[Topic 255956]

Aide de Kaspersky Managed Detection and Response

Nouvelles fonctions

• Nouveautés de la dernière version de la solution
  

Configurations logicielle et matérielle

• Vérifiez les systèmes d’exploitation et les applications EPP pris en charge
  

Comparaison des fonctionnalités

• Comparatif des solutions sous licence commerciale : MDR Optimum, MDR Expert, MDR Basic, MDR Advanced et MDR Prime
  

Prise en main

• Déploiement sur site
• Déploiement basé sur le cloud
• Activation de Kaspersky Managed Detection and Response
  

Suivi et rapports

• Réception de notifications
• Réception de notifications détaillées
• Réception d’informations récapitulatives
• Tableaux de bord de suivi
  

Collecte de données / Protection des données personnelles

• Collecte des données
• Sous-traitants engagés
• Kaspersky Security Network
  

Haut de page

[Topic 218753]

Nouveautés

Kaspersky Managed Detection and Response présente différentes nouvelles fonctionnalités et améliorations.

24/02/2025

• La Console MDR en ligne comporte désormais la section Licences. On y retrouve les fonctionnalités suivantes :
  • Affichage des licences MDR en cours, inutilisées et expirées.
  • Affichage du nombre total de ressources et de leur limite pour chaque licence.
  • Téléchargement du fichier de configuration MDR pour le locataire racine.

    Utilisation de la section Locataires afin de créer et de télécharger des fichiers de configuration MDR pour d’autres locataires.

  • Saisie d’un nouveau code d’activation.

    Si votre organisation dispose de plusieurs licences, vous ne pouvez les gérer que dans le plug-in MDR pour Kaspersky Security Center. La section Licences de la Console MDR en ligne passe en lecture seule.

• Le plug-in MDR pour Kaspersky Security Center prend désormais en charge l’utilisation de plusieurs licences dans votre organisation. On y retrouve les fonctionnalités suivantes :
  • Affichage des licences MDR en cours, inutilisées et expirées.
  • Résiliation d’une licence MDR actuelle.
  • Saisie d’un nouveau code d’activation.
  • Téléchargement du fichier de configuration MDR du locataire racine pour une licence.
  • Choix d’une licence pour un fichier de configuration MDR lors de la création ou de la modification d’un locataire dans la section locataires.

12/31/2024

• Activation simplifiée de Kaspersky Managed Detection and Response sur les appareils Kaspersky Endpoint Security for Windows (à partir de la version 12.4). Tout ce dont vous avez besoin est une licence standard pour l’activation de la solution Kaspersky MDR.

  Notez que vous devrez toujours utiliser le fichier de configuration MDR (BLOB) dans l’un des scénarios suivants :

  • Vous avez plusieurs locataires.
  • Vous utilisez la solution MDR conjointement avec Kaspersky Endpoint Detection and Response Optimum.
• Ajout de la prise en charge de la gestion de la solution MDR dans Kaspersky Security Center Linux Web Consolex (à partir de la version 15.1).
• Des renseignements détaillés sur les exigences en matière de canaux de communication ont été ajoutés dans l’aide.

29/10/2024

Lancement du plug-in MDR pour Kaspersky Security Center version 2.4.1 Elle contient les améliorations suivantes :

• La possibilité de configurer l’acceptation automatique des actions d’intervention pour certains locataires a été ajoutée dans le plug-in MDR pour Kaspersky Security Center.
• Amélioration des fonctionnalités et de l’interface utilisateur de la section indiquant la liste des ressources inactives. Ces ressources ont été ajoutées à Kaspersky Security Center, ont le module MDR installé, mais n’ont jamais transmis de données télémétriques à Kaspersky Managed Detection and Response. Vous pouvez filtrer les ressources selon leur état dans la solution MDR, consulter les informations détaillées de chaque ressource et exporter la liste des ressources dans un fichier au format CSV.

  Cette fonctionnalité fonctionne correctement dans Kaspersky Security Center 15.1 Windows et versions ultérieures, Kaspersky Security Center 15.1 Linux et versions ultérieures, et Kaspersky Security Center Cloud Console.

• La tâche de remise régulière d’un rapport sur les incidents ouverts ne peut être créée que dans la Console MDR en ligne. Cette fonctionnalité a été supprimée de la section MDR de Kaspersky Security Center.

19/07/2024

La Console MDR en ligne permet désormais de paramétrer l’acceptation automatique des actions d’intervention pour les locataires sélectionnés.

06/24/2024

• De nouvelles actions de réponse sont désormais disponibles :
  • Mettre le fichier en quarantaine
  • Restaurer le fichier depuis la quarantaine
  • Exécuter un script sur une ressource
• Mise à jour de la documentation de l’API REST, notamment de nouveaux exemples de script.
• Rapports entièrement repensés :
  • Mappage MITRE ATT&CK pour une analyse approfondie des menaces.
  • Liste des ordinateurs les plus ciblés par les cybercriminels pour permettre aux clients de se concentrer sur les risques critiques.
• Prise en charge de plusieurs locataires :
  • Générez des rapports et configurez un calendrier de rapports généraux pour des locataires particuliers.
  • Basculez facilement des widgets aux statistiques d’un locataire dans le tableau de bord de surveillance.
  • Configurez la confirmation automatique de l’exécution de la tâche de réponse pour des locataires particuliers.
  • API MDR améliorée pour la gestion des locataires.

18/18/2023

• La Console MDR en ligne contient à présent le tableau de bord Statistiques de télémétrie, qui affiche le nombre d’événements de télémétrie, d’événements de sécurité et d’incidents.
• Kaspersky Managed Detection and Response prend désormais en charge Kaspersky Endpoint Security for Windows dans la configuration de Endpoint Detection and Response Agent (EDR Agent) (avec les restrictions).

29/11/2023

• Amélioration de l’affichage des états des ressources dans la Console MDR en ligne et dans le plug-in MDR pour Kaspersky Security Center : l’ état de la ressource affiche désormais l’opérabilité des modules d’application EPP de la ressource, l’état de mise à jour de la base antivirus et l’état de la transmission des données télémétriques.
• L’état de la ressource affiche désormais la présence de pertes de données télémétriques de celle-ci, ce qui vous permet d’identifier les ressources présentant des problèmes d’envoi des données télémétriques. Cette fonctionnalité est activée par défaut pour les nouveaux clients et sera activée progressivement pour les clients existants.

10/26/2023

La région de résidence du client Arabie Saoudite est ajoutée. Pour ces clients, les données télémétriques sont stockées au Royaume d’Arabie Saoudite.

9/11/2023

Lancement du plug-in MDR pour Kaspersky Security Center version 2.3.1. Dans cette version, les fonctions de gestion des incidents de la section MDR de Kaspersky Security Center ont été supprimées. Vous pouvez également gérer les incidents dans la Console MDR en ligne.

20/07/2023

Lancement du plug-in MDR pour Kaspersky Security Center version 2.3.0. Elle contient les améliorations suivantes :

• Vous pouvez désormais configurer des notifications détaillées dans le plug-in MDR.
• Vous pouvez désormais utiliser les fonctions MDR dans Kaspersky Security Center doté du plug-in MDR au moyen d’un serveur proxy.
• Vous pouvez désormais modifier les certificats pour utiliser les fonctions MDR de Kaspersky Security Center avec un serveur proxy ou un logiciel antivirus.

7/27/2022

Publication de la version 2.1.17 du plug-in MDR. Cette version du plug-in est compatible avec Kaspersky Security Center version 14 et ultérieure.

5/31/2022

Améliorations générales :

• La région de résidence du client États-Unis/Canada a été ajoutée. Pour ces clients, leurs données de télémétrie sont stockées en Europe du Nord.
• Modification de la description du processus de déploiement de MDR dans l’aide.

Améliorations du plug-in MDR :

• Dans la section Paramètres, vous pouvez désormais modifier la langue des notifications envoyées dans Telegram et par e-mail ainsi que pour la communication dans le chat concernant les incidents.
• Interface améliorée pour travailler avec des images et des tableaux dans les cartes d’incidents.
• MDR Expert. Dans la section Utilisation du service, vous pouvez vérifier combien d’incidents peuvent être créés selon l’accord de niveau de service.

Corrections de bugs et autres améliorations :

• La recherche dans les listes d’incidents et d’appareils est désormais effectuée par une occurrence complète de la sous-chaîne recherchée n’importe où dans la chaîne.
• Dans Kaspersky Endpoint Security for Mac 11.2 et les versions ultérieures, après avoir ajouté le code d’activation MDR et le fichier de configuration KPSN, vous n’avez plus besoin de redémarrer votre Mac pour lancer un transfert de télémétrie.
• Lors du calcul des licences des machines virtuelles avec Kaspersky Security for Virtualization 5.2 Light Agent et toute version ultérieure, les ressources qui n’ont pas transféré de télémétrie depuis plus de 24 heures ne sont pas pris en compte.

5/20/2022

Les utilisateurs de MDR Optimum peuvent désormais chatter avec les analystes de Kaspersky SOC au sujet d’un incident (avec la limitation suivante : les demandes ne sont traitées que pour un incident particulier et aucun accord de niveau de service n’est appliqué).

10/18/2021

• Le plug-in Kaspersky Managed Detection and Response pour Kaspersky Security Center Web Console et Cloud Console a été mis à jour avec la fonctionnalité améliorée Santé MDR :
  • Amélioration de l’interface de l’onglet Santé MDR.
  • La liste des ressources affiche toutes les ressources de tous les états qui étaient auparavant disponibles uniquement dans la Console MDR en ligne.
  • Ajout d’options de filtrage et de tri pour la liste des ressources.

7/21/2021

• Prise en charge de Kaspersky Managed Detection and Response dans Kaspersky Security Center Cloud Console, qui permet de gérer la solution dans la console d’administration unique de Kaspersky Security Center. Les fonctionnalités suivantes sont disponibles pour la solution Kaspersky Managed Detection and Response :
  • Gestion des incidents :
    • Visualiser, créer et commenter des incidents
    • Contacter Kaspersky Security Operation Center à propos d’un incident, accepter ou rejeter les réponses suggérées par les analystes SOC
    • Répondre à un incident à l’aide de Kaspersky Endpoint Detection and Response

    Les fonctionnalités suivantes sont disponibles :

    • Application de l’isolation réseau des appareils
    • Créer des règles de blocage par hash
    • Créer des tâches de suppression, de mise en quarantaine, de fin de processus et de recherche par indicateurs de compromission (IoC), liés à un incident
  • Surveillance des événements de Kaspersky Managed Detection and Response sur les tableaux de bord dans la console de surveillance de Kaspersky Security Center Web Console
  • Configuration des notifications sur les événements de Kaspersky Managed Detection and Response par e-mail et via Telegram
  • Paramétrage du planning de résumé des performances du MDR envoyé par e-mail
  • Affichage des appareils sur lesquels il y a des problèmes de performances MDR
  • Nouvel assistant d’activation, qui permet de connecter MDR dans la console unique de Kaspersky Security Center
  • Configuration automatique de KSN privé, qui ne nécessite plus le téléchargement et le chargement manuels du fichier de configuration dans les paramètres de Kaspersky Security Center
  • Gestion des connexions à l’API publique MDR : visualisation, création, modification et suppression des jetons
  • Gestion des locataires de l’organisation, y compris leur création
  • Obtenir des informations sur le nombre d’incidents disponibles pour l’enregistrement du côté de l’utilisateur, et qui sont éligibles pour le traitement selon les conditions du contrat de niveau de service (SLA)

    Ces fonctionnalités sont également disponibles dans Kaspersky Security Center Web Console.

• La gestion de plusieurs comptes Administrateur MDR a été ajoutée dans la Console MDR en ligne : création des comptes et gestion des privilèges de compte
• Les nouvelles versions des applications compatibles ne nécessitent plus l’installation supplémentaire de Kaspersky Endpoint Agent. La fonctionnalité intégrée de Kaspersky Managed Detection and Response est compatible avec les applications EPP suivantes :
  • Kaspersky Endpoint Security for Windows 11.6 et versions ultérieures
  • Kaspersky Endpoint Security for Mac 11.2
  • Kaspersky Endpoint Security for Linux 11.2
  • Kaspersky Security for Virtualization 5.2 Light Agent

  Pour plus de détails sur les différents scénarios de déploiement, consultez Déploiement de Kaspersky Managed Detection and Response.

• Le filtrage par type d’événement a été ajouté pour Kaspersky Endpoint Security for Windows et Linux avec la fonctionnalité Kaspersky Managed Detection and Response intégrée, qui permet de réduire la charge sur les canaux et la consommation de trafic lors de l’envoi de données par télémétrie
• Prise en charge des types de réponse suivants : obtenir un fichier à partir de l’appareil, désactiver l’isolation de l’appareil, supprimer la clé de registre, terminer le processus.

  Ces actions sont possibles après confirmation de l’utilisateur disposant du rôle Administrateur MDR.

• Prise en charge des nouvelles localisations suivantes dans le plug-in Web pour Kaspersky Security Center Web Console et Cloud Console : français, allemand, italien et espagnol.

3/31/2021

Un nouveau plug-in Web pour Kaspersky Security Center Web Console permet d’utiliser les fonctionnalités suivantes de Kaspersky Managed Detection and Response :

• Affichage d’incidents
• Création d’incidents
• Ajout de commentaires aux incidents
• Contact de Kaspersky Security Operation Center à propos d’un incident
• Acceptation ou refus des réponses suggérées par les analystes du SOC
• Possibilité de réponse indépendante à un incident :
  • Isoler des ressources du réseau
  • Créer des règles de blocage par hachage
  • Créer des tâches de suppression, de mise en quarantaine, de fin de processus et de recherche par indicateurs de compromission (IoC), liés à un incident
• Surveillance des événements de Kaspersky Managed Detection and Response sur les tableaux de bord dans la console de surveillance de Kaspersky Security Center Web Console
• Configuration des notifications par e-mail et par Telegram à propos des événements de Kaspersky Managed Detection and Response
• Paramétrage du planning de résumé des incidents envoyé par e-mail

[Topic 196544]

À propos de Kaspersky Managed Detection and Response

Kaspersky Managed Detection and Response est une solution qui détecte et analyse automatiquement les incidents de sécurité dans votre infrastructure à l’aide de technologies de télémétrie et d’apprentissage automatique avancées, puis transfère les informations concernant l’incident aux experts de Kaspersky. Les experts peuvent alors soit traiter l’incident eux-mêmes, soit donner des recommandations sur la manière de le traiter.

Kaspersky Managed Detection and Response (également appelé MDR) offre une protection 24 heures sur 24 contre le volume croissant de menaces qui contournent les barrières de sécurité automatisées aux organisations qui ont des difficultés à trouver l’expertise et le personnel, ou à celles dont les ressources internes sont limitées. Contrairement à des offres similaires sur le marché, cette solution s’appuie sur une expérience éprouvée de recherche efficace sur les attaques ciblées pour assurer une défense continue contre les menaces les plus complexes. La solution permet d’améliorer la résilience de votre entreprise aux cybermenaces, tout en libérant vos ressources existantes pour que vous puissiez vous concentrer sur d’autres tâches.

La solution Kaspersky Managed Detection and Response (MDR) n’est pas disponible aux États-Unis ni pour les ressortissants américains. L’utilisation de la solution MDR sur le territoire indiqué ou par des personnes résidant aux États-Unis constitue une violation des conditions d’utilisation de la solution MDR. Pour éviter la violation des conditions d’utilisation de la solution MDR, il est nécessaire de mettre fin définitivement à l’utilisation de la solution MDR sur toutes les ressources situées dans le territoire indiqué ou par des personnes résidant aux États-Unis. Lorsque des personnes non américaines se trouvent temporairement aux États-Unis, elles sont tenues suspendre l’utilisation de la solution MDR sur leurs ressources.

Haut de page

[Topic 295786]

Principe de fonctionnement de Kaspersky Managed Detection and Response

Kaspersky Managed Detection and Response analyse les données de télémétrie des applications EPP et génère des événements de sécurité qui peuvent être classés comme incidents par la technologie de détection.

La Console MDR en ligne sert à traiter les incidents. Vous pouvez également intégrer Kaspersky Managed Detection and Response à une solution tierce, comme décrit dans l’article Gestion de la solution via l’API REST.

La solution Kaspersky Managed Detection and Response peut résoudre un incident automatiquement ou demander une réponse de l’utilisateur à une menace pour la sécurité. Consultez l’article Types de réponse pour plus de détails. Pour garantir une réponse rapide aux éventuelles menaces pour la sécurité, la solution Kaspersky Managed Detection and Response peut vous demander des précisions concernant un événement suspect. Vous devez traiter ces demandes à temps.

L’enquête détaillée sur l’incident (comme l’établissement des événements précédents, des circonstances et du mécanisme détaillé de l’attaque mené par le pirate informatique) est gérée par le composant Kaspersky Incident Response. Il n’est pas inclus dans Kaspersky Managed Detection and Response et doit être acheté séparément.

L’utilisation de Kaspersky Managed Detection and Response implique que vous traitiez les incidents avec l’aide des experts de Kaspersky. Reportez-vous à la rubrique suivante pour plus de détails : Domaines de responsabilité.

[Topic 295797]

À propos des sources de données

Kaspersky Managed Detection and Response reçoit les données des applications EPP qui prennent en charge MDR, traite les données et les envoie via les flux Kaspersky Security Network à Kaspersky Managed Detection and Response. Pour la liste des données traitées, reportez-vous à la section Collecte des données. Les applications EPP sont installées sur des ressources au sein de l’infrastructure informatique de votre organisation (par exemple, des ressources mobiles, des ordinateurs ou des ordinateurs portables). Kaspersky Endpoint Security for Windows est un exemple d’application EPP.

Vous pouvez également intégrer Kaspersky Managed Detection and Response à d’autres solutions Kaspersky : Kaspersky Managed Detection and Response vous permet d’analyser et de surveiller les données de la plateforme Kaspersky Anti-Targeted Attack (KATA). Pour configurer l’intégration entre Kaspersky Managed Detection and Response et Kaspersky Anti-Targeted Attack Platform, vous devez d’abord recevoir un fichier de configuration MDR. Pour plus d’informations sur la configuration de l’intégration, reportez-vous à l’aide en ligne de Kaspersky Anti-Targeted Attack Platform.

Kaspersky Anti-Targeted Attack Platform ne fait pas partie de Kaspersky Managed Detection and Response. Si vous souhaitez utiliser Kaspersky Anti-Targeted Attack Platform, vous devez l’acheter séparément. L’intégration de Kaspersky Anti-Targeted Attack Platform n’est pas compatible avec l’utilisation d’un code d’activation destiné à la région Arabie Saoudite.

Si vous rencontrez des problèmes lors de l’utilisation du programme d’installation des applications EPP ou de la configuration de l’intégration MDR avec d’autres solutions Kaspersky, contactez le support technique.

[Topic 295787]

Domaines de responsabilité

L’utilisation de Kaspersky Managed Detection and Response implique que les utilisateurs traitent les incidents avec l’aide des experts de Kaspersky. De plus, le Support technique de Kaspersky gère les problèmes liés à la solution.

Le tableau ci-dessous indique les domaines de responsabilité des utilisateurs, des experts de Kaspersky et du Support technique de Kaspersky.

Haut de page

[Topic 196546]

Configuration matérielle et logicielle requise

Applications EPP requises et configurations prises en charge

Pour pouvoir utiliser Kaspersky Managed Detection and Response, au moins une des applications EPP suivantes doit être déployée dans votre infrastructure :

• Kaspersky Endpoint Security for Windows
• Kaspersky Endpoint Security for Linux
• Kaspersky Endpoint Security for Mac
• Kaspersky Security for Windows Server avec Kaspersky Endpoint Agent for Windows

  Pour utiliser la fonctionnalité MDR sur vos serveurs Windows, nous vous recommandons d’utiliser Kaspersky Endpoint Security for Windows sur ces serveurs au lieu de Kaspersky Security for Windows Server doté de Kaspersky Endpoint Agent :

• Kaspersky Security for Virtualization 5.2 Light Agent

Systèmes d’exploitation

Kaspersky Managed Detection and Response est compatible avec les mêmes systèmes d’exploitation que les applications EPP répertoriées ci-dessous. Pour plus de détails, reportez-vous à la section Configuration matérielle et logicielle requise dans la documentation des applications EPP compatibles répertoriées dans le tableau ci-dessous.

Applications et solutions Kaspersky compatibles

Kaspersky Managed Detection and Response est compatible avec les versions des applications et des solutions Kaspersky répertoriées dans le tableau ci-dessous.

Pour en savoir plus sur les versions prises en charge des applications et des solutions Kaspersky, consultez la page Internet du cycle de vie de l’assistance produit.

Console MDR en ligne

La Console MDR en ligne requiert la configuration matérielle et logicielle suivante :

• Moniteur prenant en charge une résolution d’affichage de 1 024 x 768 ou supérieure
• L’un des navigateurs suivants :
  • Apple Safari — 15 sur macOS
  • Google Chrome : 100.0.4896.88 ou version ultérieure (build officiel)
  • Microsoft Edge : 100 ou version ultérieure
  • Mozilla Firefox : 91.8.0 ou version ultérieure

Canal réseau

Le tableau suivant affiche le débit du canal du réseau calculé à partir de nos données statistiques.

Ces valeurs de bande passante sont approximatives, car la bande passante nécessaire dépend fortement du type de charge d’actif générant des événements de télémétrie. Le débit maximal peut être nettement plus élevé. Une bande passante réseau plus élevée sera nécessaire si votre infrastructure fonctionne régulièrement à un débit maximal. Diverses conditions peuvent supposer que la charge est plus élevée. Par exemple :

• compilation du code du programme par les développeurs
• analyse complète du système
• serveurs à charge élevée (par exemple, DNS et contrôleurs de domaine)
• connexions réseau multiples

[Topic 196548]

Architecture de Kaspersky Managed Detection and Response

Le schéma ci-dessous montre les composants de Kaspersky Managed Detection and Response et leur interaction.

Architecture de Kaspersky Managed Detection and Response

Description des composants de Kaspersky Managed Detection and Response :

• L’appareil

  Un appareil avec une application Kaspersky EPP installée (par exemple, Kaspersky Endpoint Security for Windows).

  Un appareil avec une application Kaspersky EPP installée (par exemple, Kaspersky Endpoint Security for Windows).

  désigne l’appareil d’une organisation qui est protégé par les solutions Kaspersky.
• L’application EPP est une application Kaspersky qui protège les ressources et les données qui y sont stockées contre les applications malveillantes et les autres menaces.
• Kaspersky Endpoint Agent est un composant de programme installé sur les postes de travail et les serveurs de l’infrastructure informatique de l’entreprise. Kaspersky Endpoint Agent surveille en permanence les processus exécutés sur ces ordinateurs, les connexions réseau actives et les fichiers modifiés. Dans les versions récentes des applications EPP, il a été remplacé par la fonctionnalité intégrée.
• L’Agent d’administration de Kaspersky est un composant de Kaspersky Security Center qui permet l’interaction entre le serveur d’administration et les applications Kaspersky installées sur un nœud de réseau spécifique (poste de travail ou serveur). Ce composant est commun à toutes les applications de l’entreprise pour Microsoft Windows. Des versions distinctes de l’Agent d’administration existent pour les applications Kaspersky développées pour les systèmes d’exploitation de type Unix et macOS.
• Kaspersky Security Center est une application destinée aux administrateurs de réseau d’entreprise et aux employés responsables de la protection des ressources dans un large éventail d’organisations.
• Kaspersky Security Network est une infrastructure de services cloud qui permet d’accéder à la base de connaissances en ligne de Kaspersky, qui contient des informations sur la réputation des fichiers, des ressources Internet et des logiciels. L’utilisation des données de Kaspersky Security Network garantit des réponses plus rapides des applications Kaspersky aux menaces, améliore les performances de certains composants de protection et réduit la probabilité de fausses alarmes.
• Le service Kaspersky Managed Detection and Response (également appelé MDR) est une solution qui offre une protection gérée en continu, permettant aux entreprises de détecter automatiquement les menaces évasives, tout en permettant aux équipes de sécurité informatique de se concentrer sur ces tâches critiques qui requièrent leur attention.
• La Console MDR en ligne fournit une interface Web pour la gestion et la maintenance du système de protection du réseau d’une organisation cliente géré par Kaspersky Managed Detection and Response. En plus de la Console MDR en ligne, le plug-in Web de Kaspersky Security Center a été ajouté pour permettre la gestion de Kaspersky Managed Detection and Response au sein d’une console d’administration unique.
• L’API MDR est l’interface de programmation d’applications permettant de gérer et de prendre en charge le système de protection du réseau d’une organisation cliente gérée par Kaspersky Managed Detection and Response.

[Topic 254808]

Interfaces de Kaspersky Managed Detection and Response

Cette section fournit des informations sur les interfaces utilisateurs de Kaspersky Managed Detection and Response.

Vous pouvez utiliser Kaspersky Managed Detection and Response en utilisant les interfaces suivantes :

• Portail Kaspersky Managed Detection and Response (ci-après également appelée Console MDR en ligne).

  La Console MDR en ligne est disponible à l’adresse https://mdr.kaspersky.com/ une fois que vous vous êtes connecté. Pour vous connecter, utilisez l’adresse e-mail et le mot de passe du compte du site Internet de Kaspersky créé lors de l’activation de Kaspersky Managed Detection and Response.

• Section MDR dans Kaspersky Security Center Web Console ou dans Kaspersky Security Center Cloud Console.

  Afin d’utiliser Kaspersky Security Center Web Console avec Kaspersky Managed Detection and Response, vous devez télécharger et configurer le plug-in MDR dans Kaspersky Security Center Web Console. Dans Kaspersky Security Center Cloud Console, le plug-in MDR est préinstallé.

  Pour accéder aux fonctions de Kaspersky Managed Detection and Response, dans Kaspersky Security Center Web Console ou Kaspersky Security Center Cloud Console, cliquez sur Suivi et rapports → MDR.

Les capacités et les fonctions disponibles dans ces interfaces sont fondamentalement les mêmes, mais nous vous recommandons d’effectuer certaines tâches dans l’une des interfaces, car elle met à disposition un plus grand ensemble de fonctions ou de données. L’interface recommandée est indiquée dans la description des tâches et des scénarios d’utilisation.

L’interface de Kaspersky Security Center est principalement conçue pour accomplir les tâches suivantes :

• Activation de la solution Kaspersky Managed Detection and Response
• Vérification de l’état des ressources

L’interface de la Console MDR en ligne est principalement conçue pour accomplir les tâches suivantes :

• Tâches du responsable de la sécurité : gestion des incidents
• Tâches de l’administrateur : administration des utilisateurs MDR
• Consultation et gestion des ressources

[Topic 254810]

Section MDR dans Kaspersky Security Center

Vous pouvez utiliser Kaspersky Managed Detection and Response via la section MDR de Kaspersky Security Center Web Console ou de Kaspersky Security Center Cloud Console. Pour accéder aux fonctions de Kaspersky Managed Detection and Response, dans Kaspersky Security Center, cliquez sur Suivi et rapports → MDR.

La section MDR de l’interface Web de Kaspersky Security Center contient les onglets suivants :

• Incidents. Contient le lien vers la Web Console de MDR où vous pouvez gérer vos incidents.
• Rapports. Contient la liste des tâches de remise des rapports et les fonctions permettant de modifier et de supprimer une tâche, ainsi que d’en créer une nouvelle.
• Configuration. Permet d’activer les notifications détaillées et de modifier de langue pour les données d’incident, les notifications et les rapports.
• Notifications. Permet d’activer les notifications par e-mail et par Telegram.
• API. Contient la liste des connexions API et les fonctions permettant de les gérer.
• Locataires. Contient la liste des locataires et les fonctions pour les gérer.
• Santé MDR. Contient les listes des ressources défectueuses et de toutes les ressources vues.
• Premiers pas (Getting Started). Contient les instructions de configuration de la solution MDR.
• Utilisation de MDR. Contient les informations sur l’état d’activation de la solution, la licence, la région de stockage de la télémétrie, le fichier de configuration KSN et l’état d’acceptation des Conditions d’utilisation.

Vous pouvez aussi ajouter le widget Ressources MDR par état dans le volet Suivi et rapports → Tableau de bord de Kaspersky Security Center.

[Topic 213203]

Configuration du plug-in MDR dans Kaspersky Security Center

Cette section contient des informations sur la configuration initiale du plug-in MDR dans Kaspersky Security Center pour l’utilisation de Kaspersky Managed Detection and Response.

[Topic 213204]

Configuration du plug-in MDR

Pour utiliser Kaspersky Managed Detection and Response via le plug-in MDR, vous devez configurer le plug-in MDR dans l’une des applications suivantes :

• Kaspersky Security Center Web Console de Kaspersky Security Center Windows
• Kaspersky Security Center Web Console de Kaspersky Security Center Linux
• Kaspersky Security Center Cloud Console

Conditions préalables

Assurez-vous d’avoir accès à Kaspersky Security Center Web Console ou à Kaspersky Security Center Cloud Console avec les droits d’accès minimums suivants :

• L’accès en lecture est accordé pour les fonctionnalités générales : domaine fonctionnel d’intégration d’applications de Kaspersky Security Center.
• Autoriser le droit d’accès pour le domaine fonctionnel d’ accès aux incidents de Kaspersky Managed Detection and Response.

Étapes

La configuration se déroule par étapes :

1. Téléchargement du plug-in MDR

   Ignorez cette étape si vous utilisez Kaspersky Security Center Cloud Console, car le plug-in MDR est préinstallé dans Kaspersky Security Center Cloud Console.

   Dans Kaspersky Security Center Web Console, téléchargez le plug-in MDR en sélectionnant Kaspersky Managed Detection and Response dans la liste des plug-ins disponibles. Pour savoir comment obtenir les plug-ins Web, consultez l’aide de Kaspersky Security Center Windows ou l’aide de Kaspersky Security Center Linux.

2. Paramétrage des droits d’accès

   Définissez les droits d’accès manuellement pour chaque utilisateur pour lequel vous souhaitez utiliser le plug-in MDR ou créez automatiquement les rôles MDR avec des droits d’accès prédéfinis en cliquant sur le lien de la première étape de l’onglet Mise en route (Getting Started) du plug-in MDR.

Résultats

Une fois ce scénario terminé, le plug-in MDR est configuré pour fonctionner avec Kaspersky Managed Detection and Response.

[Topic 213206]

Configuration des droits d’accès dans Kaspersky Security Center

Vous devez définir des droits d’accès pour chaque utilisateur de Kaspersky Security Center Web Console ou Kaspersky Security Center Cloud Console qui utilisera les fonctions MDR de Kaspersky Security Center. Les droits d’accès dépendent des actions que vous souhaitez que les utilisateurs puissent effectuer.

Vous pouvez créer automatiquement les rôles MDR avec des droits d’accès prédéfinis en cliquant sur le lien dans la première étape de l’onglet Mise en route (Getting Started) de la section MDR de Kaspersky Security Center.

Pour définir les droits d’accès, procédez comme suit :

1. Dans Kaspersky Security Center, accédez à la section Utilisateurs et rôles → Rôles, puis créez un nouveau rôle. Pour savoir comment créer des rôles, consultez l’aide Kaspersky Security Center Windows, l’aide de Kaspersky Security Center Linux, ou l’aide de Kaspersky Security Center Cloud Console.
2. Dans l’onglet Droits d’accès d’un nouveau rôle, définissez le droit d’accès Autoriser pour les domaines fonctionnels :
   • Intégration d’applications

     Permet aux utilisateurs de configurer l’interaction entre Kaspersky Security Center et une autre application ou solution Kaspersky.

     Il est nécessaire de définir le droit d’accès Autoriser pour le domaine fonctionnel Intégration d’applications pour les utilisateurs qui gèrent le plug-in MDR. Ce droit d’accès accorde aux utilisateurs le droit d’activer, de configurer, d’utiliser et de mettre fin à l’utilisation de Kaspersky Managed Detection and Response.

   • Accès aux incidents

     Il est nécessaire de définir le droit d’accès Autoriser pour le domaine fonctionnel Accès aux incidents pour que les utilisateurs aient accès à la section MDR de Kaspersky Security Center. Si le domaine fonctionnel Accès aux incidents dispose du droit d’accès Refuser, les utilisateurs ne peuvent voir que l’onglet Mise en route (Getting Started) de la section MDR de Kaspersky Security Center.

   • Gestion des locataires

     Permet aux utilisateurs de créer, d’afficher et de modifier des locataires.

   • Accès à l’API REST

     Permet aux utilisateurs d’administrer Kaspersky Managed Detection and Response via l’API REST.

   Le tableau suivant montre l’ensemble minimum de droits d’accès.

   Ensemble minimal de droits d’accès

   Domaine fonctionnel	Autoriser	Refuser
   Intégration d’applications
   Accès aux incidents
   Paramètres d’auto-acceptation
   Gestion des réponses
   Gestion des locataires
   Programmation du résumé des incidents
   Accès à l’API REST

3. Attribuez le rôle créé à tous les utilisateurs qui utiliseront les fonctions MDR de Kaspersky Security Center.

Les droits d’accès sont définis.

[Topic 210793]

Consultation et modification des paramètres MDR dans Kaspersky Security Center

Vous pouvez consulter et modifier les paramètres du plug-in MDR installé dans Kaspersky Security Center.

Pour afficher et modifier les paramètres, procédez comme suit :

1. Dans la section MDR de Kaspersky Security Center, cliquez sur l’onglet Paramètres.
2. Si vous souhaitez recevoir des notifications détaillées par e-mail, activez l’option Activer les notifications détaillées par e-mail et cochez la case pour confirmer que vous avez lu et compris les conditions d’envoi des notifications détaillées.
3. Vous pouvez utiliser le paramètre Langue afin de sélectionner l’anglais ou le russe pour l’affichage des rapports et des notifications.
4. Cliquez sur le bouton Enregistrer dans la partie inférieure de la fenêtre pour enregistrer les paramètres.

   Le bouton Enregistrer ne devient actif que si vous avez modifié les paramètres.

[Topic 273234]

Utilisation des fonctions du plug-in MDR sur un Serveur d’Administration virtuel

Pour utiliser les fonctions MDR de Kaspersky Security Center sur le Serveur d’Administration virtuel, procédez comme suit :

• Si vous utilisez Kaspersky Security Center pour Windows :
  1. Téléchargez le fichier de configuration MDR dans Kaspersky Security Center Web Console ou dans la Console MDR en ligne.
  2. Dans Kaspersky Security Center Web Console, sélectionnez le Serveur d’Administration principal (physique) dans lequel se trouve votre Serveur d’administration virtuel.
  3. Activez le commutateur Kaspersky Private Security Network dans les propriétés du Serveur d’administration principal (physique).
  4. Cliquez sur le bouton Sélectionner le fichier avec les paramètres du proxy KSN et sélectionnez le fichier de configuration MDR que vous avez téléchargé.

• Si vous utilisez Kaspersky Security Center Cloud Console :
  1. Activez Kaspersky Managed Detection and Response sur le Serveur d’administration principal (physique).
  2. Sur le Serveur d’administration principal (physique), cliquez sur Suivi et rapports → MDR, ouvrez l’onglet Utilisation des MDR et assurez-vous que la section KPSN contient l’état et la version correspondant au fichier de configuration de KPSN. Exemple d’état et de version correspondants :

     La version {{version}} du fichier de configuration de KPSN est utilisée pour envoyer les données télémétriques à l’infrastructure de Kaspersky MDR

     Si l’état ou la version du fichier ne correspond pas, veuillez contacter le Support technique.

[Topic 256804]

Utilisation des fonctions MDR de Kaspersky Security Center via un serveur proxy

Si un serveur proxy est utilisé au sein du réseau utilisé Kaspersky Security Center, vous devez configurer deux variables d’environnement avec les paramètres du serveur proxy selon le protocoles HTTP et HTTPS pour que les fonctions MDR de Kaspersky Security Center fonctionnent. Ces variables d’environnement doivent être définies sur l’hôte sur lequel Kaspersky Security Center Web Console est installée.

Les variables d’environnement prennent le format suivant :

HTTP_PROXY=<protocol>://<proxy_user_name>:<proxy_user_password>@<host>:<port>

où :

• <protocol> correspond au format http ou https.
• <proxy_user_name> est le nom d’utilisateur pour l’autorisation sur le serveur proxy.
• <proxy_user_password> est le mot de passe pour l’autorisation sur le serveur proxy.
• <host>:<port> sont le nom ou l’adresse IP du serveur proxy, et son numéro de port.

