Intégration avec la solution Kaspersky Managed Detection and Response
15 avril 2024
ID 247439
L'intégration de l'application Kaspersky Endpoint Security avec la solution Kaspersky Managed Detection and Response (MDR) permet de s'assurer que les menaces visant votre organisation sont détectées, identifiées et éliminées en permanence.
En interagissant avec Kaspersky Managed Detection and Response, l'application Kaspersky Endpoint Security peut exécuter les fonctions suivantes :
- Envoi de données de télémétrie à Kaspersky Managed Detection and Response pour la détection des menaces.
- Exécution de commandes de Kaspersky Managed Detection and Response visant à assurer des fonctions de sécurité.
Pour configurer l'intégration de l'application Kaspersky Endpoint Security avec la solution Kaspersky Managed Detection and Response, il convient de procéder comme suit :
- Assurez-vous que les tâches Protection contre les menaces sur les fichiers et Détection comportementale sont en cours d'exécution, sinon l'appareil présentera un état rouge dans Kaspersky Managed Detection and Response. Il est également recommandé d'exécuter les tâches Protection contre les menaces Internet et Protection contre les menaces réseau, faute de quoi l'appareil présentera un état jaune dans Kaspersky Managed Detection and Response. Pour en savoir plus sur les états, consultez l'aide en ligne de Kaspersky Managed Detection and Response.
- Activer l'utilisation de Kaspersky Security Network en mode avancé.
Vous pouvez activer l'utilisation de Kaspersky Security Network à l'aide de la ligne de commande, dans la Console d'administration ou dans Kaspersky Security Center Web Console.
- Configurez Kaspersky Private Security Network pour qu'il envoie les données de télémétrie en utilisant le fichier de configuration Kaspersky Security Network, qui se trouve dans l'archive ZIP du fichier de configuration MDR.
Vous pouvez configurer Kaspersky Private Security Network uniquement dans la Console d'administration ou dans Kaspersky Security Center Web Console.
- Activez l'intégration avec Kaspersky Managed Detection and Response et chargez le fichier de configuration BLOB, qui se trouve dans l'archive ZIP du fichier de configuration MDR.
il est recommander de configurer l'intégration de l'application Kaspersky Endpoint Security avec la solution Kaspersky Managed Detection and Response dans la Console d'administration ou dans Kaspersky Security Center Web Console.
Vous pouvez également configurer l'intégration de l'application Kaspersky Endpoint Security avec la solution Kaspersky Managed Detection and Response et charger le fichier de configuration BLOB à partir de l'invite de commandes.
Pour activer l'intégration avec Kaspersky Managed Detection and Response, exécutez la commande suivante :
kesl-control --set-app-settings UseMDR=Yes
Pour désactiver l'intégration avec Kaspersky Managed Detection and Response, exécutez la commande suivante :
kesl-control --set-app-settings UseMDR=No
Pour charger le fichier de configuration BLOB, exécutez la commande suivante :
kesl-control --load-mdr-blob <
chemin d'accès au fichier de configuration
MDR BLOB>
Pour supprimer le fichier de configuration BLOB, exécutez la commande suivante :
kesl-control --remove-mdr-blob
Après avoir activé l'intégration de l'application Kaspersky Endpoint Security avec la solution Kaspersky Managed Detection and Response, la tâche Mdr_Autostart_Scan est créée dans l'application avec un mode de lancement une fois par jour. Si nécessaire, vous pouvez configurer l'heure de début de cette tâche dans la ligne de commande à l'aide de la commande kesl-control --set-schedule <ID
de la tâche
|
nom de la tâche
> --file <
chemin complet vers le fichier
>
, en spécifiant le nom de la tâche Mdr_Autostart_Scan ou l'ID que l'application a attribué à cette tâche. La configuration d'autres paramètres de tâche et de sa planification n'est pas prise en charge.
Lorsque Kaspersky Endpoint Security est intégré à Kaspersky Managed Detection and Response, un grand nombre d'événements peuvent être enregistrés dans le journal systemd. Si vous souhaitez désactiver la journalisation des audits dans systemd, vous devez désactiver le socket systemd-journald-audit et redémarrer le système d'exploitation.
Pour désactiver le socket systemd-journald-audit, exécutez les commandes suivantes :
systemctl stop systemd-journald-audit.socket
systemctl disable systemd-journald-audit.socket
systemctl mask systemd-journald-audit.socket