Endpoint Detection and Response Expert (on-premise)

Endpoint Detection and Response Expert (on-premise)

Kaspersky Endpoint Security for Windows prend en charge l'intégration avec les solutions Kaspersky Endpoint Detection and Response Expert (on premise). Kaspersky Endpoint Detection and Response Expert (on-premise) est une solution de cybersécurité d'entreprise qui comprend des applications Kaspersky permettant à une organisation de se défendre contre la plupart des types de cyber-risques et de faire face aux scénarios de propagation des menaces les plus importants. Les modules EDR Expert (on-premise) sont déployés sur Open Single Management Platform (OSMP). Cette plateforme exécute des scénarios multiplateformes dans une interface unique et permet d'intégrer des applications Kaspersky avec des applications tierces dans un système de sécurité complet.

L'un des éléments centraux de la solution est SIEM. Le SIEM suit les événements provenant de tous les modules et les met en corrélation les uns avec les autres à l'aide de règles définies par le fournisseur et l'utilisateur. EDR Expert (on-premise) examine les données télémétriques et les journaux reçus de l'infrastructure de l'entreprise pour détecter automatiquement les attaques et permet d'enquêter sur les incidents à l'aide d'un graphique d'enquête unifié qui combine tous les événements collectés dans EDR Expert (on-premise), y compris les événements provenant des applications Kaspersky et des produits de sécurité informatique tiers.

Pour la réponse aux incidents avancés, EDR Expert (on-premise) utilise des scénarios prédéfinis et définis par l'utilisateur. Vous pouvez également utiliser des actions de réponse à partir d'applications tierces et des scénarios de réponse qui impliquent plusieurs applications.

Endpoint Detection and Response (KATA)

Kaspersky Endpoint Security for Windows fonctionne avec le module Kaspersky Endpoint Detection and Response dans le cadre de la solution Kaspersky Anti Targeted Attack Platform (EDR (KATA)). Kaspersky Anti Targeted Attack Platform est une solution conçue pour la détection ponctuelle de menaces complexes, telles que les attaques ciblées, les menaces persistantes avancées (APT en anglais), les attaques zero day, etc. Kaspersky Anti Targeted Attack Platform comprend trois unités fonctionnelles :

Vous pouvez acheter l'ensemble des unités fonctionnelles ou des unités fonctionnelles individuelles séparément. Pour en savoir plus sur la solution, consultez l'aide de Kaspersky Anti Targeted Attack Platform.

Kaspersky Endpoint Security est installé sur chaque ordinateur de l'infrastructure informatique de l'entreprise et surveille en permanence les processus, les connexions réseau ouvertes ainsi que les fichiers en cours de modification. Les informations relatives aux événements survenus sur l'ordinateur (données de télémétrie) sont envoyées au serveur Kaspersky Anti Targeted Attack Platform. Dans ce cas, Kaspersky Endpoint Security envoie également au serveur Kaspersky Anti Targeted Attack Platform des informations relatives aux menaces découvertes par l'application ainsi que des informations relatives aux résultats du traitement de ces menaces.

L'intégration de EDR (KATA) et NDR (KATA) est configurée dans la console de Kaspersky Security Center. L'agent intégré est ensuite géré à l'aide de la console Kaspersky Anti Targeted Attack Platform, y compris l'exécution des tâches, la gestion des objets mis en quarantaine, l'affichage des rapports et d'autres actions.

Paramètres d'Endpoint Detection and Response Expert (on-premise)

Paramètre

Description

Connexion aux serveurs de collecte de données télémétriques

Un serveur de collection de télémétrie est un serveur qui fait partie d'une solution SIEM et qui collecte, normalise, corrèle, analyse et stocke les informations relatives aux événements qui se produisent sur l'ordinateur.

