Kaspersky Managed Detection and Response
- Aide de Kaspersky Managed Detection and Response
- Nouveautés
- À propos de Kaspersky Managed Detection and Response
- Configuration matérielle et logicielle requise
- Architecture de Kaspersky Managed Detection and Response
- Interfaces de Kaspersky Managed Detection and Response
- Section MDR dans Kaspersky Security Center
- Configuration du plug-in MDR dans Kaspersky Security Center
- Configuration du plug-in MDR
- Configuration des droits d’accès dans Kaspersky Security Center
- Consultation et modification des paramètres MDR dans Kaspersky Security Center
- Utilisation des fonctions du plug-in MDR sur un Serveur d’Administration virtuel
- Utilisation des fonctions MDR de Kaspersky Security Center via un serveur proxy
- Modification des certificats pour l’utilisation des fonctions MDR dans Kaspersky Security Center grâce à un serveur proxy ou un logiciel antivirus
- Masquer et afficher les fonctionnalités MDR dans Kaspersky Security Center
- Configuration du plug-in MDR dans Kaspersky Security Center
- Console MDR en ligne
- Changement de la langue de l’interface dans Kaspersky Security Center
- Changement de langue pour les notifications et les rapports dans Kaspersky Security Center
- Changement de langue de l’interface dans la Console MDR en ligne
- Section MDR dans Kaspersky Security Center
- Activation de Kaspersky Managed Detection and Response
- Désactivation de Kaspersky Managed Detection and Response
- Déploiement de Kaspersky Managed Detection and Response
- À propos du fichier de configuration MDR
- Licence
- Comparatif des niveaux de licence commerciale
- À propos de la licence
- À propos du code d'activation
- Entrez un nouveau code d’activation
- À propos de l'Accord MDR
- À propos de l’Accord sur le traitement des données
- Révocation de votre consentement avec les conditions d’utilisation de la solution MDR
- Gestion des licences dans Kaspersky Security Center
- Collecte des données
- À propos de Kaspersky Security Network
- Tableaux de bord de surveillance dans de la Console MDR en ligne
- Réception d’informations récapitulatives
- Réception de notifications
- Administration des utilisateurs
- Invitation de nouveaux utilisateurs dans la Console MDR en ligne
- Modification des rôles des utilisateurs dans la Console MDR en ligne
- Modification des modes de notification des utilisateurs dans la Console MDR en ligne
- Modification de l’accès des utilisateurs aux clients dans la Console MDR en ligne
- Gestion des éléments
- Administration des incidents
- À propos des incidents
- Visualisation et recherche des incidents dans la Console MDR en ligne
- Filtrage des incidents dans la Console MDR en ligne
- Création d’incidents personnalisés dans la Console MDR en ligne
- Affichage d’informations détaillées concernant les incidents dans la Console MDR en ligne
- Types de réponse
- Traitement des réponses aux incidents dans la Console MDR en ligne
- Acceptation automatique des réponses dans la Console MDR en ligne
- Acceptation automatique des réponses dans Kaspersky Security Center
- Clôture des incidents dans la Console MDR en ligne
- Utilisation des fonctionnalités de Kaspersky Endpoint Detection and Response Optimum
- Multilocation
- Gestion des locataires dans Kaspersky Security Center
- Affichage des clients dans Kaspersky Security Center
- Affichage des paramètres des locataires dans Kaspersky Security Center
- Modification des paramètres des locataires dans Kaspersky Security Center
- Ajout de nouveaux locataires dans Kaspersky Security Center
- Suppression des locataires dans Kaspersky Security Center
- Déplacement de ressources entre locataires
- Gestion des locataires dans la Console MDR en ligne
- Affichage des locataires dans la Console MDR en ligne
- Affichage des paramètres des locataires dans la Console MDR en ligne
- Modification des paramètres des locataires dans la Console MDR en ligne
- Ajout de nouveaux locataires dans la Console MDR en ligne
- Suppression des locataires dans la Console MDR en ligne
- Gestion des locataires dans Kaspersky Security Center
- Gestion de la solution via l’API REST
- Scénario : effectuer une autorisation basée sur des jetons
- Création d’une connexion API dans Kaspersky Security Center
- Création d’une connexion API dans la Console MDR en ligne
- Modification d’une connexion API dans Kaspersky Security Center
- Modification d’une connexion API dans la Console MDR en ligne
- Création d’un jeton d’accès à Kaspersky Security Center
- Création d’un jeton d’accès dans la Console MDR en ligne
- Utilisation de l’API REST
- Révocation du jeton d’actualisation dans Kaspersky Security Center
- Suppression d’une connexion API dans Kaspersky Security Center
- Suppression d’une connexion API dans la Console MDR en ligne
- Problèmes connus
- Contacter le Support Technique
- Sources d’informations à propos de la solution
- Glossaire
- Informations sur le code tiers
- Avis de marques commerciales
Types de réponse
Tout développer | Tout réduire
Les analystes SOC MDR examinent les incidents et créent des réponses que vous pouvez accepter ou refuser. Il s’agit de la manière par défaut de gérer les incidents dans Kaspersky Managed Detection and Response.
