Endpoint Detection and Response

Kaspersky Endpoint Security 11.7.0 dispose désormais d'un agent intégré pour la solution Kaspersky Endpoint Detection and Response Optimum (ci-après également "EDR Optimum"). Kaspersky Endpoint Detection and Response Optimum est une solution permettant de protéger l'infrastructure informatique de l'entreprise contre les cybermenaces avancées. La fonctionnalité de la solution combine la détection automatique des menaces avec la capacité de réagir à ces menaces pour contrer les attaques avancées, notamment les nouveaux exploits, les ransomwares, les attaques sans fichier ainsi que les méthodes utilisant des outils système légitimes. Pour en savoir plus sur la solution, consultez l'aide de Kaspersky Endpoint Detection and Response Optimum.

Kaspersky Endpoint Detection and Response Optimum examine et analyse le développement des menaces et fournit au personnel de sécurité ou à l'administrateur les informations sur l'attaque potentielle qui sont nécessaires pour assurer une réponse rapide. Kaspersky Endpoint Detection and Response affiche les détails de l'alerte dans une nouvelle fenêtre. Les Détails de l'alerte sont un outil permettant de visualiser l'ensemble des informations collectées sur une menace détectée et de gérer les actions de réponse. Les détails de l'alerte reprennent par exemple l'histoire des fichiers qui apparaissent sur l'ordinateur. Pour en savoir plus sur la gestion des détails de la détection, consultez l'aide de Kaspersky Endpoint Detection and Response Optimum.

Le module peut être administré uniquement à l'aide de Kaspersky Security Center Web Console. Vous ne pouvez pas gérer ce module à l'aide de la Console d'administration (MMC).

Paramètres de Endpoint Detection and Response Optimum

Paramètre

Description

Isolation du réseau

Isolation automatique de l'ordinateur du réseau en réponse aux menaces détectées.

Lorsque l'isolation du réseau est activée, l'application coupe toutes les connexions actives et bloque toutes les nouvelles connexions TCP/IP sur l'ordinateur. L'application ne laisse actives que les connexions suivantes :

  • Les connexions indiquées dans Exclusions de l'isolation du réseau.
  • Les connexions amorcées par les services de Kaspersky Endpoint Security.
  • Les connexions amorcées par l'Agent d'administration de Kaspersky Security Center.

Déverrouiller automatiquement l'ordinateur isolé dans X heures

L'isolation du réseau peut être désactivée automatiquement après une durée déterminée ou manuellement. Par défaut, Kaspersky Endpoint Security désactive l'isolation du réseau 5 heures après le début de l'isolation.

Exclusions d'isolation du réseau

Liste des règles d'exclusion de l'isolation du réseau. Les connexions réseau qui correspondent aux règles ne sont pas bloquées sur les ordinateurs lorsque l'isolation du réseau est activée.

Pour configurer les exclusions d'isolation du réseau, vous pouvez utiliser une liste de profils réseau standard. Par défaut, les exclusions comprennent les profils réseau contenant des règles qui assurent le fonctionnement ininterrompu des appareils avec les rôles de serveur DNS/DHCP et de client DNS/DHCP. Vous pouvez également modifier les paramètres des profils réseau standard ou définir des exclusions manuellement.

Les exclusions définies dans les propriétés de la stratégie sont appliquées uniquement si l'isolation du réseau est activée automatiquement en réponse à une menace détectée. Les exclusions définies dans les propriétés de l'ordinateur sont appliquées uniquement si l'isolation du réseau est activée manuellement dans les propriétés de l'ordinateur dans la console Kaspersky Security Center.

Prévention de l'exécution

Contrôlez l'exécution des fichiers exécutables et des scripts ainsi que l'ouverture des fichiers au format Office. Par exemple, vous pouvez empêcher l'exécution d'applications considérées comme étant non sécurisées sur l'ordinateur sélectionné. La prévention de l'exécution prend en charge un ensemble d'extensions de fichier Office et un ensemble d'interpréteurs de scripts.

Action sur l'exécution ou l'ouverture d'un objet interdit

Bloquer et écrire dans le rapport. Dans ce mode, l'application bloque l'exécution des objets ou l'ouverture des documents qui correspondent aux critères des règles de prévention. L'application publie également un événement sur les tentatives d'exécution d'objets ou d'ouverture de documents dans le journal des événements Windows et dans le journal des événements de Kaspersky Security Center.

Consigner les événements uniquement. Dans ce mode, Kaspersky Endpoint Security publie un événement sur les tentatives d'exécution d'objets exécutables ou d'ouverture de documents qui correspondent aux critères de la règle de prévention dans le journal des événements Windows et dans Kaspersky Security Center, mais ne bloque pas la tentative d'exécution ni d'ouverture de l'objet ou du document. Ce mode est sélectionné par défaut.

Règles de prévention de l'exécution

Liste des règles de prévention de l'exécution des objets. Les règles de prévention de l'exécution sont un ensemble de critères qui sont pris en compte lors du blocage. L'application identifie les fichiers par leur chemin d'accès ou leurs sommes de contrôle calculées à l'aide des algorithmes de hachage MD5 et SHA256.

Haut de page