Endpoint Detection and Response

Kaspersky Endpoint Security 11.7.0 dispose désormais d'un agent intégré pour la solution Kaspersky Endpoint Detection and Response Optimum (ci-après également "EDR Optimum"). Kaspersky Endpoint Detection and Response Optimum est une solution permettant de protéger l'infrastructure informatique de l'entreprise contre les cybermenaces avancées. La fonctionnalité de la solution combine la détection automatique des menaces avec la capacité de réagir à ces menaces pour contrer les attaques avancées, notamment les nouveaux exploits, les ransomwares, les attaques sans fichier ainsi que les méthodes utilisant des outils système légitimes. Pour en savoir plus sur la solution, consultez l'aide de Kaspersky Endpoint Detection and Response Optimum. Kaspersky Endpoint Detection and Response Optimum examine et analyse le développement des menaces et fournit au personnel de sécurité ou à l'administrateur les informations sur l'attaque potentielle qui sont nécessaires pour assurer une réponse rapide. Kaspersky Endpoint Detection and Response affiche les détails de l'alerte dans une nouvelle fenêtre. Les Détails de l'alerte sont un outil permettant de visualiser l'ensemble des informations collectées sur une menace détectée et de gérer les actions de réponse. Les détails de l'alerte reprennent par exemple l'histoire des fichiers qui apparaissent sur l'ordinateur. Pour en savoir plus sur la gestion des détails de la détection, consultez l'aide de Kaspersky Endpoint Detection and Response Optimum.

La solution utilise les outils de renseignements sur les menaces suivants :

• L'infrastructure du service Cloud Kaspersky Security Network (ci-après également appelé "KSN"), qui donne accès à des informations en temps réel sur la réputation des fichiers, des sites Internet et des logiciels à partir de la base de connaissances de Kaspersky. L'utilisation des données de Kaspersky Security Network permet aux applications de Kaspersky de réagir plus rapidement aux menaces, augmente l'efficacité de fonctionnement de certains modules de protection et réduit la possibilité de faux positifs.
• L'intégration avec Kaspersky Private Security Network (ci-après également appelé "KPSN"), qui permet à l'utilisateur d'accéder à la base de données de réputation de KSN ainsi qu'à d'autres données statistiques sans avoir à envoyer les données de son ordinateur à KSN.
• L'intégration avec le système d'information Kaspersky Threat Intelligence Portal, qui contient et affiche des informations concernant la réputation des fichiers et des URL.
• La base de données Kaspersky Threats.

Kaspersky Endpoint Detection and Response Optimum nécessite Kaspersky Security Center version 13.2. Dans les versions antérieures de Kaspersky Security Center, il est impossible d'activer la fonction EDR Optimum.

Le module peut être administré uniquement à l'aide de Web Console. Vous ne pouvez pas gérer ce module à l'aide de la Console d'administration (MMC).

Intégration avec Kaspersky Endpoint Detection and Response Optimum

L'intégration avec Kaspersky Endpoint Detection and Response Optimum comprend les étapes suivantes :

1. Installation du module Kaspersky Endpoint Detection and Response Optimum

   Vous pouvez sélectionner le module Endpoint Detection and Response Optimum lors de l'installation ou de la mise à niveau ainsi qu'à l'aide de la tâche Modification du contenu du module de l'application.

   Suite à l'exécution de la tâche Modification de la sélection des modules de l'application, l'état de la tâche s'affiche de manière incorrecte. Au lieu de Terminé(e) avec succès, la tâche a l'état Planifié. Cependant, la tâche peut toujours être terminée avec succès. Assurez-vous que le nouveau module est installé dans les propriétés de l'ordinateur de la console Kaspersky Security Center (Applications → Kaspersky Endpoint Security for Windows → Modules) ou dans l'interface locale de l'application.

2. Activation de Kaspersky Endpoint Detection and Response Optimum

   Vous pouvez acquérir une licence d'utilisation de Kaspersky Endpoint Detection and Response Optimum de l'une des manières suivantes :

   • La fonction EDR Optimum est incluse dans la licence d'utilisation de Kaspersky Endpoint Security for Windows.

     La fonction sera disponible immédiatement après l'activation de Kaspersky Endpoint Security for Windows.

   • Extension de licence pour l'utilisation de EDR Optimum.

     La fonction sera disponible après avoir ajouté une clé distincte pour Kaspersky Endpoint Detection and Response. Par conséquent, deux clés seront installées sur l'ordinateur : une clé pour Kaspersky Endpoint Security et une clé pour Kaspersky Endpoint Detection and Response Optimum.

     La licence pour la fonction EDR Optimum seule ne diffère pas de la licence pour Kaspersky Endpoint Security.

   Assurez-vous que la fonction EDR Optimum est incluse dans la licence et qu'elle est exécutée dans l'interface locale de l'application.

3. Activation du module Endpoint Detection and Response Optimum

   Vous pouvez activer ou désactiver le module dans les paramètres de la stratégie de Kaspersky Endpoint Security for Windows.

