Intégration des tâches avec Kaspersky Endpoint Detection and Response (KATA) (KATAEDR, ID : 24)

L'application Kaspersky Endpoint Security est compatible avec la solution Kaspersky Anti Targeted Attack Platform conçu pour protéger l'infrastructure informatique d'une entreprise et assurer la détection rapide des menaces telles que les attaques ZeroDay, les attaques ciblées et les attaques ciblées complexes des menaces persistantes avancées (ci-après également appelées "APT"). Pour en savoir plus, consultez l'aide de Kaspersky Anti Targeted Attack Platform.

Kaspersky Endpoint Detection and Response (KATA) (ci-après également EDR (KATA)) est un module de la solution Kaspersky Anti Targeted Attack Platform.

Lors de l'interaction avec EDR (KATA), Kaspersky Endpoint Security peut exécuter les fonctions suivantes :

• Envoyer des données sur les événements survenus sur les appareils (télémétrie) au serveur Kaspersky Anti Targeted Attack Platform avec le composant Central Node (ci-après dénommé serveur KATA). Kaspersky Endpoint Security envoie au serveur KATA des données de surveillance sur les processus, les connexions réseau ouvertes et les fichiers modifiés, ainsi que des données sur les menaces détectées par l'application et des données sur les résultats du traitement de ces menaces.
• Effectuez les actions de réponse suivantes visant à garantir les fonctions de sécurité sur la base des commandes reçues de Kaspersky Anti Targeted Attack Platform :
  • La tâche Obtenir un fichier (Get file task) vous permet de recevoir des fichiers des appareils utilisateur. Par exemple, vous pouvez configurer pour recevoir un fichier journal des événements généré par un logiciel tiers.
  • La tâche Supprimer le fichier (Delete file task) vous permet de supprimer un fichier de l'appareil.
  • La tâche Exécuter le processus (Run process) vous permet d'exécuter des fichiers à distance sur l'appareil. Par exemple, vous pouvez exécuter à distance un utilitaire qui crée un fichier de configuration de l'appareil, puis récupérer le fichier créé à l'aide de la tâche Obtenir un fichier.
  • La tâche Terminer le processus (Terminate process) vous permet de mettre fin à distance aux processus sur l'appareil. Par exemple, vous pouvez arrêter à distance l'utilitaire de test de vitesse Internet lancé à l'aide de la tâche de démarrage du processus.
  • La tâche Analyse IOC (IOC Scan task) vous permet de détecter les indicateurs de compromis sur un appareil et de prendre des mesures pour répondre aux menaces. Indicateur de compromis (en anglais, Indicator of Compromise, IOC) est un ensemble de données sur un objet ou une activité qui indique un accès non autorisé à un appareil (compromission de données). Pour rechercher des IOC, des fichiers IOC sont utilisés. Lors de l'exécution de la tâche Analyse IOC, la vérification des termes IOC (propriétés de l'objet IOC, par exemple, somme de hachage du fichier) est effectuée uniquement dans l'espace de noms principal du système d'exploitation. La tâche Analyse IOC ne calcule pas les sommes de hachage pour les fichiers de plus de 200 Mo.

    Un fichier contenant un ensemble d'indicateurs IOC qui, s'ils correspondent, seront considérés comme une détection par l'application. La probabilité de détection peut augmenter si l'analyse aboutit à des correspondances exactes des données d'objet avec plusieurs fichiers IOC.

  • L'isolation des appareils réseau vous permet d'isoler les appareils du réseau. Vous pouvez désactiver l'isolation réseau d'un appareil si vous perdez la connexion avec le serveur KATA après avoir activé l'isolation réseau.

Limites de l'isolation du réseau

Lorsque vous utilisez l'isolation réseau, il est fortement recommandé de vous familiariser avec les limitations décrites ci-dessous.

Pour que l'isolation du réseau fonctionne, l'application Kaspersky Endpoint Security doit être en cours d'exécution. Lors d'une panne de l'application Kaspersky Endpoint Security (lorsque l'application n'est pas en cours d'exécution), le blocage du trafic lorsque l'isolation du réseau est activée par la solution Kaspersky Anti Targeted Attack Platform n'est pas garanti.

Le trafic de transit avec l'isolation du réseau activée est pris en charge avec des restrictions et peut être filtré.

DHCP et DNS ne sont pas automatiquement ajoutés aux exceptions d'isolement du réseau. Par conséquent, si l'adresse réseau d'une ressource a été modifiée pendant l'isolement du réseau, Kaspersky Endpoint Security ne pourra pas y accéder. Il en va de même pour les nœuds du serveur tolérant aux pannes KATA. Il n'est pas recommandé de modifier leurs adresses afin que Kaspersky Endpoint Security ne perde pas le contact avec eux.

