L'application Kaspersky Endpoint Security est compatible avec la solution Kaspersky Anti Targeted Attack Platform conçu pour protéger l'infrastructure informatique d'une entreprise et assurer la détection rapide des menaces telles que les attaques ZeroDay, les attaques ciblées et les attaques ciblées complexes des menaces persistantes avancées (ci-après également appelées "APT"). Pour en savoir plus, consultez l'aide de Kaspersky Anti Targeted Attack Platform.
Kaspersky Endpoint Detection and Response (KATA) est un module de la solution Kaspersky Anti Targeted Attack Platform.
En interagissant avec Kaspersky Endpoint Detection and Response (KATA), l'application Kaspersky Endpoint Security peut exécuter les fonctions suivantes :
Si SELinux est installé sur votre système d'exploitation en mode Enforcing
, alors pour exécuter la tâche Démarrer le processus, vous devez configurer en plus le système SELinux.
Limites de l'isolation du réseau
Lorsque vous utilisez l'isolation réseau, il est fortement recommandé de vous familiariser avec les limitations décrites ci-dessous.
Pour que l'isolation du réseau fonctionne, l'application Kaspersky Endpoint Security doit être en cours d'exécution. Lors d'une panne de l'application Kaspersky Endpoint Security (lorsque l'application n'est pas en cours d'exécution), le blocage du trafic lorsque l'isolation du réseau est activée par la solution Kaspersky Anti Targeted Attack Platform n'est pas garanti.
Le trafic de transit avec l'isolation du réseau activée est pris en charge avec des restrictions et peut être filtré.
DHCP et DNS ne sont pas automatiquement ajoutés aux exceptions d'isolement du réseau. Par conséquent, si l'adresse réseau d'une ressource a été modifiée pendant l'isolement du réseau, Kaspersky Endpoint Security ne pourra pas y accéder. Il en va de même pour les nœuds du serveur tolérant aux pannes KATA. Il n'est pas recommandé de modifier leurs adresses afin que Kaspersky Endpoint Security ne perde pas le contact avec eux.
Le serveur proxy n'est pas non plus automatiquement ajouté aux exceptions d'isolement du réseau, vous devez donc l'ajouter manuellement aux exceptions afin que l'application Kaspersky Endpoint Security ne perde pas la connexion avec le serveur KATA.
L'ajout d'un processus à l'isolation réseau et l'exclusion d'un processus de l'isolation réseau par son nom ne sont pas pris en charge.
Lors de l'utilisation de l'isolation du réseau, il est recommandé d'utiliser le serveur proxy KSN pour interagir avec Kaspersky Security Network, d'utiliser Kaspersky Security Center comme serveur proxy pour activer l'application et de spécifier Kaspersky Security Center comme source des mises à jour des bases de données. S'il est impossible d'utiliser Kaspersky Security Center comme serveur proxy, configurez les paramètres du serveur proxy requis et ajoutez-le aux exceptions.
Conditions d'intégration
La tâche Intégration avec Kaspersky Endpoint Detection and Response (KATA) permet de configurer et d'activer l'intégration de l'application Kaspersky Endpoint Security avec le module Kaspersky Endpoint Detection and Response (KATA). Vous pouvez également gérer l'intégration de l'application Kaspersky Endpoint Security avec Kaspersky Endpoint Detection and Response (KATA) à l'aide de la Console d'administration de Kaspersky Security Center et de Kaspersky Security Web Console.
L'administration des paramètres d'intégration avec Kaspersky Endpoint Detection and Response (KATA) via Kaspersky Security Center Cloud Console n'est pas prise en charge.
Pour intégrer Kaspersky Endpoint Detection and Response (KATA), la tâche Détection comportementale doit être lancée.
L'intégration de l'application Kaspersky Endpoint Security avec Kaspersky Endpoint Detection and Response (KATA) n'est possible que si la tâche Détection comportementale est lancée. Sinon, les données télémétriques nécessaires ne sont pas transmises.
Pour que les exceptions de télémétrie fonctionnent, l'intégration de l'application Kaspersky Endpoint Security avec la solution Kaspersky Managed Detection and Response doit être désactivée. Si l'intégration de l'application Kaspersky Endpoint Security avec la solution Kaspersky Managed Detection and Response est activée, les exceptions de processus ne s'appliquent pas.
De plus, Kaspersky Endpoint Detection and Response (KATA) peut utiliser les données reçues des tâches suivantes :
Sécurité de la connexion
Lors de l'intégration avec Kaspersky Endpoint Detection and Response (KATA), les appareils dotés de Kaspersky Endpoint Security établissent des connexions sécurisées avec le serveur KATA via HTTPS. Les certificats suivants émis par le serveur KATA sont utilisés pour sécuriser la connexion :
Les certificats destinés à protéger la connexion au serveur KATA sont fournis par l'administrateur de Kaspersky Anti Targeted Attack Platform.
Un serveur proxy est utilisé pour se connecter au serveur KATA si l'utilisation d'un serveur proxy est configurée dans les paramètres généraux de l'application Kaspersky Endpoint Security.
Enregistrement d'événements
Lorsque Kaspersky Endpoint Security est intégré à Kaspersky Anti Targeted Attack Platform, un grand nombre d'événements peuvent être enregistrés dans le journal systemd. Si vous souhaitez désactiver la journalisation des audits dans systemd, vous devez désactiver le socket systemd-journald-audit et redémarrer le système d'exploitation.
Pour désactiver le socket systemd-journald-audit, exécutez les commandes suivantes :
systemctl stop systemd-journald-audit.socket
systemctl disable systemd-journald-audit.socket
systemctl mask systemd-journald-audit.socket