   Pour utiliser le module, les conditions suivantes doivent être remplies :

   • L'application est activée, et la fonctionnalité de Kaspersky Endpoint Detection and Response Optimum est couverte par la licence.
   • Le module Endpoint Detection and Response Optimum est activé.
   • Les modules de l'application dont dépend Endpoint Detection and Response Optimum sont activés et opérationnels. Ce module dépend des modules suivants :
     • Protection contre les fichiers malicieux.
     • Protection contre les menaces Internet.
     • Protection contre les menaces par emails.
     • Protection contre les Exploits.
     • Détection comportementale.
     • Prévention des intrusions.
     • Réparation des actions malicieuses.
     • Contrôle évolutif des anomalies.

   Activation ou désactivation du module Endpoint Detection and Response Optimum dans Web Console

   1. Dans la fenêtre principale de Web Console, sélectionnez la section Appareils → Stratégies et profils.
   2. Cliquez sur le nom de la stratégie de Kaspersky Endpoint Security.

      La fenêtre des propriétés de la stratégie s'ouvre.

   3. Choisissez l'onglet Paramètres des applications.
   4. Sélectionnez Detection and Response → Endpoint Detection and Response Optimum.
   5. Activez le commutateur Endpoint Detection and Response Optimum.
   6. Enregistrez vos modifications.

   Le module Kaspersky Endpoint Detection and Response Optimum est activé. Vérifiez l'état de fonctionnement du module en consultant le rapport sur l'état des modules de l'application. Vous pouvez également consulter l'état de fonctionnement d'un module dans les rapports de l'interface locale de Kaspersky Endpoint Security. Le module Endpoint Detection and Response Optimum est ajouté à la liste des modules de Kaspersky Endpoint Security.

4. Activation du transfert de données au Serveur d'administration

   Pour activer toutes les fonctionnalités d'EDR Optimum, le transfert doit être activé pour les types de données suivants :

   • Données de fichiers de la quarantaine.

     Ces données sont requises pour obtenir des informations à propos des fichiers mis en quarantaine sur un ordinateur via Web Console. Par exemple, vous pouvez télécharger un fichier de la quarantaine pour l'analyser dans Web Console.

   • Données de la chaîne de conception des menaces.

     Ces données sont requises pour obtenir des informations à propos des menaces détectées sur un ordinateur dans Web Console. Vous pouvez consulter les détails de l'alerte et prendre des mesures de réponse dans Web Console.

   Comment activer le transfert de données vers le Serveur d'administration dans Web Console ?

   1. Dans la fenêtre principale de Web Console, sélectionnez la section Appareils → Stratégies et profils.
   2. Cliquez sur le nom de la stratégie de Kaspersky Endpoint Security.

      La fenêtre des propriétés de la stratégie s'ouvre.

   3. Choisissez l'onglet Paramètres des applications.
   4. Sélectionnez Paramètres généraux → Rapports et stockage.
   5. Veuillez cocher les cases suivantes sous Transfert des données au Serveur d'administration :
      • À propos des fichiers de la Quarantaine.
      • À propos d'une chaîne de développement de menaces.
   6. Enregistrez vos modifications.

Migration de Kaspersky Endpoint Agent vers Kaspersky Endpoint Security for Windows

Si vous utilisez Kaspersky Endpoint Security 11.7.0 ou une version plus récente avec le module EDR Optimum (agent intégré) installé, vous n'avez rien à faire pour que la solution Kaspersky Endpoint Detection and Response Optimum fonctionne. Le module EDR Optimum n'est pas compatible avec Kaspersky Endpoint Agent. Si Kaspersky Endpoint Agent est installé sur l'ordinateur, lors de la mise à jour de Kaspersky Endpoint Security vers la version 11.7.0, Kaspersky Endpoint Detection and Response Optimum continue de fonctionner avec Kaspersky Endpoint Security. De plus, Kaspersky Endpoint Agent sera supprimé de l'ordinateur. Pour terminer la migration de Kaspersky Endpoint Agent vers Kaspersky Endpoint Security for Windows, vous devez transférer les paramètres de stratégie et de tâche à l'aide de l'Assistant de migration.

Si vous utilisez Kaspersky Endpoint Security 11.4.0-11.6.0 pour l'interopérabilité avec Kaspersky Endpoint Detection and Response Optimum, l'application comprend Kaspersky Endpoint Agent. Vous pouvez installer Kaspersky Endpoint Agent en même temps que Kaspersky Endpoint Security.

Le module EDR Optimum faisant partie de Kaspersky Endpoint Security permet l'interaction avec la solution Kaspersky Endpoint Detection and Response Optimum 2.0. L'interaction avec la version 1.0 de Kaspersky Endpoint Detection and Response Optimum n'est pas prise en charge.

Dans cette section Rechercher d'indicateurs de compromission (IOC) Placer le fichier en quarantaine Obtenir le fichier Supprimer le fichier Démarrage du processus Terminer le processus Prévention de l'exécution Isolation du réseau pour l'ordinateur

Haut de page