  Exemple de variables d’environnement : HTTP_PROXY=http://proxy_user_name:proxy_user_password@proxy.domain.com:8080 HTTPS_PROXY=https://proxy_user_name:proxy_user_password@proxy.domain.com:443

Il existe deux manières de définir les variables d’environnement :

• Si vous voulez appliquer les paramètres du proxy à toutes les applications sur l’hôte où Kaspersky Security Center Web Console est installée, ajoutez ces variables d’environnement à l’aide du module Modifier les variables d’environnement système du système d’exploitation Windows. Pour en savoir plus sur l’utilisation de ce module, consultez la documentation de la version du système d’exploitation que vous utilisez.
• Si vous voulez appliquer ces paramètres du proxy uniquement à Kaspersky Security Center Web Console, ajoutez ces variables d’environnement dans le fichier.env situé dans le dossier d’installation de Kaspersky Security Center Web Console (par défaut, C:\Program Files\ Kaspersky Lab\ Kaspersky Security Center Web Console\). Si le fichier.env manque dans le dossier d’installation, créez-le.

Après avoir défini les variables d’environnement, il faut redémarrer l’hôte sur lequel Kaspersky Security Center Web Console est installée pour que les modifications soient appliquées.

[Topic 257038]

Modification des certificats pour l’utilisation des fonctions MDR dans Kaspersky Security Center grâce à un serveur proxy ou un logiciel antivirus

Vous devez redéfinir la chaîne de certificats pour la connexion entre Kaspersky Security Center Web Console dotée du plug-in MDR et l’infrastructure de la solution MDR dans les situations suivantes :

• Le serveur proxy disposant d’une connexion TLS est utilisé dans le réseau au sein duquel Kaspersky Security Center s’exécute.
• Un logiciel antivirus avec chiffrement du trafic TLS est exécuté sur l’hôte sur lequel Kaspersky Security Center Web Console est installée.

Pour redéfinir la chaîne de certificats, procédez comme suit :

1. Enregistrez les certificats nécessaires sous forme de fichiers sur votre ordinateur.
   • Pour enregistrer le fichier de certificat du logiciel de chiffrement du trafic, sur l’hôte sur lequel est installée Kaspersky Security Center Web Console, accédez à https://mdr-ksc.kaspersky.com/ dans le navigateur Chrome, cliquez sur l’icône en forme de cadenas dans la barre d’adresses, cliquez sur La connexion est sécurisée, puis sur Le certificat est valide, accédez à l’onglet Détails puis cliquez sur le bouton Exporter. Pour obtenir les instructions relatives aux autres navigateurs, consultez la documentation correspondante.
   • Pour obtenir le certificat de connexion au serveur proxy, contactez votre administrateur réseau.
2. Ajoutez les certificats enregistrés dans le fichier avec l’extension.PEM (par exemple, KL_Root.pem).
3. Placez le fichier.PEM créé dans le dossier d’installation de Kaspersky Security Center Web Console (par défaut, C:\Program Files\ Kaspersky Lab\ Kaspersky Security Center Web Console\).
4. Ajoutez la variable d’environnement NODE_EXTRA_CA_CERTS au fichier.env situé dans le dossier d’installation de Kaspersky Security Center Web Console. Si le fichier.env manque dans le dossier d’installation, créez-le.

   Exemple de la variable : NODE_EXTRA_CA_CERTS="C:\Program Files\ Kaspersky Lab\ Kaspersky Security Center Web Console\KL_Root.pem"

Pour appliquer les modifications apportées après la définition de la variable d’environnement, redémarrez l’hôte sur lequel Kaspersky Security Center Web Console est installé.

[Topic 219765]

Masquer et afficher les fonctionnalités MDR dans Kaspersky Security Center

Par défaut, les éléments d’interface liés à Kaspersky Managed Detection and Response s’affichent dans l’interface de Kaspersky Security Center. Si vous n’utilisez pas Kaspersky Managed Detection and Response, vous pouvez masquer ses fonctionnalités dans l’interface. Plus tard, vous pouvez modifier les paramètres de l’interface pour afficher à nouveau les éléments cachés.

Pour masquer les fonctionnalités MDR dans Kaspersky Security Center Cloud Console :

1. Dans Kaspersky Security Center Web Console ou Kaspersky Security Center Cloud Console, passez le pointeur de la souris sur votre nom d’utilisateur situé dans le panneau gauche en bas. Le menu des paramètres d’interface apparaît.
2. Cliquez sur Options d’interface.
3. Activez ou désactivez les Afficher les fonctionnalités MDR.
4. Cliquez sur le bouton Enregistrer.

   Kaspersky Security Center enregistre la valeur de cette option uniquement pour votre compte utilisateur. D’autres utilisateurs peuvent définir une valeur différente.

   La section MDR est masquée ou affichée.

[Topic 254813]

Console MDR en ligne

Vous pouvez Kaspersky Managed Detection and Response dans l’interface Web Console MDR en ligne.

La fenêtre de la Console MDR en ligne contient les éléments suivants :

• Menu principal dans le volet gauche de la fenêtre
• Espace de travail dans le volet droit de la fenêtre

Menu principal

Le menu principal contient les sections suivantes :

• Surveillance. Contient des widgets qui fournissent des informations synthétiques sur les incidents ressources, les ressources et les réponses.
• Incidents. Contient des informations détaillées sur vos incidents et les outils pour les gérer.
• Éléments. Contient des informations détaillées sur les ressources et les outils pour les utiliser.
• Configuration. Contient les onglets pour gérer les comptes utilisateurs, les notifications, les paramètres d’incident, les rapports de synthèse, l’API, les locataires et les paramètres généraux.
• À propos de. Contient les informations sur la solution, les liens vers l’accord MDR, l’Accord de traitement des données (DPA), la présente aide en ligne et le site Web du Support technique.

Dans la partie inférieure du volet gauche, le contrôle des Paramètres du compte vous permet d’accéder au guide de Mise en route (Getting Started), de modifier la langue de l’interface, d’accéder à la page de votre profil d’utilisateur et de sortir de la Console MDR en ligne.

Espace de travail

L’espace de travail reprend les informations que vous souhaitez consulter dans la Console MDR en ligne. L’espace de travail contient également les éléments de contrôle que vous pouvez utiliser pour configurer le mode d’affichage des informations.

[Topic 196734]

Changement de la langue de l’interface dans Kaspersky Security Center

L’interface MDR de Kaspersky Security Center est disponible dans les langues suivantes :

• Anglais
• Russe
• Allemand
• Espagnol
• Français
• Italien

Pour modifier la langue de l’interface dans Kaspersky Security Center :

1. Dans Kaspersky Security Center Web Console ou Kaspersky Security Center Cloud Console, passez le pointeur de la souris sur votre nom d’utilisateur situé dans le panneau gauche en bas.

   Le menu des paramètres d’interface apparaît.

   

   Changement de la langue de l’interface dans Kaspersky Security Center

2. Cliquez sur Langue.

   Le bloc Paramètres du locataire s’affiche.

3. Sous l’onglet Langue, sélectionnez la langue que vous souhaitez appliquer à l’interface MDR de Kaspersky Security Center.

La langue est modifiée.

Vous pouvez choisir une autre langue à tout moment.

[Topic 255178]

Changement de langue pour les notifications et les rapports dans Kaspersky Security Center

Dans Kaspersky Security Center, vous pouvez sélectionner l’anglais ou le russe pour afficher les données sur les incidents, les notifications et les rapports.

Pour changer la langue des données d’incident, des notifications et des rapports dans Kaspersky Security Center, procédez comme suit :

1. Dans Kaspersky Security Center Web Console ou Kaspersky Security Center Cloud Console, cliquez sur MDR → Paramètres.
2. Dans la zone Langue, sélectionnez Russe ou Anglais.
3. Cliquez sur le bouton Enregistrer.

La langue est modifiée.

Vous pouvez choisir une autre langue à tout moment.

[Topic 255143]

Changement de langue de l’interface dans la Console MDR en ligne

La Console MDR en ligne est disponible dans les langues suivantes :

• Anglais
• Russe

Pour modifier la langue de l’interface de la Console MDR en ligne, procédez comme suit :

1. Dans la fenêtre de la Console MDR en ligne, accédez à la section Paramètres du compte située dans le panneau inférieur gauche. Cette section contient la zone Langue.
2. Dans la zone Langue, cliquez sur la langue que vous souhaitez appliquer à l’interface de la Console MDR.

La langue est modifiée. Vous pouvez choisir une autre langue à tout moment.

[Topic 194468]

Activation de Kaspersky Managed Detection and Response

Nous vous recommandons d’activer Kaspersky Managed Detection and Response dans les Kaspersky Security Center avec le plug-in MDR installé, comme décrit dans la présente section.

[Topic 255700]

Activation de Kaspersky Managed Detection and Response dans Kaspersky Security Center

L’activation de Kaspersky Managed Detection and Response n’est pas disponible dans l’espace de travail de la version d’évaluation de Kaspersky Security Center Cloud Console.

Pour activer Kaspersky Managed Detection and Response, procédez comme suit :

1. Assurez-vous que le plug-in MDR est installé et configuré dans Kaspersky Security Center.
2. Dans Kaspersky Security Center Web Console ou Kaspersky Security Center Cloud Console, cliquez sur Suivi et rapports → MDR.
3. Cliquez sur le bouton Activer la solution.
4. Kaspersky Managed Detection and Response vérifie si la connexion en arrière-plan entre Kaspersky Security Center Web Console et le Serveur d’administration est activée et invite à l’activer, si nécessaire.
5. Si vous n’avez pas encore créé de compte Kaspersky Account, créez-le et assurez-vous de le confirmer à l’aide du lien de confirmation envoyé à votre adresse e-mail.

   Si le compte Kaspersky Account créé précédemment (c’est-à-dire votre adresse e-mail) a déjà été utilisé pour accéder à Kaspersky Managed Detection and Response, il peut être associé aux données MDR d’une autre organisation et ne pas être disponible pour utiliser un nouveau code d’activation. Pour utiliser votre compte Kaspersky Account existant en vue d’une nouvelle activation, contactez le Support Technique.
   Remarque : lorsque le Support Technique supprime l’association de votre compte Kaspersky Account existant avec les données d’une autre organisation la solution MDR, celui-ci ne peut plus être utilisé pour accéder aux données de l’autre organisation pour lesquelles il était auparavant utilisé.

6. Une fois votre compte Kaspersky Account activé, utilisez-le pour vous ouvrir une session dans la section MDR de Kaspersky Security Center.
7. Kaspersky Managed Detection and Response vérifie si le compte dispose d’une licence en cours de validité pour Kaspersky Managed Detection and Response :
   • Si aucune licence en cours de validité n’est trouvée, saisissez le code d’activation reçu de Kaspersky, sélectionnez votre région, puis cliquez sur le bouton Activer.

     La région que vous sélectionnez affecte le choix de la langue qui sera utilisée pour vous fournir le service (russe ou anglais) et l’emplacement de stockage de vos données de télémétrie. Si vous sélectionnez la région Europe ou Canada, vos données télémétriques sont stockées en Europe du Nord. Si vous sélectionnez Arabie saoudite, vos données télémétriques sont stockées au Royaume d’Arabie saoudite. Si vous sélectionnez Russie ou d’autres régions, vos données télémétriques sont stockées en Russie.

   • Si une licence en cours de validité est trouvée et que vous avez déjà des locataires, sélectionnez les locataires auxquels les utilisateurs de ce Serveur d’administration auront accès.

   Une connexion en arrière-plan activée est requise pour les performances de Kaspersky Managed Detection and Response.

8. Lisez et acceptez les accords applicables à la région que vous avez sélectionnée en cliquant sur le bouton Accepter.

   Si vous n’acceptez pas les conditions des accords applicables, vous ne pourrez pas utiliser Kaspersky Managed Detection and Response.

9. Lisez et acceptez la Déclaration KSN, activez l’utilisation de KSN et appliquez le fichier de configuration KSN pour votre organisation.

   Si vous n’acceptez pas les conditions de la Déclaration KSN, vous ne pourrez pas utiliser Kaspersky Managed Detection and Response.

L’activation est terminée.

Pour mettre fin à l’utilisation de Kaspersky Managed Detection and Response, reportez-vous à la section Mettre fin à l’utilisation de Kaspersky Managed Detection and Response ou contactez le Support technique.

[Topic 255130]

Activation de Kaspersky Managed Detection and Response dans la Console MDR en ligne

Pour activer Kaspersky Managed Detection and Response, procédez comme suit :

1. Si vous n’avez pas encore créé de compte Kaspersky Account, créez-le et assurez-vous de le confirmer à l’aide du lien de confirmation envoyé à votre adresse e-mail.

   Si le compte Kaspersky Account créé précédemment (c’est-à-dire votre adresse e-mail) a déjà été utilisé pour accéder à Kaspersky Managed Detection and Response, il peut être associé aux données MDR d’une autre organisation et ne pas être disponible pour utiliser un nouveau code d’activation. Pour utiliser votre compte Kaspersky Account existant en vue d’une nouvelle activation, contactez le Support Technique.
   Remarque : lorsque le Support Technique supprime l’association de votre compte Kaspersky Account existant avec les données d’une autre organisation la solution MDR, celui-ci ne peut plus être utilisé pour accéder aux données de l’autre organisation pour lesquelles il était auparavant utilisé.

2. Une fois votre compte Kaspersky Account activé, utilisez-le pour ouvrir une session sur la Console MDR en ligne.
3. Pour utiliser la Console MDR en ligne, saisissez le code d’activation que vous avez reçu de Kaspersky dans le champ correspondant de la page.
4. Lisez et acceptez les accords applicables à votre région en cliquant sur le bouton Confirmer.

   Si vous n’acceptez pas les accords applicables, vous ne pourrez pas utiliser Kaspersky Managed Detection and Response.

L’activation est terminée.

Pour arrêter d’utiliser Kaspersky Managed Detection and Response, consultez cet article ou contactez le Support Technique.

[Topic 283536]

Désactivation de Kaspersky Managed Detection and Response

Si vous souhaitez cesser d’utiliser Kaspersky Managed Detection and Response, vous pouvez soit mettre fin à son utilisation de manière permanente, soit la suspendre temporairement sur certaines ressources.

[Topic 216535]

Arrêt de l’utilisation de Kaspersky Managed Detection and Response

Vous pouvez arrêter l’utilisation de Kaspersky Managed Detection and Response manuellement si vous le souhaitez.

Lorsque vous mettez fin à l’utilisation de Kaspersky Managed Detection and Response, la solution cesse d’envoyer des données télémétriques à partir de vos ressources. Pour supprimer les données concernant votre organisation de l’infrastructure de Kaspersky Managed Detection and Response, veuillez contacter le Support Technique.

Pour mettre fin à l’utilisation de Kaspersky Managed Detection and Response :

1. Dans Kaspersky Security Center Web Console ou Kaspersky Security Center Cloud Console, accédez à la section Appareils → Stratégies et profils si vous utilisez les applications EPP qui prennent en charge les stratégies.

   Si vous utilisez une application EPP qui ne prend pas en charge les politiques, accédez à la section Appareils → Tâches.

   La liste des stratégies (ou la liste des tâches) s’ouvre.

2. Cliquez sur une politique ou une tâche que vous avez créée lors du déploiement de Kaspersky Managed Detection and Response pour configurer l’intégration entre une application EPP et Kaspersky Managed Detection and Response.

   La fenêtre des paramètres de stratégie (ou la fenêtre des paramètres de tâche) s’ouvre.

3. Dans l’onglet Paramètres de l’application dans le volet de gauche, sélectionnez Détection et réponse, puis dans le volet de droite, sélectionnez Détection et réponse gérées.

   Le volet des paramètres de Managed Detection and Response.

4. Désactivez l’option Détection et réponse gérées activées.

   Le nom de l’option devient Managed Detection and Response désactivée.

5. Enregistrez les modifications apportées à la stratégie ou à la tâche.
6. Révoquez de votre consentement avec les conditions d’utilisation de la solution MDR.
7. Si vous utilisez Kaspersky Security Center Web Console pour travailler avec Kaspersky MDR, il est en outre recommandé de supprimer le fichier de configuration de Kaspersky Security Network Kaspersky Security Center du Serveur d’Administration de Kaspersky Security Center.

L’utilisation de Kaspersky Managed Detection and Response s’arrête.

[Topic 283535]

Suspension de l’utilisation de Kaspersky Managed Detection and Response

Pour se conformer aux conditions d’utilisation de la solution MDR, il est nécessaire de suspendre l’utilisation de la solution sur les ressources si ces dernières se trouvent temporairement sur le territoire des États-Unis (par exemple, à l’occasion d’un déplacement professionnel).

Pour suspendre temporairement l’utilisation de la solution MDR sur certaines ressources, procédez comme suit :

1. Dans Kaspersky Security Center, créez un nouveau groupe d’administration pour gérer les ressources sur lesquelles vous souhaitez suspendre l’utilisation de la solution MDR. Vous pourrez modifier la liste des ressources de ce groupe ultérieurement.
2. Pour ce groupe d’administration, créez les nouvelles stratégies des applications EPP utilisées pour transmettre la télémétrie MDR depuis des ressources, puis désactivez l’utilisation de la solution MDR et de Kaspersky Security Network dans les paramètres de la stratégie.

   Pour en savoir plus sur la configuration des stratégies, consultez les articles d’aide d’une application EPP en particulier. Par exemple, l’aide de Kaspersky Endpoint Security for Windows contient des instructions sur l’administration des stratégies et de configuration de l’intégration à la solution MDR.

3. Déplacez les ressources pour lesquelles vous souhaitez suspendre l’utilisation de la solution MDR au groupe d’administration créé.

   La nouvelle stratégie, qui désactive l’utilisation de la solution MDR et de Kaspersky Security Network, sera appliquée aux ressources après la synchronisation. Vous pouvez aussi forcer la synchronisation manuellement.

Pour reprendre l’utilisation de Kaspersky Managed Detection and Response après la suspension, procédez comme suit :

1. Excluez la ressource du groupe d’administration utilisé pour la suspension.
2. Appliquez une stratégie standard selon laquelle l’utilisation de la solution MDR est activée et configurée pour cette ressource.

   Les ressources ne seront pas surveillées par la solution MDR tant qu’une stratégie selon laquelle l’utilisation de la solution MDR est activée et configurée leur est appliquée.

[Topic 206214]

Déploiement de Kaspersky Managed Detection and Response

Cette section contient des informations sur le déploiement de Kaspersky Managed Detection and Response. Les scénarios de déploiement diffèrent selon les applications Kaspersky utilisées dans votre infrastructure.

Tout d’abord, vous devez effectuer les prérequis, qui diffèrent selon l’application que vous utilisez pour la gestion centralisée de la sécurité de votre réseau :

• Les applications sur site sont Kaspersky Security Center (Console d’administration basée sur Microsoft Management Console) et Kaspersky Security Center Web Console.
• La solution basée sur le cloud est Kaspersky Security Center Cloud Console.

Les étapes ultérieure du déploiement de Kaspersky Managed Detection and Response dépendent des

Tant que la Déclaration de Kaspersky Security Network n’est pas acceptée, KSN est désactivé. De plus, les états des ressources peuvent être Critiques dans Kaspersky Security Center, et l’événement Les serveurs KSN sont indisponibles s’affichera. L’utilisation de KSN est activée après l’application de la stratégie dans laquelle l’administrateur accepte les conditions d’utilisation de KSN.

[Topic 219884]

Déploiement sur site

Cette section contient les scénarios de déploiement de Kaspersky Managed Detection and Response utilisant les applications sur site : Kaspersky Security Center (Console d’administration basée sur Microsoft Management Console) et Kaspersky Security Center Web Console.

[Topic 219473]

Déploiement à l’aide de Kaspersky Security Center

Tout développer | Tout réduire

Conditions préalables

• Votre infrastructure informatique doit répondre aux exigences matérielles et logicielles de Kaspersky Managed Detection and Response.
• Pour les ports 443 et 1443 sur chaque ressource que vous souhaitez protéger, le trafic non SSL sortant est autorisé et l’inspection du trafic est désactivée. Ces ports sont utilisés pour transférer les données de télémétrie des ressources vers les serveurs Kaspersky suivants :
  • *.ksn.kaspersky-labs.com
  • ksn-*.kaspersky-labs.com
  • ds.kaspersky.com

Le déploiement de Kaspersky Managed Detection and Response à l’aide de Kaspersky Security Center s’effectue en étapes :

1. Activation de la solution

   Activez la solution Kaspersky Managed Detection and Response à l’aide de votre licence.

2. Installation des applications EPP

   Assurez-vous d’avoir installé les applications EPP prenant en charge la fonctionnalité Kaspersky Managed Detection and Response sur vos ressources.

3. Téléchargement du fichier de configuration MDR

   Téléchargez le fichier de configuration MDR pour votre organisation ou téléchargez des archives distinctes pour chaque locataire à partir de la section Locataires de la Console MDR en ligne.

   À partir de Kaspersky Endpoint Security for Windows 12.6, si vous avez uniquement un locataire racine et si vous n’utilisez pas la solution MDR avec Kaspersky Endpoint Detection and Response Optimum, vous n’avez pas besoin de télécharger le fichier de configuration MDR. Reportez-vous aux instructions fournie à l’étape 5 pour Kaspersky Endpoint Security pour Windows.

4. Configuration de Kaspersky Private Security Network (KPSN)

   Configurez KPSN sur vos ressources en utilisant votre fichier de configuration KSN à partir du fichier de configuration MDR.

   Cette étape garantit que la télémétrie est envoyée aux serveurs dédiés conformes au RGPD. Si vous ne configurez pas le KSN privé, votre télémétrie n’est pas transmise et le service Kaspersky Managed Detection and Response n’est alors pas assuré.

5. Intégration avec les applications EPP

   Réalisez les scénarios de déploiement spécifiques aux applications pour toutes les applications Kaspersky installées sur vos ressources :

   • Kaspersky Endpoint Security for Windows

     Le déploiement dépend de la version de Kaspersky Endpoint Security for Windows installée sur vos ressources. Si plusieurs versions de Kaspersky Endpoint Security for Windows sont installées dans votre infrastructure, vous pouvez exécuter les scénarios pour ces versions dans n’importe quel ordre :

     Kaspersky Endpoint Security pour Windows 12.6 et versions ultérieures avec uniquement le locataire racine et sans Kaspersky Endpoint Detection and Response Optimum

     Si vous n’avez que le locataire racine, vous pouvez ignorer le téléchargement du fichier de configuration MDR, ajouter et déployer votre clé de licence directement dans Kaspersky Security Center.

     Pour déployer Kaspersky Managed Detection and Response sur Kaspersky Endpoint Security pour Windows 12.6 et versions ultérieures, procédez comme suit :

     1. Assurez-vous que toutes vos ressources appartiennent au locataire racine.
     2. Vérifiez si Kaspersky Endpoint Security pour Windows sur toutes les ressources est à jour vers la version 12.6 ou une version ultérieure.
     3. Assurez-vous que le Kaspersky Managed Detection and Response est activé dans Kaspersky Endpoint Security pour Windows sur toutes les ressources.
     4. Ajoutez une clé de licence dans le registre des clés de licence de Kaspersky Security Center.
     5. Déployez automatiquement la clé de licence sur les ressources ou à l’aide de la tâche touche Ajouter une clé de licence.

     Pour en savoir plus sur l’utilisation simultanée des solutions MDR et EDR Optimum, consultez l’aide de Kaspersky Endpoint Security pour Windows.

     Kaspersky Endpoint Security pour Windows 11.6–12.5 et versions ultérieures avec plusieurs locataires

     Si vous passez à la fonctionnalité MDR intégrée à Kaspersky Endpoint Security for Windows après l’avoir utilisée à l’aide de la fonctionnalité Kaspersky Endpoint Agent, veillez à désactiver la stratégie Kaspersky Managed Detection and Response dans Kaspersky Endpoint Agent après avoir configuré l’intégration à la stratégie Kaspersky Managed Detection and Response dans Kaspersky Endpoint Security for Windows pour toutes les ressources disposant de Kaspersky Endpoint Security for Windows 11.6 et versions ultérieures.

     Notez que si la même stratégie est également appliquée aux ressources disposant de Kaspersky Endpoint Security for Windows 11.5 et versions antérieures, il est d’abord nécessaire de créer et de configurer une stratégie distincte pour ces ressources afin de préserver leur intégration avec la stratégie Kaspersky Managed Detection and Response par l’entremise de Kaspersky Endpoint Agent.

     Kaspersky Endpoint Security for Windows 11.0–11.5

     1. Créez une tâche d’installation de l’application à distance dans Kaspersky Security Center. Dans la fenêtre Sélectionner le paquet de distribution pour l’installation, choisissez le fichier BAT dans le fichier de configuration MDR.
     2. Exécutez la tâche manuellement ou attendez qu’elle se lance selon la planification que vous avez précisée dans les paramètres de la tâche.

        Assurez-vous que la tâche est effectuée sur toutes vos ressources.

     3. Configurez Kaspersky Endpoint Security for Windows sur vos ressources.

        Les composants suivants doivent être activés :

        • Kaspersky Security Network

          Dans les paramètres de Kaspersky Security Network, cochez la case Activer le mode KSN étendu.

        • Détection comportementale

          L’activation de ces modules est obligatoire. Dans le cas contraire, Kaspersky Managed Detection and Response ne fonctionnera pas, car l’envoi de la télémétrie n’est pas possible.

        De plus, Kaspersky Managed Detection and Response peut utiliser les données des composants suivants :

        • Protection contre les menaces Internet
        • Protection contre les menaces par e-mail
        • Pare-feu

          L’activation de ces modules est facultative. Si ces composants sont désactivés, Kaspersky Managed Detection and Response continue d’envoyer la télémétrie, mais avec des données limitées.

     4. Si vous avez activé le pare-feu dans Kaspersky Endpoint Security for Windows, créez une règle de pare-feu avec les propriétés suivantes :
        • Dans la liste déroulante Action, sélectionnez la valeur Autoriser.
        • Dans la liste déroulante Direction, sélectionnez la valeur Entrant/Sortant.
        • Dans les listes déroulantes Adresses distantes et Adresses locales, sélectionnez la valeur Toute adresse.

          Une fois la règle créée, déplacez-la en haut de la liste des règles.

     Si vous utilisez Kaspersky Endpoint Detection and Response Optimum (pour Kaspersky Endpoint Security for Windows 11.6 et versions antérieures)

     1. Assurez-vous d’avoir installé Kaspersky Endpoint Agent dans le cadre de Kaspersky Endpoint Security for Windows.

        Kaspersky Endpoint Agent peut être installé :

        • Lors de l’installation de Kaspersky Endpoint Security for Windows.
        • Après l’installation de Kaspersky Endpoint Security for Windows.
     2. Vérifiez si votre version de Kaspersky Endpoint Agent for Windows est à jour et mettez-la à jour si nécessaire.

        Kaspersky Endpoint Agent 3.10 ou une version ultérieure est requis pour Kaspersky Endpoint Security for Windows 11.5.

     3. Configurez votre solution Kaspersky Endpoint Detection and Response Optimum.
     4. Créez une politique pour Kaspersky Endpoint Agent.
     5. Pour configurer l’intégration entre Kaspersky Endpoint Agent for Windows et Kaspersky Managed Detection and Response, chargez le fichier BLOB à partir du fichier de configuration MDR dans la stratégie.
     6. Configurez Kaspersky Endpoint Security for Windows sur vos ressources.

        Les composants suivants doivent être activés :

        • Kaspersky Security Network

          Dans les paramètres de Kaspersky Security Network, cochez la case Activer le mode KSN étendu.

        • Détection comportementale

          L’activation de ces modules est obligatoire. Dans le cas contraire, Kaspersky Managed Detection and Response ne fonctionnera pas, car l’envoi de la télémétrie n’est pas possible.

        De plus, Kaspersky Managed Detection and Response peut utiliser les données des composants suivants :

        • Protection contre les menaces Internet
        • Protection contre les menaces par e-mail
        • Pare-feu

          L’activation de ces modules est facultative. Si ces composants sont désactivés, Kaspersky Managed Detection and Response continue d’envoyer la télémétrie, mais avec des données limitées.

     7. Si vous avez activé le pare-feu dans Kaspersky Endpoint Security for Windows, créez une règle de pare-feu avec les propriétés suivantes :
        • Dans la liste déroulante Action, sélectionnez la valeur Autoriser.
        • Dans la liste déroulante Direction, sélectionnez la valeur Entrant/Sortant.
        • Dans les listes déroulantes Adresses distantes et Adresses locales, sélectionnez la valeur Toute adresse.

          Une fois la règle créée, déplacez-la en haut de la liste des règles.

   • Kaspersky Endpoint Security for Linux
   • Kaspersky Endpoint Security for Mac
   • Kaspersky Security for Windows Server

     Le déploiement dépend de la version de Kaspersky Security for Windows Server installée sur vos ressources. Si plusieurs versions de Kaspersky Security for Windows Server sont installées dans votre infrastructure, vous pouvez exécuter les scénarios pour ces versions dans n’importe quel ordre :

     Kaspersky Security for Windows Server 11 et versions ultérieures

     1. Assurez-vous d’avoir installé Kaspersky Endpoint Agent for Windows dans le cadre de Kaspersky Security for Windows Server.

        Kaspersky Endpoint Agent for Windows peut être installé :

        • Lors de l’installation de Kaspersky Security for Windows Server
        • Après l’installation de Kaspersky Security for Windows Server
     2. Vérifiez si votre version de Kaspersky Endpoint Agent for Windows est à jour et mettez-la à jour si nécessaire.
     3. Créez une stratégie pour Kaspersky Endpoint Agent for Windows à l’aide de Kaspersky Security Center.
     4. Pour configurer l’intégration entre Kaspersky Endpoint Agent for Windows et Kaspersky Managed Detection and Response, chargez le fichier BLOB du fichier de configuration MDR dans la politique.
     5. Configurez Kaspersky Security for Windows Server sur vos ressources. Vous pouvez effectuer chaque étape localement, dans Kaspersky Security for Windows Server sur chacune de vos ressources, ou globalement, dans Kaspersky Security Center.
        1. Lancez la tâche Utilisation de KSN.

           Le démarrage de la tâche Utilisation de KSN permet d’utiliser Kaspersky Security Network dans Kaspersky Security for Windows Server.

           Dans la fenêtre Traitement des données de la tâche Utilisation de KSN, cochez toutes les cases de tous les onglets.

           Dans la fenêtre Paramètres de la tâche Utilisation de KSN, dans l’onglet Gestion des tâches, cochez la case Exécuté selon la planification. Dans la liste déroulante Fréquence, sélectionnez la valeur Au lancement de l’application.

           Dans la sous-section Utilisation de KSN, assurez-vous qu’un cadenas fermé est affiché. Le verrou fermé signifie que la stratégie définit les paramètres précisés pour les ressources.

        2. Lancez la tâche Protection du trafic.

           Le démarrage de la tâche Protection du trafic permet le traitement du trafic Internet (y compris le trafic reçu par e-mail), ainsi que l’interception et l’analyse des objets transférés via le trafic Internet, afin de détecter les ordinateurs connus et d’autres menaces sur l’appareil protégé.

           Dans la fenêtre Paramètres de la tâche Protection du trafic, dans l’onglet Général, sélectionnez la valeur Intercepteur de pilote dans la liste déroulante Mode de tâche.

           Dans la fenêtre Paramètres de la tâche Protection du trafic, dans l’onglet Gestion des tâches, cochez la case Exécuté selon la planification. Dans la liste déroulante Fréquence, sélectionnez la valeur Au lancement de l’application.

           Dans la sous-section Protection du trafic, assurez-vous qu’un cadenas fermé est affiché. Le verrou fermé signifie que la stratégie définit les paramètres précisés pour les appareils.

        3. Lancez la tâche Contrôle du lancement des applications

           Démarrage de la tâche Contrôle du lancement des applications permet de surveiller les tentatives des utilisateurs de démarrer des applications et autorise ou interdit le démarrage de ces applications.

           Dans la fenêtre Paramètres de la tâche Contrôle du lancement des applications, dans l’onglet Général, cochez les cases Contrôler le chargement des modules DLL et Autoriser les applications de confiance selon KSN.

           Dans la fenêtre Paramètres de la tâche Contrôle du lancement des applications, dans l’onglet Gestion des tâches, cochez la case Exécuté selon la planification. Dans la liste déroulante Fréquence, sélectionnez la valeur Au lancement de l’application.

           Dans la sous-section Contrôle du lancement des applications, assurez-vous qu’un cadenas fermé est affiché. Le verrou fermé signifie que la stratégie définit les paramètres précisés pour les appareils.

     Kaspersky Security for Windows Server 10.1.*

     1. Assurez-vous d’avoir installé Kaspersky Endpoint Agent for Windows en tant qu’application autonome.
     2. Vérifiez si votre version de Kaspersky Endpoint Agent for Windows est à jour et mettez-la à jour si nécessaire.
     3. Créez une stratégie pour Kaspersky Endpoint Agent for Windows à l’aide de Kaspersky Security Center.
     4. Pour configurer l’intégration entre Kaspersky Endpoint Agent for Windows et Kaspersky Managed Detection and Response, chargez le fichier BLOB du fichier de configuration MDR dans la politique.
     5. Configurez Kaspersky Security for Windows Server sur vos ressources. Vous pouvez effectuer chaque étape localement, dans Kaspersky Security for Windows Server sur chacune de vos ressources, ou globalement, dans Kaspersky Security Center.
        1. Lancez la tâche Utilisation de KSN.

           Le démarrage de la tâche Utilisation de KSN permet d’utiliser Kaspersky Security Network dans Kaspersky Security for Windows Server.

           Dans la fenêtre Traitement des données de la tâche Utilisation de KSN, cochez toutes les cases de tous les onglets.

           Dans la fenêtre Paramètres de la tâche Utilisation de KSN, dans l’onglet Gestion des tâches, cochez la case Exécuté selon la planification. Dans la liste déroulante Fréquence, sélectionnez la valeur Au lancement de l’application.

           Dans la sous-section Utilisation de KSN, assurez-vous qu’un cadenas fermé est affiché. Le verrou fermé signifie que la stratégie définit les paramètres précisés pour les ressources.

        2. Lancez la tâche Protection du trafic.

           Le démarrage de la tâche Protection du trafic permet le traitement du trafic Internet (y compris le trafic reçu par e-mail), ainsi que l’interception et l’analyse des objets transférés via le trafic Internet, afin de détecter les ordinateurs connus et d’autres menaces sur l’appareil protégé.

           Dans la fenêtre Paramètres de la tâche Protection du trafic, dans l’onglet Général, sélectionnez la valeur Intercepteur de pilote dans la liste déroulante Mode de tâche.

           Dans la fenêtre Paramètres de la tâche Protection du trafic, dans l’onglet Gestion des tâches, cochez la case Exécuté selon la planification. Dans la liste déroulante Fréquence, sélectionnez la valeur Au lancement de l’application.

           Dans la sous-section Protection du trafic, assurez-vous qu’un cadenas fermé est affiché. Le verrou fermé signifie que la stratégie définit les paramètres précisés pour les appareils.

        3. Lancez la tâche Contrôle du lancement des applications

           Démarrage de la tâche Contrôle du lancement des applications permet de surveiller les tentatives des utilisateurs de démarrer des applications et autorise ou interdit le démarrage de ces applications.

           Dans la fenêtre Paramètres de la tâche Contrôle du lancement des applications, dans l’onglet Général, cochez les cases Contrôler le chargement des modules DLL et Autoriser les applications de confiance selon KSN.

           Dans la fenêtre Paramètres de la tâche Contrôle du lancement des applications, dans l’onglet Gestion des tâches, cochez la case Exécuté selon la planification. Dans la liste déroulante Fréquence, sélectionnez la valeur Au lancement de l’application.

           Dans la sous-section Contrôle du lancement des applications, assurez-vous qu’un cadenas fermé est affiché. Le verrou fermé signifie que la stratégie définit les paramètres précisés pour les appareils.

     Si vous utilisez Kaspersky Endpoint Detection and Response Optimum (pour Kaspersky Endpoint Security for Windows 11.6 et versions antérieures)

     1. Assurez-vous d’avoir installé Kaspersky Endpoint Agent dans le cadre de Kaspersky Endpoint Security for Windows.

        Kaspersky Endpoint Agent peut être installé :

        • Lors de l’installation de Kaspersky Endpoint Security for Windows.
        • Après l’installation de Kaspersky Endpoint Security for Windows.
     2. Vérifiez si votre version de Kaspersky Endpoint Agent for Windows est à jour et mettez-la à jour si nécessaire.

