Endpoint Detection and Response Expert (on-premise)
|
Kaspersky Endpoint Security for Windows prend en charge l'intégration avec les solutions Kaspersky Endpoint Detection and Response Expert (on premise). Kaspersky Endpoint Detection and Response Expert (on-premise) est une solution de cybersécurité d'entreprise qui comprend des applications Kaspersky permettant à une organisation de se défendre contre la plupart des types de cyber-risques et de faire face aux scénarios de propagation des menaces les plus importants. Les modules EDR Expert (on-premise) sont déployés sur Open Single Management Platform (OSMP). Cette plateforme exécute des scénarios multiplateformes dans une interface unique et permet d'intégrer des applications Kaspersky avec des applications tierces dans un système de sécurité complet. L'un des éléments centraux de la solution est SIEM. Le SIEM suit les événements provenant de tous les modules et les met en corrélation les uns avec les autres à l'aide de règles définies par le fournisseur et l'utilisateur. EDR Expert (on-premise) examine les données télémétriques et les journaux reçus de l'infrastructure de l'entreprise pour détecter automatiquement les attaques et permet d'enquêter sur les incidents à l'aide d'un graphique d'enquête unifié qui combine tous les événements collectés dans EDR Expert (on-premise), y compris les événements provenant des applications Kaspersky et des produits de sécurité informatique tiers. Pour la réponse aux incidents avancés, EDR Expert (on-premise) utilise des scénarios prédéfinis et définis par l'utilisateur. Vous pouvez également utiliser des actions de réponse à partir d'applications tierces et des scénarios de réponse qui impliquent plusieurs applications. |
Outils de Threat Intelligence
Kaspersky Endpoint Detection and Response utilise les outils de renseignement sur les menaces suivants :
- L'intégration avec le portail Kaspersky Threat Intelligence Portal, qui contient et affiche des informations concernant la réputation des fichiers et des adresses Internet.
- La base de données Kaspersky Threats.
- L'infrastructure du service Cloud Kaspersky Security Network (ci-après également appelé "KSN"), qui donne accès à des informations en temps réel sur la réputation des fichiers, des sites Internet et des logiciels à partir de la base de connaissances de Kaspersky. L'utilisation des données de Kaspersky Security Network permet aux applications de Kaspersky de réagir plus rapidement aux menaces, augmente l'efficacité de fonctionnement de certains modules de protection et réduit la possibilité de faux positifs.
Principe de fonctionnement de la solution
Kaspersky Endpoint Security est installé sur chaque ordinateur de l'infrastructure informatique de l'entreprise et surveille en permanence les processus, les connexions réseau ouvertes ainsi que les fichiers en cours de modification. Les informations (télémétrie) sur les événements survenus sur l'ordinateur sont envoyées au serveur EDR Expert (on-premise). Dans ce cas, Kaspersky Endpoint Security envoie également aux serveurs de collecte de données télémétriques des informations sur les menaces détectées par l'application, ainsi que des informations sur les résultats du traitement de ces menaces.
L'intégration de EDR Expert (on-premise) est configurée dans la console de Kaspersky Security Center. L'agent intégré est ensuite géré à l'aide de la plateforme Open Single Management Platform (OSMP), y compris l'exécution des tâches, la gestion des objets mis en quarantaine, l'affichage des rapports et d'autres actions.
Configurations de Kaspersky Endpoint Security pour utiliser EDR Expert (on-premise)
Les configurations suivantes peuvent être appliquées pour utiliser EDR Expert (on-premise) :
- [KES+agent intégré]. Dans cette configuration, Kaspersky Endpoint Security agit à la fois comme une application assurant la sécurité de l'ordinateur et comme une application permettant d'utiliser EDR Expert (on-premise). L'agent intégré pour EDR Expert (on-premise) est disponible dans Kaspersky Endpoint Security 12.11 for Windows et toute version ultérieure.
- [PPE tierce+EDR Agent]. Dans cette configuration, la sécurité de l'infrastructure informatique est assurée par la Endpoint Protection Platform (PPE) tierce. L'interaction avec EDR Expert (on-premise) est assurée par Kaspersky Endpoint Security dans la configuration Endpoint Detection and Response Agent (EDR Agent). Dans cette configuration, EDR Agent est compatible avec les applications PPE tierces. EDR Agent pour EDR Expert (on-premise) est disponible dans Kaspersky Endpoint Security 12.11 for Windows et toute version ultérieure.