Cependant, vous pouvez créer manuellement des réponses à l’aide des fonctionnalités de Kaspersky Endpoint Detection and Response Optimum.
Cet article décrit uniquement les types de réponses de l’analyste SOC.
Chaque réponse peut avoir un ensemble de paramètres qui sont présents dans l’onglet Réponses d’un incident.
Les types de réponses disponibles sont les suivants :
- Obtenir le fichier
Copier un fichier de votre infrastructure vers Kaspersky SOC. Si vous acceptez cette réponse, le fichier spécifié sera copié dans Kaspersky SOC.
Notez que ce type de réponse permet d’obtenir des fichiers contenant des données personnelles et/ou confidentielles.
Les paramètres possibles sont les suivants :
- Chemin d’accès au fichier infecté
Le chemin d’accès absolu du fichier. Par exemple,
C:\\file.exe. - Taille maximale du fichier
La taille maximale du fichier, en Mo.
Si le fichier infecté dépasse la taille de fichier maximale spécifiée, la tentative d’acceptation de la réponse échouera, et la réponse ne sera pas effectuée, mais s’affichera dans l’onglet Historique d’un incident.
- Chemin d’accès au fichier infecté
- Isoler
Isoler la ressource spécifiée du réseau.
Si vous devez désactiver d’urgence l’isolation du réseau, veuillez contacter le Support technique ou formuler une demande sous l’onglet Communication de l’incident.
Les paramètres possibles sont les suivants :
- Mot de passe pour désactiver l’isolation
Le mot de passe pour désactiver l’isolation. Une fois que le support technique aura reçu votre demande de désactivation de l’isolation du réseau, il vous enverra la procédure à suivre avec les détails concernant l’utilisation du mot de passe.
- Identifiant de la tâche
L’identifiant de tâche unique utilisé en association avec le Mot de passe pour désactiver l’isolation pour la désactivation manuelle de l’isolation réseau.
- Détails du mot de passe
Vous pouvez vérifier la validité du mot de passe en générant une clé dérivée à partir de celui-ci et en comparant la valeur résultante avec la valeur du paramètre Clé dérivée.
- Version
La version numérique des règles de création de mot de passe. Une version de 1 signifie que les paramètres suivants de PBKDF2 sont appliqués pour créer une clé dérivée :
- Algorithme de hachage HMACSHA256
- 10 000 itérations
- Longueur de clé de 32 octets
- Sel
Le sel au format HEX pour obtenir une clé dérivée via PBKDF2.
- Clé dérivée
La clé dérivée au format HEX.
- Version
- Période d’isolation de la ressource
Période en secondes après laquelle l’isolation sera automatiquement désactivée. Si aucune période personnalisée n’est définie, la période par défaut de sept jours est appliquée. La valeur maximale est de 2 678 400 secondes.
- Règles d’exclusion
Tableau de règles avec les ports, les protocoles, les adresses IP et les processus personnalisés auxquels l’isolation n’est pas appliquée.
- Direction
Le sens du trafic. Les valeurs possibles sont : entrant, sortant, et entrant et sortant.
- Protocole
Le numéro de protocole selon la spécification IANA.