Configurez les éléments suivants pour la connexion aux serveurs de collecte des données télémétriques (KUMA) :

  • Délai d'attente (s.). Délai maximal de réponse du serveur. À l'expiration du délai, Kaspersky Endpoint Security essaie de se connecter à un autre serveur.
  • Certificat de serveur. Certificat TLS permettant d'établir une connexion sécurisée avec le serveur. Vous pouvez obtenir un certificat TLS sur la plateforme Open Single Management Platform (voir les instructions dans l'aide de Kaspersky Endpoint Detection and Response Expert (on-premise)).
  • Utiliser l'authentification bidirectionnelle. Authentification bidirectionnelle lors de l'établissement d'une connexion sécurisée entre Kaspersky Endpoint Security et le serveur. Pour utiliser l'authentification bidirectionnelle, vous devez activer l'authentification bidirectionnelle dans les paramètres du serveur, puis obtenir un conteneur crypto et définir un mot de passe pour protéger le conteneur crypto. Un conteneur crypto est une archive PFX contenant un certificat et une clé privée. Vous pouvez obtenir un conteneur crypto sur la plateforme Open Single Management Platform (voir les instructions dans l'aide de Kaspersky Endpoint Detection and Response Expert (on-premise)). Après avoir configuré les paramètres du serveur, vous devez également activer l'authentification bidirectionnelle dans les paramètres de Kaspersky Endpoint Security et charger un conteneur crypto protégé par mot de passe.

Le conteneur crypto doit être protégé par un mot de passe. Il n'est pas possible d'ajouter de conteneur crypto avec un mot de passe vide.

Adresse et Port (serveurs de collecte de données télémétriques)

Paramètres de connexion aux serveurs de collecte de données télémétriques. Vous pouvez saisir une adresse IP (IPv4 ou IPv6).

Vous pouvez ajouter plusieurs adresses de serveur de collecte de données télémétriques. Kaspersky Endpoint Security tente de se connecter au serveur à partir de la première adresse IP. Si une connexion ne peut être établie, Kaspersky Endpoint Security tente de se connecter à la deuxième adresse IP de la liste et ainsi de suite.

Envoyer les données télémétriques aux serveurs de collecte de données télémétriques

Cette fonctionnalité permet de désactiver complètement l'envoi de télémétrie au serveur KATA. Par exemple, si vous utilisez Kaspersky Anti Targeted Attack Platform avec une autre solution qui utilise également la télémétrie, vous pouvez désactiver l'envoi de la télémétrie pour KATA (EDR). Cela vous permet d'optimiser la charge du serveur pour ces solutions. Si vous avez déployé la solution Managed Detection and Response et KATA (EDR), vous pouvez utiliser la télémétrie MDR et créer des tâches Threat Response dans KATA (EDR).

  • Envoyer la télémétrie avec l'IOA uniquement. Cela permet d'optimiser la télémétrie et d'envoyer uniquement la télémétrie avec IOA. Indicateur d'attaque (IOA) est une règle qui contient une description du comportement suspect dans le système qui peut indiquer une attaque ciblée. L'application compare le comportement actuel du système à ces règles et enregistre les événements qui indiquent une attaque ciblée. L'application utilise la technologie d'analyse en continu qui permet de suivre en temps réel ces événements.
  • Délai maximal de transmission des événements (s.). L'application se synchronise avec le serveur pour envoyer des événements après l'expiration de l'intervalle de synchronisation. Le paramètre par défaut est de 30 secondes.
  • Limiter le nombre de paquets d'événements par transmission. L'application se synchronise avec le serveur lorsque la mémoire tampon est remplie d'événements. Le paramètre par défaut est de 1024 événements. Cette fonction permet de désactiver la mise en mémoire tampon des événements avant la synchronisation avec le serveur.

Activer la limitation des demandes

Cette fonctionnalité permet d'optimiser la charge exercée sur l'ordinateur. Si la case est cochée, l'application limite le nombre d'événements transmis. Si le nombre d'événements dépasse les limites configurées, Kaspersky Endpoint Security arrête d'envoyer des événements.