        Kaspersky Endpoint Agent 3.10 ou une version ultérieure est requis pour Kaspersky Endpoint Security for Windows 11.5.

     3. Configurez votre solution Kaspersky Endpoint Detection and Response Optimum.
     4. Créez une politique pour Kaspersky Endpoint Agent.
     5. Pour configurer l’intégration entre Kaspersky Endpoint Agent for Windows et Kaspersky Managed Detection and Response, chargez le fichier BLOB à partir du fichier de configuration MDR dans la stratégie.
     6. Configurez Kaspersky Endpoint Security for Windows sur vos ressources.

        Les composants suivants doivent être activés :

        • Kaspersky Security Network

          Dans les paramètres de Kaspersky Security Network, cochez la case Activer le mode KSN étendu.

        • Détection comportementale

          L’activation de ces modules est obligatoire. Dans le cas contraire, Kaspersky Managed Detection and Response ne fonctionnera pas, car l’envoi de la télémétrie n’est pas possible.

        De plus, Kaspersky Managed Detection and Response peut utiliser les données des composants suivants :

        • Protection contre les menaces Internet
        • Protection contre les menaces par e-mail
        • Pare-feu

          L’activation de ces modules est facultative. Si ces composants sont désactivés, Kaspersky Managed Detection and Response continue d’envoyer la télémétrie, mais avec des données limitées.

     7. Si vous avez activé le pare-feu dans Kaspersky Endpoint Security for Windows, créez une règle de pare-feu avec les propriétés suivantes :
        • Dans la liste déroulante Action, sélectionnez la valeur Autoriser.
        • Dans la liste déroulante Direction, sélectionnez la valeur Entrant/Sortant.
        • Dans les listes déroulantes Adresses distantes et Adresses locales, sélectionnez la valeur Toute adresse.

          Une fois la règle créée, déplacez-la en haut de la liste des règles.

   • Kaspersky Security for Virtualization 5.2 Light Agent

     1. Assurez-vous d’avoir installé Kaspersky Endpoint Agent dans le cadre de Kaspersky Endpoint Security for Windows.

        Kaspersky Endpoint Agent peut être installé :

        • Lors de l’installation de Kaspersky Endpoint Security for Windows.
        • Après l’installation de Kaspersky Endpoint Security for Windows.
     2. Vérifiez si votre version de Kaspersky Endpoint Agent for Windows est à jour et mettez-la à jour si nécessaire.

        Kaspersky Endpoint Agent 3.10 ou une version ultérieure est requis pour Kaspersky Endpoint Security for Windows 11.5.

     3. Configurez votre solution Kaspersky Endpoint Detection and Response Optimum.
     4. Créez une politique pour Kaspersky Endpoint Agent.
     5. Pour configurer l’intégration entre Kaspersky Endpoint Agent for Windows et Kaspersky Managed Detection and Response, chargez le fichier BLOB à partir du fichier de configuration MDR dans la stratégie.
     6. Configurez Kaspersky Endpoint Security for Windows sur vos ressources.

        Les composants suivants doivent être activés :

        • Kaspersky Security Network

          Dans les paramètres de Kaspersky Security Network, cochez la case Activer le mode KSN étendu.

        • Détection comportementale

          L’activation de ces modules est obligatoire. Dans le cas contraire, Kaspersky Managed Detection and Response ne fonctionnera pas, car l’envoi de la télémétrie n’est pas possible.

        De plus, Kaspersky Managed Detection and Response peut utiliser les données des composants suivants :

        • Protection contre les menaces Internet
        • Protection contre les menaces par e-mail
        • Pare-feu

          L’activation de ces modules est facultative. Si ces composants sont désactivés, Kaspersky Managed Detection and Response continue d’envoyer la télémétrie, mais avec des données limitées.

     7. Si vous avez activé le pare-feu dans Kaspersky Endpoint Security for Windows, créez une règle de pare-feu avec les propriétés suivantes :
        • Dans la liste déroulante Action, sélectionnez la valeur Autoriser.
        • Dans la liste déroulante Direction, sélectionnez la valeur Entrant/Sortant.
        • Dans les listes déroulantes Adresses distantes et Adresses locales, sélectionnez la valeur Toute adresse.

          Une fois la règle créée, déplacez-la en haut de la liste des règles.

     • Kaspersky Security for Virtualization 5.2 Light Agent
     • Si vous utilisez Kaspersky Endpoint Detection and Response Optimum (pour Kaspersky Endpoint Security for Windows 11.6 et versions antérieures)
       1. Assurez-vous d’avoir installé Kaspersky Endpoint Agent dans le cadre de Kaspersky Endpoint Security for Windows.

          Kaspersky Endpoint Agent peut être installé :

          • Lors de l’installation de Kaspersky Endpoint Security for Windows.
          • Après l’installation de Kaspersky Endpoint Security for Windows.
       2. Vérifiez si votre version de Kaspersky Endpoint Agent for Windows est à jour et mettez-la à jour si nécessaire.

          Kaspersky Endpoint Agent 3.10 ou une version ultérieure est requis pour Kaspersky Endpoint Security for Windows 11.5.

       3. Configurez votre solution Kaspersky Endpoint Detection and Response Optimum.
       4. Créez une politique pour Kaspersky Endpoint Agent.
       5. Pour configurer l’intégration entre Kaspersky Endpoint Agent for Windows et Kaspersky Managed Detection and Response, chargez le fichier BLOB à partir du fichier de configuration MDR dans la stratégie.
       6. Configurez Kaspersky Endpoint Security for Windows sur vos ressources.

          Les composants suivants doivent être activés :

          • Kaspersky Security Network

            Dans les paramètres de Kaspersky Security Network, cochez la case Activer le mode KSN étendu.

          • Détection comportementale

            L’activation de ces modules est obligatoire. Dans le cas contraire, Kaspersky Managed Detection and Response ne fonctionnera pas, car l’envoi de la télémétrie n’est pas possible.

          De plus, Kaspersky Managed Detection and Response peut utiliser les données des composants suivants :

          • Protection contre les menaces Internet
          • Protection contre les menaces par e-mail
          • Pare-feu

            L’activation de ces modules est facultative. Si ces composants sont désactivés, Kaspersky Managed Detection and Response continue d’envoyer la télémétrie, mais avec des données limitées.

       7. Si vous avez activé le pare-feu dans Kaspersky Endpoint Security for Windows, créez une règle de pare-feu avec les propriétés suivantes :
          • Dans la liste déroulante Action, sélectionnez la valeur Autoriser.
          • Dans la liste déroulante Direction, sélectionnez la valeur Entrant/Sortant.
          • Dans les listes déroulantes Adresses distantes et Adresses locales, sélectionnez la valeur Toute adresse.

            Une fois la règle créée, déplacez-la en haut de la liste des règles.

   • Kaspersky Anti-Targeted Attack Platform

     Kaspersky Managed Detection and Response vous permet d’analyser et de surveiller les données de Kaspersky Anti-Targeted Attack (KATA) Platform.

     L’intégration de Kaspersky Anti-Targeted Attack Platform n’est pas compatible avec l’utilisation d’une clé de licence destinée à la région Arabie Saoudite.

     Pour configurer l’intégration entre Kaspersky Managed Detection and Response et Kaspersky Anti-Targeted Attack Platform, vous devez d’abord recevoir un fichier de configuration MDR. Pour plus d’informations sur la configuration de l’intégration, reportez-vous à l’aide en ligne de Kaspersky Anti-Targeted Attack Platform.

     Kaspersky Anti-Targeted Attack Platform ne fait pas partie de Kaspersky Managed Detection and Response. Si vous souhaitez utiliser Kaspersky Anti-Targeted Attack Platform, vous devez l’acheter séparément.

   Si plusieurs applications Kaspersky sont installées sur votre infrastructure, vous pouvez réaliser les scénarios propres à l’application dans n’importe quel ordre.

   Vous pouvez vérifier l’état de vos ressources à l’aide de la fonctionnalité Santé MDR.

[Topic 219474]

Déploiement à l’aide de Kaspersky Security Center Web Console

Tout développer | Tout réduire

Conditions préalables

• Votre infrastructure informatique répond aux exigences matérielles et logicielles de Kaspersky Managed Detection and Response.
• Pour les ports 443 et 1443 sur chaque ressource que vous souhaitez protéger, le trafic non SSL sortant est autorisé et l’inspection du trafic est désactivée. Ces ports sont utilisés pour transférer les données de télémétrie des ressources vers les serveurs Kaspersky suivants :
  • *.ksn.kaspersky-labs.com
  • ksn-*.kaspersky-labs.com
  • ds.kaspersky.com

Le déploiement de Kaspersky Managed Detection and Response à l’aide de Kaspersky Security Center Web Console s’effectue en étapes :

1. Installation du plug-in MDR

   Téléchargez et configurez le plug-in MDR pour gérer la solution dans Kaspersky Security Center Web Console.

2. Activation de la solution

   Activez la solution Kaspersky Managed Detection and Response à l’aide de votre licence.

3. Téléchargement du fichier de configuration MDR

   Téléchargez le fichier de configuration MDR pour votre organisation ou téléchargez des archives séparées pour chaque locataire à partir de la section Locataires de la Console MDR en ligne ou en utilisant le plug-in MDR dans Kaspersky Security Center Web Console.

   À partir de Kaspersky Endpoint Security pour Windows 12.6, si vous avez uniquement un locataire racine et si vous n’utilisez pas la solution MDR avec Kaspersky Endpoint Detection and Response Optimum, vous n’avez pas besoin de télécharger le fichier de configuration MDR. Reportez-vous aux instructions fournie à l’étape 5 pour Kaspersky Endpoint Security pour Windows.

4. Installation des applications EPP

   Assurez-vous d’avoir installé les applications EPP prenant en charge la fonctionnalité Kaspersky Managed Detection and Response sur vos ressources.

5. Intégration avec les applications EPP

   Réalisez les scénarios de déploiement spécifiques aux applications pour toutes les applications Kaspersky installées sur vos ressources :

   • Kaspersky Endpoint Security for Windows

     Le déploiement dépend de la version de Kaspersky Endpoint Security for Windows installée sur vos ressources. Si plusieurs versions de Kaspersky Endpoint Security for Windows sont installées dans votre infrastructure, vous pouvez exécuter les scénarios pour ces versions dans n’importe quel ordre :

     Kaspersky Endpoint Security pour Windows 12.6 et versions ultérieures avec uniquement le locataire racine et sans Kaspersky Endpoint Detection and Response Optimum

     Si vous n’avez que le locataire racine, vous pouvez ignorer le téléchargement du fichier de configuration MDR, ajouter et déployer votre clé de licence directement dans Kaspersky Security Center.

     Pour déployer Kaspersky Managed Detection and Response sur Kaspersky Endpoint Security pour Windows 12.6 et versions ultérieures, procédez comme suit :

     1. Assurez-vous que toutes vos ressources appartiennent au locataire racine.
     2. Vérifiez si Kaspersky Endpoint Security pour Windows sur toutes les ressources est à jour vers la version 12.6 ou une version ultérieure.
     3. Assurez-vous que le Kaspersky Managed Detection and Response est activé dans Kaspersky Endpoint Security pour Windows sur toutes les ressources.
     4. Ajoutez une clé de licence dans le registre des clés de licence de Kaspersky Security Center.
     5. Déployez automatiquement la clé de licence sur les ressources ou à l’aide de la tâche touche Ajouter une clé de licence.

     Si vous n’avez que le locataire racine, vous pouvez ignorer le téléchargement du fichier de configuration MDR, ajouter et déployer votre clé de licence directement dans Kaspersky Security Center Web Console.

     Pour déployer Kaspersky Managed Detection and Response sur Kaspersky Endpoint Security pour Windows 12.6 et versions ultérieures, procédez comme suit :

     1. Assurez-vous que toutes vos ressources appartiennent au locataire racine.
     2. Vérifiez si Kaspersky Endpoint Security pour Windows sur toutes les ressources est à jour vers la version 12.6 ou une version ultérieure.
     3. Assurez-vous que le Kaspersky Managed Detection and Response est activé dans Kaspersky Endpoint Security pour Windows sur toutes les ressources.
     4. Ajoutez une clé de licence dans le registre des clés de licence de Kaspersky Security Center Web Console.
     5. Déployez automatiquement la clé de licence sur les ressources ou à l’aide de la tâche touche Ajouter une clé de licence.

     Pour en savoir plus sur l’utilisation simultanée des solutions MDR et EDR Optimum, consultez l’aide de Kaspersky Endpoint Security pour Windows.

     Kaspersky Endpoint Security pour Windows 11.6–12.5 et versions ultérieures avec plusieurs locataires

     Si vous passez à la fonctionnalité MDR intégrée à Kaspersky Endpoint Security for Windows après l’avoir utilisée à l’aide de la fonctionnalité Kaspersky Endpoint Agent, veillez à désactiver la stratégie Kaspersky Managed Detection and Response dans Kaspersky Endpoint Agent après avoir configuré l’intégration à la stratégie Kaspersky Managed Detection and Response dans Kaspersky Endpoint Security for Windows pour toutes les ressources disposant de Kaspersky Endpoint Security for Windows 11.6 et versions ultérieures.

     Notez que si la même stratégie est également appliquée aux ressources disposant de Kaspersky Endpoint Security for Windows 11.5 et versions antérieures, il est d’abord nécessaire de créer et de configurer une stratégie distincte pour ces ressources afin de préserver leur intégration avec la stratégie Kaspersky Managed Detection and Response par l’entremise de Kaspersky Endpoint Agent.

     Kaspersky Endpoint Security for Windows 11.0–11.5

     1. Créez une tâche d’installation de l’application à distance dans Kaspersky Security Center. Dans la fenêtre Sélectionner le paquet de distribution pour l’installation, choisissez le fichier BAT dans le fichier de configuration MDR.
     2. Exécutez la tâche manuellement ou attendez qu’elle se lance selon la planification que vous avez précisée dans les paramètres de la tâche.

        Assurez-vous que la tâche est effectuée sur toutes vos ressources.

     3. Configurez Kaspersky Endpoint Security for Windows sur vos ressources.

        Les composants suivants doivent être activés :

        • Kaspersky Security Network

          Dans les paramètres de Kaspersky Security Network, cochez la case Activer le mode KSN étendu.

        • Détection comportementale

          L’activation de ces modules est obligatoire. Dans le cas contraire, Kaspersky Managed Detection and Response ne fonctionnera pas, car l’envoi de la télémétrie n’est pas possible.

        De plus, Kaspersky Managed Detection and Response peut utiliser les données des composants suivants :

        • Protection contre les menaces Internet
        • Protection contre les menaces par e-mail
        • Pare-feu

          L’activation de ces modules est facultative. Si ces composants sont désactivés, Kaspersky Managed Detection and Response continue d’envoyer la télémétrie, mais avec des données limitées.

     4. Si vous avez activé le pare-feu dans Kaspersky Endpoint Security for Windows, créez une règle de pare-feu avec les propriétés suivantes :
        • Dans la liste déroulante Action, sélectionnez la valeur Autoriser.
        • Dans la liste déroulante Direction, sélectionnez la valeur Entrant/Sortant.
        • Dans les listes déroulantes Adresses distantes et Adresses locales, sélectionnez la valeur Toute adresse.

          Une fois la règle créée, déplacez-la en haut de la liste des règles.

     Si vous utilisez Kaspersky Endpoint Detection and Response Optimum

     1. Assurez-vous d’avoir installé Kaspersky Endpoint Agent dans le cadre de Kaspersky Endpoint Security for Windows.

        Kaspersky Endpoint Agent peut être installé :

        • Lors de l’installation de Kaspersky Endpoint Security for Windows.
        • Après l’installation de Kaspersky Endpoint Security for Windows.
     2. Vérifiez si votre version de Kaspersky Endpoint Agent for Windows est à jour et mettez-la à jour si nécessaire.

        Kaspersky Endpoint Agent 3.10 ou une version ultérieure est requis pour Kaspersky Endpoint Security for Windows 11.5.

     3. Configurez votre solution Kaspersky Endpoint Detection and Response Optimum.
     4. Créez une politique pour Kaspersky Endpoint Agent.
     5. Pour configurer l’intégration entre Kaspersky Endpoint Agent for Windows et Kaspersky Managed Detection and Response, chargez le fichier BLOB à partir du fichier de configuration MDR dans la stratégie.
     6. Configurez Kaspersky Endpoint Security for Windows sur vos ressources.

        Les composants suivants doivent être activés :

        • Kaspersky Security Network

          Dans les paramètres de Kaspersky Security Network, la case Activer le mode KSN étendu doit être cochée.

        • Détection comportementale

          L’activation de ces modules est obligatoire. Dans le cas contraire, Kaspersky Managed Detection and Response ne fonctionnera pas, car l’envoi de la télémétrie n’est pas possible.

        De plus, Kaspersky Managed Detection and Response peut utiliser les données des composants suivants :

        • Protection contre les menaces Internet
        • Protection contre les menaces par e-mail
        • Pare-feu

          L’activation de ces modules est facultative. Si ces composants sont désactivés, Kaspersky Managed Detection and Response continue d’envoyer la télémétrie, mais avec des données limitées.

     7. Si vous avez activé le pare-feu dans Kaspersky Endpoint Security for Windows, créez une règle de pare-feu avec les propriétés suivantes :
        • Dans la liste déroulante Action, sélectionnez la valeur Autoriser.
        • Dans la liste déroulante Direction, sélectionnez la valeur Entrant/Sortant.
        • Dans les listes déroulantes Adresses distantes et Adresses locales, sélectionnez la valeur Toute adresse.

          Une fois la règle créée, déplacez-la en haut de la liste des règles.

   • Kaspersky Endpoint Security for Linux
   • Kaspersky Endpoint Security for Mac
   • Kaspersky Security for Windows Server

     Le déploiement dépend de la version de Kaspersky Security for Windows Server installée sur vos ressources. Si plusieurs versions de Kaspersky Security for Windows Server sont installées dans votre infrastructure, vous pouvez exécuter les scénarios pour ces versions dans n’importe quel ordre :

     Kaspersky Security for Windows Server 11 et versions ultérieures

     1. Assurez-vous d’avoir installé Kaspersky Endpoint Agent for Windows dans le cadre de Kaspersky Security for Windows Server.

        Kaspersky Endpoint Agent for Windows peut être installé :

        • Lors de l’installation de Kaspersky Security for Windows Server
        • Après l’installation de Kaspersky Security for Windows Server
     2. Vérifiez si votre version de Kaspersky Endpoint Agent for Windows est à jour et mettez-la à jour si nécessaire.
     3. Créez une politique pour Kaspersky Endpoint Agent for Windows à l’aide de Kaspersky Security Center Web Console.
     4. Pour configurer l’intégration entre Kaspersky Endpoint Agent for Windows et Kaspersky Managed Detection and Response, chargez le fichier BLOB du fichier de configuration MDR dans la politique.
     5. Configurez Kaspersky Security for Windows Server sur vos ressources. Vous pouvez effectuer chaque étape localement, dans Kaspersky Security for Windows Server sur chacune de vos ressources, ou globalement, dans Kaspersky Security Center.
        1. Lancez la tâche Utilisation de KSN.

           Le démarrage de la tâche Utilisation de KSN permet d’utiliser Kaspersky Security Network dans Kaspersky Security for Windows Server.

           Dans la fenêtre Traitement des données de la tâche Utilisation de KSN, cochez toutes les cases de tous les onglets.

           Dans la fenêtre Paramètres de la tâche Utilisation de KSN, dans l’onglet Gestion des tâches, cochez la case Exécuté selon la planification. Dans la liste déroulante Fréquence, sélectionnez la valeur Au lancement de l’application.

           Dans la sous-section Utilisation de KSN, assurez-vous qu’un cadenas fermé est affiché. Le verrou fermé signifie que la stratégie définit les paramètres précisés pour les ressources.

        2. Lancez la tâche Protection du trafic.

           Le démarrage de la tâche Protection du trafic permet le traitement du trafic Internet (y compris le trafic reçu par e-mail), ainsi que l’interception et l’analyse des objets transférés via le trafic Internet, afin de détecter les ordinateurs connus et d’autres menaces sur l’appareil protégé.

           Dans la fenêtre Paramètres de la tâche Protection du trafic, dans l’onglet Général, sélectionnez la valeur Intercepteur de pilote dans la liste déroulante Mode de tâche.

           Dans la fenêtre Paramètres de la tâche Protection du trafic, dans l’onglet Gestion des tâches, cochez la case Exécuté selon la planification. Dans la liste déroulante Fréquence, sélectionnez la valeur Au lancement de l’application.

           Dans la sous-section Protection du trafic, assurez-vous qu’un cadenas fermé est affiché. Le verrou fermé signifie que la stratégie définit les paramètres précisés pour les appareils.

        3. Lancez la tâche Contrôle du lancement des applications

           Démarrage de la tâche Contrôle du lancement des applications permet de surveiller les tentatives des utilisateurs de démarrer des applications et autorise ou interdit le démarrage de ces applications.

           Dans la fenêtre Paramètres de la tâche Contrôle du lancement des applications, dans l’onglet Général, cochez les cases Contrôler le chargement des modules DLL et Autoriser les applications de confiance selon KSN.

           Dans la fenêtre Paramètres de la tâche Contrôle du lancement des applications, dans l’onglet Gestion des tâches, cochez la case Exécuté selon la planification. Dans la liste déroulante Fréquence, sélectionnez la valeur Au lancement de l’application.

           Dans la sous-section Contrôle du lancement des applications, assurez-vous qu’un cadenas fermé est affiché. Le verrou fermé signifie que la stratégie définit les paramètres précisés pour les appareils.

     Kaspersky Security for Windows Server 10.1.*

     1. Assurez-vous d’avoir installé Kaspersky Endpoint Agent for Windows en tant qu’application autonome.
     2. Vérifiez si votre version de Kaspersky Endpoint Agent for Windows est à jour et mettez-la à jour si nécessaire.
     3. Créez une politique pour Kaspersky Endpoint Agent for Windows à l’aide de Kaspersky Security Center Web Console.
     4. Pour configurer l’intégration entre Kaspersky Endpoint Agent for Windows et Kaspersky Managed Detection and Response, chargez le fichier BLOB du fichier de configuration MDR dans la politique.
     5. Configurez Kaspersky Security for Windows Server sur vos ressources. Vous pouvez effectuer chaque étape localement, dans Kaspersky Security for Windows Server sur chacune de vos ressources, ou globalement, dans Kaspersky Security Center.
        1. Lancez la tâche Utilisation de KSN.

           Le démarrage de la tâche Utilisation de KSN permet d’utiliser Kaspersky Security Network dans Kaspersky Security for Windows Server.

           Dans la fenêtre Traitement des données de la tâche Utilisation de KSN, cochez toutes les cases de tous les onglets.

           Dans la fenêtre Paramètres de la tâche Utilisation de KSN, dans l’onglet Gestion des tâches, cochez la case Exécuté selon la planification. Dans la liste déroulante Fréquence, sélectionnez la valeur Au lancement de l’application.

           Dans la sous-section Utilisation de KSN, assurez-vous qu’un cadenas fermé est affiché. Le verrou fermé signifie que la stratégie définit les paramètres précisés pour les ressources.

        2. Lancez la tâche Protection du trafic.

           Le démarrage de la tâche Protection du trafic permet le traitement du trafic Internet (y compris le trafic reçu par e-mail), ainsi que l’interception et l’analyse des objets transférés via le trafic Internet, afin de détecter les ordinateurs connus et d’autres menaces sur l’appareil protégé.

           Dans la fenêtre Paramètres de la tâche Protection du trafic, dans l’onglet Général, sélectionnez la valeur Intercepteur de pilote dans la liste déroulante Mode de tâche.

           Dans la fenêtre Paramètres de la tâche Protection du trafic, dans l’onglet Gestion des tâches, cochez la case Exécuté selon la planification. Dans la liste déroulante Fréquence, sélectionnez la valeur Au lancement de l’application.

           Dans la sous-section Protection du trafic, assurez-vous qu’un cadenas fermé est affiché. Le verrou fermé signifie que la stratégie définit les paramètres précisés pour les appareils.

        3. Lancez la tâche Contrôle du lancement des applications

           Démarrage de la tâche Contrôle du lancement des applications permet de surveiller les tentatives des utilisateurs de démarrer des applications et autorise ou interdit le démarrage de ces applications.

           Dans la fenêtre Paramètres de la tâche Contrôle du lancement des applications, dans l’onglet Général, cochez les cases Contrôler le chargement des modules DLL et Autoriser les applications de confiance selon KSN.

           Dans la fenêtre Paramètres de la tâche Contrôle du lancement des applications, dans l’onglet Gestion des tâches, cochez la case Exécuté selon la planification. Dans la liste déroulante Fréquence, sélectionnez la valeur Au lancement de l’application.

           Dans la sous-section Contrôle du lancement des applications, assurez-vous qu’un cadenas fermé est affiché. Le verrou fermé signifie que la stratégie définit les paramètres précisés pour les appareils.

   • Kaspersky Security for Virtualization 5.2 Light Agent

     1. Assurez-vous d’avoir installé Kaspersky Endpoint Agent dans le cadre de Kaspersky Endpoint Security for Windows.

        Kaspersky Endpoint Agent peut être installé :

        • Lors de l’installation de Kaspersky Endpoint Security for Windows.
        • Après l’installation de Kaspersky Endpoint Security for Windows.
     2. Vérifiez si votre version de Kaspersky Endpoint Agent for Windows est à jour et mettez-la à jour si nécessaire.

        Kaspersky Endpoint Agent 3.10 ou une version ultérieure est requis pour Kaspersky Endpoint Security for Windows 11.5.

     3. Configurez votre solution Kaspersky Endpoint Detection and Response Optimum.
     4. Créez une politique pour Kaspersky Endpoint Agent.
     5. Pour configurer l’intégration entre Kaspersky Endpoint Agent for Windows et Kaspersky Managed Detection and Response, chargez le fichier BLOB à partir du fichier de configuration MDR dans la stratégie.
     6. Configurez Kaspersky Endpoint Security for Windows sur vos ressources.

        Les composants suivants doivent être activés :

        • Kaspersky Security Network

          Dans les paramètres de Kaspersky Security Network, cochez la case Activer le mode KSN étendu.

        • Détection comportementale

          L’activation de ces modules est obligatoire. Dans le cas contraire, Kaspersky Managed Detection and Response ne fonctionnera pas, car l’envoi de la télémétrie n’est pas possible.

        De plus, Kaspersky Managed Detection and Response peut utiliser les données des composants suivants :

        • Protection contre les menaces Internet
        • Protection contre les menaces par e-mail
        • Pare-feu

          L’activation de ces modules est facultative. Si ces composants sont désactivés, Kaspersky Managed Detection and Response continue d’envoyer la télémétrie, mais avec des données limitées.

     7. Si vous avez activé le pare-feu dans Kaspersky Endpoint Security for Windows, créez une règle de pare-feu avec les propriétés suivantes :
        • Dans la liste déroulante Action, sélectionnez la valeur Autoriser.
        • Dans la liste déroulante Direction, sélectionnez la valeur Entrant/Sortant.
        • Dans les listes déroulantes Adresses distantes et Adresses locales, sélectionnez la valeur Toute adresse.

          Une fois la règle créée, déplacez-la en haut de la liste des règles.

     • Kaspersky Security for Virtualization 5.2 Light Agent
     • Si vous utilisez Kaspersky Endpoint Detection and Response Optimum (pour Kaspersky Endpoint Security for Windows 11.6 et versions antérieures)
       1. Assurez-vous d’avoir installé Kaspersky Endpoint Agent dans le cadre de Kaspersky Endpoint Security for Windows.

          Kaspersky Endpoint Agent peut être installé :

          • Lors de l’installation de Kaspersky Endpoint Security for Windows.
          • Après l’installation de Kaspersky Endpoint Security for Windows.
       2. Vérifiez si votre version de Kaspersky Endpoint Agent for Windows est à jour et mettez-la à jour si nécessaire.

          Kaspersky Endpoint Agent 3.10 ou une version ultérieure est requis pour Kaspersky Endpoint Security for Windows 11.5.

       3. Configurez votre solution Kaspersky Endpoint Detection and Response Optimum.
       4. Créez une politique pour Kaspersky Endpoint Agent.
       5. Pour configurer l’intégration entre Kaspersky Endpoint Agent for Windows et Kaspersky Managed Detection and Response, chargez le fichier BLOB à partir du fichier de configuration MDR dans la stratégie.
       6. Configurez Kaspersky Endpoint Security for Windows sur vos ressources.

          Les composants suivants doivent être activés :

          • Kaspersky Security Network

            Dans les paramètres de Kaspersky Security Network, cochez la case Activer le mode KSN étendu.

          • Détection comportementale

            L’activation de ces modules est obligatoire. Dans le cas contraire, Kaspersky Managed Detection and Response ne fonctionnera pas, car l’envoi de la télémétrie n’est pas possible.

          De plus, Kaspersky Managed Detection and Response peut utiliser les données des composants suivants :

          • Protection contre les menaces Internet
          • Protection contre les menaces par e-mail
          • Pare-feu

            L’activation de ces modules est facultative. Si ces composants sont désactivés, Kaspersky Managed Detection and Response continue d’envoyer la télémétrie, mais avec des données limitées.

       7. Si vous avez activé le pare-feu dans Kaspersky Endpoint Security for Windows, créez une règle de pare-feu avec les propriétés suivantes :
          • Dans la liste déroulante Action, sélectionnez la valeur Autoriser.
          • Dans la liste déroulante Direction, sélectionnez la valeur Entrant/Sortant.
          • Dans les listes déroulantes Adresses distantes et Adresses locales, sélectionnez la valeur Toute adresse.

            Une fois la règle créée, déplacez-la en haut de la liste des règles.

   • Kaspersky Anti-Targeted Attack Platform

     Kaspersky Managed Detection and Response vous permet d’analyser et de surveiller les données de Kaspersky Anti-Targeted Attack (KATA) Platform.

     L’intégration de Kaspersky Anti-Targeted Attack Platform n’est pas compatible avec l’utilisation d’une clé de licence destinée à la région Arabie Saoudite.

     Pour configurer l’intégration entre Kaspersky Managed Detection and Response et Kaspersky Anti-Targeted Attack Platform, vous devez d’abord recevoir un fichier de configuration MDR. Pour plus d’informations sur la configuration de l’intégration, reportez-vous à l’aide en ligne de Kaspersky Anti-Targeted Attack Platform.

     Kaspersky Anti-Targeted Attack Platform ne fait pas partie de Kaspersky Managed Detection and Response. Si vous souhaitez utiliser Kaspersky Anti-Targeted Attack Platform, vous devez l’acheter séparément.

   Si plusieurs applications Kaspersky sont installées sur votre infrastructure, vous pouvez réaliser les scénarios propres à l’application dans n’importe quel ordre.

Si vous n’utilisez pas le plug-in MDR, configurez manuellement KSN privé sur vos ressources en utilisant votre fichier de configuration KSN à partir du fichier de configuration MDR. Cette étape garantit que la télémétrie est envoyée aux serveurs dédiés conformes à la réglementation RGPD. Si vous ne configurez pas KSN privé et n’utilisez pas le plug-in MDR pour le déploiement initial de Kaspersky Managed Detection and Response, vos données télémétriques ne sont pas transmises et le service de Kaspersky Managed Detection and Response n’est pas assuré.

Vous pouvez vérifier l’état de vos ressources à l’aide de la fonctionnalité Santé MDR.

[Topic 219539]

Déploiement basé sur le cloud

Tout développer | Tout réduire

Le déploiement de Kaspersky Managed Detection and Response à l’aide de Kaspersky Security Center Cloud Console s’effectue en étapes :

1. Activation de la solution

   Activez la solution Kaspersky Managed Detection and Response à l’aide de votre licence.

2. Installation des applications EPP

   Assurez-vous d’avoir installé les applications EPP prenant en charge la fonctionnalité Kaspersky Managed Detection and Response sur vos ressources.

3. Téléchargement du fichier de configuration MDR

   Téléchargez le fichier de configuration MDR pour votre organisation ou téléchargez des archives séparées pour chaque locataire à partir de la section Locataires de la Console MDR en ligne ou en utilisant le plug-in MDR dans Kaspersky Security Center Cloud Console.

   À partir de Kaspersky Endpoint Security for Windows 12.6, si vous avez uniquement un locataire racine et si vous n’utilisez pas la solution MDR avec Kaspersky Endpoint Detection and Response Optimum, vous n’avez pas besoin de télécharger le fichier de configuration MDR. Reportez-vous aux instructions fournie à l’étape 4 pour Kaspersky Endpoint Security pour Windows.

4. Intégration avec les applications EPP

   Réalisez les scénarios de déploiement spécifiques aux applications pour toutes les applications Kaspersky installées sur vos ressources :

   • Kaspersky Endpoint Security for Windows

     Le déploiement dépend de la version de Kaspersky Endpoint Security for Windows installée sur vos ressources. Si plusieurs versions de Kaspersky Endpoint Security for Windows sont installées dans votre infrastructure, vous pouvez exécuter les scénarios pour ces versions dans n’importe quel ordre :

     Kaspersky Endpoint Security pour Windows 12.6 et versions ultérieures avec uniquement le locataire racine et sans Kaspersky Endpoint Detection and Response Optimum

     Si vous n’avez que le locataire racine, vous pouvez ignorer le téléchargement du fichier de configuration MDR et ajouter votre code d’activation votre clé de licence directement dans Kaspersky Security Center Cloud Console.

     Pour déployer Kaspersky Managed Detection and Response sur Kaspersky Endpoint Security pour Windows 12.6 et versions ultérieures, procédez comme suit :

     1. Assurez-vous que toutes vos ressources appartiennent au locataire racine.
     2. Vérifiez si Kaspersky Endpoint Security pour Windows sur toutes les ressources est à jour vers la version 12.6 ou une version ultérieure.
     3. Assurez-vous que le Kaspersky Managed Detection and Response est activé dans Kaspersky Endpoint Security pour Windows sur toutes les ressources.
     4. Ajoutez un code d’activation dans le registre des clés de licence de Kaspersky Security Center Cloud Console.
     5. Activez automatiquement Kaspersky Managed Detection and Response sur les ressources ou à l’aide de la tâche Ajouter une clé de licence.

     Pour en savoir plus sur l’utilisation simultanée des solutions MDR et EDR Optimum, consultez l’aide de Kaspersky Endpoint Security pour Windows.

     Kaspersky Endpoint Security pour Windows 11.6–12.5 et versions ultérieures avec plusieurs locataires

     Si vous passez à la fonctionnalité MDR intégrée à Kaspersky Endpoint Security for Windows après l’avoir utilisée à l’aide de la fonctionnalité Kaspersky Endpoint Agent, veillez à désactiver la stratégie Kaspersky Managed Detection and Response dans Kaspersky Endpoint Agent après avoir configuré l’intégration à la stratégie Kaspersky Managed Detection and Response dans Kaspersky Endpoint Security for Windows pour toutes les ressources disposant de Kaspersky Endpoint Security for Windows 11.6 et versions ultérieures.

     Notez que si la même stratégie est également appliquée aux ressources disposant de Kaspersky Endpoint Security for Windows 11.5 et versions antérieures, il est d’abord nécessaire de créer et de configurer une stratégie distincte pour ces ressources afin de préserver leur intégration avec la stratégie Kaspersky Managed Detection and Response par l’entremise de Kaspersky Endpoint Agent.

     Kaspersky Endpoint Security for Windows 11.3–11.5

     1. Créez une tâche d’installation de l’application à distance
        https://support.kaspersky.com/KSC/CloudConsole/fr-FR/175982.htm
        dans Kaspersky Security Center Cloud Console. Dans la fenêtre Sélectionner le paquet de distribution pour l’installation, choisissez le fichier BAT dans le fichier de configuration MDR.
     2. Exécutez la tâche manuellement ou attendez qu’elle se lance selon la planification que vous avez précisée dans les paramètres de la tâche.

        Assurez-vous que la tâche est effectuée sur toutes vos ressources.

     3. Configurez Kaspersky Endpoint Security for Windows sur vos ressources.

        Les composants suivants doivent être activés :

        • Kaspersky Security Network

          Dans les paramètres de Kaspersky Security Network, cochez la case Activer le mode KSN étendu.

        • Détection comportementale

          L’activation de ces modules est obligatoire. Dans le cas contraire, Kaspersky Managed Detection and Response ne fonctionnera pas, car l’envoi de la télémétrie n’est pas possible.

