sau đó thử truy cập trên 1 máy có cài Kaspersky endpoint security có liên kết với KSC ta thu được kết quả:
  • Máy có thể đọc được file

 

  • Tiếp theo thử mở file từ 1 máy không được cài Kaspersky endpoint security có liên kết với KSC ta thu được kết quả:
  • Máy không có thể đọc được file đã bị mã hóa

 

 

Tính năng Isolation Network

 

  • Để bật tính năng Isolation Network thì phải có gói cài đặt Kaspersky Endpoint Agent

 

  • Nếu chưa có ta bấm +Add để tìm và cài đặt gói Kaspersky Endpoint Agent và cài đặt cho máy trạm

 

  • Sau khi tải về gói cài ta thao tác như sau
  • Tạo gói cài đặt ta nhấn chọn gói cài và nhấn Deploy

 

  • Chọn và nhấn next
     

 

  • Chọn và nhấn next

 

  • Nhấn next

 

  • Chọn Do not move devices và tiếp tục next

 

  • Kết quả gói cài đặt đã được tạo trên folder theo đường dẫn như hình.
  • Ta vào theo đường dẫn và lấy gói cài đặt cho client.

 

  • Truy cập vào link để down mẫu virus test.

 

https://www.eicar.org/download-anti-malware-testfile

 

  • Trên endpoint ta cũng sẽ nhận được cảnh báo khi có virus

 

  • Ta sẽ nhận được cảnh báo ở mục ALERTS
  • Ta bấm vào More Details để xem thông tin virus.

 

  • Nếu muốn cách li máy trạm này ngay ta ấn vào Isolate computer from the network

 

  • Ta thu được kết quả:
  • Máy trạm đã được cách ly khỏi mạng công ty.

 

 

Danh mục tin tức

Từ khóa