Configurez les paramètres de la télémétrie :

  • Nombre maximal d'événements par heure. L'application analyse le flux de données de télémétrie et limite l'envoi d'événements si le flux d'événements dépasse la limite configurée du nombre d'événements par heure. Kaspersky Endpoint Security reprend l'envoi des événements après une heure. Le paramètre par défaut est de 3 000 événements par heure. Si l'application est installée sur un serveur, le flux de données de télémétrie est plus élevé. Pour les serveurs, il est recommandé d'augmenter la valeur à 60 000 événements par heure.
  • Pourcentage de la limite d'événement excédentaire. L'application trie les événements par type (par exemple, les événements « modifications du registre ») et limite la transmission des événements si le rapport des événements du même type au nombre total d'événements dépasse la limite configurée en pourcentage. Kaspersky Endpoint Security reprend l'envoi d'événements lorsque le rapport entre les autres événements et le nombre total d'événements redevient suffisant. Le paramètre par défaut est de 15 %.

Envoyer une demande de synchronisation au serveur toutes les (min.)

Fréquence des requêtes de synchronisation envoyées au serveur. Lors de la synchronisation, Kaspersky Endpoint Security envoie des informations sur les paramètres et les tâches modifiés de l'application.

Connexion aux serveurs de réponse

Un serveur de réponse est un serveur pour la réception et l'analyse des données, l'étude du comportement d'objets et la publication des résultats.

Configurez les éléments suivants pour la connexion aux serveurs de réponse :

  • Délai d'attente (s.). Délai maximal de réponse du serveur. À l'expiration du délai, Kaspersky Endpoint Security essaie de se connecter à un autre serveur.
  • Certificat de serveur. Certificat TLS permettant d'établir une connexion sécurisée avec le serveur. Vous pouvez obtenir un certificat TLS sur la plateforme Open Single Management Platform (voir les instructions dans l'aide de Kaspersky Endpoint Detection and Response Expert (on-premise)).
  • Utiliser l'authentification bidirectionnelle. Authentification bidirectionnelle lors de l'établissement d'une connexion sécurisée entre Kaspersky Endpoint Security et le serveur. Pour utiliser l'authentification bidirectionnelle, vous devez activer l'authentification bidirectionnelle dans les paramètres du serveur, puis obtenir un conteneur crypto et définir un mot de passe pour protéger le conteneur crypto. Un conteneur crypto est une archive PFX contenant un certificat et une clé privée. Vous pouvez obtenir un conteneur crypto sur la plateforme Open Single Management Platform (voir les instructions dans l'aide de Kaspersky Endpoint Detection and Response Expert (on-premise)). Après avoir configuré les paramètres du serveur, vous devez également activer l'authentification bidirectionnelle dans les paramètres de Kaspersky Endpoint Security et charger un conteneur crypto protégé par mot de passe.

Adresse et Port (serveurs de réponse)

Paramètres de connexion aux serveurs de réponse. Vous pouvez saisir une adresse IP (IPv4 ou IPv6).

Vous pouvez ajouter plusieurs adresses de serveur de collecte de données télémétriques. Kaspersky Endpoint Security tente de se connecter au serveur à partir de la première adresse IP. Si une connexion ne peut être établie, Kaspersky Endpoint Security tente de se connecter à la deuxième adresse IP de la liste et ainsi de suite.

Paramètres de Endpoint Detection and Response (KATA)

Paramètre

Description

Envoyer une demande de synchronisation au serveur toutes les (min.)

Fréquence des requêtes de synchronisation envoyées au serveur. Lors de la synchronisation, Kaspersky Endpoint Security envoie des informations sur les paramètres et les tâches modifiés de l'application.

Connexion aux serveurs KATA

Configurez les éléments suivants pour la connexion au serveur Central Node :