        De plus, Kaspersky Managed Detection and Response peut utiliser les données des composants suivants :

        • Protection contre les menaces Internet
        • Protection contre les menaces par e-mail
        • Pare-feu

          L’activation de ces modules est facultative. Si ces composants sont désactivés, Kaspersky Managed Detection and Response continue d’envoyer la télémétrie, mais avec des données limitées.

     4. Si vous avez activé le pare-feu dans Kaspersky Endpoint Security for Windows, créez une règle de pare-feu avec les propriétés suivantes :
        • Dans la liste déroulante Action, sélectionnez la valeur Autoriser.
        • Dans la liste déroulante Direction, sélectionnez la valeur Entrant/Sortant.
        • Dans les listes déroulantes Adresses distantes et Adresses locales, sélectionnez la valeur Toute adresse.

          Une fois la règle créée, déplacez-la en haut de la liste des règles.

   • Kaspersky Endpoint Security for Linux
   • Kaspersky Endpoint Security for Mac
   • Kaspersky Security for Windows Server
     1. Assurez-vous d’avoir installé Kaspersky Endpoint Agent for Windows dans le cadre de Kaspersky Security for Windows Server.

        Kaspersky Endpoint Agent for Windows peut être installé :

        • Lors de l’installation de Kaspersky Security for Windows Server
        • Après l’installation de Kaspersky Security for Windows Server
     2. Vérifiez si votre version de Kaspersky Endpoint Agent for Windows est à jour et mettez-la à jour si nécessaire.

        Kaspersky Endpoint Agent 3.11 est requis pour fonctionner avec Kaspersky Security Center Cloud Console.

     3. Créez une politique pour Kaspersky Endpoint Agent for Windows à l’aide de Kaspersky Security Center Web Console.
     4. Pour configurer l’intégration entre Kaspersky Endpoint Agent for Windows et Kaspersky Managed Detection and Response, chargez le fichier BLOB du fichier de configuration MDR dans la politique.
     5. Configurez Kaspersky Security for Windows Server sur vos ressources. Vous pouvez effectuer chaque étape localement, dans Kaspersky Security for Windows Server sur chacune de vos ressources, ou globalement, dans Kaspersky Security Center.
        1. Lancez la tâche Utilisation de KSN.

           Le démarrage de la tâche Utilisation de KSN permet d’utiliser Kaspersky Security Network dans Kaspersky Security for Windows Server.

           Dans la fenêtre Traitement des données de la tâche Utilisation de KSN, cochez toutes les cases de tous les onglets.

           Dans la fenêtre Paramètres de la tâche Utilisation de KSN, dans l’onglet Gestion des tâches, cochez la case Exécuté selon la planification. Dans la liste déroulante Fréquence, sélectionnez la valeur Au lancement de l’application.

           Dans la sous-section Utilisation de KSN, assurez-vous qu’un cadenas fermé est affiché. Le verrou fermé signifie que la stratégie définit les paramètres précisés pour les ressources.

        2. Lancez la tâche Protection du trafic.

           Le démarrage de la tâche Protection du trafic permet le traitement du trafic Internet (y compris le trafic reçu par e-mail), ainsi que l’interception et l’analyse des objets transférés via le trafic Internet, afin de détecter les ordinateurs connus et d’autres menaces sur l’appareil protégé.

           Dans la fenêtre Paramètres de la tâche Protection du trafic, dans l’onglet Général, sélectionnez la valeur Intercepteur de pilote dans la liste déroulante Mode de tâche.

           Dans la fenêtre Paramètres de la tâche Protection du trafic, dans l’onglet Gestion des tâches, cochez la case Exécuté selon la planification. Dans la liste déroulante Fréquence, sélectionnez la valeur Au lancement de l’application.

           Dans la sous-section Protection du trafic, assurez-vous qu’un cadenas fermé est affiché. Le verrou fermé signifie que la stratégie définit les paramètres précisés pour les appareils.

        3. Lancez la tâche Contrôle du lancement des applications

           Démarrage de la tâche Contrôle du lancement des applications permet de surveiller les tentatives des utilisateurs de démarrer des applications et autorise ou interdit le démarrage de ces applications.

           Dans la fenêtre Paramètres de la tâche Contrôle du lancement des applications, dans l’onglet Général, cochez les cases Contrôler le chargement des modules DLL et Autoriser les applications de confiance selon KSN.

           Dans la fenêtre Paramètres de la tâche Contrôle du lancement des applications, dans l’onglet Gestion des tâches, cochez la case Exécuté selon la planification. Dans la liste déroulante Fréquence, sélectionnez la valeur Au lancement de l’application.

           Dans la sous-section Contrôle du lancement des applications, assurez-vous qu’un cadenas fermé est affiché. Le verrou fermé signifie que la stratégie définit les paramètres précisés pour les appareils.

   • Kaspersky Anti-Targeted Attack Platform

     Kaspersky Managed Detection and Response vous permet d’analyser et de surveiller les données de Kaspersky Anti-Targeted Attack (KATA) Platform.

     L’intégration de Kaspersky Anti-Targeted Attack Platform n’est pas compatible avec l’utilisation d’une clé de licence destinée à la région Arabie Saoudite.

     Pour configurer l’intégration entre Kaspersky Managed Detection and Response et Kaspersky Anti-Targeted Attack Platform, vous devez d’abord recevoir un fichier de configuration MDR. Pour plus d’informations sur la configuration de l’intégration, reportez-vous à l’aide en ligne de Kaspersky Anti-Targeted Attack Platform.

     Kaspersky Anti-Targeted Attack Platform ne fait pas partie de Kaspersky Managed Detection and Response. Si vous souhaitez utiliser Kaspersky Anti-Targeted Attack Platform, vous devez l’acheter séparément.

   Si plusieurs applications Kaspersky sont installées sur votre infrastructure, vous pouvez réaliser les scénarios propres à l’application dans n’importe quel ordre.

5. Création du point de distribution

   Effectuez les actions suivantes :

   1. Vérifiez si vous avez au moins un point de distribution dans votre réseau ou configurez un appareil sur le réseau de votre organisation en tant que point de distribution. Le point de distribution fait office de serveur proxy pour les appareils qui font partie de Kaspersky Security Network.
   2. Activer le proxy KSN du côté du point de distribution dans la section proxy KSN (points de distribution) des paramètres du point de distribution.
   3. Configurer la Portée du point de distribution, en sélectionnant le groupe d’administration et/ou l’emplacement réseau.

Vous pouvez vérifier l’état de vos ressources à l’aide de la fonctionnalité Santé MDR.

[Topic 196547]

À propos du fichier de configuration MDR

Kaspersky Managed Detection and Response utilise un fichier de configuration MDR afin d’activer la solution sur les applications EPP Kaspersky pour les postes de travail (tels que Kaspersky Endpoint Security for Windows) installés sur les ressources et pour configurer l’intégration avec Kaspersky Anti-Targeted Attack Platform.

Le fichier de configuration MDR n’est peut-être pas nécessaire dans les conditions suivantes :

Notez que même si vous n’utilisez pas le fichier de configuration MDR, il est nécessaire d’activer la solution depuis la Console MDR en ligne ou à l’aide du plug-in MDR dans Kaspersky Security Center.

• Vous utilisez Kaspersky Endpoint Security pour Windows 12.6 ou une version ultérieure en tant qu’application EPP.
• Vous avez uniquement le locataire racine.
• Vous n’utilisez pas la solution Kaspersky Endpoint Detection and Response Optimum en même temps que la solution Kaspersky MDR.

Dans ce cas, Kaspersky Endpoint Security pour Windows utilise la licence de Kaspersky Security Center. Si vous utilisez des clients autres que le locataire racine, vous devez télécharger le fichier de configuration MDR pour chaque locataire.

Le fichier de configuration MDR est généré automatiquement par Kaspersky Managed Detection and Response lorsque vous activez la solution à l’aide d’un code d’activation. Le fichier de configuration MDR est une archive ZIP contenant les fichiers suivants :

• Fichier de configuration Kaspersky Security Network.
• Fichier BLOB (P7) pour le déploiement d’applications EPP prenant en charge l’intégration avec MDR via les politiques de Kaspersky Security Center.
• Fichier BAT pour le déploiement des configurations héritées avec les anciennes versions des applications EPP qui ne prennent pas en charge l’intégration avec MDR via les politiques de Kaspersky Security Center.

  Vous pouvez télécharger le fichier de configuration MDR avec le fichier BLOB (P7) ou avec le fichier BAT. Pour plus de détails sur les différents scénarios de déploiement, consultez Déploiement de Kaspersky Managed Detection and Response.

Téléchargez le fichier de configuration du MDR et utilisez-le selon les instructions pour les applications EPP installées sur vos ressources :

• Kaspersky Endpoint Security for Windows
• Kaspersky Endpoint Security for Linux
• Kaspersky Endpoint Security for Mac

[Topic 255698]

Téléchargement du fichier de configuration MDR dans Kaspersky Security Center

Pour télécharger le fichier de configuration du MDR dans Kaspersky Security Center comme suit :

1. Dans Kaspersky Security Center Web Console ou Kaspersky Security Center Cloud Console, cliquez sur MDR dans le panneau de gauche, puis sur l’onglet Licences.
2. Sélectionnez la colonne Archive pour la configuration des ressources et cliquez sur Télécharger pour télécharger le fichier de configuration MDR associé à une licence actuelle.

[Topic 255699]

Téléchargement du fichier de configuration MDR dans la Console MDR en ligne

Pour télécharger le fichier de configuration du MDR dans la Console MDR en ligne, procédez comme suit :

1. Ouvrez la page Mise en route (Getting Started) de la Console MDR en ligne (https://mdr.kaspersky.com/guide). La page Mise en route (Getting Started) n’est disponible que pour les utilisateurs connectés.
2. À l’étape 4, cliquez sur le lien fichier de configuration MDR (fichier BLOB inclus) ou fichier de configuration MDR (fichier BAT inclus).

La notification indiquant si la solution est activée s’affiche en permanence dans la partie inférieure de la Console MDR en ligne.

[Topic 221233]

Licence

Cette section couvre les principaux aspects de la gestion des licences de la solution Kaspersky Managed Detection and Response.

[Topic 206800]

Comparatif des niveaux de licence commerciale

L’ensemble des fonctionnalités disponibles dans Kaspersky Managed Detection and Response dépend du niveau de votre licence commerciale (voir le tableau ci-dessous).

Comparaison des niveaux de licence commerciale Kaspersky Managed Detection and Response

*Ce niveau est disponible dans certaines régions uniquement et peut ne pas être disponible à l’achat pour les nouveaux clients. Contactez votre fournisseur de solution Kaspersky Managed Detection and Response pour en savoir plus sur les niveaux de licence commerciale qui vous sont proposés.

**La solution Kaspersky Managed Detection and Response assure le traitement de trois demandes par semaine, conformément aux objectifs de performances de la fourniture de la solution. Le nombre de demandes traitées, conformément aux objectifs de performances de la fourniture de la solution, augmente de manière proportionnelle : chaque fois que 10 000 terminaux sont connectés, le nombre de demandes augmente de 1.

[Topic 203014]

À propos de la licence

Une licence est un droit limité dans le temps d’utiliser l’application, accordé en vertu des conditions d’utilisation.

Une licence vous donne droit aux types de services suivants :

• Utilisation de l’application conformément aux conditions d’utilisation
• Accès au support technique

Le volume de services offert et la durée de validité dépendent du type de licence utilisée pour activer l’application.

Les types suivants de licences sont prévus :

• Évaluation : une licence gratuite conçue pour découvrir l’application.

  La licence d’évaluation présente une courte durée de validité. À l’expiration de la licence d’évaluation, toutes les fonctionnalités de Kaspersky Managed Detection and Response sont désactivées. Pour continuer à utiliser l’application, vous devez acheter une licence commerciale.

  Vous pouvez activer l’application à l’aide d’une licence d’évaluation une seule fois uniquement.

• Commerciale : une licence payante octroyée à l’achat de l’application.

  Lorsque la licence commerciale expire, l’application continue de fonctionner avec des fonctionnalités limitées (la télémétrie n’est pas fournie). Pour continuer à utiliser toutes les fonctionnalités de Kaspersky Managed Detection and Response, vous devez renouveler votre licence commerciale.

  Il est conseillé de renouveler la licence avant sa date d’expiration afin de garantir la protection maximale de l’ordinateur contre les menaces.

• Abonnement : une licence payante qui permet l’utilisation de l’application pour une période de facturation mensuelle ou annuelle, avec renouvellement automatique, jusqu’à annulation ou expiration.

  La licence d’abonnement peut être de deux types :

  • Limitée : renouvelée automatiquement à la fin de chaque période de facturation jusqu’à la date d’expiration définie.
  • Ouverte : renouvelée automatiquement à la fin de chaque période de facturation jusqu’à l’annulation par le client.

  Vous pouvez gérer la licence d’abonnement via Kaspersky License Management Portal (LMP).

  Si vous modifiez le champ d’application de votre licence, par exemple, modifiez le nombre de ressources, les détails de la licence sont mis à jour dans la Console MDR en ligne dans les 24 heures.

  Lorsque la licence d’abonnement est annulée ou expire, l’application continue de fonctionner avec des fonctionnalités limitées (la télémétrie n’est pas fournie). Pour continuer à utiliser toutes les fonctionnalités de Kaspersky Managed Detection and Response, vous devez renouveler votre licence d’abonnement.

  Il est conseillé de renouveler la licence avant sa date d’expiration afin de garantir la protection maximale de l’ordinateur contre les menaces.

La licence Kaspersky Managed Detection and Response accorde également l’utilisation de la solution Kaspersky Endpoint Detection and Response Optimum. La solution devient disponible sur un appareil après que vous avez configuré l’intégration entre Kaspersky Managed Detection and Response et Kaspersky Endpoint Agent.

[Topic 224185]

À propos du code d’activation

Un code d’activation est une suite unique de 20 lettres et nombres. Vous devez saisir un code d’activation afin de pouvoir l’ajouter et pour activer Kaspersky Managed Detection and Response. Vous recevez le code d’activation à l’adresse e-mail que vous avez fournie lors de l’achat de Kaspersky Managed Detection and Response.

Pour activer la solution à l’aide du code d’activation, vous avez besoin d’un accès Internet afin de vous connecter aux serveurs d’activation de Kaspersky.

Si vous avez perdu votre code d’activation, contactez le partenaire Kaspersky auprès duquel vous avez acheté la licence.

[Topic 219733]

Entrez un nouveau code d’activation

Vous devez fournir un nouveau code d’activation pour Kaspersky Managed Detection and Response, par exemple, lorsque vous souhaitez mettre à niveau la solution ou lorsque vous devez renouveler votre licence expirée.

Cette fonctionnalité n’est disponible que si vous avez défini le droit d’accès Intégration d’applications dans Kaspersky Security Center Web Console ou Kaspersky Security Center Cloud Console.

Pour saisir un nouveau code d’activation pour Kaspersky Managed Detection and Response :

1. Pour ce faire, dans la section MDR de la fenêtre de Kaspersky Security Center, cliquez sur l’onglet Utilisation de MDR.
2. Dans le bloc Utilisation de la licence, cliquez sur le lien Entrer un nouveau code d’activation.
3. Dans la fenêtre du message de notification, cliquez sur le bouton OK.

   L’écran de démarrage de Kaspersky Managed Detection and Response s’affiche.

4. Cliquez sur le bouton Activer la solution.
5. Kaspersky Managed Detection and Response vérifie si vous êtes connecté à votre compte Kaspersky :
   • Si vous êtes connecté, saisissez le nouveau code d’activation, sélectionnez votre région, puis cliquez sur le bouton Activer.
   • Si vous n’êtes pas connecté, connectez-vous avec votre compte Kaspersky, entrez le nouveau code d’activation, sélectionnez votre région, puis cliquez sur le bouton Activer.
6. Sélectionnez les locataires auxquels les utilisateurs de ce Serveur d’administration auront accès.

Le nouveau code d’activation est appliqué. Kaspersky Managed Detection and Response fonctionne sous la licence fournie.

[Topic 219682]

À propos de l’Accord MDR

L’Accord MDR constitue un accord contraignant entre vous et AO Kaspersky Lab, stipulant les conditions d’utilisation de la solution.

Lisez attentivement l’Accord MDR avant de commencer à utiliser la solution.

Vous pouvez afficher l’Accord MDR :

• Lors de l’activation de Kaspersky Managed Detection and Response.
• En cliquant sur le lien Conditions d’utilisation de la solution MDR dans le groupe Conditions d’utilisation de la solution MDR (section MDR de Kaspersky Security Center → Utilisation de MDR → Conditions d’utilisation de la solution MDR).

Vous acceptez les termes de l’Accord MDR en confirmant que vous acceptez l’Accord MDR lors de l’activation de la solution. Si vous n’acceptez pas l’Accord MDR, annulez l’activation de Kaspersky Managed Detection and Response et n’utilisez pas la solution.

[Topic 259270]

À propos de l’Accord sur le traitement des données

L’Accord de traitement des données (DPA) fait partie intégrante du Contrat de Kaspersky Managed Detection and Response. L’Accord de traitement des données concerne le traitement des données utilisateur par AO Kaspersky Lab au nom d’un utilisateur.

Le contenu de l’Accord de traitement des données (DPA), sa disponibilité dans les interfaces de la solution et la liste des données de l’utilisateur dépendent de la région d’utilisation de la solution.

Vous pouvez afficher l’Accord de traitement des données :

• Lors de l’activation de Kaspersky Managed Detection and Response (pour certaines régions uniquement).
• Dans la section À propos de la Console MDR en ligne : https://mdr.kaspersky.com/about (pour certaines régions uniquement).

  La section À propos n’est disponible que pour les utilisateurs connectés.

• Dans l’ensemble des documents reçus au moment de l’achat de la solution Kaspersky Managed Detection and Response (pour certaines régions uniquement).

Lisez attentivement l’Accord de traitement des données avant de commencer à utiliser la solution.

Vous confirmez avoir lu et compris l’intégralité de l’Accord de traitement des données lorsque vous activez la solution ou lorsque vous achetez la solution Kaspersky Managed Detection and Response. Si vous n’acceptez pas que vos données soient traitées conformément aux Conditions de traitement des données, annulez l’activation de Kaspersky Managed Detection and Response et n’utilisez pas la solution.

[Topic 219678]

Révocation de votre consentement avec les conditions d’utilisation de la solution MDR

Si vous décidez d’arrêter d’utiliser Kaspersky Managed Detection and Response, révoquez votre consentement avec les conditions d’utilisation de la solution MDR, puis désactivez l’utilisation de Kaspersky Managed Detection and Response sur les ressources.

Cette fonctionnalité n’est disponible que si vous avez défini le droit d’accès Intégration d’applications dans Kaspersky Security Center Web Console ou Kaspersky Security Center Cloud Console.

Pour révoquer votre consentement avec les conditions d’utilisation de la solution MDR, procédez comme suit :

1. Pour ce faire, dans la section MDR de la fenêtre de Kaspersky Security Center, cliquez sur l’onglet Utilisation de MDR.
2. Développez le groupe Conditions d’utilisation de la solution MDR en cliquant sur son nom.
3. Cliquez sur le lien Révoquer la confirmation de l’acceptation des conditions d’utilisation de la solution MDR.
4. Confirmez que vous souhaitez révoquer votre consentement avec les conditions d’utilisation de la solution MDR.

   Votre consentement aux conditions d’utilisation de la solution MDR est révoqué.

Si vous souhaitez supprimer les informations sur votre organisation de l’infrastructure MDR, veuillez contacter le Support Technique.

[Topic 293996]

Gestion des licences dans Kaspersky Security Center

Tout développer | Tout réduire

Si votre organisation dispose de plusieurs licences en cours de validité, vous ne pouvez les gérer que dans Kaspersky Security Center.

Le rôle Administrateur MDR est requis pour la gestion des licences.

Pour afficher les licences :

Dans la section MDR de Kaspersky Security Center, cliquez sur l’onglet Licences.

La liste des clés de licence utilisées par votre organisation s’affiche. Le panneau supérieur présente des informations générales sur les licences :

• Région
• Niveau de la licence commerciale
• Nombre total et limite des ressources connectées

L’onglet Active affiche uniquement les licences actuelles. Cliquez sur l’onglet Toutes pour afficher toutes les licences e de votre organisation.

Le tableau présente les informations suivantes sur les certificats de licence :

• Nom de la licence

  Nom de la licence qui comprend différentes informations comme le niveau de licence et le nombre maximal de ressources.

• Ressources connectées/Limite

  Le nombre de ressources qui utilisent cette licence et la limite.

  La limite du nombre maximal de ressources de la licence est mis en évidence en rouge lorsqu’elle est dépassée.

  Ce nombre n’inclut pas les hôtes avec des fichiers de configuration BLOB créés avant le 1er janvier 2024. Pour résoudre ce problème, effectuez une mise à jour du fichier BLOB dans les paramètres du locataire et appliquez-le aux ressources du locataire. Reportez-vous à la rubrique suivante pour plus de détails : À propos du fichier de configuration MDR.

• Identifiant

  L’identifiant de la licence.

• Date d’activation
• Date d’expiration

  La date de fin de la durée de validité de la licence est mise en évidence en rouge si la licence est expirée ou expire dans 14 jours ou plus tôt.

• État

  L’un des statuts suivants :

  • Active
  • Expirée
  • Bloquée
  • Supprimée
  • Inactive

Pour télécharger un fichier CSV contenant les licences actuelles,

Cliquez sur Exporter par locataires au format CSV.

Le fichier CSV comprend la répartition des ressources par locataire pour chaque licence.

Pour télécharger le fichier de configuration MDR pour une licence :

Sélectionnez la colonne Archive pour la configuration des ressources et cliquez sur Télécharger.

Pour ajouter un code d’activation,

Cliquez sur le bouton Ajouter une nouvelle clé de licence et saisissez le code d’activation dans le panneau qui s’affiche.

Le niveau de licence et la région de la nouvelle licence doivent correspondre au niveau de licence et à la région des autres codes d’activation de votre organisation.

Pour supprimer une licence actuelle :

1. Localisez la colonne Actions et cliquez sur l’icône .
2. Dans la fenêtre qui s’ouvre, confirmez la suppression de la licence actuelle.

   L’état de la licence devient alors Supprimée. Vous pouvez ajouter à nouveau le code d’activation pour activer la licence.

[Topic 198749]

Collecte des données

Pour que certains composants de Kaspersky Managed Detection and Response fonctionnent, il est nécessaire que Kaspersky traite les données de l’utilisateur. Les composants n’envoient pas de données sans l’autorisation de l’administrateur de Kaspersky Managed Detection and Response.

La liste des données utilisateur dépend de la région dans laquelle la solution est utilisée. Pour votre région, la liste des données utilisateur peut différer de celle figurant dans cette section.

Kaspersky protège toute information reçue conformément à la loi et aux règles applicables de Kaspersky. Les données sont transmises à travers un canal sécurisé.

Liste des données sur les événements se produisant sur les ressources de l’Utilisateur

Afin de détecter les menaces nouvelles et complexes pour la sécurité des données et leurs sources, ainsi que les menaces d’intrusion, et de prendre des mesures rapides pour augmenter la protection des données stockées et traitées avec un ordinateur par le Client, celui-ci s’engage à fournir automatiquement les informations suivantes pour recevoir le Service :

• Date de l’installation et de l’activation du logiciel, nom complet et version du logiciel, y compris des informations sur les mises à jour installées et la langue de localisation du logiciel.
• Informations sur le logiciel installé sur l’ordinateur : version du système d’exploitation, date du téléchargement et mises à jour installées, objets de noyau, pilotes, services, entrées Autostart, programmes automatiquement lancés lors de différents événements du système (par exemple le démarrage du système d’exploitation, la connexion de l’utilisateur, etc.) et leurs configurations, extensions de navigateurs, extensions de Microsoft Internet Explorer, extensions de système d’impression, extensions de Windows Explorer, extensions « shell » de système d’exploitation, sommes de contrôle d’objet chargé (MD5), éléments Active Setup, applications de panel de contrôle, versions du navigateur et de la messagerie du client.
• Informations sur les autorisations du système de fichiers, bit effectif pour les autorisations du système de fichiers, versions des autorisations du système de fichiers, variables d’environnement et noms des appels système.
• Informations sur les autorisations héritées pour un fichier système.
• Informations sur le nom de l’ordinateur, adresses IP, passerelles par défaut, adresses et matériel MAC, y compris une somme de contrôle du numéro de série de HDD, 12 derniers octets de l’ID de sécurité de l’ordinateur (SID) et identifiant de zone de sécurité extrait du flux de données NTFS.
• Informations sur les outils logiciels utilisés afin de résoudre les problèmes du logiciel installé sur l’ordinateur de l’Utilisateur, ou afin de changer ses fonctionnalités, et codes de retour reçus après l’installation de chaque élément du logiciel.
• Informations sur l’état de la protection antivirus de l’ordinateur, y compris les versions et les dates et heures de publication des bases antivirus utilisées, statistiques sur les mises à jour et les connexions aux services Kaspersky Lab, identifiants des tâches, identifiants et versions des composants logiciels effectuant l’analyse, indicateurs de l’environnement de test interne de Kaspersky, codes d’erreur primaires pour un événement spécifique, codes d’erreur secondaires pour un événement spécifique et numéros ordinaux des événements.
• Licence actuelle et numéro de série des produits AO Kaspersky Lab, ainsi que noms et versions de ces produits. Identifiants des installations de produits AO Kaspersky Lab, et description client du fichier d’information de la licence.
• Informations sur les comptes utilisateur du Client : nom du compte utilisateur, nom de l’utilisateur, identifiant du système d’exploitation, informations de connexion, privilèges, adhésions à des groupes, types de sessions de connexion au système, nom du paquet d’authentification, noms de domaine, noms DNS utilisés pour l’authentification des sessions de connexion au système, nom du serveur utilisé pour l’authentification, nom du principal utilisateur (« user principal name » ou UPN) du compte et SID.
• Contenu complet des journaux du système d’exploitation.
• Informations sur les systèmes d’appel.
• Informations sur la détection des programmes de AO Kaspersky Lab prenant en charge Kaspersky Managed Detection and Response.
• Informations sur les e-mails reçus, y compris ce qui suit : adresses e-mail de l’expéditeur et du destinataire, objet, informations sur les pièces jointes : nom du fichier joint, taille, hachage (MD5), et résultats de l’analyse du format de fichier.
• Informations sur les coordonnées de la zone de l’écran où la capture d’écran a été réalisée.
• Informations sur les connexions au réseau : ports et adresses IP expéditeurs et destinataires, indices de zone IPv6, direction de la connexion au réseau (entrante/sortante), types et masques des requêtes DNS réalisées, codes d’erreur pour une opération de requête DNS, réponse à une requête DNS, serveur DNS demandé.
• Méthodes et données de connexion HTTP, dont les adresses Web visitées, URL du référant, agents de l’utilisateur, données du protocole d’authentification du réseau : hash de données MD5 pour authentification Kerberos, nom du compte ou de l’ordinateur, nom de domaine Kerberos auquel appartient le nom de serveur, le domaine auquel appartient le nom du client, l’UPN du compte, paquet de cryptographie utilisé pour le ticket Kerberos, masque de l’indicateur pour le ticket Kerberos au format hexadécimal, heure d’émission du ticket Kerberos, heure d’expiration du ticket Kerberos, date d’expiration du ticket (après laquelle il sera impossible de le renouveler) et nom du contrôleur de domaine utilisé pour émettre le ticket Kerberos.
• Informations sur les protocoles des couches d’application : taille de la requête de recherche LDAP, filtre de la requête de recherche LDAP, nom unique de la requête de recherche LDAP, liste des attributs de la requête de recherche LDAP.
• Informations.NET : nom complet de la version.NET téléchargée, indicateurs d’assemblage pour la version.NET téléchargée, indicateurs de module pour le module.NET téléchargé, nom de domaine pour la version.NET téléchargée, modules pour le stub MSIL généré, informations sur la méthode gérée : espace de nommage de la méthode gérée d’interopération, nom de la méthode gérée d’interopération, signature de la méthode gérée d’interopération, signature de la méthode native et signature du stub de la méthode.
• Les informations concernant les fichiers sont traitées dans le système d’exploitation : nom et chemin du fichier, taille, attributs, types de fichier et d’objet, résultats de l’analyse du format du fichier, somme de contrôle (MD5), adresse Internet à partir de laquelle le fichier a été téléchargé, adresse e-mail de l’expéditeur ayant envoyé le fichier et l’objet de l’e-mail, le contenu du fichier système de la structure VERSIONINFO à partir des métadonnées du fichier, informations sur l’éditeur si le fichier a été signé, ID utilisateur du propriétaire du fichier, ID du groupe de propriétaires du fichier, horodatage du dernier accès au fichier, horodatage de la dernière modification des métadonnées du fichier, création du fichier, masques de l’indicateur de la signature numérique, horodateurs et codes des opérations sur les fichiers et objets, nombre de lancements de fichiers exécutables, identifiant du format de fichier, chemin complet de l’objet et chemin du conteneur de l’objet, contenus du fichier d’exécution automatique (autorun), ainsi que le nom du fichier et le chemin menant au fichier sur la ressource réseau distante accédée.
• Contenu du répertoire \etc\.
• Données de sortie de commande.
• Données d’audit : résultat de l’opération, description de l’opération, type d’événement et utilisation de l’opération.
• Informations sur le processus : identifiant du processus (PID), suivi des appels de processus, informations sur le fichier exécutable du processus et sa ligne de commande, informations sur le processus parent, hash MD5 du code d’erreur de calcul du fichier exécutable, codes d’erreur primaires, informations sur l’intégrité du processus, informations de connexion à la session, ligne de commande, arguments de ligne de commande pour le processus, variables d’environnement pour le processus cible, identifiant unique du journal d’activité du processus, nom et/ou adresse du site d’injection de code, informations sur les droits d’accès pour le processus, codes d’erreur pour le calcul du hash MD5 d’un objet à partir de la ligne de commande du processus, liste des enveloppeurs de l’objet, répertoire de travail initial pour le processus cible et tableau d’identifiants (PID) pour les processus complets.
• Informations sur le registre : noms, sections et valeurs.
• Informations sur les opérations distantes : le nom de l’ordinateur distant et nom complet (« fully qualified name » ou FDQN) de l’ordinateur distant sur lequel l’opération distante a été réalisée, nom du compte utilisateur à l’origine de l’opération distante, identifiant système du processus distant à l’origine de l’opération distante, heure de début du processus distant à l’origine de l’opération distante, nom de l’espace de nommage de l’utilisateur des événements WMI, nom du filtre des événements WMI de l’utilisateur, nom de l’utilisateur créé des événements WMI et code source de l’utilisateur des événements WMI.
• Informations sur les erreurs : code d’erreur du calcul MD5, code d’erreur d’accès aux fichiers, codes d’erreur primaires et codes d’erreur secondaires.
• Informations sur les tâches de réponse aux événements créées par les spécialistes de AO Kaspersky Lab et de l’Utilisateur : nom et type de l’événement, date et heure auxquelles l’événement s’est produit, paramètres et résultats de la tâche de réponse (informations sur l’objet [chemin d’accès à l’objet, nom et taille de l’objet, sommes de contrôle MD5 et SHA256, informations sur la mise en quarantaine de l’objet, informations sur la suppression de l’objet, informations sur l’arrêt du processus, informations sur la suppression d’une clé/branche de registre, informations sur le démarrage du processus, informations sur les objets demandés par les spécialistes de AO Kaspersky Lab pour une analyse détaillée avec le consentement de l’Utilisateur [nom, chemin, taille et type de l’objet, sommes de contrôle MD5 et SHA256, description de l’objet, date et heure du traitement de la demande de fichier, et contenu du fichier], informations sur l’installation et la suppression de l’isolation réseau de l’appareil et informations sur les erreurs résultant de la tâche de réponse).
• Données sur les scripts en cours d’exécution sur l’ordinateur : arguments de ligne de commande, contenu du script ou d’une partie du script en cours d’exécution sur l’ordinateur, et contenu de l’objet ou d’une partie de l’objet reçu par AMSI.
• Données sur les commandes reçues par l’application console, y compris les interpréteurs de ligne de commande, utilisant la redirection d’entrée via un canal ou un fichier, ainsi que les commandes exécutées par l’utilisateur dans les applications console, y compris les interpréteurs de ligne de commande.

Liste des données relatives aux événements détectés à la suite de l’analyse du trafic réseau

Afin de détecter les événements nouveaux et complexes pour la sécurité des données et leurs sources, ainsi que les menaces d’intrusion, et de prendre des mesures rapides pour augmenter la protection des données stockées et traitées avec un ordinateur par le Client, celui-ci s’engage à fournir automatiquement les informations suivantes pour recevoir le Service :

• Informations sur l’identifiant, version, type et date et heure de l’enregistrement de la base de données antivirus utilisée afin de détecter un événement lié à la sécurité de l’information, nom de la menace basé sur la classification de AO Kaspersky Lab, heure et date des bases de données antivirus utilisées, code du type de fichier, identifiant du format de fichier, identifiant de tâche du logiciel qui a détecté l’événement, indicateur de la vérification de réputation ou de la vérification de la signature de fichier.
• Informations permettant de déterminer la réputation des fichiers et des ressources Internet, y compris l’adresse IP et le nom de domaine de l’adresse URL à laquelle la réputation est demandée, le nom du fichier qui a été exécuté au moment où l’événement a été détecté, le chemin du fichier et les sommes de contrôle (MD5) du fichier ainsi que son chemin.
• Informations sur l’émulation du fichier exécutable : taille de fichier et sommes de contrôle (MD5, SHA-256, SHA1), version du composant d’émulation, profondeur de l’émulation, tableau de propriétés de blocs logiques et fonctions pour les blocs logiques obtenus pendant l’émulation, et données tirées des en-têtes PE du fichier exécutable.
• Informations sur tous les objets détectés, y compris le nom et la taille de l’objet, le chemin complet de l’objet sur l’ordinateur, les sommes de contrôle (MD5, SHA-256) des fichiers en cours de traitement, le nom de l’événement associé à l’objet, la date et l’heure de la détection, l’indicateur de présence de la signature numérique du fichier, le nom de l’organisation qui a signé le fichier, l’état de confiance et le niveau de menace du fichier, l’identifiant et la priorité de la règle utilisée pour la détection, et le type de technologie de détection.
• Le type de source à partir de laquelle l’objet a été téléchargé, l’adresse IP de la source (ou la somme de contrôle (MD5) de l’adresse IP lorsqu’elle est locale), l’URL de la source ainsi que l’URL de référence, le nom, le nom et la somme de contrôle (MD5) du domaine du nom de l’hôte qui a envoyé la demande de téléchargement, et les informations de service sur le navigateur Internet, qui a envoyé la demande de téléchargement.
• Sommes de contrôle (MD5) des parties locales et de domaine des adresses électroniques de l’expéditeur et du destinataire, ainsi que somme de contrôle (MD5) de l’objet de l’e-mail.
• Adresses IP locales et distantes de la connexion réseau, nombres des ports locaux et distants, et identifiant du protocole de connexion.
• URL et nom de l’hôte cible, et adresses IP de l’hôte.
• L’identifiant du système d’exploitation qui est installé sur une machine virtuelle utilisée par le logiciel pour analyser les objets.
• Informations complémentaires concernant les événements : indice de fréquence du fichier dans le réseau local de l’Utilisateur, date de l’intrusion du fichier dans le réseau local et sur l’ordinateur de l’Utilisateur, identifiants des comptes à partir desquels le processus a démarré, sommes de contrôle de leurs noms d’utilisateur, ainsi que noms de leurs domaines ou groupes de travail, et informations sur les privilèges des comptes utilisateurs.
• Informations sur l’activité réseau du processus : noms de domaine des ressources réseau qui sont utilisées afin d’établir une connexion, et adresses IP des domaines, fréquence de la connexion à la ressource réseau sélectionnée, taille et type des données transférées.
• Informations sur l’utilisation du domaine de la ressource réseau, y compris l’indice de fréquence des requêtes au domaine à partir du réseau local, l’horodatage de la première requête au domaine à partir du réseau local, la durée des requêtes des différents utilisateurs et les sommes de contrôle de leurs noms, les noms des ordinateurs qui ont amorcé les demandes au domaine et des informations supplémentaires sur les raisons de la détection.
• Informations de service sur le composant de traitement des statistiques, y compris la date et l’heure du début et de la fin de la période d’analyse des données statistiques, le volume de la mémoire disque libre et utilisée, l’heure du dernier traitement de l’événement, le temps de fonctionnement de différents algorithmes de détection, les messages sur les erreurs du composant et les messages sur le démarrage réussi de différents algorithmes de détection.
• Données envoyées à l’assistance technique.

