Intégration à Kaspersky Endpoint Detection and Response (KATA)
26 décembre 2023
ID 246827
Kaspersky Endpoint Detection and Response (KATA) (également connu sous le nom de EDR (KATA)) est un composant de Kaspersky Anti Targeted Attack Platform conçu pour protéger l'infrastructure informatique d'une entreprise et assurer la détection rapide des menaces telles que les attaques ZeroDay, les attaques ciblées et les attaques ciblées complexes des menaces persistantes avancées (ci-après également appelées "APT"). Pour en savoir plus, consultez l'aide de Kaspersky Anti Targeted Attack Platform.
Lors de l'interaction avec EDR (KATA), Kaspersky Endpoint Security peut envoyer au serveur de Kaspersky Anti Targeted Attack Platform doté du composant Central Node (ci-après le serveur KATA) des données sur les événements survenant sur les périphériques (télémétrie) et exécuter des tâches reçues de Kaspersky Anti Targeted Attack Platform pour fournir des fonctions de sécurité.
Cette fonctionnalité n'est pas prise en charge dans le conteneur KESL.
La gestion des paramètres d'intégration à EDR (KATA) via Kaspersky Security Center Cloud Console n'est pas prise en charge.
Le composant Détection comportementale doit être activé afin d'intégrer le système EDR (KATA).
L'intégration de Kaspersky Endpoint Security avec EDR (KATA) n'est possible que si ce composant est activé. Sinon, les données télémétriques nécessaires ne sont pas transmises.
En outre, EDR (KATA) peut utiliser des données provenant des composants suivants :
- Protection contre les menaces sur les fichiers.
- Protection contre les menaces réseaux.
- Protection contre les menaces Internet.
Lors de l'intégration à EDR (KATA), les périphériques dotés de Kaspersky Endpoint Security établissent des connexions sécurisées avec le serveur KATA via HTTPS. Les certificats suivants émis par le serveur KATA sont utilisés pour sécuriser la connexion :
- Certificat du serveur KATA. La connexion est chiffrée à l'aide du certificat TLS du serveur. Vous pouvez augmenter le niveau de sécurité de la connexion en activant la vérification du certificat du serveur du côté de Kaspersky Endpoint Security. Pour ce faire, vous devez ajouter un certificat de serveur lors de la configuration des paramètres d'intégration.
- Certificat client. Ce certificat est utilisé pour sécuriser davantage la connexion avec une authentification bidirectionnelle (analyse des périphériques avec Kaspersky Endpoint Security par le serveur KATA). Le même certificat client peut être utilisé par plusieurs périphériques. Par défaut, le serveur KATA n'effectue pas d'analyse des certificats clients, mais l'analyse peut être activée du côté du serveur KATA. Dans ce cas, vous devez activer l'authentification bidirectionnelle et ajouter un certificat client dans les paramètres d'intégration (conteneur de chiffrement avec certificat et clé privée).
Les certificats destinés à protéger la connexion au serveur KATA sont fournis par l'administrateur de Kaspersky Anti Targeted Attack Platform.
Un serveur proxy est utilisé pour se connecter au serveur KATA si l'utilisation d'un serveur proxy est configurée dans les paramètres généraux de l'application Kaspersky Endpoint Security.
Paramètres d'intégration à Kaspersky Endpoint Detection and Response (KATA)
Paramètre | Description |
|---|---|
Intégration de Endpoint Detection and Response (KATA) activée / désactivée | Active ou désactive l'intégration de l'application Kaspersky Endpoint Security avec EDR (KATA). L'intégration est désactivée par défaut. |
Paramètres de connexion aux serveurs | Cliquez sur le lien Configurer dans le groupe pour ouvrir une fenêtre dans laquelle vous pouvez configurer les paramètres généraux de connexion aux serveurs KATA, ajouter un certificat de serveur et configurer l'authentification bidirectionnelle lors de la connexion aux serveurs KATA. |
Serveurs KATA | Le tableau contient une liste des serveurs KATA auxquels la connexion est configurée. Le bouton Ajouter ouvre une fenêtre dans laquelle vous pouvez établir la connexion au serveur KATA. Les boutons situés au-dessus du tableau permettent de modifier et de supprimer les paramètres de connexion précédemment configurés. |
Délai d'attente maximale pour l'envoi des événements (s) | Délai maximum en secondes pour l'envoi des événements au serveur KATA. Valeur par défaut : |
Activer la régulation du nombre d'événements | Active ou désactive la limitation du nombre d'événements envoyés au serveur KATA. |
Nombre maximum d'événements par heure | Nombre maximum d'événements par heure. Valeur par défaut : |
Pourcentage de dépassement de la limite d'événements | Pourcentage de dépassement de la limite d'événements. La transmission d'événements est limitée si le rapport entre les événements du même type (par exemple, les événements de changement de registre) et le nombre total d'événements dépasse la limite définie en pourcentage. Valeur par défaut : |