  • Délai d'attente (s.). Délai maximal de réponse du serveur Central Node. À l'expiration du délai, Kaspersky Endpoint Security essaie de se connecter à un autre serveur Central Node.
  • Certificat de serveur. Certificat TLS permettant d'établir une connexion sécurisée avec le serveur Central Node. Vous pouvez obtenir un certificat TLS dans la console Kaspersky Anti Targeted Attack Platform (voir les instructions dans l'aide de Kaspersky Anti Targeted Attack Platform).
  • Utiliser l'authentification bidirectionnelle. Authentification bidirectionnelle lors de l'établissement d'une connexion sécurisée entre Kaspersky Endpoint Security et le serveur Central Node. Pour utiliser l'authentification bidirectionnelle, vous devez activer l'authentification bidirectionnelle dans les paramètres du serveur Central Node, puis obtenir un conteneur crypto et définir un mot de passe pour protéger le conteneur crypto. Un conteneur crypto est une archive PFX contenant un certificat et une clé privée. Vous pouvez obtenir un conteneur crypto dans la console Kaspersky Anti Targeted Attack Platform (voir les instructions dans l'aide de Kaspersky Anti Targeted Attack Platform). Après avoir configuré les paramètres du Central Node, vous devez également activer l'authentification bidirectionnelle dans les paramètres de Kaspersky Endpoint Security et charger un crypto-conteneur protégé par mot de passe.

Le conteneur crypto doit être protégé par un mot de passe. Il n'est pas possible d'ajouter de conteneur crypto avec un mot de passe vide.

Adresse et Port (serveurs KATA)

Paramètres de connexion aux serveurs Kaspersky Anti Targeted Attack Platform. Indiquez l'adresse du serveur (IPv4 ou IPv6) et le port de connexion au serveur.

Vous pouvez ajouter plusieurs adresses de serveur de nœud central. Kaspersky Endpoint Security tente de se connecter au serveur à partir de la première adresse IP. Si une connexion ne peut être établie, Kaspersky Endpoint Security tente de se connecter à la deuxième adresse IP de la liste et ainsi de suite.

Envoyer la télémétrie à KATA

Cette fonctionnalité permet de désactiver complètement l'envoi de télémétrie au serveur KATA. Par exemple, si vous utilisez Kaspersky Anti Targeted Attack Platform avec une autre solution qui utilise également la télémétrie, vous pouvez désactiver l'envoi de la télémétrie pour KATA (EDR). Cela vous permet d'optimiser la charge du serveur pour ces solutions. Si vous avez déployé la solution Managed Detection and Response et KATA (EDR), vous pouvez utiliser la télémétrie MDR et créer des tâches Threat Response dans KATA (EDR).

Configurez les paramètres de la télémétrie :

  • Délai maximal de transmission des événements (s.). L'application se synchronise avec le serveur pour envoyer des événements après l'expiration de l'intervalle de synchronisation. Le paramètre par défaut est de 30 secondes.
  • Nombre maximal de paquets d'événements. L'application se synchronise avec le serveur lorsque la mémoire tampon est remplie d'événements. Le paramètre par défaut est de 1024 événements.

Activer la limitation des demandes

Cette fonctionnalité permet d'optimiser la charge exercée sur l'ordinateur. Si la case est cochée, l'application limite le nombre d'événements transmis. Si le nombre d'événements dépasse les limites configurées, Kaspersky Endpoint Security arrête d'envoyer des événements.

Configurez les paramètres de la télémétrie :

  • Nombre maximal d'événements par heure. L'application analyse le flux de données de télémétrie et limite l'envoi d'événements si le flux d'événements dépasse la limite configurée du nombre d'événements par heure. Kaspersky Endpoint Security reprend l'envoi des événements après une heure. Le paramètre par défaut est de 3 000 événements par heure. Si l'application est installée sur un serveur, le flux de données de télémétrie est plus élevé. Pour les serveurs, il est recommandé d'augmenter la valeur à 60 000 événements par heure.
  • Pourcentage de la limite d'événement excédentaire. L'application trie les événements par type (par exemple, les événements « modifications du registre ») et limite la transmission des événements si le rapport des événements du même type au nombre total d'événements dépasse la limite configurée en pourcentage. Kaspersky Endpoint Security reprend l'envoi d'événements lorsque le rapport entre les autres événements et le nombre total d'événements redevient suffisant. Le paramètre par défaut est de 15 %.

Voir également

Intégration de l'agent intégré avec EDR / NDR (KATA)

Configuration de la télémétrie EDR (KATA)
Haut de page