Collecte de données lors de l’utilisation de Kaspersky Endpoint Agent

Pour plus d’informations sur la collecte de données lors de l’utilisation de Kaspersky Endpoint Agent, reportez-vous à la section Kaspersky Endpoint Agent pour Windows.

[Topic 219732]

Sous-traitants engagés

Les sous-traitants suivants sont engagés pour le traitement des données utilisateurs conformément à l’Accord de traitement des données de Kaspersky Managed Detection and Response :

Sous-traitants engagés par AO Kaspersky Lab

Haut de page

[Topic 298455]

Régions de traitement des données

Les données utilisateur sont traitées dans les régions suivantes, conformément à l’Accord relatif au traitement des données de la solution Kaspersky Managed Detection and Response :

Régions de traitement des données

La région de traitement des données dépend de la région que vous sélectionnez lors de l’activation de Kaspersky Managed Detection and Response afin de garantir la conformité aux réglementations en matière de traitement des données des utilisateurs.

[Topic 219092]

À propos de Kaspersky Security Network

Kaspersky Security Network (KSN) est une infrastructure de services cloud qui permet d’accéder à la base de connaissances en ligne de Kaspersky, qui contient des informations sur la réputation des fichiers, des ressources Internet et des logiciels.

Pour plus d’informations sur l’envoi des informations statistiques de Kaspersky générées lors de la participation à KSN, ainsi que sur le stockage et la destruction de ces informations, reportez-vous à la déclaration de Kaspersky Security Network et au site Web de Kaspersky.

Infrastructure KSN

Kaspersky Security Network propose les solutions d’infrastructure suivantes :

• KSN global est la solution utilisée par la plupart des applications Kaspersky. Les participants KSN reçoivent des informations de Kaspersky Security Network et envoient à Kaspersky des informations sur les objets détectés sur l’ordinateur de l’utilisateur pour être analysés en plus par les analystes de Kaspersky et être inclus dans la réputation et les bases de données statistiques de Kaspersky Security Network.
• KPSN (Kaspersky Private Security Network) est une solution qui permet aux utilisateurs d’ordinateurs hébergeant des applications Kaspersky d’accéder aux bases de données de réputation de Kaspersky Security Network et à d’autres données statistiques sans envoyer de données à KSN depuis leurs propres ordinateurs. KPSN est conçu pour les entreprises clientes qui ne peuvent pas participer à Kaspersky Security Network pour l’une des raisons suivantes :
  • Les postes de travail locaux ne sont pas connectés à Internet.
  • La transmission de données en dehors du pays ou du réseau local de l’entreprise est interdite par la loi ou restreinte par les politiques de sécurité de l’entreprise.

Pour le fonctionnement de Kaspersky Managed Detection and Response, il est nécessaire d’utiliser KPSN. KPSN est configuré automatiquement dans Kaspersky Security Center lors de l’activation de la solution Kaspersky Managed Detection and Response. Lorsque vous révoquez votre consentement aux conditions d’utilisation de la solution MDR, le KPSN est automatiquement désactivé.

Pour plus de détails sur la configuration de KPSN, consultez la documentation de Kaspersky Security Center.

[Topic 234895]

Mise à jour périodique des fichiers de configuration KSN

Pour garantir la transmission sécurisée des données télémétriques du client vers Kaspersky Managed Detection and Response, Kaspersky met régulièrement à jour les clés de chiffrement des données de télémétrie MDR. La transmission de la clé publique se fait ans le cadre du fichier de configuration KSN.

Si vous utilisez le plug-in MDR pour Kaspersky Security Center Cloud Console ou Kaspersky Security Center sur site, dans certains cas (veuillez consulter les détails dans le tableau ci-dessous), le fichier de configuration KSN sera mis à jour automatiquement. Cependant, dans de nombreux cas, vous devez remplacer manuellement le fichier de configuration KSN installé.

Si le fichier de configuration KSN n’est pas mis à jour sur vos ressources, les données de télémétrie ne seront plus envoyées à Kaspersky Managed Detection and Response.

Un mois au plus tard avant l’expiration du fichier de configuration KSN actuel, Kaspersky vous informera de l’expiration imminente de ce dernier. Il existe deux options de notification :

• Un incident sera créé pour vous informer de l’expiration prochaine du fichier de configuration KSN actuel.
• Une notification sur l’expiration prochaine du fichier de configuration actuel de KSN sera publiée dans la Console MDR en ligne. Tout utilisateur se connectant à la Console MDR en ligne verra cette notification.

  Actions requises pour mettre à jour le fichier de configuration KSN

  La solution que vous utilisez pour administrer vos ressources	L’interface utilisée par vos analystes du SOC	Actions requises
  Kaspersky Security Center Cloud Console	Le plug-in MDR installé dans Kaspersky Security Center Cloud Console	Connectez-vous à Kaspersky Security Center Cloud Console. À l’ouverture de session, le plug-in MDR tente d’installer le nouveau fichier de configuration KSN sur la Kaspersky Security Center Cloud Console. Si le plug-in MDR met à jour le fichier avec succès, vous recevrez une notification concernant la modification du fichier de configuration KSN. Si le plug-in MDR ne parvient pas à mettre à jour le fichier de configuration KSN, vous recevrez une notification indiquant la cause du problème : Votre compte utilisateur ne dispose pas des droits d’accès suffisants pour mettre à jour le fichier. Une erreur inattendue s’est produite lors de la mise à jour du fichier de configuration KSN.   Si aucune notification ne s’affiche, il est probable que le fichier de configuration KSN a été mis à jour correctement lors de la connexion d’un autre technicien à Kaspersky Security Center Cloud Console. Si vous recevez une notification indiquant que les droits d’accès sont insuffisants pour mettre à jour le fichier de configuration KSN, contactez votre administrateur Kaspersky Security Center Cloud Console (rôle Administrateur principal) pour obtenir de l’aide : Demandez à l’administrateur de se connecter à Kaspersky Security Center Cloud Console. Lorsque l’administrateur ouvre une session, le fichier de configuration KSN est alors mis à jour. Vous pouvez vérifier que le fichier de configuration KSN est à jour à tout moment. Pour ce faire, dans la section MDR de Kaspersky Security Center, cliquez sur l’onglet Utilisation de MDR. Les informations sur la version actuelle du fichier de configuration KSN s’affichent. Si une nouvelle version du fichier de configuration KSN est disponible, vous pouvez utiliser un bouton pour mettre à jour le fichier de configuration KSN.  Si une erreur inattendue se produit lors de la mise à jour, contactez le Support technique Kaspersky.
  Kaspersky Security Center Cloud Console	Console MDR en ligne OU Vous utilisez l’API pour télécharger les incidents afin de les traiter dans votre propre système	Connectez-vous à Kaspersky Security Center Cloud Console. Lancez l’Assistant de configuration initiale pour activer le plug-in MDR. Si votre compte ne dispose pas de droits d’accès suffisants pour activer le plug-in MDR, contactez l’administrateur de votre serveur Kaspersky Security Center Cloud Console pour obtenir de l’aide. Suivez ensuite les instructions du serveur Kaspersky Security Center Cloud Console et du plug-in MDR ci-dessus. Si une erreur inattendue se produit lors de la mise à jour, contactez le Support technique Kaspersky.
  Kaspersky Security Center sur site versions 14 et ultérieures	Plug-in MDR installé dans Kaspersky Security Center en local	Connectez-vous à Kaspersky Security Center. Lorsque vous vous connectez, le plug-in MDR tente d’installer le nouveau fichier de configuration KSN sur le serveur de Kaspersky Security Center. Si le plug-in MDR met à jour le fichier avec succès, vous recevrez une notification concernant la modification du fichier de configuration KSN. Si le plug-in MDR ne parvient pas à mettre à jour le fichier de configuration KSN, vous recevrez une notification indiquant la cause du problème : Votre compte utilisateur ne dispose pas des droits d’accès suffisants pour mettre à jour le fichier. Une erreur inattendue s’est produite lors de la mise à jour du fichier de configuration KSN.   Si aucune notification ne s’affiche, il est probable que le fichier de configuration KSN a été mis à jour correctement lors de la connexion d’un autre technicien à Kaspersky Security Center Cloud Console. Si vous recevez une notification indiquant que les droits d’accès sont maquants pour mettre à jour le fichier de configuration KSN, contactez l’administrateur du serveur d’administration de Kaspersky Security Center pour obtenir de l’aide : Demandez à l’administrateur de se connecter au serveur de Kaspersky Security Center. Lorsque l’administrateur ouvre une session, le fichier de configuration KSN est alors mis à jour. Si l’administrateur ne reçoit pas la notification concernant la modification du fichier de configuration KSN, il doit vérifier la version du plug-in MDR installé et, si nécessaire, le mettre à jour vers la version actuelle (plug-in MDR 2.1.17 ou version ultérieure requis). Vous pouvez vérifier que le fichier de configuration KSN est à jour à tout moment. Pour ce faire, dans la section MDR de Kaspersky Security Center, cliquez sur l’onglet Utilisation de MDR. Les informations sur la version actuelle du fichier de configuration KSN seront affichées. Si une nouvelle version du fichier de configuration KSN est disponible, vous pouvez utiliser un bouton pour mettre à jour le fichier de configuration KSN.  Si une erreur inattendue se produit lors de la mise à jour, contactez le Support technique Kaspersky.
  Kaspersky Security Center sur site versions 14 et ultérieures	Console MDR en ligne (le plug-in MDR n’est pas installé dans le Kaspersky Security Center sur site) OU Vous utilisez l’API pour télécharger les incidents afin de les traiter dans votre propre système	Demandez à l’administrateur du de la Console MDR en ligne de : Télécharger l’archive ZIP MDR à partir de la page Prise en main (Getting Started). Décompressez le fichier ZIP pour extraire le fichier de configuration KSN. Envoyer ce fichier à l’administrateur du serveur d’administration de Kaspersky Security Center.   Demandez à l’administrateur du serveur Kaspersky Security Center de télécharger le fichier de configuration KSN en cliquant sur Propriétés du Serveur d’administration → Paramètres du serveur proxy KSN → Fichier de paramètres du serveur proxy KSN. Si une erreur inattendue se produit lors de la mise à jour, contactez le Support technique Kaspersky.
  Kaspersky Security Center sur site versions 13* ou antérieures	Plug-in MDR installé dans le Kaspersky Security Center sur site OU Vous utilisez l’API pour télécharger les incidents afin de les traiter dans votre propre système

Si plusieurs serveurs Kaspersky Security Center sont installés dans votre réseau, vous devez mettre à jour le fichier de configuration KSN sur chacun d’entre eux.

Mise à jour du fichier de configuration KSN sur les serveurs KATA

Si votre réseau comporte des serveurs KATA connectés à Kaspersky Managed Detection and Response, vous devez mettre à jour le fichier de configuration MDR sur ces derniers.

Demandez à l’administrateur de la Console MDR en ligne de télécharger l’archive ZIP de configuration MDR sur la page Mise en route (Getting Started) : https://mdr.kaspersky.com/guide.

La page Mise en route de la Console MDR en ligne n’est disponible que pour les utilisateurs connectés.

Lorsque vous aurez reçu l’archive ZIP de la configuration MDR, veuillez demander à l’administrateur des serveurs KATA de charger le fichier de configuration MDR sur ces derniers. En cas de problème lors de la mise à jour du fichier de configuration MDR, l’administrateur du serveur KATA doit contacter le Support Technique de Kaspersky pour obtenir des instructions sur la mise à jour du fichier de configuration MDR sur le serveur KATA.

Haut de page

[Topic 200027]

Tableaux de bord de surveillance dans de la Console MDR en ligne

La Console MDR en ligne propose des tableaux de bord de surveillance pour consulter des informations synthétiques.

Pour afficher les tableaux de bord :

1. Dans la Console MDR en ligne, accédez à l’option du menu Surveillance.

   La page Résumé s’ouvre.

2. Les tableaux de bord suivants sont présents sur la page Résumé :
   • Nombre de ressources maximal pour la licence

     Il s’agit d’un diagramme circulaire qui présente le nombre des ressources connectés par rapport au nombre maximum des ressources disponibles pour la licence.

   • Ressources par état

     Il s’agit d’un diagramme circulaire qui présente la répartition des ressources, selon leurs états.

   • Incidents ressources

     Il s’agit d’un diagramme circulaire qui présente la répartition des incidents ressources, selon leurs états.

   • Réponses

     Il s’agit d’un diagramme circulaire qui présente la répartition des réponses, selon leurs états.

     Le nombre des ressources connectés représente les ressources qui ont été vus dans la Console MDR en ligne au cours des 7 derniers jours. Si vous souhaitez obtenir le nombre de ressources connectées pour la période précisée, accédez à l’option du menu Ressources de la Console MDR en ligne.

   • Statistiques de télémétrie

     Il s’agit d’un tableau de bord qui affiche les statistiques de télémétrie de la solution MDr pour un client, y compris les statistiques par locataire spécifique. Vous pouvez visualiser les données pour 1 jour, 7, 30, 90, 180 jours, 1 an, ou pour toute la période pendant laquelle un client utilise la solution MDR en continu.

     Ce tableau de bord affiche le nombre de chacun des objets suivants :

     • Les événements de télémétrie sont tous les événements envoyés par les ressources d’un client à Kaspersky Managed Detection and Response.
     • Les événements suspects sont des événements de télémétrie que Kaspersky Managed Detection and Response considère comme des événements nécessitant une vérification complémentaire.
     • Les événements de sécurité sont des événements de télémétrie que les règles de détection déterminent comme des incidents potentiels.
     • Les incidents sont des actions jugées critiques par la technologie de détection. Les incidents requièrent une réaction immédiate (action de réaction) de Kaspersky Managed Detection and Response.
     • Les règles de détection déclenchées correspondent à un nombre de règles de détection uniques déclenchées pour des événements de télémétrie spécifiés pendant une période donnée.
   • Nombre d’incidents

     Il s’agit d’un tableau de bord qui affiche le nombre d’incidents et leurs états, par jour de la semaine.

Les tableaux de bord sont mis à jour à chaque actualisation de la page Résumé.

Pour basculer les tableaux de bord vers des statistiques spécifiques au locataire :

1. En haut de la page Résumé, cliquez sur Filtrer par locataire.
2. Dans le menu appelé, sélectionnez un ou plusieurs locataires.
3. Cliquez sur Enregistrer.

Des statistiques spécifiques aux locataires sont disponibles pour les widgets suivants :

• Nombre maximum d’appareils pour cette licence
• Ressources par état
• Incidents ressources
• Nombre d’incidents
• Réponses
• Statistiques de télémétrie

[Topic 196559]

Réception d’informations récapitulatives

Kaspersky Managed Detection and Response fournit plusieurs types d’informations récapitulatives que vous pouvez recevoir par e-mail. Cette section décrit comment configurer la réception des informations récapitulatives.

[Topic 210281]

Recevoir un résumé de toutes les ressources sous forme de fichier CSV (Console MDR en ligne)

Vous pouvez recevoir un résumé sous la forme d’un fichier CSV contenant toutes les ressources de votre compte. Aucun filtre n’est appliqué au résumé, c’est-à-dire que le nombre des ressources dans ce résumé représente toutes les ressources qui s’affichent dans la Console MDR en ligne.

Vous pouvez masquer les ressources indiquant l’état Absent dans le résumé en cochant la case correspondante dans les Paramètres.

Pour recevoir un résumé au format CSV, procédez comme suit :

1. Dans la Console MDR en ligne, accédez à l’option du menu Ressources.

   La liste des appareils s’ouvre.

2. Cliquez sur le bouton Recevoir un résumé au format CSV par e-mail dans la partie supérieure de la fenêtre.

Le résumé est envoyé à l’adresse e-mail que vous avez indiquée lors de l’activation de Kaspersky Managed Detection and Response.

[Topic 257880]

Réception des informations sur l’incident au format PDF (Console MDR en ligne)

Vous pouvez recevoir un résumé des informations relatives à un incident particulier au format PDF.

Pour recevoir un résumé PDF, procédez comme suit :

1. Dans la Console MDR en ligne, accédez à l’option du menu Incidents.

   La liste des incidents s’ouvre.

2. Cliquez sur l’incident dont vous souhaitez recevoir le résumé.

   La carte d’incident s’affiche.

3. Cliquez sur le lien Recevoir un résumé au format PDF par e-mail dans la partie supérieure de la fenêtre.

Le résumé est envoyé à l’adresse e-mail que vous avez indiquée lors de l’activation de Kaspersky Managed Detection and Response.

Haut de page

[Topic 256866]

Configuration de l’envoi régulier de rapports dans la Console MDR en ligne

Cette fonctionnalité est disponible uniquement dans la Console MDR en ligne.

Vous pouvez configurer la réception d’un rapport de synthèse contenant les données sur les incidents en cours. Chaque ensemble de paramètres de livraison est enregistré sous la forme d’un calendrier. Vous pouvez créer un maximum de 50 calendriers pour une organisation et un maximum de 10 calendriers pour chaque client.

Pour créer ou modifier les calendriers de remise des rapports, vous devez disposer du rôle utilisateur Administrateur MDR.

Le rapport est envoyé par e-mail au format PDF ouvert et non chiffré aux adresses que vous avez indiquées et selon la programmation définie.

Le rapport contient toujours les données des sept derniers jours. Le jour de la création du rapport n’est pas inclus. En d’autres termes, si vous effectuez la configuration de manière à recevoir le rapport de synthèse tous les jours, votre rapport quotidien contiendra les données des sept derniers jours, sauf le jour actuel. Si vous configurez la réception du rapport de synthèse tous les mercredis, le rapport contiendra les données du mercredi précédent au mardi suivant.

Pour configurer la réception de la synthèse du rapport au format PDF, procédez comme suit :

1. Dans la section Paramètres de la Console MDR en ligne, cliquez sur l’onglet Planification.
2. Cliquez sur le bouton Ajouter.

   La fenêtre Ajout d’un nouveau calendrier s’ouvre.

3. Mettez bouton à bascule en position Activé.
4. Lisez attentivement la notification ci-dessous relative aux conditions d’envoi des rapports de synthèse. Ensuite, cochez la case pour confirmer que vous avez lu et compris les conditions d’utilisation. Si la case n’est pas cochée, vous ne pouvez pas enregistrer les modifications.
5. Spécifiez les paramètres suivants :
   • Dans le champ Nom du calendrier, indiquez un nom arbitraire et lisible pour le rapport de synthèse. Le nom doit contenir des lettres latines, des chiffres et des caractères spéciaux ; il ne peut pas comporter plus de 1000 caractères.
   • Dans le champ Locataire, sélectionnez le locataire pour lequel vous souhaitez recevoir un rapport de synthèse. Le rapport contient uniquement les données du locataire sélectionné. Sinon, si vous souhaitez recevoir un rapport de synthèse sur tous les locataires, sélectionnez Tous les locataires.
   • Dans le champ Envoyer aux adresses e-mail, indiquez l’adresse e-mail ou la liste, séparées par des virgules, des adresses e-mail des utilisateurs qui recevront le résumé.

     Vérifiez bien les adresses e-mail saisies, car elles seront ajoutées sans autre confirmation. Les rapports de synthèse peuvent contenir des données sensibles et sont envoyés au format PDF ouvert et non chiffré.

   • Dans le champ Jour de l’envoi, sélectionnez les jours de la semaine où le résumé doit être envoyé aux adresses e-mail indiquées. Vous pouvez choisir un jour ou Tous les jours.
   • Dans le champ Heure, UTC, indiquez l’heure au format UTC 24 heures. Par exemple, 15 h 00.

     Le calendrier affecte uniquement l’heure de réception du rapport, mais n’affecte pas la période de données dans le rapport.

     Le rapport contient toujours les données des sept derniers jours. Le jour de la création du rapport n’est pas inclus. En d’autres termes, si vous effectuez la configuration de manière à recevoir le rapport de synthèse tous les jours, votre rapport quotidien contiendra les données des sept derniers jours, sauf le jour actuel. Si vous configurez la réception du rapport de synthèse tous les mercredis, le rapport contiendra les données du mercredi précédent au mardi suivant.

6. Cliquez sur le bouton Enregistrer.

Le rapport de synthèse sera envoyé aux adresses e-mail sur une base hebdomadaire ou quotidienne.

[Topic 196556]

Réception de notifications

Vous pouvez configurer l’envoi de notifications sur les événements qui se produisent avec les incidents et les réponses au fur et à mesure de leur traitement dans Kaspersky Managed Detection and Response.

Kaspersky Managed Detection and Response envoie des notifications aux clients via Telegram ou par e-mail, en fonction des paramètres que vous avez définis. Le corps de notification contient une description de l’événement et un lien vers l’objet sur lequel l’événement s’est produit.

Vous pouvez configurer les notifications dans la Console MDR en ligne et dans la section MDR de Kaspersky Security Center.

[Topic 255154]

Configuration des notifications dans la Console MDR en ligne

Tout développer | Tout réduire

Pour configurer l’envoi des notifications dans la Console MDR en ligne procédez comme suit :

1. Dans la section Paramètres de la Console MDR en ligne, cliquez sur l’onglet Paramètres de notification.
2. Cochez les cases correspondant aux événements pour lesquels vous souhaitez recevoir des notifications par e-mail.

   Voici les cases à cocher disponibles :

   • Tous : tous les événements à propos desquels Kaspersky Managed Detection and Response envoie des notifications.
   • Incidents : notifications relatives à la création, la mise à jour, la résolution et la clôture des incidents.
     • Les notifications détaillées contiennent une description de l’attaque détectée comme incident et les recommandations de réponse. Cette case est disponible si la fonctionnalité de notifications détaillées activée sous l’onglet Paramètres généraux.
   • Commentaires : notifications relatives à la création, à la mise à jour et à la suppression de commentaires dans les incidents.
   • Réponses : notifications relatives à la création, à l’acceptation et au refus des réponses.
   • Informations sur l’expiration de la licence : notifications relatives aux événements suivants : moins de 30 jours avant l’expiration de la licence, la licence a expiré. Kaspersky Managed Detection and Response envoie ces notifications tous les jours, mais pas après l’expiration ou le renouvellement de la licence.
3. Cliquez sur le bouton S’abonner situé au-dessus des cases à cocher pour vous abonner aux notifications du chatbot Telegram. Lorsque vous cliquez sur le bouton S’abonner, l’application génère un lien unique pour activer le chatbot dans Telegram. Vous pouvez utiliser ce lien pour un seul compte Telegram.

   Utilisez ce lien uniquement sur un appareil (ordinateur de bureau ou mobile) sur lequel l’application Telegram est installée. Le lien ne peut pas activer le chatbot dans la version Internet de Telegram.

   Si vous souhaitez recevoir des notifications sur un autre compte Telegram, cliquez sur le bouton Se désabonner, puis répétez la procédure d’abonnement pour générer un nouveau lien et l’utiliser pour activer le chatbot pour un autre compte.

4. Cliquez sur le bouton Enregistrer dans la partie inférieure de la fenêtre pour enregistrer les paramètres. Le bouton Enregistrer ne devient actif que si vous avez modifié les paramètres.

La livraison des notifications est configurée.

[Topic 255153]

Configuration des notifications dans Kaspersky Security Center

Tout développer | Tout réduire

Pour configurer l’envoi des notifications dans la section MDR de Kaspersky Security Center, procédez comme suit :

1. Dans la section MDR de Kaspersky Security Center, cliquez sur l’onglet Notifications.

   L’onglet Notifications s’ouvre.

2. Si vous souhaitez recevoir des notifications par e-mail, activez l’option Notifier par e-mail, indiquez l’adresse e-mail et les options de notification suivantes.
   • Remplissez le champ Adresse e-mail, puis sélectionnez au moins une des cases à cocher. Dans le cas contraire, les paramètres ne peuvent pas être enregistrés.
   • Incidents : notifications relatives à la création, à la résolution et à la clôture des incidents.
     • Notifications détaillées : notifications qui contiennent une description de l’attaque détectée comme incident et les recommandations de réponse. Cette case est disponible si la fonctionnalité de notifications détaillées est activée sous l’onglet Paramètres.
   • Commentaires : notifications relatives à la création, à la mise à jour et à la suppression de commentaires dans les incidents.
   • Réponses : notifications relatives à la création, à l’acceptation et au refus des réponses.
3. Si vous souhaitez recevoir des notifications par Telegram, activez l’option Notifier par Telegram, puis cochez au moins une des cases suivantes :
   • Incidents : notifications relatives à la création, la résolution et la clôture des incidents.
   • Commentaires : notifications relatives à la création, à la mise à jour et à la suppression de commentaires dans les incidents.
   • Réponses : notifications relatives à la création, à l’acceptation et au refus des réponses.

   Cliquez sur le bouton Obtenir le lien situé au-dessus des cases à cocher pour vous abonner aux notifications du chatbot Telegram. Lorsque vous cliquez sur le bouton Obtenir le lien, l’application génère un lien unique pour activer le chatbot dans Telegram. Vous pouvez utiliser ce lien pour un seul compte Telegram.

4. Cliquez sur le bouton Enregistrer dans la partie inférieure de la fenêtre pour enregistrer les paramètres. Le bouton Enregistrer ne devient actif que si vous avez modifié les paramètres.

   Si vous sélectionnez la notification par e-mail, un code de vérification unique est envoyé à l’adresse e-mail que vous avez indiquée. Le code de vérification expire dans 10 minutes.

   Le bloc de vérification s’affiche.

   Dans le bloc de vérification qui s’ouvre, collez le code de confirmation pour l’adresse e-mail indiquée.

   Si vous collez un code incorrect trois fois de suite ou si vous collez un code expiré, le bouton Renvoyer s’affiche. Cliquez sur ce bouton pour recevoir un nouveau code de vérification.

5. Une fois l’adresse e-mail vérifiée, le bloc avec le message correspondant apparaît.
6. Cliquez sur le bouton Fermer dans la partie inférieure du bloc.

La livraison des notifications est configurée.

Haut de page

[Topic 252253]

Réception de notifications étendues

Vous pouvez configurer l’envoi de notifications détaillées d’incidents par e-mail aux utilisateurs MDR. Les notifications détaillées contiennent une description de l’attaque détectée comme incident et les recommandations de réponse. La description de l’attaque comporte des données que la solution MDR reçoit sous forme de télémétrie à partir d’appareils connectés à la solution MDR. Elle peut donc inclure les informations sensibles suivantes :

• Noms des hôtes
• Adresses IP des hôtes
• Noms des comptes
• Mots de passe des comptes (si le script contenant le mot de passe a été exécuté sur l’appareil)
• URL des services
• Noms des fichiers
• Adresses e-mail
• Noms des services et des locataires

La liste complète des données reçues par la solution MDR est présentée dans la section Collecte des données.

[Topic 255182]

Activation des notifications détaillées dans la Console MDR en ligne

Pour activer la remise des notifications détaillées, procédez comme suit :

1. Dans la section Paramètres de la Console MDR en ligne, cliquez sur l’onglet Paramètres généraux.
2. Activez l’option Activer les notifications détaillées et cochez la case ci-dessous pour confirmer que vous avez lu et compris les conditions d’envoi des notifications détaillées.
3. Cliquez sur le bouton Enregistrer.

Vous pouvez désormais vous abonner aux notifications détaillées dans les Paramètres des notifications de la Console MDR en ligne.

[Topic 255181]

Activation des notifications détaillées dans Kaspersky Security Center

Pour activer la remise des notifications détaillées, procédez comme suit :

1. Dans la section MDR de Kaspersky Security Center, sélectionnez l’onglet Paramètres.
2. Activez l’option Activer les notifications détaillées par e-mail et cochez la case ci-dessous pour confirmer que vous avez lu et compris les conditions d’envoi des notifications détaillées.
3. Cliquez sur le bouton Enregistrer.

Vous pouvez maintenant vous abonner aux notifications détaillées dans l’onglet Notifications.

[Topic 198731]

Administration des utilisateurs

Tout développer | Tout réduire

Les utilisateurs de Kaspersky Managed Detection and Response peuvent présenter différents rôles, avec une fonctionnalité différente disponible pour chaque rôle. Le modèle de rôle est un ensemble de règles qui précisent les rôles des utilisateurs.

Les rôles suivants sont présents dans Kaspersky Managed Detection and Response :

• Administrateur MDR

  Le superutilisateur qui a accès à l’ensemble des fonctions de Kaspersky Managed Detection and Response accordées par la licence. L’administrateur MDR peut accorder l’accès aux sources de données client à d’autres utilisateurs. Lorsque vous activez Kaspersky Managed Detection and Response, vous devenez automatiquement l’administrateur MDR, c’est pourquoi, dans le cadre du processus d’activation, nous vous recommandons d’utiliser une adresse e-mail d’entreprise plutôt qu’une adresse e-mail personnelle. La création d’un compte d’administrateur MDR avec une adresse e-mail personnelle peut poser des risques de sécurité tels que le vol du compte d’administrateur MDR.

  Dans Kaspersky Security Center, ce rôle correspond aux droits d’accès suivants :

  Domaine fonctionnel	Autoriser	Refuser
  Accès aux incidents
  Paramètres d’auto-acceptation
  Gestion des réponses
  Gestion des locataires
  Programmation du résumé des incidents
  Accès à l’API REST

• Agent de sécurité principal

  Un employé qui a accès aux fonctions Kaspersky Managed Detection and Response accordées par la licence, mais qui n’a pas accès à l’API REST. L’Agent de sécurité principal a le droit d’accepter et de refuser des

  réponses

  La réponse aux incidents est une méthodologie structurée permettant de gérer les incidents de sécurité, les violations et les cybermenaces.

  La réponse aux incidents est une méthodologie structurée permettant de gérer les incidents de sécurité, les violations et les cybermenaces.

  La réponse aux incidents est une méthodologie structurée permettant de gérer les incidents de sécurité, les violations et les cybermenaces.

  La réponse aux incidents est une méthodologie structurée permettant de gérer les incidents de sécurité, les violations et les cybermenaces.

  La réponse aux incidents est une méthodologie structurée permettant de gérer les incidents de sécurité, les violations et les cybermenaces.

  .

  Dans Kaspersky Security Center, ce rôle correspond aux droits d’accès suivants :

  Domaine fonctionnel	Autoriser	Refuser
  Accès aux incidents
  Paramètres d’auto-acceptation
  Gestion des réponses
  Gestion des locataires
  Programmation du résumé des incidents
  Accès à l’API REST

• Responsable de la sécurité

  Un employé qui a accès aux fonctions Kaspersky Managed Detection and Response accordées par la licence, mais qui n’a pas accès à l’API REST. Le responsable de la sécurité ne peut ni accepter ni refuser des réponses.

  Dans Kaspersky Security Center, ce rôle correspond aux droits d’accès suivants :

  Domaine fonctionnel	Autoriser	Refuser
  Accès aux incidents
  Paramètres d’auto-acceptation
  Gestion des réponses
  Gestion des locataires
  Programmation du résumé des incidents
  Accès à l’API REST

[Topic 200026]

Invitation de nouveaux utilisateurs dans la Console MDR en ligne

Tout développer | Tout réduire

Pour inviter un nouvel utilisateur à Kaspersky Managed Detection and Response, procédez comme suit :

1. Dans la fenêtre de la Console MDR en ligne, accédez à l’option du menu Paramètres.

   La liste des utilisateurs s’ouvre.

2. Cliquez sur le bouton Ajouter situé au-dessus de la liste des utilisateurs.

   La carte des invitations s’affiche.

3. Dans le champ Adresse e-mail, indiquez une adresse e-mail.
4. Dans le champ Rôle d’utilisateur, indiquez un rôle pour le nouvel utilisateur.

   Les rôles d’utilisateur suivants sont disponibles :

   • Administrateur MDR

     Le superutilisateur qui a accès à l’ensemble des fonctions de Kaspersky Managed Detection and Response accordées par la licence. L’administrateur MDR peut accorder l’accès aux sources de données client à d’autres utilisateurs. Lorsque vous activez Kaspersky Managed Detection and Response, vous devenez automatiquement l’administrateur MDR, c’est pourquoi, dans le cadre du processus d’activation, nous vous recommandons d’utiliser une adresse e-mail d’entreprise plutôt qu’une adresse e-mail personnelle. La création d’un compte d’administrateur MDR avec une adresse e-mail personnelle peut poser des risques de sécurité tels que le vol du compte d’administrateur MDR.

     Dans Kaspersky Security Center, ce rôle correspond aux droits d’accès suivants :

     Domaine fonctionnel	Autoriser	Refuser
     Accès aux incidents
     Paramètres d’auto-acceptation
     Gestion des réponses
     Gestion des locataires
     Programmation du résumé des incidents
     Accès à l’API REST

     Seul l’utilisateur auquel le rôle d’administrateur MDR a été attribué peut attribuer le rôle d’ administrateur MDR à un nouvel utilisateur.

   • Agent de sécurité principal

     Un employé qui a accès aux fonctions Kaspersky Managed Detection and Response accordées par la licence, mais qui n’a pas accès à l’API REST. L’Agent de sécurité principal a le droit d’accepter et de refuser des réponses.

     Dans Kaspersky Security Center, ce rôle correspond aux droits d’accès suivants :

     Domaine fonctionnel	Autoriser	Refuser
     Accès aux incidents
     Paramètres d’auto-acceptation
     Gestion des réponses
     Gestion des locataires
     Programmation du résumé des incidents
     Accès à l’API REST

   • Responsable de la sécurité

     Un employé qui a accès aux fonctions Kaspersky Managed Detection and Response accordées par la licence, mais qui n’a pas accès à l’API REST. Le responsable de la sécurité ne peut ni accepter ni refuser des réponses.

     Dans Kaspersky Security Center, ce rôle correspond aux droits d’accès suivants :

     Domaine fonctionnel	Autoriser	Refuser
     Accès aux incidents
     Paramètres d’auto-acceptation
     Gestion des réponses
     Gestion des locataires
     Programmation du résumé des incidents
     Accès à l’API REST

5. Si nécessaire, sélectionnez la valeur (ou les valeurs) dans la liste déroulante Locataire.

   Les locataires qui existent déjà dans la Console et la valeur Racine sans locataires sont suggérés.

   L’utilisateur peut afficher uniquement les ressources et les incidents liés aux locataires indiqués. Si vous avez des ressources et des incidents qui ne sont attribués à aucun locataire, l’utilisateur peut les afficher si vous sélectionnez la valeur Racine sans locataires.

   Vous pouvez sélectionner la valeur Racine sans locataires en plus de préciser les noms des locataires.

6. Cliquez sur Inviter.

   La carte des invitations disparaît.

   Saisissez l’adresse e-mail. L’adresse e-mail doit d’abord être enregistrée et vérifiée sur le portail Web auth.hq.uis.kaspersky.com.

Un message contenant le lien d’invitation est envoyé de l’adresse noreply@mail.account.uis.kaspersky.com à l’adresse e-mail indiquée.

L’utilisateur invité doit vérifier son adresse e-mail en suivant le lien présent dans le message. L’utilisateur ne peut pas se connecter et utiliser Kaspersky Managed Detection and Response tant que son adresse e-mail n’est pas vérifiée. Les autorisations correspondant au rôle d’utilisateur seront accordées après la première connexion de l’utilisateur.

[Topic 206046]

Modification des rôles des utilisateurs dans la Console MDR en ligne

Vous pouvez modifier le rôle d’un utilisateur existant. Par exemple, un employé auquel le rôle Responsable de la sécurité se voit attribuer des responsabilités supplémentaires qui nécessitent l’attribution du rôle d’agent de sécurité principal.

Pour modifier un rôle pour un utilisateur existant, procédez comme suit :

1. Dans la fenêtre de la Console MDR en ligne, accédez à l’option du menu Paramètres.

   La liste des utilisateurs s’ouvre.

2. Cliquez sur la chaîne contenant l’utilisateur dont vous souhaitez modifier le rôle.

   La carte d’utilisateur s’affiche.

3. Dans la carte d’utilisateur, modifiez le rôle de l’utilisateur existant en sélectionnant un autre rôle dans la liste déroulante des rôles.

Le rôle de l’utilisateur existant est modifié.