Les valeurs possibles sont les suivantes :
- 1 (ICMP)
- 6 (TCP)
- 17 (UDP)
- 58 (IPv6-ICMP)
- Plage de ports distants
La plage de ports distants spécifiés dans les champs imbriqués De et À.
- Adresse IPv4 distante
L’adresse IPv4 distante ou le masque de sous-réseau.
- Adresse IPv6 distante
L’adresse IPv6 distante ou le masque de sous-réseau.
- Plage de ports locaux
La plage de ports locaux spécifiés dans les champs imbriqués De et À.
- Adresse IPv4 locale
L’adresse IPv4 locale ou le masque de sous-réseau.
- Adresse IPv6 locale
L’adresse IPv6 locale ou le masque de sous-réseau.
- Processus
Le chemin d’accès à l’image de processus spécifié dans le champ imbriqué Image → Chemin.
- Direction
- Mot de passe pour désactiver l’isolation
- Désactiver l’isolation
Désactivation de l’isolation du réseau de la ressource spécifiée.
- Supprimer la clé de registre
Suppression d’une clé de registre ou d’une branche de registre sur la ressource spécifiée.
Les paramètres possibles sont les suivants :
- Clé
Le chemin de la clé absolu, qui commence par
HKEY_LOCAL_MACHINEouHKEY_USERS. Par exemple,HKEY_LOCAL_MACHINE\\SYSTEM\\WebClient.Si la clé est un lien symbolique, seule cette clé sera supprimée tandis que la clé cible du lien restera intacte.
- Valeur
La valeur clé.
Si ce paramètre n’est pas spécifié, la clé sera supprimée de manière récursive. Lors de la suppression récursive, chaque sous-clé qui est un lien symbolique sera supprimée tandis que sa clé cible restera intacte.
Si la valeur de la clé est une chaîne vide, la valeur par défaut sera supprimée.
- Clé
- Vidage de mémoire
Création d’un vidage de mémoire et envoi à Kaspersky SOC.
Les paramètres possibles sont les suivants :
- Type de vidage
Un vidage de mémoire peut être de l’un des deux types suivants :
- Vidage complet de la mémoire
Un vidage de la mémoire entière d’un appareil.
- Vidage du processus
Un vidage d’un processus spécifié.
- Vidage complet de la mémoire
- Taille maximale du fichier
La taille maximale du fichier pour le vidage au format ZIP, en Mo. La valeur par défaut est de 100 Mo.
- Processus
L’identifiant du processus et les détails de l’image.
- Image
- Chemin d’accès
Le chemin d’accès absolu du fichier. Par exemple,
%systemroot%\\system32\\svchost.exe. - SHA-256
La somme de contrôle SHA-256 au format HEX.
- MD5
La somme de contrôle MD5 au format HEX.
- Chemin d’accès
- Identifiant unique
L’identifiant unique du processus.
- Image
- Limite du nombre de processus
Le nombre maximal de processus pouvant être contenus dans le fichier de vidage.
- Type de vidage
- Terminer le processus
Terminez le processus sur la ressource indiquée avec Kaspersky Endpoint Security for Windows. Le processus à arrêter peut être indiqué par son nom ou son identificateur de processus (PID).
- Exécuter le script
Terminez le processus sur la ressource indiquée avec Kaspersky Endpoint Security for Windows.
Pour que cette réponse fonctionne, le composant PowerShell doit être installé sur la ressource. Le script à lancer et sa description sont consultables dans la Console MDR en ligne.
- Mettre le fichier en quarantaine
Le fichier potentiellement dangereux est placé dans un stockage local spécial. Les fichiers de ce stockage sont conservés chiffrés et ne menacent pas la sécurité de l’appareil. La demande de confirmation précise la ressource, le chemin d’accès au fichier et le type de hachage du fichier (MD5 ou SHA256).
- Restaurer le fichier depuis la quarantaine
Restaure le fichier précédemment mis en quarantaine à son emplacement d’origine. S’il existe un fichier portant le même nom à l’emplacement d’origine, la restauration n’est pas effectuée.
|
Voir également : Utilisation des fonctionnalités de Kaspersky Endpoint Detection and Response Optimum |