Le serveur proxy n'est pas non plus automatiquement ajouté aux exceptions d'isolement du réseau, vous devez donc l'ajouter manuellement aux exceptions afin que l'application Kaspersky Endpoint Security ne perde pas la connexion avec le serveur KATA.

L'ajout d'un processus à l'isolation réseau et l'exclusion d'un processus de l'isolation réseau par son nom ne sont pas pris en charge.

Lors de l'utilisation de l'isolation du réseau, il est recommandé d'utiliser le serveur proxy KSN pour interagir avec Kaspersky Security Network, d'utiliser Kaspersky Security Center comme serveur proxy pour activer l'application et de spécifier Kaspersky Security Center comme source des mises à jour des bases de données. S'il est impossible d'utiliser Kaspersky Security Center comme serveur proxy, configurez les paramètres du serveur proxy requis et ajoutez-le aux exceptions.

Conditions d'intégration

La tâche Intégration à Kaspersky Endpoint Detection and Response (KATA) permet de configurer et d'activer l'intégration de l'application Kaspersky Endpoint Security avec le composant EDR (KATA). Vous pouvez également gérer l'intégration de Kaspersky Endpoint Security avec EDR (KATA) à l'aide de la Console d'administration de Kaspersky Security Center et de Kaspersky Security Web Console.

L'administration des paramètres d'intégration avec EDR (KATA) via Kaspersky Security Center Cloud Console n'est pas prise en charge.

La tâche Détection comportementale doit être exécutée afin d'intégrer le système EDR (KATA).

L'intégration de Kaspersky Endpoint Security avec EDR (KATA) n'est possible que si la tâche Détection comportementale est en cours d'exécution. Sinon, les données télémétriques nécessaires ne sont pas transmises.

Pour que les exceptions de télémétrie fonctionnent, l'intégration de l'application Kaspersky Endpoint Security avec la solution Kaspersky Managed Detection and Response doit être désactivée. Si l'intégration de l'application Kaspersky Endpoint Security avec la solution Kaspersky Managed Detection and Response est activée, les exceptions de processus ne s'appliquent pas.

En outre, EDR (KATA) peut utiliser des données provenant des tâches suivantes :

• Protection contre les menaces sur les fichiers.
• Protection contre les menaces réseaux.
• Protection contre les menaces Internet.

Sécurité de la connexion

Lors de l'intégration à EDR (KATA), les périphériques dotés de Kaspersky Endpoint Security établissent des connexions sécurisées avec le serveur KATA via HTTPS. Les certificats suivants émis par le serveur KATA sont utilisés pour sécuriser la connexion :

• Certificat du serveur KATA. La connexion est chiffrée à l'aide du certificat TLS du serveur. Vous pouvez augmenter le niveau de sécurité de la connexion en activant la vérification du certificat du serveur du côté de Kaspersky Endpoint Security. Pour ce faire, vous devez ajouter le certificat du serveur d'intégration avant d'exécuter la tâche Intégration à Kaspersky Endpoint Detection and Response (KATA).
• Certificat client. Ce certificat est utilisé pour sécuriser davantage la connexion avec une authentification bidirectionnelle (analyse des périphériques avec Kaspersky Endpoint Security par le serveur KATA). Le même certificat client peut être utilisé par plusieurs périphériques. Par défaut, le serveur KATA n'effectue pas la validation du certificat client, mais l'authentification bidirectionnelle peut être activée du côté de Kaspersky Anti Targeted Attack Platform. Dans ce cas, vous devez activer l'authentification bidirectionnelle dans les paramètres de la tâche Intégration à Kaspersky Endpoint Detection and Response (KATA) et ajouter un certificat client (cryptocontainer avec le certificat et la clé privée).

Les certificats destinés à protéger la connexion au serveur KATA sont fournis par l'administrateur de Kaspersky Anti Targeted Attack Platform.

Un serveur proxy est utilisé pour se connecter au serveur KATA si l'utilisation d'un serveur proxy est configurée dans les paramètres généraux de l'application Kaspersky Endpoint Security.

Enregistrement d'événements

Lorsque Kaspersky Endpoint Security est intégré à Kaspersky Anti Targeted Attack Platform, un grand nombre d'événements peuvent être enregistrés dans le journal systemd. Si vous souhaitez désactiver la journalisation des audits dans systemd, vous devez désactiver le socket systemd-journald-audit et redémarrer le système d'exploitation.

Pour désactiver le socket systemd-journald-audit, exécutez les commandes suivantes :

systemctl stop systemd-journald-audit.socket

systemctl disable systemd-journald-audit.socket

systemctl mask systemd-journald-audit.socket