[Topic 209809]

Modification des modes de notification des utilisateurs dans la Console MDR en ligne

La modification des méthodes de notification des utilisateurs n’est disponible que pour l’utilisateur auquel le rôle Administrateur MDR est attribué. L’utilisateur disposant de ce rôle peut modifier les paramètres de notification pour tous les utilisateurs ressources, y compris eux-mêmes.

Les utilisateurs présentant l’état actif peuvent recevoir des notifications de Kaspersky Managed Detection and Response par e-mail et/ou via Telegram.

Pour modifier les méthodes de notification des utilisateurs pour un utilisateur existant, procédez comme suit :

1. Dans la fenêtre de la Console MDR en ligne, accédez à l’option du menu Paramètres.

   La liste des utilisateurs s’ouvre.

2. Cliquez sur la chaîne contenant l’utilisateur dont vous souhaitez modifier le rôle.

   La carte d’utilisateur s’affiche.

3. Dans la carte d’utilisateur, indiquez les options suivantes :
   • Notifications par e-mail activées

     L’utilisateur reçoit des notifications à l’adresse e-mail indiquée lorsque cet utilisateur a été invité.

   • Notifications Telegram activées

     L’utilisateur reçoit des notifications du chatbot Telegram.

   Si un utilisateur n’a plus accès au compte Telegram, cochez la case Se désabonner des notifications du compte Telegram. Demandez ensuite à l’utilisateur de se connecter à la Console MDR en ligne, accédez à Paramètres → Paramètres de notification et répétez la procédure d’abonnement pour générer un nouveau lien afin d’activer l’abonnement pour un autre compte Telegram.

4. Dans la partie inférieure de la carte utilisateur, cliquez sur le bouton Enregistrer pour fermer la carte.

Les méthodes de notifications des utilisateurs sont modifiées et enregistrées.

[Topic 213636]

Modification de l’accès des utilisateurs aux clients dans la Console MDR en ligne

Vous pouvez modifier l’accès des utilisateurs aux locataires de votre compte, par exemple, si vous ajoutez un nouveau locataire et souhaitez qu’un utilisateur existant y ait accès.

Pour modifier l’accès aux locataires, procédez comme suit :

1. Dans la fenêtre de la Console MDR en ligne, accédez à l’option du menu Paramètres.

   La liste des utilisateurs s’ouvre.

2. Cliquez sur la chaîne contenant l’utilisateur dont vous souhaitez modifier les droits d’accès.

   La carte d’utilisateur s’affiche.

3. Dans la carte d’utilisateur, modifiez la valeur (ou les valeurs) dans la liste déroulante Locataire.
4. Dans la partie inférieure de la carte utilisateur, cliquez sur le bouton Enregistrer pour fermer la carte.

L’accès des utilisateurs aux locataires est modifié.

Haut de page

[Topic 206009]

Gestion des éléments

Une ressource est un appareil sur lequel est installée une application Kaspersky EPP (par exemple, Kaspersky Endpoint Security for Windows). Cette section fournit des informations sur l’affichage, le tri et le filtrage des ressources.

[Topic 196557]

Affichage et recherche dans les ressources de la Console MDR en ligne

Tout développer | Tout réduire

Vous pouvez afficher et effectuer des recherches dans les ressources disponibles en utilisant la liste des ressources.

Pour afficher les ressources :

1. Dans la fenêtre de la Console MDR en ligne, accédez à l’option du menu Ressources.

   La liste des appareils s’ouvre. Chaque ligne représente un appareil. Vous pouvez cliquer n’importe où sur la ligne pour afficher les informations à propos de l’appareil.

   Les attributs d’appareils suivants peuvent être affichés au-dessus de la liste :

   • Nom de l’appareil

     Le nom d’un ordinateur sur le réseau.

     Vous pouvez cliquer sur le nom d’appareil pour afficher les informations relatives à l’appareil dans Kaspersky Security Center Web Console.

   • Identifiant de l’élément

     Identifiant unique d’un élément. L’identifiant de l’élément est généré automatiquement par Kaspersky Managed Detection and Response avant que l’élément envoie la télémétrie pour la première fois.

   • Applications

     Application EPP installée sur l’appareil et configurée pour être utilisée avec Kaspersky Managed Detection and Response.

   • Interfaces

     Nombre de toutes les interfaces réseau disponibles sur l’appareil.

   • Système opérateur

     Système d’exploitation installé sur l’appareil.

   • Domaine

     Un domaine de réseau auquel appartient l’appareil.

   • Locataire

     Le nom du locataire, si le bien appartient à l’un des locataires. Si la ressource n’appartient pas à un locataire, ce champ est vide.

   • Vu pour la dernière fois

     Nombre de jours écoulés depuis la dernière fois que la ressource a été consultée dans la console.

     Les ressources sont triées en fonction de cet attribut, par ordre décroissant.

     Par défaut, les ressources qui ont été vues au cours des 30 derniers jours sont affichées. Vous pouvez étendre la période en filtrant les ressources.

   • État

     L’état reflète l’état actuel de la ressource. Pour les ressources présentant l’état OK, Avertissement ou Critique, l’application répertorie en plus les problèmes rencontrés (le cas échéant) au cours des 72 dernières heures.

     En ce qui concerne les ressources de Kaspersky Endpoint Security for Windows disponbles dans la configuration de Endpoint Detection and Response Agent (EDR Agent), les états Avertissement et Critique des composants de protection et de contrôle peuvent ne pas s’afficher correctement.

     Les ressources présentent l’un des états suivants :

     • OK (vert)

       La télémétrie est envoyée, la protection est entièrement opérationnelle.

     • Avertissement (jaune)

       Raisons possibles de l’état Avertissement :

       • Pertes de télémétrie mineures. Consultez cet article : Éviter la perte des données de télémétrie des ressources.
       • Au moins un des modules d’application EPP suivants déployés sur la ressource est désactivé ou n’est pas installé :
         • Pare-feu : découvrez comment activer ou configurer ce module dans Kaspersky Endpoint Security for Windows, Kaspersky Endpoint Security for Linux, ou Kaspersky Security for Virtualization Light Agent.
         • Protection contre les menaces réseau : découvrez comment activer ou configurer ce module dans Kaspersky Endpoint Security for Windows, Kaspersky Endpoint Security for Linux, ou Kaspersky Endpoint Security for Mac.
         • Protection contre les menaces par courrier électronique et extension complémentaire pour Microsoft Office Outlook : découvrez comment activer ou configurer ce module dans Kaspersky Endpoint Security for Windows.
         • Protection contre les menaces Internet : découvrez comment activer ou configurer ce module dans Kaspersky Endpoint Security for Windows, Kaspersky Endpoint Security for Linux, Kaspersky Endpoint Security for Mac, ou Kaspersky Security for Virtualization Light Agent.
         • Composant autodéfense du produit : découvrez comment activer ou configurer ce module dans Kaspersky Endpoint Security for Windows ou Kaspersky Security for Virtualization Light Agent.
         • Les bases de données antivirus sont obsolètes depuis plus de 7 jours.

         Ces composants ont une incidence sur l’’exhaustivité des données de télémétrie envoyées Si un composant est désactivé ou manquant, Kaspersky Managed Detection and Response n’envoie pas les événements de télémétrie liés à ce composant. Il se peut que l’application EPP installée ne comprenne pas tous les modules de la liste.

       • Le fichier de configuration de KSN arrive à expiration. L’application affiche la date d’expiration. Pensez à mettre à jour le fichier de configuration de KSN. Si vous continuez à utiliser le fichier de configuration actuel, l’état devient Critique quelques jours avant la date d’expiration.

       L’état Avertissement s’applique aux ressources sur lesquelles sont installés Kaspersky Endpoint Security pour Windows 11 ou version ultérieure, Kaspersky Endpoint Security for Linux 11.2 ou version ultérieure, Kaspersky Endpoint Security for Mac 11.2 ou version ultérieure ou Kaspersky Security for Virtualization Light Agent 5.2 ou version ultérieure. Pour les ressources disposant de Kaspersky Endpoint Security for Windows dans la configuration d’Endpoint Detection and Response Agent (EDR Agent), cet état n’est pas affiché.

     • Critique (rouge)

       Raisons possibles de l’état Critique :

       • Pertes de télémétrie majeures, les données de télémétrie sont insuffisantes pour l’analyse. Consultez cet article : Éviter la perte des données de télémétrie des ressources.
       • Au moins un des modules d’application EPP suivants déployés sur la ressource est désactivé ou n’est pas installé :
         • Surveillance du système ou Détection comportementale : découvrez comment activer ou configurer ce module dans Kaspersky Endpoint Security for Windows, Kaspersky Endpoint Security for Linux, ou Kaspersky Security for Virtualization Light Agent.
         • Protection contre les fichiers malveillants : découvrez comment activer ou configurer ce module dans Kaspersky Endpoint Security for Windows, Kaspersky Endpoint Security for Linux, Kaspersky Endpoint Security for Mac, ou Kaspersky Security for Virtualization Light Agent.

         Si l’un de ces composants est désactivé ou manquant, Kaspersky Managed Detection and Response interrompt l’envoi de télémétrie à partir de la ressource. Il se peut que l’application EPP installée ne comprenne pas tous les modules de la liste.

       • Le fichier de configuration de KSN expire bientôt ou a déjà expiré. L’application affiche la date d’expiration. Pensez à mettre à jour le fichier de configuration de KSN.

       Cet état s’applique aux ressources sur lesquelles sont installés Kaspersky Endpoint Security pour Windows 11 ou version ultérieure, Kaspersky Endpoint Security for Linux 11.2 ou version ultérieure, Kaspersky Endpoint Security for Mac 11.2 ou version ultérieure ou Kaspersky Security for Virtualization 5.2 Light Agent ou version ultérieure. Pour les ressources disposant de Kaspersky Endpoint Security for Windows dans la configuration d’Endpoint Detection and Response Agent (EDR Agent), cet état n’est pas affiché.

     • Hors ligne (noir)

       Pas de télémétrie pendant plus de 7 jours (valeur par défaut). Dans la section Paramètres, vous pouvez modifier le nombre de jours d’absence de la télémétrie après lequel l’état Hors ligne de la ressource s’affiche. La période peut aller de 2 à 29 jours.

       Si l’état Hors ligne apparaît pour vos ressources, procédez comme suit :

       • Assurez-vous que les modules de l’application EPP répertoriés dans les états Avertissement et Critique sont installés et activés sur les ressources.
       • Assurez-vous que Kaspersky Managed Detection and Response est correctement déployé dans votre infrastructure.

       L’état Hors ligne ne s’applique pas aux ressources VDI (machines virtuelles temporaires).

     • Absent (noir)

       Absence de télémétrie pendant plus de 30 jours pour les ressources physiques ou pendant plus de 24 heures pour les ressources VDI (machines virtuelles temporaires).

       Si l’état Absent s’affiche pour vos ressources :

       • Assurez-vous que les modules de l’application EPP présentant les états Avertissement et Critique sont installés et activés sur les ressources.
       • Assurez-vous que Kaspersky Managed Detection and Response est correctement déployé dans votre infrastructure.

       Vous pouvez masquer les ressources indiquant l’état Absent dans la liste des ressources, dans les rapports et dans les données reçues via l’interface API.

2. Si vous souhaitez modifier le nombre de ressources affichées par page de la liste, sélectionnez le nombre en cliquant sur l’option Nombre d’entrées par page au bas de la page.

   Vous pouvez sélectionner 10, 20 ou 50 ressources par page.

Vous pouvez masquer les ressources indiquant l’état Absent dans la liste des ressources en cochant la case correspondante dans les Paramètres.

Si vous souhaitez parcourir la liste des ressources, sélectionnez la page en dessous de la liste. Vous pouvez utiliser les options Précédent et Suivant pour basculer entre les pages adjacentes.

Par défaut, la liste des ressources contient celles qui ont été affichées dans la console au cours des 30 derniers jours.

Pour modifier cette période, procédez comme suit :

1. Cliquez sur l’icône en forme d’entonnoir au-dessus de la liste.
2. Dans le panneau Filtre situé à droite, sélectionnez la période dans le champ Vues pour la dernière fois.
3. Cliquez sur Enregistrer.

Vous pouvez effectuer une recherche parmi les ressources en cliquant sur l’icône en forme de loupe située à côté de l’icône d’entonnoir au-dessus de la liste des ressources.

[Topic 199158]

Filtrage des ressources dans la Console MDR en ligne

Vous pouvez créer et appliquer des filtres à la liste des appareils.

Pour créer un filtre pour la liste des appareils, procédez comme suit :

1. Dans la Console MDR en ligne, accédez à l’option du menu Ressources.

   La liste des appareils s’ouvre.

2. Cliquez sur l’icône d’entonnoir située au-dessus de la liste des appareils.

   Le menu Filtre s’affiche.

   Voici les paramètres disponibles pour le filtrage :

   • Vu pour la dernière fois

     Moment où la ressource a été vue pour la dernière fois dans la console.

   • Nom de l’appareil

     Noms d’appareils disponibles.

     Le nom de l’appareil est le nom d’un ordinateur sur le réseau.

   • Locataire

     Noms de locataires disponibles.

     Vous pouvez sélectionner la valeur Racine sans locataires pour afficher les ressources qui ne sont attribuées à aucun de vos locataires.

     Vous pouvez sélectionner la valeur Racine sans locataires en plus de préciser les noms des locataires.

   • État

     L’état reflète l’état actuel de la ressource. Pour les ressources présentant l’état OK, Avertissement ou Critique, l’application répertorie en plus les problèmes rencontrés (le cas échéant) au cours des 72 dernières heures.

     En ce qui concerne les ressources de Kaspersky Endpoint Security for Windows disponbles dans la configuration de Endpoint Detection and Response Agent (EDR Agent), les états Avertissement et Critique des composants de protection et de contrôle peuvent ne pas s’afficher correctement.

     Les ressources présentent l’un des états suivants :

     • OK (vert)

       La télémétrie est envoyée, la protection est entièrement opérationnelle.

     • Avertissement (jaune)

       Raisons possibles de l’état Avertissement :

       • Pertes de télémétrie mineures. Consultez cet article : Éviter la perte des données de télémétrie des ressources.
       • Au moins un des modules d’application EPP suivants déployés sur la ressource est désactivé ou n’est pas installé :
         • Pare-feu : découvrez comment activer ou configurer ce module dans Kaspersky Endpoint Security for Windows, Kaspersky Endpoint Security for Linux, ou Kaspersky Security for Virtualization Light Agent.
         • Protection contre les menaces réseau : découvrez comment activer ou configurer ce module dans Kaspersky Endpoint Security for Windows, Kaspersky Endpoint Security for Linux, ou Kaspersky Endpoint Security for Mac.
         • Protection contre les menaces par courrier électronique et extension complémentaire pour Microsoft Office Outlook : découvrez comment activer ou configurer ce module dans Kaspersky Endpoint Security for Windows.
         • Protection contre les menaces Internet : découvrez comment activer ou configurer ce module dans Kaspersky Endpoint Security for Windows, Kaspersky Endpoint Security for Linux, Kaspersky Endpoint Security for Mac, ou Kaspersky Security for Virtualization Light Agent.
         • Composant autodéfense du produit : découvrez comment activer ou configurer ce module dans Kaspersky Endpoint Security for Windows ou Kaspersky Security for Virtualization Light Agent.
         • Les bases de données antivirus sont obsolètes depuis plus de 7 jours.

         Ces composants ont une incidence sur l’’exhaustivité des données de télémétrie envoyées Si un composant est désactivé ou manquant, Kaspersky Managed Detection and Response n’envoie pas les événements de télémétrie liés à ce composant. Il se peut que l’application EPP installée ne comprenne pas tous les modules de la liste.

       • Le fichier de configuration de KSN arrive à expiration. L’application affiche la date d’expiration. Pensez à mettre à jour le fichier de configuration de KSN. Si vous continuez à utiliser le fichier de configuration actuel, l’état devient Critique quelques jours avant la date d’expiration.

       L’état Avertissement s’applique aux ressources sur lesquelles sont installés Kaspersky Endpoint Security pour Windows 11 ou version ultérieure, Kaspersky Endpoint Security for Linux 11.2 ou version ultérieure, Kaspersky Endpoint Security for Mac 11.2 ou version ultérieure ou Kaspersky Security for Virtualization Light Agent 5.2 ou version ultérieure. Pour les ressources disposant de Kaspersky Endpoint Security for Windows dans la configuration d’Endpoint Detection and Response Agent (EDR Agent), cet état n’est pas affiché.

     • Critique (rouge)

       Raisons possibles de l’état Critique :

       • Pertes de télémétrie majeures, les données de télémétrie sont insuffisantes pour l’analyse. Consultez cet article : Éviter la perte des données de télémétrie des ressources.
       • Au moins un des modules d’application EPP suivants déployés sur la ressource est désactivé ou n’est pas installé :
         • Surveillance du système ou Détection comportementale : découvrez comment activer ou configurer ce module dans Kaspersky Endpoint Security for Windows, Kaspersky Endpoint Security for Linux, ou Kaspersky Security for Virtualization Light Agent.
         • Protection contre les fichiers malveillants : découvrez comment activer ou configurer ce module dans Kaspersky Endpoint Security for Windows, Kaspersky Endpoint Security for Linux, Kaspersky Endpoint Security for Mac, ou Kaspersky Security for Virtualization Light Agent.

         Si l’un de ces composants est désactivé ou manquant, Kaspersky Managed Detection and Response interrompt l’envoi de télémétrie à partir de la ressource. Il se peut que l’application EPP installée ne comprenne pas tous les modules de la liste.

       • Le fichier de configuration de KSN expire bientôt ou a déjà expiré. L’application affiche la date d’expiration. Pensez à mettre à jour le fichier de configuration de KSN.

       Cet état s’applique aux ressources sur lesquelles sont installés Kaspersky Endpoint Security pour Windows 11 ou version ultérieure, Kaspersky Endpoint Security for Linux 11.2 ou version ultérieure, Kaspersky Endpoint Security for Mac 11.2 ou version ultérieure ou Kaspersky Security for Virtualization 5.2 Light Agent ou version ultérieure. Pour les ressources disposant de Kaspersky Endpoint Security for Windows dans la configuration d’Endpoint Detection and Response Agent (EDR Agent), cet état n’est pas affiché.

     • Hors ligne (noir)

       Pas de télémétrie pendant plus de 7 jours (valeur par défaut). Dans la section Paramètres, vous pouvez modifier le nombre de jours d’absence de la télémétrie après lequel l’état Hors ligne de la ressource s’affiche. La période peut aller de 2 à 29 jours.

       Si l’état Hors ligne apparaît pour vos ressources, procédez comme suit :

       • Assurez-vous que les modules de l’application EPP répertoriés dans les états Avertissement et Critique sont installés et activés sur les ressources.
       • Assurez-vous que Kaspersky Managed Detection and Response est correctement déployé dans votre infrastructure.

       L’état Hors ligne ne s’applique pas aux ressources VDI (machines virtuelles temporaires).

     • Absent (noir)

       Absence de télémétrie pendant plus de 30 jours pour les ressources physiques ou pendant plus de 24 heures pour les ressources VDI (machines virtuelles temporaires).

       Si l’état Absent s’affiche pour vos ressources :

       • Assurez-vous que les modules de l’application EPP présentant les états Avertissement et Critique sont installés et activés sur les ressources.
       • Assurez-vous que Kaspersky Managed Detection and Response est correctement déployé dans votre infrastructure.

       Vous pouvez masquer les ressources indiquant l’état Absent dans la liste des ressources, dans les rapports et dans les données reçues via l’interface API.

   • Isolation

     Indique si l’isolation du réseau est activée ou non. Les valeurs de filtre possibles sont les suivantes :

     • Isolé

       L’isolation du réseau est activée.

     • Non isolé

       L’isolation du réseau est désactivée.

3. Cliquez sur Enregistrer pour appliquer le filtre créé.

Une fois que le filtre est appliqué, seuls les ressources qui répondent aux paramètres sélectionnés du filtre sont affichées dans la liste des ressources.

Vous pouvez masquer les ressources indiquant l’état Absent dans la liste des ressources en cochant la case correspondante dans les Paramètres.

[Topic 198800]

Affichage d’informations détaillées concernant les appareils dans la Console MDR en ligne

Tout développer | Tout réduire

Pour afficher des informations détaillées sur les ressources, procédez comme suit :

1. Dans la fenêtre de la Console MDR en ligne, accédez à l’option du menu Ressources.

   La liste des appareils s’ouvre.

2. Cliquez sur la chaîne présentant l’appareil dont vous souhaitez afficher les détails.

   La liste des appareils s’affiche. La carte des ressources contient deux onglets :

   • L’onglet Propriétés contient des informations générales sur l’appareil
   • L’onglet Incidents contient des informations sur les incidents qui se sont produits avec l’appareil

   L’ onglet Propriétés contient les informations suivantes :

   • Nom de l’appareil

     Le nom d’un ordinateur sur le réseau.

     Vous pouvez cliquer sur le nom d’appareil pour afficher les informations relatives à l’appareil dans Kaspersky Security Center Web Console.

   • État

     L’état reflète l’état actuel de la ressource. Pour les ressources présentant l’état OK, Avertissement ou Critique, l’application répertorie en plus les problèmes rencontrés (le cas échéant) au cours des 72 dernières heures.

     En ce qui concerne les ressources de Kaspersky Endpoint Security for Windows disponbles dans la configuration de Endpoint Detection and Response Agent (EDR Agent), les états Avertissement et Critique des composants de protection et de contrôle peuvent ne pas s’afficher correctement.

     Les ressources présentent l’un des états suivants :

     • OK (vert)

       La télémétrie est envoyée, la protection est entièrement opérationnelle.

     • Avertissement (jaune)

       Raisons possibles de l’état Avertissement :

       • Pertes de télémétrie mineures. Consultez cet article : Éviter la perte des données de télémétrie des ressources.
       • Au moins un des modules d’application EPP suivants déployés sur la ressource est désactivé ou n’est pas installé :
         • Pare-feu : découvrez comment activer ou configurer ce module dans Kaspersky Endpoint Security for Windows, Kaspersky Endpoint Security for Linux, ou Kaspersky Security for Virtualization Light Agent.
         • Protection contre les menaces réseau : découvrez comment activer ou configurer ce module dans Kaspersky Endpoint Security for Windows, Kaspersky Endpoint Security for Linux, ou Kaspersky Endpoint Security for Mac.
         • Protection contre les menaces par courrier électronique et extension complémentaire pour Microsoft Office Outlook : découvrez comment activer ou configurer ce module dans Kaspersky Endpoint Security for Windows.
         • Protection contre les menaces Internet : découvrez comment activer ou configurer ce module dans Kaspersky Endpoint Security for Windows, Kaspersky Endpoint Security for Linux, Kaspersky Endpoint Security for Mac, ou Kaspersky Security for Virtualization Light Agent.
         • Composant autodéfense du produit : découvrez comment activer ou configurer ce module dans Kaspersky Endpoint Security for Windows ou Kaspersky Security for Virtualization Light Agent.
         • Les bases de données antivirus sont obsolètes depuis plus de 7 jours.

         Ces composants ont une incidence sur l’’exhaustivité des données de télémétrie envoyées Si un composant est désactivé ou manquant, Kaspersky Managed Detection and Response n’envoie pas les événements de télémétrie liés à ce composant. Il se peut que l’application EPP installée ne comprenne pas tous les modules de la liste.

       • Le fichier de configuration de KSN arrive à expiration. L’application affiche la date d’expiration. Pensez à mettre à jour le fichier de configuration de KSN. Si vous continuez à utiliser le fichier de configuration actuel, l’état devient Critique quelques jours avant la date d’expiration.

       L’état Avertissement s’applique aux ressources sur lesquelles sont installés Kaspersky Endpoint Security pour Windows 11 ou version ultérieure, Kaspersky Endpoint Security for Linux 11.2 ou version ultérieure, Kaspersky Endpoint Security for Mac 11.2 ou version ultérieure ou Kaspersky Security for Virtualization Light Agent 5.2 ou version ultérieure. Pour les ressources disposant de Kaspersky Endpoint Security for Windows dans la configuration d’Endpoint Detection and Response Agent (EDR Agent), cet état n’est pas affiché.

     • Critique (rouge)

       Raisons possibles de l’état Critique :

       • Pertes de télémétrie majeures, les données de télémétrie sont insuffisantes pour l’analyse. Consultez cet article : Éviter la perte des données de télémétrie des ressources.
       • Au moins un des modules d’application EPP suivants déployés sur la ressource est désactivé ou n’est pas installé :
         • Surveillance du système ou Détection comportementale : découvrez comment activer ou configurer ce module dans Kaspersky Endpoint Security for Windows, Kaspersky Endpoint Security for Linux, ou Kaspersky Security for Virtualization Light Agent.
         • Protection contre les fichiers malveillants : découvrez comment activer ou configurer ce module dans Kaspersky Endpoint Security for Windows, Kaspersky Endpoint Security for Linux, Kaspersky Endpoint Security for Mac, ou Kaspersky Security for Virtualization Light Agent.

         Si l’un de ces composants est désactivé ou manquant, Kaspersky Managed Detection and Response interrompt l’envoi de télémétrie à partir de la ressource. Il se peut que l’application EPP installée ne comprenne pas tous les modules de la liste.

       • Le fichier de configuration de KSN expire bientôt ou a déjà expiré. L’application affiche la date d’expiration. Pensez à mettre à jour le fichier de configuration de KSN.

       Cet état s’applique aux ressources sur lesquelles sont installés Kaspersky Endpoint Security pour Windows 11 ou version ultérieure, Kaspersky Endpoint Security for Linux 11.2 ou version ultérieure, Kaspersky Endpoint Security for Mac 11.2 ou version ultérieure ou Kaspersky Security for Virtualization 5.2 Light Agent ou version ultérieure. Pour les ressources disposant de Kaspersky Endpoint Security for Windows dans la configuration d’Endpoint Detection and Response Agent (EDR Agent), cet état n’est pas affiché.

     • Hors ligne (noir)

       Pas de télémétrie pendant plus de 7 jours (valeur par défaut). Dans la section Paramètres, vous pouvez modifier le nombre de jours d’absence de la télémétrie après lequel l’état Hors ligne de la ressource s’affiche. La période peut aller de 2 à 29 jours.

       Si l’état Hors ligne apparaît pour vos ressources, procédez comme suit :

       • Assurez-vous que les modules de l’application EPP répertoriés dans les états Avertissement et Critique sont installés et activés sur les ressources.
       • Assurez-vous que Kaspersky Managed Detection and Response est correctement déployé dans votre infrastructure.

       L’état Hors ligne ne s’applique pas aux ressources VDI (machines virtuelles temporaires).

     • Absent (noir)

       Absence de télémétrie pendant plus de 30 jours pour les ressources physiques ou pendant plus de 24 heures pour les ressources VDI (machines virtuelles temporaires).

       Si l’état Absent s’affiche pour vos ressources :

       • Assurez-vous que les modules de l’application EPP présentant les états Avertissement et Critique sont installés et activés sur les ressources.
       • Assurez-vous que Kaspersky Managed Detection and Response est correctement déployé dans votre infrastructure.

       Vous pouvez masquer les ressources indiquant l’état Absent dans la liste des ressources, dans les rapports et dans les données reçues via l’interface API.

   • Adresse IP

     L’adresse IP de l’appareil.

   • Adresse physique
   • Locataire

     Le nom du locataire, si le bien appartient à l’un des locataires. Si la ressource n’appartient pas à un locataire, ce champ est vide.

   • Vu pour la première fois
   • Vu pour la dernière fois
   • Système opérateur

     Système d’exploitation installé sur l’appareil.

   • Applications de Kaspersky fonctionnant avec MDR
   • Domaine

   L’onglet Incidents contient la liste des incidents. La colonne Identifiant/Créé de la liste contient un identifiant d’incident et l’heure à laquelle l’incident a été créé. La colonne État de la liste contient des informations sur l’état de l’incident.

Haut de page

[Topic 231609]

États des ressources

L’état reflète l’état actuel de la ressource. Pour les ressources présentant l’état OK, Avertissement ou Critique, l’application répertorie en plus les problèmes rencontrés (le cas échéant) au cours des 72 dernières heures.

En ce qui concerne les ressources de Kaspersky Endpoint Security for Windows disponbles dans la configuration de Endpoint Detection and Response Agent (EDR Agent), les états Avertissement et Critique des composants de protection et de contrôle peuvent ne pas s’afficher correctement.

Les ressources présentent l’un des états suivants :

• OK (vert)

  La télémétrie est envoyée, la protection est entièrement opérationnelle.

• Avertissement (jaune)

  Raisons possibles de l’état Avertissement :

  • Pertes de télémétrie mineures. Consultez cet article : Éviter la perte des données de télémétrie des ressources.
  • Au moins un des modules d’application EPP suivants déployés sur la ressource est désactivé ou n’est pas installé :
    • Pare-feu : découvrez comment activer ou configurer ce module dans Kaspersky Endpoint Security for Windows, Kaspersky Endpoint Security for Linux, ou Kaspersky Security for Virtualization Light Agent.
    • Protection contre les menaces réseau : découvrez comment activer ou configurer ce module dans Kaspersky Endpoint Security for Windows, Kaspersky Endpoint Security for Linux, ou Kaspersky Endpoint Security for Mac.
    • Protection contre les menaces par courrier électronique et extension complémentaire pour Microsoft Office Outlook : découvrez comment activer ou configurer ce module dans Kaspersky Endpoint Security for Windows.
    • Protection contre les menaces Internet : découvrez comment activer ou configurer ce module dans Kaspersky Endpoint Security for Windows, Kaspersky Endpoint Security for Linux, Kaspersky Endpoint Security for Mac, ou Kaspersky Security for Virtualization Light Agent.
    • Composant autodéfense du produit : découvrez comment activer ou configurer ce module dans Kaspersky Endpoint Security for Windows ou Kaspersky Security for Virtualization Light Agent.
    • Les bases de données antivirus sont obsolètes depuis plus de 7 jours.

    Ces composants ont une incidence sur l’’exhaustivité des données de télémétrie envoyées Si un composant est désactivé ou manquant, Kaspersky Managed Detection and Response n’envoie pas les événements de télémétrie liés à ce composant. Il se peut que l’application EPP installée ne comprenne pas tous les modules de la liste.

  • Le fichier de configuration de KSN arrive à expiration. L’application affiche la date d’expiration. Pensez à mettre à jour le fichier de configuration de KSN. Si vous continuez à utiliser le fichier de configuration actuel, l’état devient Critique quelques jours avant la date d’expiration.

  L’état Avertissement s’applique aux ressources sur lesquelles sont installés Kaspersky Endpoint Security pour Windows 11 ou version ultérieure, Kaspersky Endpoint Security for Linux 11.2 ou version ultérieure, Kaspersky Endpoint Security for Mac 11.2 ou version ultérieure ou Kaspersky Security for Virtualization Light Agent 5.2 ou version ultérieure. Pour les ressources disposant de Kaspersky Endpoint Security for Windows dans la configuration d’Endpoint Detection and Response Agent (EDR Agent), cet état n’est pas affiché.

• Critique (rouge)

  Raisons possibles de l’état Critique :

  • Pertes de télémétrie majeures, les données de télémétrie sont insuffisantes pour l’analyse. Consultez cet article : Éviter la perte des données de télémétrie des ressources.
  • Au moins un des modules d’application EPP suivants déployés sur la ressource est désactivé ou n’est pas installé :
    • Surveillance du système ou Détection comportementale : découvrez comment activer ou configurer ce module dans Kaspersky Endpoint Security for Windows, Kaspersky Endpoint Security for Linux, ou Kaspersky Security for Virtualization Light Agent.
    • Protection contre les fichiers malveillants : découvrez comment activer ou configurer ce module dans Kaspersky Endpoint Security for Windows, Kaspersky Endpoint Security for Linux, Kaspersky Endpoint Security for Mac, ou Kaspersky Security for Virtualization Light Agent.

    Si l’un de ces composants est désactivé ou manquant, Kaspersky Managed Detection and Response interrompt l’envoi de télémétrie à partir de la ressource. Il se peut que l’application EPP installée ne comprenne pas tous les modules de la liste.

  • Le fichier de configuration de KSN expire bientôt ou a déjà expiré. L’application affiche la date d’expiration. Pensez à mettre à jour le fichier de configuration de KSN.

  Cet état s’applique aux ressources sur lesquelles sont installés Kaspersky Endpoint Security pour Windows 11 ou version ultérieure, Kaspersky Endpoint Security for Linux 11.2 ou version ultérieure, Kaspersky Endpoint Security for Mac 11.2 ou version ultérieure ou Kaspersky Security for Virtualization 5.2 Light Agent ou version ultérieure. Pour les ressources disposant de Kaspersky Endpoint Security for Windows dans la configuration d’Endpoint Detection and Response Agent (EDR Agent), cet état n’est pas affiché.

• Hors ligne (noir)

  Pas de télémétrie pendant plus de 7 jours (valeur par défaut). Dans la section Paramètres, vous pouvez modifier le nombre de jours d’absence de la télémétrie après lequel l’état Hors ligne de la ressource s’affiche. La période peut aller de 2 à 29 jours.

  Si l’état Hors ligne apparaît pour vos ressources, procédez comme suit :

  • Assurez-vous que les modules de l’application EPP répertoriés dans les états Avertissement et Critique sont installés et activés sur les ressources.
  • Assurez-vous que Kaspersky Managed Detection and Response est correctement déployé dans votre infrastructure.

  L’état Hors ligne ne s’applique pas aux ressources VDI (machines virtuelles temporaires).

• Absent (noir)

  Absence de télémétrie pendant plus de 30 jours pour les ressources physiques ou pendant plus de 24 heures pour les ressources VDI (machines virtuelles temporaires).

  Si l’état Absent s’affiche pour vos ressources :

  • Assurez-vous que les modules de l’application EPP présentant les états Avertissement et Critique sont installés et activés sur les ressources.
  • Assurez-vous que Kaspersky Managed Detection and Response est correctement déployé dans votre infrastructure.

  Vous pouvez masquer les ressources indiquant l’état Absent dans la liste des ressources, dans les rapports et dans les données reçues via l’interface API.

[Topic 213221]

Vérification de l’état des ressources dans Kaspersky Security Center

Tout développer | Tout réduire

Vous pouvez vérifier l’état de vos ressources à l’aide de la fonctionnalité Santé MDR. Elle vous permet de vérifier quelles ressources sont actuellement protégées par Kaspersky Managed Detection and Response et lesquelles n’ont jamais envoyé de

En ce qui concerne les ressources de Kaspersky Endpoint Security for Windows 12.3 et versions ultérieures disponibles dans la configuration de Endpoint Detection and Response Agent (EDR Agent), l’état affiché dans MDR ne correspond pas l’état réel.

États des ressources qui ont envoyé des données télémétriques au moins une fois

Pour vérifier l’état des ressources, procédez comme suit :

1. Dans la section MDR de Kaspersky Security Center, accédez à l’onglet Santé MDR.
2. Sélectionnez l’onglet Toutes les ressources connues.

   La liste de toutes les ressources qui ont envoyé des données télémétriques à Kaspersky Managed Detection and Response au moins une fois s’affiche.

   Les détails suivants sont affichés pour chaque appareil :

   • État

     L’état reflète l’état actuel de la ressource. Pour les ressources présentant l’état OK, Avertissement ou Critique, l’application répertorie en plus les problèmes rencontrés (le cas échéant) au cours des 72 dernières heures.

     En ce qui concerne les ressources de Kaspersky Endpoint Security for Windows disponbles dans la configuration de Endpoint Detection and Response Agent (EDR Agent), les états Avertissement et Critique des composants de protection et de contrôle peuvent ne pas s’afficher correctement.

     Les ressources présentent l’un des états suivants :

     • OK (vert)

       La télémétrie est envoyée, la protection est entièrement opérationnelle.

     • Avertissement (jaune)

       Raisons possibles de l’état Avertissement :

       • Pertes de télémétrie mineures. Consultez cet article : Éviter la perte des données de télémétrie des ressources.
       • Au moins un des modules d’application EPP suivants déployés sur la ressource est désactivé ou n’est pas installé :
         • Pare-feu : découvrez comment activer ou configurer ce module dans Kaspersky Endpoint Security for Windows, Kaspersky Endpoint Security for Linux, ou Kaspersky Security for Virtualization Light Agent.
         • Protection contre les menaces réseau : découvrez comment activer ou configurer ce module dans Kaspersky Endpoint Security for Windows, Kaspersky Endpoint Security for Linux, ou Kaspersky Endpoint Security for Mac.
         • Protection contre les menaces par courrier électronique et extension complémentaire pour Microsoft Office Outlook : découvrez comment activer ou configurer ce module dans Kaspersky Endpoint Security for Windows.
         • Protection contre les menaces Internet : découvrez comment activer ou configurer ce module dans Kaspersky Endpoint Security for Windows, Kaspersky Endpoint Security for Linux, Kaspersky Endpoint Security for Mac, ou Kaspersky Security for Virtualization Light Agent.
         • Composant autodéfense du produit : découvrez comment activer ou configurer ce module dans Kaspersky Endpoint Security for Windows ou Kaspersky Security for Virtualization Light Agent.
         • Les bases de données antivirus sont obsolètes depuis plus de 7 jours.

         Ces composants ont une incidence sur l’’exhaustivité des données de télémétrie envoyées Si un composant est désactivé ou manquant, Kaspersky Managed Detection and Response n’envoie pas les événements de télémétrie liés à ce composant. Il se peut que l’application EPP installée ne comprenne pas tous les modules de la liste.

       • Le fichier de configuration de KSN arrive à expiration. L’application affiche la date d’expiration. Pensez à mettre à jour le fichier de configuration de KSN. Si vous continuez à utiliser le fichier de configuration actuel, l’état devient Critique quelques jours avant la date d’expiration.

       L’état Avertissement s’applique aux ressources sur lesquelles sont installés Kaspersky Endpoint Security pour Windows 11 ou version ultérieure, Kaspersky Endpoint Security for Linux 11.2 ou version ultérieure, Kaspersky Endpoint Security for Mac 11.2 ou version ultérieure ou Kaspersky Security for Virtualization Light Agent 5.2 ou version ultérieure. Pour les ressources disposant de Kaspersky Endpoint Security for Windows dans la configuration d’Endpoint Detection and Response Agent (EDR Agent), cet état n’est pas affiché.

     • Critique (rouge)

       Raisons possibles de l’état Critique :

       • Pertes de télémétrie majeures, les données de télémétrie sont insuffisantes pour l’analyse. Consultez cet article : Éviter la perte des données de télémétrie des ressources.
       • Au moins un des modules d’application EPP suivants déployés sur la ressource est désactivé ou n’est pas installé :
         • Surveillance du système ou Détection comportementale : découvrez comment activer ou configurer ce module dans Kaspersky Endpoint Security for Windows, Kaspersky Endpoint Security for Linux, ou Kaspersky Security for Virtualization Light Agent.
         • Protection contre les fichiers malveillants : découvrez comment activer ou configurer ce module dans Kaspersky Endpoint Security for Windows, Kaspersky Endpoint Security for Linux, Kaspersky Endpoint Security for Mac, ou Kaspersky Security for Virtualization Light Agent.

         Si l’un de ces composants est désactivé ou manquant, Kaspersky Managed Detection and Response interrompt l’envoi de télémétrie à partir de la ressource. Il se peut que l’application EPP installée ne comprenne pas tous les modules de la liste.

       • Le fichier de configuration de KSN expire bientôt ou a déjà expiré. L’application affiche la date d’expiration. Pensez à mettre à jour le fichier de configuration de KSN.

       Cet état s’applique aux ressources sur lesquelles sont installés Kaspersky Endpoint Security pour Windows 11 ou version ultérieure, Kaspersky Endpoint Security for Linux 11.2 ou version ultérieure, Kaspersky Endpoint Security for Mac 11.2 ou version ultérieure ou Kaspersky Security for Virtualization 5.2 Light Agent ou version ultérieure. Pour les ressources disposant de Kaspersky Endpoint Security for Windows dans la configuration d’Endpoint Detection and Response Agent (EDR Agent), cet état n’est pas affiché.

     • Hors ligne (noir)

       Pas de télémétrie pendant plus de 7 jours (valeur par défaut). Dans la section Paramètres, vous pouvez modifier le nombre de jours d’absence de la télémétrie après lequel l’état Hors ligne de la ressource s’affiche. La période peut aller de 2 à 29 jours.

       Si l’état Hors ligne apparaît pour vos ressources, procédez comme suit :

       • Assurez-vous que les modules de l’application EPP répertoriés dans les états Avertissement et Critique sont installés et activés sur les ressources.
       • Assurez-vous que Kaspersky Managed Detection and Response est correctement déployé dans votre infrastructure.

       L’état Hors ligne ne s’applique pas aux ressources VDI (machines virtuelles temporaires).

     • Absent (noir)

       Absence de télémétrie pendant plus de 30 jours pour les ressources physiques ou pendant plus de 24 heures pour les ressources VDI (machines virtuelles temporaires).

       Si l’état Absent s’affiche pour vos ressources :

       • Assurez-vous que les modules de l’application EPP présentant les états Avertissement et Critique sont installés et activés sur les ressources.
       • Assurez-vous que Kaspersky Managed Detection and Response est correctement déployé dans votre infrastructure.

       Vous pouvez masquer les ressources indiquant l’état Absent dans la liste des ressources, dans les rapports et dans les données reçues via l’interface API.

   • Nom de l’appareil

     Le nom d’un ordinateur sur le réseau.

     Vous pouvez cliquer sur le nom d’appareil pour afficher les informations relatives à l’appareil dans Kaspersky Security Center Web Console.

   • Identifiant de l’élément

     Identifiant unique d’un élément. L’identifiant de l’élément est généré automatiquement par Kaspersky Managed Detection and Response avant que l’élément envoie la télémétrie pour la première fois.

   • Domaine

     Un domaine de réseau auquel appartient l’appareil.

   • Version du système d’exploitation

     Système d’exploitation installé sur l’appareil.

   • Applications EPP

     Application EPP installée sur l’appareil et configurée pour être utilisée avec Kaspersky Managed Detection and Response.

   • Interfaces

     Nombre de toutes les interfaces réseau disponibles sur l’appareil.

   • Locataire

     Le nom du locataire, si le bien appartient à l’un des locataires. Si la ressource n’appartient pas à un locataire, ce champ est vide.

   • Vu pour la dernière fois

     Nombre de jours écoulés depuis la dernière fois que la ressource a été consultée dans la console.

     Les ressources sont triées en fonction de cet attribut, par ordre décroissant.

     Par défaut, les ressources qui ont été vues au cours des 30 derniers jours sont affichées. Vous pouvez étendre la période en filtrant les ressources.

3. Servez-vous des options de tri et de filtrage suivantes pour utiliser cette liste :
   • Cliquez sur n’importe quel en-tête de colonne pour trier la liste en fonction des valeurs de colonne sélectionnées.
   • Cliquez sur la colonne État, puis sélectionnez les états requis. La liste sera filtrée pour n’afficher que les éléments présentant les états sélectionnés.
   • Cliquez sur l’icône du filtre (), puis sélectionnez la période pour afficher uniquement les éléments qui ont été vus pour la dernière fois au cours de la période sélectionnée. Vous pouvez également définir une période personnalisée.
   • Cliquez sur l’icône d’exportation () au-dessus de la liste des appareils pour exporter un fichier au format CSV.
   • Utilisez le champ Rechercher pour rechercher des ressources par nom.

États des ressources qui n’ont jamais transmis de données télémétriques

Cette fonctionnalité fonctionne correctement dans Kaspersky Security Center 15.1 Windows et versions ultérieures, Kaspersky Security Center 15.1 Linux et versions ultérieures, et Kaspersky Security Center Cloud Console.

Pour consulter les ressources qui n’ont jamais transmis de données télémétriques, procédez comme suit :

1. Dans la section MDR de Kaspersky Security Center, accédez à l’onglet Santé MDR.
2. Sélectionnez l’onglet Ressources défectueuses.

   La Console MDR en ligne affiche la liste des ressources ajoutées à Kaspersky Security Center, mais qui n’ont jamais transmis de données télémétriques à Kaspersky Managed Detection and Response.

   Les détails suivants sont affichés pour chaque appareil :

   • Nom de l’appareil

     Le nom d’un ordinateur sur le réseau.

     Vous pouvez cliquer sur le nom d’appareil pour afficher les informations relatives à l’appareil dans Kaspersky Security Center Web Console.

   • Applications EPP

     Application EPP installée sur l’appareil et configurée pour être utilisée avec Kaspersky Managed Detection and Response.

   • État MDR

     Le module MDR d’une application EPP installée sur une ressource peut présenter l’un des états suivants :

     • Inconnu : contrairement aux autres états, l’état Inconnu n’est pas envoyé par les applications. Cette option indique que les applications ne disposent d’aucune information sur l’état du module sélectionné. Par exemple, cela peut se produire si le module sélectionné fait partie des applications installées sur l’appareil ou si l’appareil est éteint.
     • Arrêté : le module est désactivé et ne fonctionne pas actuellement.
     • En pause : le composant est suspendu, par exemple, après que l’utilisateur a interrompu la protection dans l’application gérée.
     • Démarrage : le module est en cours d’initialisation.
     • Exécution : le composant est activé et fonctionne correctement.
     • Échec : une erreur s’est produite pendant le fonctionnement du composant.
     • Non installé : l’utilisateur n’a pas sélectionné le module en vue de l’installer lors de la configuration de l’installation personnalisée de l’application.
     • Aucune licence : la licence associée à la fonctionnalité MDR est manquante ou a expiré.

   • Serveur KSC

     Nom du Serveur d’Administration de Kaspersky Security Center qui gère la ressource sélectionnée.

   • État des composants critiques

     La liste des modules d’application EPP indispensables au fonctionnement de la solution MDR. Chaque composant indique une couleur en fonction de son état :

     • La couleur jaune indique que le composant présente l’un des états suivants : En pause, Démarrage, ou Inconnu.
     • La couleur jaune indique que le composant présente l’un des états suivants : Arrêté, Échec, Aucune licence, ou Non installé.

       De plus, la fonction d’autodéfense est répertoriée avec les modules d’application EPP. Si cette fonctionnalité est désactivée, un indicateur rouge s’affiche également.

     • Les modules dont l’état est Exécution ne sont pas répertoriés dans le tableau et ne présente aucun indicateur de couleur.

     Pour consulter la liste complète des modules, y compris ceux qui ne sont pas indispensables au fonctionnement de la solution MDR, cliquez sur le nom de la ressource. Les modules et leurs états seront affichés dans la fenêtre des détails de la ressource.

3. Si nécessaire, vous pouvez filtrer les ressources selon l’état de la solution MDR. Pour ce faire, cliquez sur l’icône de filtre (), puis sélectionnez les états recherchés pour la solution MDR. La Console MDR en ligne affichera uniquement les ressources pour lesquelles le module MDR présente l’un des états sélectionnés. Vous pouvez également sélectionner l’une des options suivantes :
   • Installé et activé : la liste sera filtrée pour afficher les ressources MDR qui présentent l’un des états suivants : Inconnu, Arrêté, En pause, Démarrage, Exécution ou Échec.
   • Licence manquante ou a expiré : la liste sera filtrée pour afficher les ressources présentant l’état Aucune licence.
4. Si nécessaire, cliquez sur le bouton Exporter pour exporter la liste des ressources dans un fichier au format CSV.

[Topic 267483]

Éviter la perte des données de télémétrie des ressources

Les ressources envoient les données de télémétrie à Kaspersky Managed Detection and Response pour détecter et analyser les incidents de sécurité qui se sont déroulés sein de votre infrastructure. Si vous constatez des pertes de données télémétriques dans l’état de la ressource, veillez à suivre ces instructions :

1. Les versions recommandées des applications de Kaspersky sont installées sur vos ressources (cf. la colonne Versions recommandées et leur durée de prise en charge dans la section Versions des applications de Kaspersky compatibles de la partie Configuration matérielle et logicielle requise).
2. Le débit de votre canal réseau est conforme aux caractéristiques indiquées dans la section Canal réseau de la partie Configuration matérielle et logicielle requise.
3. Votre serveur proxy KSN offre une capacité de traitement suffisante.

   En cas de problèmes avec la capacité de débit du serveur proxy KSN, désactivez le proxy KSN dans Stratégie KSC pour forcer la connexion directe des ressources à KSN :

   1. Dans le menu principal de Kaspersky Security Center, accédez à Appareils → Stratégies et profils.
   2. Cliquez sur la stratégie correspondante à Kaspersky Endpoint Security for Windows, Linux ou Mac. La fenêtre des propriétés de la stratégie sélectionnée s’ouvre.
   3. Dans les propriétés de la stratégie, cliquez sur Paramètres de l’application → Protection avancée contre les menaces → Kaspersky Security Network.
   4. Activez l’option Utiliser les serveurs KSN lorsque le proxy KSN n’est pas disponible (si cela est pertinent pour la stratégie concernée).
   5. Cliquez sur OK.
4. Le proxy KSN est activé côté point de distribution dans Kaspersky Security Center Cloud Console ou Kaspersky Security Center Web Console afin d’optimiser la charge du réseau.
5. La charge de travail du Serveur d’administration de Kaspersky Security Center ne dépasse pas les limites définies.
6. La version recommandée de Kaspersky Security Center indiquée dans la Configuration matérielle et logicielle requise est alors utilisée et les derniers correctifs disponibles sont installés.

[Topic 206008]

Administration des incidents

Un incident est une activité évaluée comme critique par la technologie de détection et qui nécessite une réaction immédiate du service en ligne. Cette section fournit des informations sur l’administration des incidents existants et l’ajout de nouveaux incidents.

Avec la publication de la version 2.3.1 du plug-in MDR, les fonctions de gestion des incidents ont été supprimées de la section MDR de Kaspersky Security Center. Vous pouvez également gérer les incidents dans la Console MDR en ligne.

Si vous utilisez le plug-in MDR version 2.3.0 ou une version antérieure, nous vous recommandons de gérer les incidents dans la Console MDR en ligne, puisque les fonctions de gestion des incidents dans Kaspersky Security Center avec le plug-in MDR ne sont plus développées.

Pour gérer les incidents dans la Console MDR en ligne, il faut créer un compte Kaspersky et demandez à votre administrateur MDR (utilisateur de la Console MDR en ligne avec le rôle Administrateur MDR) de vous inviter dans la Console MDR en ligne à l’aide de l’adresse e-mail que vous utilisez pour votre compte Kaspersky.

Vous recevez alors l’e-mail d’invitation contenant le lien vers la Console MDR en ligne.

[Topic 276796]

À propos des incidents

Qu’est-ce qu’un incident

Dans le contexte de la sécurité de l’information, un incident constitue un événement imprévu ou indésirable susceptible de perturber l’activité normale ou la sécurité de l’information.

Un événement est le signe extérieur identifié d’un état particulier d’un système, d’un service ou d’un réseau.

Dans le cadre de la solution Kaspersky MDR, le principal critère à prendre en compte lorsque l’on décide que l’activité observée constitue un incident est la capacité à mettre en œuvre des mesures efficaces visant à contrer, prévenir ou réduire les éventuels dommages découlant de Cette activité. Le tableau ci-dessous comprend des exemples de critères d’incident et de mesures possibles en fonction de la source de l’événement.

Exemples de critères de détection des incidents et de mesures d’intervention

Scénarios de détection d’incidents

Scénario 1 . Détection des incidents par la solution Kaspersky MDR

Dans ce scénario, un incident de sécurité de l’information est détecté grâce à la solution Kaspersky MDR. L’incident est enregistré automatiquement dans le système de suivi des incidents. Le niveau de priorité de l’incident par défaut peut être modifié ultérieurement ; il nécessite toutefois d’indiquer le motif du changement selon le tableau des niveaux de priorité d’incident (voir ci-dessous). Kaspersky MDR traite les événements enregistrés afin d’obtenir rapidement des renseignements sur l’état des infrastructures informatiques du client.

Si les causes fondamentales de l’incident sont déterminées à l’issue de l’analyse, des recommandations d’intervention sont fournies au client. Si les données ne permettent pas d’identifier la cause fondamentale de l’incident, tous les renseignements disponibles et les résultats de l’analyse sont fournis au client afin qu’il puisse mener des recherches de son côté.

Scénario 2 . Détection des incidents par le client (la création d’incidents personnalisés n’est pas disponible avec certains niveaux de licence commerciale)

Dans ce scénario, un incident de sécurité de l’information est détecté par le client, indépendamment de la solution Kaspersky MDR. Si l’incident doit être traité par Kaspersky MDR, le client peut enregistrer l’incident manuellement et fournir toutes les données disponibles concernant l’incident détecté à l’aide des fonctionnalités de Kaspersky MDR. Par défaut, le niveau de priorité de l’incident est défini sur Bas, sauf indication contraire du client lors de l’enregistrement de l’incident.

La suite du traitement de l’incident est similaire au scénario 1.

Niveaux de priorité des incidents

Niveaux de priorité des incidents et leurs descriptions

Le niveau de priorité des incidents par défaut est Faible.

Objectifs de performance de la fourniture de la solution

Temps de réaction de la cible et valeur de la fourniture de Kaspersky MDR en fonction de la priorité de l’incident

L’incident est considéré comme résolu si des recommandations sur les mesures à prendre ont été remises au client.

*Le temps de réaction est le temps qui s’écoule entre la détection de l’incident (heure de sa création) et la publication de celui-ci sur la Console MDR en ligne (heure de la mise à jour).

**Valeur cible — le pourcentage d’incidents pour lequel le temps de réaction atteint l’objectif indiqué dans le tableau.

[Topic 257888]

Visualisation et recherche des incidents dans la Console MDR en ligne

Pour afficher les incidents :

1. Dans la Console MDR en ligne, accédez à l’option du menu Incidents.

   La liste des incidents s’ouvre. Chaque ligne représente un incident. Vous pouvez cliquer n’importe où sur la ligne pour afficher les informations à propos de l’incident.

   Les attributs d’incident suivants sont présents au-dessus de la liste :

   • Identifiant/Créé: l’identifiant numérique de l’incident dans la Console/la date à laquelle l’incident a été créé.
   • État : l’un des états d’incident suivants :
     • Ouvert : l’incident doit être traité par l’équipe de sécurité.
     • Résolu : l’équipe de sécurité a fourni une réponse à l’incident.
     • En attente : l’équipe de sécurité a suspendu temporairement le traitement de l’incident.
     • Clôturé : l’incident a été traité par l’équipe de sécurité et aucun travail supplémentaire n’est nécessaire.
   • Résumé : un bref commentaire à propos de l’incident dans son ensemble.
   • Locataire : le locataire auquel un incident est attribué.
   • Mis à jour : la date et l’heure auxquelles l’incident a été mis à jour.

     Les incidents sont triés en fonction de leur heure de mise à jour par ordre décroissant.

     Vous pouvez ajouter ou supprimer des attributs (colonnes) et les réorganiser en cliquant sur l’icône en forme de roue dentée au-dessus de la liste.

2. Si vous souhaitez modifier le nombre d’incidents affichés par page de la liste, sélectionnez un nombre en cliquant sur l’option Nombre d’entrées par page dans la partie inférieure de la page. Vous pouvez sélectionner 10, 20 ou 50 incidents par page.

Pour parcourir la liste des incidents, sélectionnez une page sous la liste. Vous pouvez utiliser les options Précédent et Suivant pour basculer entre les pages adjacentes.

Pour filtrer les incidents, cliquez sur l’icône en forme d’entonnoir au-dessus de la liste.

Vous pouvez effectuer une recherche parmi les incidents en cliquant sur l’icône en forme de loupe située à côté de l’icône d’entonnoir au-dessus de la liste des incidents.

Haut de page

[Topic 198732]

Filtrage des incidents dans la Console MDR en ligne

Pour afficher des incidents en particulier, vous pouvez créer et appliquer des filtres à la liste des incidents.

Pour créer un filtre pour la liste des incidents, procédez comme suit :

1. Dans la Console MDR en ligne, sélectionnez l’option de menu Incidents.

   La liste des incidents s’ouvre.

2. Cliquez sur l’icône d’entonnoir située au-dessus de la liste des incidents.

   Le bloc Filtre s’affiche.

   Voici les paramètres disponibles pour le filtrage :

   • Créé

     Période de création de l’incident.

   • Mis à jour

     Période de mise à jour de l’incident.

   • Priorité

     Priorité de l’incident. Les priorités disponibles sont Faible, Normale et Élevée.

   • État

     État de l’incident.

   • Résolution

     Résolution de l’incident.

   • Éléments

     Les ressources disponibles.

   • Locataire

     Noms de locataires disponibles.

     Vous pouvez sélectionner la valeur Locataire par défaut pour afficher les incidents qui ne sont attribués à aucun de vos locataires.

     Vous pouvez sélectionner la valeur Locataire par défaut en plus de préciser les noms des locataires.

   • Tactiques

     Tactiques MITRE disponibles pour la réponse aux incidents.

   • États des réponses

     Affiche uniquement les incidents présentant les états sélectionnés des réponses correspondantes.

3. Cliquez sur Enregistrer pour appliquer le filtre créé. Cliquez sur Effacer pour supprimer le filtre créé.

Une fois que le filtre est appliqué, seuls les incidents qui répondent aux paramètres sélectionnés du filtre sont affichés dans la liste des incidents.

[Topic 257896]

Création d’incidents personnalisés dans la Console MDR en ligne

Tout développer | Tout réduire

La création d’incidents personnalisés n’est pas disponible avec certains niveaux de licence commerciale.

Si vous considérez qu’une activité dans votre infrastructure est une menace, mais que Kaspersky Managed Detection and Response n’a pas créé d’incident automatiquement, vous pouvez ajouter un nouvel incident manuellement.

Selon les termes du contrat de niveau de service (SLA), le nombre d’incidents créés manuellement pouvant être traités par l’équipe de sécurité est limité. Des informations sur les limitations sont disponibles dans l’onglet Utilisation MDR de Kaspersky Security Center. Sur cet onglet, vous pouvez suivre l’utilisation des incidents créés manuellement pour la période en cours (par exemple, pour la semaine en cours) :

• Le nombre total d’incidents que vous pouvez créer pour la période en cours. Ces incidents doivent être traités par l’équipe de sécurité, conformément au SLA. Vous pouvez créer plus d’incidents que ceux indiqués dans l’Accord MDR, mais le respect des délais du contrat de niveau de service n’est pas garanti pour le traitement de tels incidents.
• Le nombre d’incidents restant que vous pouvez créer pour la période en cours.

Pour ajouter un nouvel incident, procédez comme suit :

1. Dans la fenêtre de la Console MDR en ligne, accédez à l’option du menu Incidents.

   La liste des incidents s’ouvre.

2. Dans la partie supérieure de la fenêtre, cliquez sur le bouton Ajouter.

   Le bloc Nouvel incident s’affiche.

3. Remplissez les champs suivants :
   • Résumé

     Un bref commentaire à propos de l’incident.

   • Description

     Informations détaillées sous forme libre sur l’incident. Le langage Markdown est pris en charge

   • Éléments

     Le ou les appareils compromis dans l’incident. Pour ce champ, les ressources déjà existantes dans la Console MDR en ligne et Kaspersky Security Center sont proposées.

4. Si nécessaire, remplissez le champ Locataire.

   Pour le champ Locataire, les locataires déjà existants dans la Console et la valeur Racine sans locataires sont suggérés.

5. Cliquez sur le bouton Envoyer.

   Le bloc Nouvel incident disparaît.

Le nouvel incident est ajouté à la liste des incidents dans la Console MDR en ligne. Vous pouvez afficher des informations détaillées sur cet incident et le traitement des réponses.

[Topic 257892]

Affichage d’informations détaillées concernant les incidents dans la Console MDR en ligne

Pour afficher des informations détaillées sur les incidents, procédez comme suit :

1. Dans la fenêtre de la Console MDR en ligne, accédez à l’option du menu Incidents.

   La liste des incidents s’ouvre.

2. Cliquez sur la chaîne présentant l’incident dont vous souhaitez afficher les détails.

   La page d’incident s’ouvre.

   Le titre de la page contient un identifiant d’incident. Sous le titre, quatre onglets sont présents :

   • Résumé

     Contient des informations générales à propos de l’incident.

   • Réponses

     L’onglet Réponses contient des informations à propos des réponses à l’incident.

   • Communication

     Contient des informations à propos de la communication et des fichiers liés à l’incident.

   • Historique

     Contient des informations sur les modifications apportées à l’incident.

   Les informations générales de l’onglet Résumé commencent par un bref résumé de l’incident. Les informations supplémentaires indiquées dans cette section comprennent les éléments suivants :

   • Priorité de l’incident
   • État de l’incident
   • Résolution de l’incident
   • Heure de création et de mise à jour de l’incident
   • Tactiques MITRE
   • Techniques MITRE
   • Technologie de détection

   Sous le résumé de l’incident, les informations suivantes sont indiquées :

   • Éléments attribués
   • IOC fonctionnant sur des appareils
   • IOC fonctionnant sur le réseau

   Les informations générales de l’onglet Résumé se terminent par une description du client et un bouton Fermer l’incident.

3. Si vous savez que l’incident est un doublon ou que vous n’allez pas le résoudre, cliquez sur le bouton Fermer l’incident.
4. Reportez-vous à l’onglet Réponses pour afficher des informations sur les demandes de réponse.

   Les informations de l’onglet Réponses sont présentées sous forme de liste. Les colonnes de la liste sont les suivantes :

   • État
   • Identifiant de l’élément
   • Type
   • Détails
   • Commentaire
   • Changé par
   • Heure de mise à jour
5. Si vous souhaitez ajouter un commentaire à un incident, procédez comme suit :
   1. Dans l’onglet Communication de la page des détails de l’incident, saisissez votre commentaire dans le champ de texte.

      Le langage Markdown et les fichiers joints sont pris en charge. La taille maximale du fichier est de 10 Mo

   2. Cliquez sur le bouton Envoyer.

      Le commentaire est ajouté à l’onglet Communication sur la page des détails de l’incident. Vous pouvez modifier ou supprimer votre commentaire dans les 10 minutes après l’avoir publié.

6. Reportez-vous à l’onglet Historique pour afficher les informations sur les modifications apportées à l’incident.

   Sous le titre, un commutateur est présent permettant d’afficher les changements liés à ce qui suit :

   • Tous les événements
   • Incidents uniquement
   • Réponses uniquement
   • Communication uniquement

   À côté de ce commutateur, les boutons suivants sont présents :

   • Le Bouton Colonnes avec l’icône en forme de roue dentée permettant de sélectionner les colonnes à afficher dans l’onglet Historique.
   • Le bouton Filtrer avec l’icône en forme d’entonnoir pour afficher les modifications liées uniquement aux cases sélectionnées.
   • Le bouton Rechercher avec l’icône en forme de loupe permet d’afficher les modifications liées uniquement aux mots ou aux caractères saisis.

[Topic 215850]

Types de réponse

Tout développer | Tout réduire

Les analystes SOC MDR examinent les incidents et créent des réponses que vous pouvez accepter ou refuser. Il s’agit de la manière par défaut de gérer les incidents dans Kaspersky Managed Detection and Response.

Cependant, vous pouvez créer manuellement des réponses à l’aide des fonctionnalités de Kaspersky Endpoint Detection and Response Optimum.

Cet article décrit uniquement les types de réponses de l’analyste SOC.

Chaque réponse peut avoir un ensemble de paramètres qui sont présents dans l’onglet Réponses d’un incident.

Les types de réponses disponibles sont les suivants :

• Obtenir le fichier

  Copier un fichier de votre infrastructure vers Kaspersky SOC. Si vous acceptez cette réponse, le fichier spécifié sera copié dans Kaspersky SOC.

  Notez que ce type de réponse permet d’obtenir des fichiers contenant des données personnelles et/ou confidentielles.

  Les paramètres possibles sont les suivants :

  • Chemin d’accès au fichier infecté

    Le chemin d’accès absolu du fichier. Par exemple, C:\\file.exe.

  • Taille maximale du fichier

    La taille maximale du fichier, en Mo.

    Si le fichier infecté dépasse la taille de fichier maximale spécifiée, la tentative d’acceptation de la réponse échouera, et la réponse ne sera pas effectuée, mais s’affichera dans l’onglet Historique d’un incident.

• Isoler

  Isoler la ressource spécifiée du réseau.

  Si vous devez désactiver d’urgence l’isolation du réseau, veuillez contacter le Support technique ou formuler une demande sous l’onglet Communication de l’incident.

  Les paramètres possibles sont les suivants :

  • Mot de passe pour désactiver l’isolation

    Le mot de passe pour désactiver l’isolation. Une fois que le support technique aura reçu votre demande de désactivation de l’isolation du réseau, il vous enverra la procédure à suivre avec les détails concernant l’utilisation du mot de passe.

  • Identifiant de la tâche

    L’identifiant de tâche unique utilisé en association avec le Mot de passe pour désactiver l’isolation pour la désactivation manuelle de l’isolation réseau.

  • Détails du mot de passe

    Vous pouvez vérifier la validité du mot de passe en générant une clé dérivée à partir de celui-ci et en comparant la valeur résultante avec la valeur du paramètre Clé dérivée.

    • Version

      La version numérique des règles de création de mot de passe. Une version de 1 signifie que les paramètres suivants de PBKDF2 sont appliqués pour créer une clé dérivée :

      • Algorithme de hachage HMACSHA256
      • 10 000 itérations
      • Longueur de clé de 32 octets
    • Sel

      Le sel au format HEX pour obtenir une clé dérivée via PBKDF2.

    • Clé dérivée

      La clé dérivée au format HEX.

  • Période d’isolation de la ressource

    Période en secondes après laquelle l’isolation sera automatiquement désactivée. Si aucune période personnalisée n’est définie, la période par défaut de sept jours est appliquée. La valeur maximale est de 2 678 400 secondes.

  • Règles d’exclusion

    Tableau de règles avec les ports, les protocoles, les adresses IP et les processus personnalisés auxquels l’isolation n’est pas appliquée.

    • Direction

      Le sens du trafic. Les valeurs possibles sont : entrant, sortant, et entrant et sortant.

    • Protocole

      Le numéro de protocole selon la spécification IANA.

      Les valeurs possibles sont les suivantes :

      • 1 (ICMP)
      • 6 (TCP)
      • 17 (UDP)
      • 58 (IPv6-ICMP)
    • Plage de ports distants

      La plage de ports distants spécifiés dans les champs imbriqués De et À.

    • Adresse IPv4 distante

      L’adresse IPv4 distante ou le masque de sous-réseau.

    • Adresse IPv6 distante

      L’adresse IPv6 distante ou le masque de sous-réseau.

    • Plage de ports locaux

      La plage de ports locaux spécifiés dans les champs imbriqués De et À.

    • Adresse IPv4 locale

      L’adresse IPv4 locale ou le masque de sous-réseau.

    • Adresse IPv6 locale

      L’adresse IPv6 locale ou le masque de sous-réseau.

    • Processus

      Le chemin d’accès à l’image de processus spécifié dans le champ imbriqué Image → Chemin.

• Désactiver l’isolation

  Désactivation de l’isolation du réseau de la ressource spécifiée.

• Supprimer la clé de registre

  Suppression d’une clé de registre ou d’une branche de registre sur la ressource spécifiée.

  Les paramètres possibles sont les suivants :

  • Clé

    Le chemin de la clé absolu, qui commence par HKEY_LOCAL_MACHINE ou HKEY_USERS. Par exemple, HKEY_LOCAL_MACHINE\\SYSTEM\\WebClient.

    Si la clé est un lien symbolique, seule cette clé sera supprimée tandis que la clé cible du lien restera intacte.

  • Valeur

    La valeur clé.

    Si ce paramètre n’est pas spécifié, la clé sera supprimée de manière récursive. Lors de la suppression récursive, chaque sous-clé qui est un lien symbolique sera supprimée tandis que sa clé cible restera intacte.

    Si la valeur de la clé est une chaîne vide, la valeur par défaut sera supprimée.

• Vidage de mémoire

  Création d’un vidage de mémoire et envoi à Kaspersky SOC.

  Les paramètres possibles sont les suivants :

  • Type de vidage

    Un vidage de mémoire peut être de l’un des deux types suivants :

    • Vidage complet de la mémoire

      Un vidage de la mémoire entière d’un appareil.

    • Vidage du processus

      Un vidage d’un processus spécifié.

  • Taille maximale du fichier

    La taille maximale du fichier pour le vidage au format ZIP, en Mo. La valeur par défaut est de 100 Mo.

  • Processus

    L’identifiant du processus et les détails de l’image.

    • Image
      • Chemin d’accès

        Le chemin d’accès absolu du fichier. Par exemple, %systemroot%\\system32\\svchost.exe.

      • SHA-256

        La somme de contrôle SHA-256 au format HEX.

      • MD5

        La somme de contrôle MD5 au format HEX.

    • Identifiant unique

      L’identifiant unique du processus.

  • Limite du nombre de processus

    Le nombre maximal de processus pouvant être contenus dans le fichier de vidage.

• Terminer le processus

  Terminez le processus sur la ressource indiquée avec Kaspersky Endpoint Security for Windows. Le processus à arrêter peut être indiqué par son nom ou son identificateur de processus (PID).

• Exécuter le script

  Terminez le processus sur la ressource indiquée avec Kaspersky Endpoint Security for Windows.

  Pour que cette réponse fonctionne, le composant PowerShell doit être installé sur la ressource. Le script à lancer et sa description sont consultables dans la Console MDR en ligne.

• Mettre le fichier en quarantaine

  Le fichier potentiellement dangereux est placé dans un stockage local spécial. Les fichiers de ce stockage sont conservés chiffrés et ne menacent pas la sécurité de l’appareil. La demande de confirmation précise la ressource, le chemin d’accès au fichier et le type de hachage du fichier (MD5 ou SHA256).

• Restaurer le fichier depuis la quarantaine

  Restaure le fichier précédemment mis en quarantaine à son emplacement d’origine. S’il existe un fichier portant le même nom à l’emplacement d’origine, la restauration n’est pas effectuée.

[Topic 257908]

Traitement des réponses aux incidents dans la Console MDR en ligne

Vous pouvez afficher, accepter et refuser des réponses aux incidents.

Pour afficher les réponses à un incident :

1. Dans la fenêtre de la Console MDR en ligne, accédez à l’option du menu Incidents.

   La liste des incidents s’ouvre.

2. Cliquez sur la chaîne présentant l’incident dont vous souhaitez afficher les détails.

   La page d’incident s’ouvre.

3. Sur la page de l’incident, cliquez sur l’onglet Réponses.

   La liste des réponses s’ouvre.

   Chaque ligne représente une réponse. Les informations suivantes à propos de la réponse s’affichent :

   • État

     L’état de la réponse.

   • Identifiant de l’élément

     L’identifiant de l’appareil pour la réponse à exécuter.

   • Type

     Le type de l’objet qui constitue la réponse.

   • Paramètres

     Le chemin local propre au système d’exploitation pour obtenir le fichier de réponses et la taille de fichier attendue en Mo. La taille maximale du fichier est de 10 Mo

   • Commentaire

     Le dernier commentaire de la réponse.

   • Changé par

     Le dernier utilisateur qui a modifié la description de la réponse.

Pour afficher la description de la réponse, cliquez sur la chaîne contenant la réponse.

Pour accepter ou refuser des réponses à un incident :

1. Dans la fenêtre de la Console, accédez à l’option du menu Incidents.

   La liste des incidents s’ouvre.

2. Cliquez sur la chaîne présentant l’incident dont vous souhaitez afficher les détails.

   La page d’incident s’ouvre.

3. Sur la page de l’incident, cliquez sur l’onglet Réponses.

   La liste des réponses s’ouvre.

4. Sélectionnez une réponse que vous souhaitez approuver ou refuser en cochant la case à gauche de la chaîne qui contient la réponse.

   Vous pouvez également sélectionner plusieurs réponses en cochant leur case à gauche. Pour sélectionner toutes les réponses, cochez la case dans la partie gauche de l’en-tête du tableau des réponses.

5. Pour approuver ou refuser une réponse ou plusieurs réponses, sélectionnez le bouton Accepter ou Refuser situé sous la liste des réponses. La zone de commentaire s’affiche. Saisissez votre commentaire et cliquez sur le bouton Envoyer.

   Dans le volet latéral qui s’affiche, vous pouvez également cliquer sur une réponse sous l’onglet Réponses pour en vérifier les détails et l’accepter ou le refuser. Pour refuser la réponse, vous devez saisir votre commentaire dans le champ situé sur la partie latérale.

L’état de la réponse est modifié.

[Topic 257913]

Acceptation automatique des réponses dans la Console MDR en ligne

Vous pouvez activer l’acceptation automatique des réponses proposées. Dans ce cas, les actions proposées dans les réponses, par exemple la suppression d’un fichier infecté, seront effectuées automatiquement. Lorsque cette fonction est désactivée, les mesures proposées dans les réponses doivent être acceptées ou rejetées manuellement.

Si vous utilisez des clients, vous pouvez activer l’acceptation automatique des réponses pour tous les locataires ou uniquement pour les locataires que vous sélectionnez. Si vous n’utilisez pas de locataires, activez ou désactivez cette fonctionnalité pour votre organisation actuelle.

Pour activer l’acceptation automatique des réponses, procédez comme suit :

1. Dans la fenêtre de la Console MDR en ligne, accédez à l’option du menu Paramètres.
2. Cliquez sur l’onglet Incidents.
3. Sélectionnez l’une des options suivantes :
   • Activé pour tous les locataires

     Lorsque cette option est sélectionnée, l’acceptation automatique des réponses est activée pour les locataires existants comme ceux créées récemment.

   • Activé pour les locataires sélectionnés ci-dessous

     Sélectionnez les locataires pour lesquels vous souhaitez activer l’acceptation automatique des réponses. Pour les locataires récemment créés, l’acceptation automatique des réponses est désactivée par défaut.

4. Cliquez sur le bouton Enregistrer.

L’acceptation automatique des réponses est activée et les actions proposées dans les réponses seront exécutées automatiquement pour tous les locataires ou pour les locataires que vous avez sélectionnés. Vous pouvez désactiver cette option à tout moment.

Privilèges d’accès pour consulter ou modifier les paramètres d’acceptation automatique

Les rôles d’utilisateur de Kaspersky Managed Detection and Response disposent des droits d’accès suivants aux paramètres d’acceptation automatique :

[Topic 210261]

Acceptation automatique des réponses dans Kaspersky Security Center

Vous pouvez activer l’acceptation automatique des réponses proposées. Dans ce cas, les actions d’intervention proposées dans les réponses, par exemple la suppression d’un fichier infecté, seront effectuées automatiquement. Lorsque cette fonction est désactivée, les mesures proposées dans les réponses doivent être acceptées ou rejetées manuellement.

Si vous utilisez des clients, vous pouvez activer l’acceptation automatique des réponses pour tous les locataires ou uniquement pour les locataires que vous sélectionnez. Si vous n’utilisez pas de locataires, activez ou désactivez cette fonctionnalité pour votre organisation actuelle.

Vous pouvez modifier les paramètres d’acceptation automatique si vous disposez rôle Administrateur MDR. Les utilisateurs ayant le rôle Agent de sécurité ne sont pas autorisés à modifier les paramètres. Les utilisateurs ayant le rôle Agent de sécurité principal peuvent effectuer les opérations suivantes :

• Afficher l’option sélectionnée actuellement
• Activer ou désactiver l’acceptation automatique des réponses pour des locataires spécifiques si l’option Autoriser la modification de l’acceptation automatique des réponses pour chaque locataire est sélectionnée

Pour configurer l’acceptation automatique des réponses, procédez comme suit :

1. Dans la section MDR de Kaspersky Security Center, cliquez sur l’onglet Paramètres.
2. Dans le groupe de paramètres Acceptation automatique des réponses, sélectionnez l’option désirée :
   • Désactiver l’acceptation automatique des réponses pour tous les locataires

     Sélectionnez cette option si vous souhaitez accepter ou refuser les actions d’intervention manuellement.

   • Autoriser la modification de l’option d’acceptation automatique des réponses pour tous les locataires

     Sélectionnez cette option si vous souhaitez activer l’acceptation automatique des réponses pour tous les locataires de votre organisation, y compris les locataires existants et les nouveaux.

   • Autoriser la modification de l’option d’acceptation automatique des réponses pour chaque locataire

     Sélectionnez cette option si vous souhaitez configurer individuellement l’acceptation automatique des réponses pour chaque locataire. Ensuite, cochez les cases des locataires pour lesquels vous souhaitez que les actions d’intervention soient exécutées automatiquement. Pour les locataires récemment créés, l’acceptation automatique des réponses est désactivée par défaut.

     Si vous sélectionnez l’option Tous les locataires, l’acceptation automatique des réponses est activée par défaut pour les nouveaux locataires créés.

3. Cliquez sur le bouton Enregistrer.

   Le bouton Enregistrer ne devient actif que si vous avez modifié les paramètres.

[Topic 257996]

Clôture des incidents dans la Console MDR en ligne

Vous pouvez fermer un incident si vous savez qu’il s’agit d’un doublon ou que vous n’allez pas le résoudre. Dans d’autres cas, vous ne devez pas fermer les incidents, car ils doivent être résolus par les analystes SOC MDR. Les analystes SOC MDR résolvent un incident si les mesures qu’ils ont recommandées dans le cadre de cet incident sont appliquées. Un incident résolu se ferme automatiquement au bout de 72 heures.

Pour clore un incident, procédez comme suit :

1. Dans la Console MDR en ligne, accédez à l’option du menu Incidents.

   La liste des incidents s’ouvre.

2. Cliquez sur la chaîne présentant l’incident dont vous souhaitez afficher les détails.

   La page d’incident s’ouvre.

3. Dans l’onglet Résumé de la page, cliquez sur le bouton Fermer l’incident dans la partie inférieure de la fenêtre.

   Il n’y a pas de bouton Fermer l’incident dans les incidents présentant l’état Fermé.

   Le bloc Fermer l’incident s’affiche.

4. Dans le champ Raison pour laquelle vous fermez cet incident, indiquez toute information supplémentaire que vous souhaitez communiquer aux analystes SOC de Kaspersky Managed Detection and Response. Par exemple, vous pouvez expliquer pourquoi vous considérez cet incident comme une situation standard et non menaçante pour votre infrastructure. Vous pouvez laisser ce champ vide.
5. Sous le champ de commentaire, sélectionnez l’option Vrai positif ou Faux positif, selon la raison de la fermeture.

   Sélectionnez l’option Vrai positif si Kaspersky Managed Detection and Response a détecté une menace, mais que vous ne souhaitez pas que les analystes SOC MDR enquêtent et résolvent l’incident.

   Sélectionnez l’option Faux positif si Kaspersky Managed Detection and Response a considéré une activité non menaçante comme étant une menace. Kaspersky Managed Detection and Response utilise ces informations pour améliorer les algorithmes de détection automatisés.

6. Dans la partie inférieure du bloc, cliquez sur le bouton Fermer.

   Le bloc Fermer l’incident disparaît.

L’incident est clos. Désormais, Kaspersky Managed Detection and Response n’effectuera aucune action en rapport avec cet incident.

[Topic 213367]

Utilisation des fonctionnalités de Kaspersky Endpoint Detection and Response Optimum

La solution Kaspersky Endpoint Detection and Response Optimum fournit les fonctionnalités de réponse suivantes (ci-après également appelées réponses EDR) que vous pouvez exécuter et configurer manuellement.

• Isolation du réseau
• Déplacer le fichier en quarantaine
• Envoi de fichiers vers la sandbox dans le cloud
• Supprimer le fichier
• Exécuter une analyse des zones critiques
• Analyse IOC
• Prévention de l’exécution
• Lancer un processus
• Terminer le processus
• Obtenir le fichier

Pour en savoir plus sur ces réponses EDR, consultez l’ aide en ligne de Kaspersky Endpoint Detection and Response Optimum.

Les réponses EDR décrites dans cette section sont disponibles pour les ressources disposant de Kaspersky Endpoint Security for Windows 11.7 ou version ultérieure. Si vous utilisez Kaspersky Endpoint Security for Windows 11.6 ou une version antérieure sur vos ressources, Kaspersky Endpoint Agent doit être installé sur ces ressources pour que les réponses EDR soient traitées.

Pour activer les fonctions de Kaspersky Endpoint Detection and Response Optimum, vous devez ajouter l’un des codes d’activation suivants sur vos ressources via le Kaspersky Security Center :

• Kaspersky Endpoint Detection and Response Optimum
• Module complémentaire pour Kaspersky Endpoint Detection and Response Optimum

Pour gérer les actions des réponses aux alertes EDR, dans Kaspersky Security Center accédez à la section Suivi et rapports → Alertes.

.

Haut de page

[Topic 207078]

Multilocation

Tout développer | Tout réduire

La multilocation est un mécanisme qui vous permet de devenir un fournisseur Kaspersky Managed Detection and Response pour d’autres organisations. Une fois que vous avez un compte MDR, vous pouvez créer des

Dans Kaspersky Security Center Web Console ou Kaspersky Security Center Cloud Console, votre compte doit comporter un rôle disposant des droits d’accès suivants : Accès aux incidents et Administration des locataires pour pouvoir afficher, ajouter, modifier et supprimer des locataires dans la section MDR de Kaspersky Security Center.

Si votre organisation dispose de plusieurs licences, vous ne pouvez gérer les locataires que dans Kaspersky Security Center.

Pour devenir un fournisseur MDR, vous devez avoir accès à l’infrastructure de votre locataire pour pouvoir effectuer des scénarios de déploiement.

Tous les locataires sont indépendants et isolés, ce qui signifie qu’aucune donnée d’un locataire n’est accessible aux autres locataires.

Seuls les utilisateurs dotés du rôle Administrateur MDR peuvent ajouter, modifier et supprimer des clients dans la Console MDR en ligne.

Vous pouvez créer jusqu’à 100 locataires dans votre compte MDR. Chaque locataire dispose des paramètres suivants :

• État

  L’un des états du locataire suivants :

  • Actif

    Un locataire peut utiliser Kaspersky Managed Detection and Response.

  • Inactive

    Un locataire ne peut pas utiliser Kaspersky Managed Detection and Response.

    Vous pouvez définir manuellement l’état inactif sur la carte de locataire. De plus, l’état inactif est défini automatiquement à la fin de la vie du locataire.

• Nom du locataire

  Nom arbitraire et lisible du locataire que vous indiquez lors de la création ou de la modification du locataire. Le nom du locataire peut contenir des lettres latines, des chiffres et des caractères spéciaux. Il ne peut pas comporter plus de 100 caractères.

• Description

  Informations de forme libre que vous saisissez lors de la création ou de la modification du locataire. La description peut contenir des lettres latines, des chiffres et des caractères spéciaux. Elle ne peut pas comporter plus de 2 000 caractères.

• Nombre des éléments

  Le nombre de ressources attribuées au locataire.

• Durée de vie

  Date à laquelle le fichier de configuration du locataire expire.

[Topic 207079]

Gestion des locataires dans Kaspersky Security Center

Cette section fournit des informations sur la gestion des locataires existants et l’ajout de nouveaux locataires dans Kaspersky Security Center.

[Topic 207082]

Affichage des clients dans Kaspersky Security Center

Tout développer | Tout réduire

Vous pouvez afficher les locataires disponibles en utilisant la liste des locataires.

Dans Kaspersky Security Center Web Console ou Kaspersky Security Center Cloud Console, votre compte doit comporter un rôle disposant des droits d’accès suivants : Accès aux incidents et Administration des locataires pour pouvoir afficher, ajouter, modifier et supprimer des locataires dans la section MDR de Kaspersky Security Center.

Pour afficher les locataires :

1. Dans la section MDR de Kaspersky Security Center, cliquez sur l’onglet Locataires.

   La liste des locataires s’affiche. Chaque ligne représente un locataire. Vous pouvez cliquer n’importe où sur la ligne pour afficher les informations à propos du locataire.

2. Les attributs de locataire suivants sont présents au-dessus de la liste :
   • Nom

     Nom arbitraire et lisible du locataire que vous indiquez lors de la création ou de la modification du locataire. Le nom du locataire peut contenir des lettres latines, des chiffres et des caractères spéciaux. Il ne peut pas comporter plus de 100 caractères.

   • État

     L’un des états du locataire suivants :

     • Actif

       Un locataire peut utiliser Kaspersky Managed Detection and Response.

     • Inactive

       Un locataire ne peut pas utiliser Kaspersky Managed Detection and Response.

       Vous pouvez définir manuellement l’état inactif sur la carte de locataire. De plus, l’état inactif est défini automatiquement à la fin de la vie du locataire.

   • Nombre des éléments

     Le nombre de ressources attribuées au locataire.

   • Description

     Informations de forme libre que vous saisissez lors de la création ou de la modification du locataire. La description peut contenir des lettres latines, des chiffres et des caractères spéciaux. Elle ne peut pas comporter plus de 2 000 caractères.

   • Date de création

     Date de création du locataire.

   • Date d’expiration

     Date à laquelle la durée de vie du locataire expire.

     Les locataires sont triés en fonction de leur date d’expiration par ordre décroissant.

Vous pouvez également afficher les locataires dans la Console MDR en ligne.

[Topic 207081]

Affichage des paramètres des locataires dans Kaspersky Security Center

Tout développer | Tout réduire

Vous pouvez afficher les paramètres de chaque locataire de votre compte.

Dans Kaspersky Security Center Web Console ou Kaspersky Security Center Cloud Console, votre compte doit comporter un rôle disposant des droits d’accès suivants : Accès aux incidents et Administration des locataires pour pouvoir afficher, ajouter, modifier et supprimer des locataires dans la section MDR de Kaspersky Security Center.

Pour afficher les paramètres du locataire, procédez comme suit :

1. Dans la section MDR de Kaspersky Security Center, cliquez sur l’onglet Locataires.

   La liste des locataires s’affiche. Chaque ligne représente un locataire. Vous pouvez cliquer n’importe où sur la ligne pour afficher les informations à propos du locataire.

2. Cliquez sur la ligne présentant le locataire dont vous souhaitez afficher les détails.

   Le bloc Paramètres du locataire s’affiche.

   Le paramètre commence par le commutateur Actif indiquant si un locataire est actif ou non. Si nécessaire, vous pouvez basculer le commutateur en position Actif. Ci-dessous, les champs suivants sont présents :

   • Nom

     Nom arbitraire et lisible du locataire que vous indiquez lors de la création ou de la modification du locataire. Le nom du locataire peut contenir des lettres latines, des chiffres et des caractères spéciaux. Il ne peut pas comporter plus de 100 caractères.

   • Identifiant

     Un identifiant unique de locataire généré automatiquement.

   • Description

     Informations de forme libre que vous saisissez lors de la création ou de la modification du locataire. La description peut contenir des lettres latines, des chiffres et des caractères spéciaux. Elle ne peut pas comporter plus de 2 000 caractères.

   • Nombre des éléments

     Le nombre de ressources attribuées au locataire.

   • Fichiers de configuration du locataire

     Cette section affiche des informations à propos du fichier de configuration MDR pour le locataire :

     • Licence : la licence qui correspond au locataire.
     • Date d’expiration : durée de vie du locataire. Vous pouvez préciser la date d’expiration manuellement lors de la création du locataire. La date d’expiration de ce locataire ne peut pas être égale ni postérieure au dernier jour de la durée de votre licence MDR.
     • Action : Vous pouvez cliquer sur le lien Télécharger le fichier de configuration pour télécharger l’archive ZIP qui contient le fichier de configuration du Conteneur MDR.

     Cliquez sur le bouton X pour supprimer un fichier de configuration. Vous ne pouvez supprimer un fichier de configuration que si un autre fichier de configuration est ajouté au locataire.

     Cliquez sur le bouton Ajouter pour ajouter un nouveau fichier de configuration. Précisez la licence et la date d’expiration.

3. Dans la partie inférieure du bloc Paramètres du locataire, cliquez sur le bouton Fermer pour fermer le bloc.

Vous pouvez également afficher les paramètres du locataire dans la Console MDR en ligne.

[Topic 212375]

Modification des paramètres des locataires dans Kaspersky Security Center

Vous pouvez modifier les paramètres de chaque locataire de votre compte.

Dans Kaspersky Security Center Web Console ou Kaspersky Security Center Cloud Console, votre compte doit comporter un rôle disposant des droits d’accès suivants : Accès aux incidents et Administration des locataires pour pouvoir afficher, ajouter, modifier et supprimer des locataires dans la section MDR de Kaspersky Security Center.

Pour modifier les paramètres du locataire, procédez comme suit :

1. Dans la section MDR de Kaspersky Security Center, cliquez sur l’onglet Locataires.

   La liste des locataires s’affiche. Chaque ligne représente un locataire. Vous pouvez cliquer n’importe où sur la ligne pour afficher les informations à propos du locataire.

2. Cliquez sur la ligne présentant le locataire dont vous souhaitez modifier les détails.

   Le bloc Paramètres du locataire s’affiche. Ici, vous pouvez effectuer les actions suivantes :

   • Activer ou désactiver le locataire en activant le bouton à bascule Actif.
   • Modifier la valeur du champ Description.
   • Supprimer un fichier de configuration en cliquant sur le bouton X. Vous ne pouvez supprimer un fichier de configuration que si un autre fichier de configuration est ajouté au locataire.
   • Ajout d’un nouveau fichier de configuration en cliquant sur le bouton Ajouter. Précisez la licence et la date d’expiration.
3. Dans la partie inférieure du bloc Paramètres du locataire, cliquez sur le bouton Enregistrer.
   • Le bloc Paramètres du locataire disparaît. Après que vous avez cliqué sur le bouton Enregistrer, Kaspersky Managed Detection and Response génère le nouveau fichier de configuration MDR conforme aux paramètres du locataire mis à jour. Vous pouvez cliquer sur le lien Télécharger le fichier de configuration pour télécharger l’archive ZIP contenant le fichier de configuration MDR.

Les paramètres du locataire sont modifiés. Les paramètres mis à jour sont appliqués aux ressources des groupes d’administration sélectionnés.

Vous pouvez également modifier les paramètres du locataire dans la Console MDR en ligne.

[Topic 207080]

Ajout de nouveaux locataires dans Kaspersky Security Center

Tout développer | Tout réduire

Si vous souhaitez devenir un fournisseur Kaspersky Managed Detection and Response pour une autre organisation, vous devez ajouter un nouveau locataire à votre compte.

Dans Kaspersky Security Center Web Console ou Kaspersky Security Center Cloud Console, votre compte doit comporter un rôle disposant des droits d’accès suivants : Accès aux incidents et Administration des locataires pour pouvoir afficher, ajouter, modifier et supprimer des locataires dans la section MDR de Kaspersky Security Center.

Pour ajouter un nouveau locataire, procédez comme suit :

1. Dans la section MDR de Kaspersky Security Center, cliquez sur l’onglet Locataires.

   La liste des locataires s’affiche.

2. Dans la partie supérieure de la fenêtre, cliquez sur le bouton Plus ().

   Le bloc Paramètres du locataire apparaît.

3. Si nécessaire, activez le commutateur Actif.

   Le commutateur Actif est activé par défaut.

4. Remplissez les champs suivants :
   • Nom

     Nom arbitraire et lisible du locataire que vous indiquez lors de la création ou de la modification du locataire. Le nom du locataire peut contenir des lettres latines, des chiffres et des caractères spéciaux. Il ne peut pas comporter plus de 100 caractères.

   • Description

     Informations de forme libre que vous saisissez lors de la création ou de la modification du locataire. La description peut contenir des lettres latines, des chiffres et des caractères spéciaux. Elle ne peut pas comporter plus de 2 000 caractères.

   • Fichiers de configuration du locataire

     Cette section affiche des informations à propos du fichier de configuration MDR pour le locataire :

     • Licence : la licence qui correspond au locataire.
     • Date d’expiration : durée de vie du locataire. Vous pouvez préciser la date d’expiration manuellement lors de la création du locataire. La date d’expiration de ce locataire ne peut pas être égale ni postérieure au dernier jour de la durée de votre licence MDR.
     • Action : Vous pouvez cliquer sur le lien Télécharger le fichier de configuration pour télécharger l’archive ZIP qui contient le fichier de configuration du Conteneur MDR.

     Cliquez sur le bouton X pour supprimer un fichier de configuration. Vous ne pouvez supprimer un fichier de configuration que si un autre fichier de configuration est ajouté au locataire.

     Cliquez sur le bouton Ajouter pour ajouter un nouveau fichier de configuration. Précisez la licence et la date d’expiration.

5. Dans la partie inférieure du bloc Paramètres du locataire, cliquez sur le bouton Enregistrer.

   Le bloc Paramètres du locataire disparaît. Après que vous avez cliqué sur le bouton Enregistrer, Kaspersky Managed Detection and Response génère le fichier de configuration MDR pour le nouveau locataire. Vous pouvez cliquer sur le lien Télécharger le fichier de configuration pour télécharger l’archive ZIP contenant le fichier de configuration MDR.

Le nouveau locataire est ajouté.

Vous pouvez également ajouter de nouveaux locataires dans la Console MDR en ligne.

[Topic 219397]

Suppression des locataires dans Kaspersky Security Center

Lorsque vous supprimez un locataire qui contient des ressources, toutes ses ressources sont déconnectées de la solution MDR. Pour continuer à gérer les ressources du locataire, vous pouvez les déplacer vers le locataire racine ou un nouveau locataire avant de supprimer le locataire.

Dans Kaspersky Security Center Web Console ou Kaspersky Security Center Cloud Console, votre compte doit comporter un rôle disposant des droits d’accès suivants : Accès aux incidents et Administration des locataires pour pouvoir afficher, ajouter, modifier et supprimer des locataires dans la section MDR de Kaspersky Security Center.

Pour supprimer un locataire :

1. Dans la section MDR de Kaspersky Security Center, cliquez sur l’onglet Locataires.

   La liste des locataires s’affiche.

2. Dans la liste Locataires, pointez sur le locataire que vous souhaitez supprimer, puis cliquez sur l’icône de la corbeille () sur le côté droit de la ligne.
3. Confirmez la suppression.

Le locataire sélectionné est supprimé.

Vous pouvez également supprimer des locataires dans la Console MDR en ligne.

[Topic 219428]

Déplacement de ressources entre locataires

Lorsque vous supprimez un locataire qui contient des ressources, toutes ses ressources cessent d’envoyer des données télémétriques à la solution MDR. Avant de supprimer un locataire, il faut déplacer toutes ses ressources vers le locataire racine ou vers un nouveau locataire.

Dans Kaspersky Security Center Web Console ou Kaspersky Security Center Cloud Console, votre compte doit comporter un rôle disposant des droits d’accès suivants : Accès aux incidents et Administration des locataires pour pouvoir afficher, ajouter, modifier et supprimer des locataires dans la section MDR de Kaspersky Security Center.

Pour déplacer des ressources vers un nouveau locataire, procédez comme suit :

1. Dans la section MDR de Kaspersky Security Center, créez un nouveau locataire. Plus tard, vous ajouterez des ressources à ce client.

   Lorsque vous créez un nouveau locataire, vous téléchargez un fichier de configuration MDR.

2. Dans Kaspersky Security Center Web Console, créez un nouveau groupe d’administration.
3. Ajouter les ressources que vous souhaitez déplacer vers un nouveau locataire vers le nouveau groupe d’administration.
4. Créer une nouvelle politique pour Kaspersky Endpoint Agent ou une application EPP pour le groupe d’administration créé.
5. Appliquez le fichier de configuration MDR à la politique créée.

   Pour plus de détails sur les différents scénarios de déploiement, consultez Déploiement de Kaspersky Managed Detection and Response.

Une fois la politique appliquée aux ressources du groupe d’administration, les ressources sont déplacées du locataire racine vers le locataire nouvellement créé.

Pour déplacer des ressources vers le locataire racine, procédez comme suit :

1. Téléchargez le fichier de configuration MDR du client racine :
   • Dans la CONseole MDR en ligne (https://mdr.kaspersky.com/guide), accédez à la page Prise en main (Getting Started) et cliquez sur le lien du fichier de configuration MDR (fichier BLOB inclus) ou du fichier de configuration MDR (fichier BAT inclus) .
   • Dans Kaspersky Security Center Web Console ou Kaspersky Security Center Cloud Console, accédez à MDR > Prise en main (Getting Started) et cliquez sur le lien Télécharger.
2. Dans Kaspersky Security Center Web Console, créez un nouveau groupe d’administration.
3. Ajouter les ressources que vous souhaitez déplacer vers un nouveau locataire vers le nouveau groupe d’administration.
4. Créer une nouvelle politique pour Kaspersky Endpoint Agent ou une application EPP pour le groupe d’administration créé.
5. Appliquez le fichier de configuration MDR à la politique créée.

Une fois la politique appliquée aux ressources du groupe d’administration, les ressources sont déplacées du locataire par défaut vers le locataire nouvellement créé.

[Topic 298430]

Gestion des locataires dans la Console MDR en ligne

Cette section fournit des informations à propos de la gestion des locataires dans la Console MDR en ligne.

[Topic 258054]

Affichage des locataires dans la Console MDR en ligne

Tout développer | Tout réduire

Pour afficher les locataires :

1. Dans la fenêtre de la Console MDR en ligne, accédez à l’option du menu Paramètres.
2. Cliquez sur l’onglet Locataires.

   La liste des locataires s’affiche. Chaque ligne représente un locataire. Vous pouvez cliquer n’importe où sur la ligne pour afficher les informations à propos du locataire.

3. Les attributs de locataire suivants sont présents au-dessus de la liste :
   • Nom

     Nom arbitraire et lisible du locataire que vous indiquez lors de la création ou de la modification du locataire. Le nom du locataire peut contenir des lettres latines, des chiffres et des caractères spéciaux. Il ne peut pas comporter plus de 100 caractères.

   • État

     L’un des états du locataire suivants :

     • Actif

       Un locataire peut utiliser Kaspersky Managed Detection and Response.

     • Inactive

       Un locataire ne peut pas utiliser Kaspersky Managed Detection and Response.

       Vous pouvez définir manuellement l’état inactif sur la carte de locataire. De plus, l’état inactif est défini automatiquement à la fin de la vie du locataire.

   • Nombre des éléments

     Le nombre de ressources attribuées au locataire.

   • Description

     Informations de forme libre que vous saisissez lors de la création ou de la modification du locataire. La description peut contenir des lettres latines, des chiffres et des caractères spéciaux. Elle ne peut pas comporter plus de 2 000 caractères.

   • Date de création

     Date de création du locataire.

   • Date d’expiration

     Date à laquelle la durée de vie du locataire expire.

     Les locataires sont triés en fonction de leur date d’expiration par ordre décroissant.

Haut de page

[Topic 258059]

Affichage des paramètres des locataires dans la Console MDR en ligne

Tout développer | Tout réduire

Pour afficher les paramètres du locataire, procédez comme suit :

1. Dans la Console MDR en ligne, accédez à l’option du menu Paramètres.
2. Cliquez sur l’onglet Locataires.

   La liste des locataires s’affiche. Chaque ligne représente un locataire. Vous pouvez cliquer n’importe où sur la ligne pour afficher les informations à propos du locataire.

3. Cliquez sur la ligne présentant le locataire dont vous souhaitez afficher les détails.

   Le bloc Paramètres du locataire s’affiche.

   Le paramètre commence par le commutateur Actif indiquant si un locataire est actif ou non. Si nécessaire, vous pouvez basculer le commutateur en position Actif. Ci-dessous, les champs suivants sont présents :

   • Nom du locataire

     Nom arbitraire et lisible du locataire que vous indiquez lors de la création ou de la modification du locataire. Le nom du locataire peut contenir des lettres latines, des chiffres et des caractères spéciaux. Il ne peut pas comporter plus de 100 caractères.

   • Description

     Informations de forme libre que vous saisissez lors de la création ou de la modification du locataire. La description peut contenir des lettres latines, des chiffres et des caractères spéciaux. Elle ne peut pas comporter plus de 2 000 caractères.

   • Nombre des éléments

     Le nombre de ressources attribuées au locataire.

   • Durée de vie

     Date à laquelle le fichier de configuration du locataire expire.

4. Dans la partie inférieure du bloc Paramètres du locataire, cliquez sur le bouton Annuler pour fermer le bloc.

Haut de page

[Topic 258062]

Modification des paramètres des locataires dans la Console MDR en ligne

La possibilité d’ajouter, de modifier et de supprimer des locataires n’est disponible que pour l’utilisateur auquel le rôle Administrateur MDR est attribué.

Pour modifier les paramètres du locataire, procédez comme suit :

1. Ouvrez la Console MDR.
2. Dans la section Paramètres de la Console MDR, cliquez sur l’onglet Locataires.

   La liste des locataires s’affiche. Chaque ligne représente un locataire. Vous pouvez cliquer n’importe où sur la ligne pour afficher les informations à propos du locataire.

3. Cliquez sur la ligne présentant le locataire dont vous souhaitez modifier les détails.

   Le bloc Paramètres du locataire s’affiche.

4. Si nécessaire, activez le commutateur Actif.
5. Si nécessaire, modifiez les valeurs des champs.
6. Dans la partie inférieure du bloc Paramètres du locataire, cliquez sur le bouton Enregistrer.

   Le bloc Paramètres du locataire disparaît. Après que vous avez cliqué sur le bouton Enregistrer, Kaspersky Managed Detection and Response génère le nouveau fichier de configuration MDR conforme aux paramètres du locataire mis à jour.

7. Dans la liste Locataires, cliquez sur la ligne avec le locataire modifié.

   Le bloc Paramètres du locataire apparaît. Dans la partie inférieure du bloc, deux boutons sont présents permettant de télécharger le fichier de configuration MDR pour le déploiement du locataire :

   • Fichier pour les ressources avec KEA

     Fichier à utiliser lors du déploiement des programmes Kaspersky avec Kaspersky Endpoint Agent.

   • Fichier pour les ressources sans KEA

     Fichier à utiliser lors du déploiement de Kaspersky Endpoint Security sans Kaspersky Endpoint Agent.

8. Cliquez sur le bouton Fichier pour les ressources avec KEA ou Fichier pour les ressources sans KEA pour télécharger le nouveau fichier de configuration MDR.
9. Dans la partie inférieure du bloc Paramètres du locataire, cliquez sur le bouton Annuler pour fermer le bloc.

Les paramètres du locataire sont modifiés. Maintenant, vous devez déployer le nouveau fichier de configuration MDR sur les ressources du locataire pour appliquer les paramètres modifiés.

[Topic 219375]

Ajout de nouveaux locataires dans la Console MDR en ligne

Tout développer | Tout réduire

La possibilité d’ajouter, de modifier et de supprimer des locataires n’est disponible que pour l’utilisateur auquel le rôle Administrateur MDR est attribué.

Pour ajouter un nouveau locataire, procédez comme suit :

1. Dans la fenêtre de la Console MDR en ligne, accédez à l’option du menu Paramètres.
2. Cliquez sur l’onglet Locataires.

   La liste des locataires s’affiche.

3. Dans la partie supérieure de la fenêtre, cliquez sur le bouton Ajouter.

   Le bloc Paramètres du locataire apparaît.

4. Si nécessaire, activez le commutateur Actif.

   Le commutateur Actif est activé par défaut.

5. Remplissez les champs suivants :
   • Nom du locataire

     Nom arbitraire et lisible du locataire que vous indiquez lors de la création ou de la modification du locataire. Le nom du locataire peut contenir des lettres latines, des chiffres et des caractères spéciaux. Il ne peut pas comporter plus de 100 caractères.

   • Description

     Informations de forme libre que vous saisissez lors de la création ou de la modification du locataire. La description peut contenir des lettres latines, des chiffres et des caractères spéciaux. Elle ne peut pas comporter plus de 2 000 caractères.

   • Nombre des éléments

     Le nombre de ressources attribuées au locataire.

   • Durée de vie

     Date à laquelle le fichier de configuration du locataire expire.

6. Dans la partie inférieure du bloc Paramètres du locataire, cliquez sur le bouton Enregistrer.

   Le bloc Paramètres du locataire disparaît. Après que vous avez cliqué sur le bouton Enregistrer, Kaspersky Managed Detection and Response génère le fichier de configuration MDR pour le nouveau locataire.

7. Dans la liste Locataires, cliquez sur la ligne avec le nouveau locataire.

   Le bloc Paramètres du locataire apparaît. Vous pouvez télécharger ici le fichier de configuration MDR pour le déploiement du locataire :

8. Cliquez sur le bouton Fichier pour les appareils avec KEA ou Fichier pour les appareils sans KEA pour télécharger le nouveau fichier de configuration MDR.
9. Dans la partie inférieure du bloc Paramètres du locataire, cliquez sur le bouton Annuler pour fermer le bloc.

Le nouveau locataire est ajouté. Maintenant, vous pouvez déployer le fichier de configuration MDR téléchargé sur les ressources du locataire.

Veuillez noter que les locataires créés dans la Console MDR ne sont pas disponibles dans la section MDR de Kaspersky Security Center. Veuillez utiliser la Console MDR en ligne pour travailler avec ces locataires.

[Topic 258067]

Suppression des locataires dans la Console MDR en ligne

Lorsque vous supprimez un locataire qui contient des ressources, toutes ses ressources sont déconnectées de la solution MDR. Avant de supprimer un locataire, il faut déplacer toutes ses ressources vers le locataire racine ou vers un nouveau locataire.

La possibilité d’ajouter, de modifier et de supprimer des locataires n’est disponible que pour l’utilisateur auquel le rôle Administrateur MDR est attribué.

Pour supprimer un locataire :

1. Dans la Console MDR en ligne, accédez à l’option du menu Paramètres.
2. Cliquez sur l’onglet Locataires.

   La liste des locataires s’affiche.

3. Dans la liste des locataires, passez le curseur de la souris sur le locataire que vous souhaitez supprimer, puis cliquez sur le bouton Supprimer le locataire avec l’icône de la corbeille sur la droite.

   La fenêtre Confirmation de la suppression du locataire s’affiche.

4. Cliquez sur le bouton Supprimer pour supprimer le locataire.

Veuillez noter que les locataires créés dans la Console MDR ne sont pas disponibles dans la section MDR de Kaspersky Security Center. Veuillez utiliser la Console MDR en ligne pour travailler avec ces locataires.

Haut de page

[Topic 204467]

Gestion de la solution via l’API REST

Cette fonctionnalité est disponible dans MDR Expert, MDR Advanced (disponible dans certaines régions uniquement) et MDR Prime (disponible dans certaines régions uniquement). Découvrez la comparaison des solutions de licence dans cette section.

Pour avoir accès à l’API REST dans Kaspersky Security Center, votre compte dans Kaspersky Security Center Web Console doit disposer des droits d’accès suivants : Accès aux incidents et Accès à l’API REST.

Pour certains niveaux de licence commerciale, il sera possible de générer un jeton d’actualisation dans la Console MDR en ligne uniquement pour configurer le plug-in MDR, sans accéder à l’API REST dans Kaspersky Security Center.

Kaspersky Managed Detection and Response vous permet d’obtenir, de créer et de mettre à jour par programmation des entités MDR via l’API REST. L’API REST fonctionne sur le protocole HTTP et se compose d’un ensemble de méthodes de requête/réponse. Autrement dit, vous pouvez gérer Kaspersky Managed Detection and Response via une solution tierce, et non via la Console MDR en ligne.

Pour commencer à utiliser l’API REST, vous devez créer un jeton d’actualisation et un jeton d’accès.

OUVRIR LA RÉFÉRENCE DE L’API REST

[Topic 204470]

Scénario : effectuer une autorisation basée sur des jetons

Ce scénario explique comment effectuer une autorisation basée sur des jetons afin d’utiliser l’API REST.

Conditions préalables

Assurez-vous que vous disposez d’un compte MDR avec l’un des rôles suivants :

• Le rôle Administrateur MDR
• Un rôle personnalisé disposant des droits d’accès suivants (applicable uniquement pour Kaspersky Security Center) :
  • Accès aux incidents
  • Accès à l’API REST

Étapes

L’autorisation basée sur des jetons se déroule par étapes :

1. Création d’un jeton d’actualisation dans la Console MDR en ligne

   Vous avez besoin d’un jeton d’actualisation pour créer un jeton d’accès. Un jeton d’actualisation est valide pendant 24 heures. Vous ne pouvez utiliser un jeton d’actualisation qu’une seule fois.

2. Création d’un jeton d’accès via l’API REST

   Vous avez besoin d’un jeton d’accès pour utiliser l’API REST. Un jeton d’accès est valable 1 heure. Vous pouvez utiliser un jeton d’accès plusieurs fois au cours de sa durée de vie.

   Lorsque vous créez un jeton d’accès, l’API REST génère un nouveau jeton d’actualisation et l’inclut dans la réponse. Lorsque le jeton d’accès expire, vous pouvez créer un nouveau jeton d’accès à l’aide du jeton d’actualisation généré par l’API la plus récente.

   Un jeton d’actualisation généré par l’API est valide pendant 7 jours.

Résultats

À la fin de ce scénario, vous pouvez commencer à travailler avec l’API REST en envoyant des demandes avec le jeton d’accès.

[Topic 204468]