À propos de la réponse aux commandes des solutions Detection and Response

L'application Kaspersky Endpoint Security peut effectuer des actions de réponse visant à fournir des fonctions de sécurité :

• Lors de l'interaction avec le module de la solution Kaspersky Anti Targeted Attack Platform – Kaspersky Endpoint Detection and Response (KATA).
• Lors de l'interaction avec la solution Kaspersky Endpoint Detection and Response Optimum.

Les paramètres d'action de réponse de Kaspersky Anti Targeted Attack Platform et de Kaspersky Endpoint Detection and Response Optimum sont différents.

L'application Kaspersky Endpoint Security peut effectuer les actions de réponse suivantes :

• Recevoir les fichiers depuis des appareils.

  L'action est effectuée à l'aide de la tâche Obtenir un fichier (Get file task). Par exemple, vous pouvez configurer pour recevoir un fichier journal des événements généré par un logiciel tiers.

• Supprimer les fichiers des appareils.

  L'action est effectuée à l'aide de la tâche Supprimer le fichier (Delete file task).

• Lancer les processus à distance sur les appareils.

  L'action est effectuée à l'aide de la tâche Exécuter le processus (Run process).

  Par exemple, vous pouvez exécuter à distance un utilitaire qui crée un fichier de configuration de l'appareil, puis récupérer le fichier créé à l'aide de la tâche Obtenir un fichier.

• Terminer à distance les processus sur les appareils.

  L'action est effectuée à l'aide de la tâche Terminer le processus (Terminate process).

  Par exemple, vous pouvez arrêter à distance l'utilitaire de test de vitesse Internet lancé à l'aide de la tâche de démarrage du processus.

• Détecter les indicateurs de compromission sur les appareils et prendre les mesures pour répondre aux menaces.

  Indicateur de compromission (Indicator of Compromise, IOC) est un ensemble de données sur un objet ou une activité qui indique un accès non autorisé à un appareil (compromission de données). Par exemple, un indicateur de compromission pourrait être un nombre élevé de tentatives de connexion échouées.

  L'action est effectuée à l'aide de la tâche Analyse IOC (IOC Scan).

  Lors de l'exécution de la tâche Analyse IOC, la vérification des termes IOC (propriétés de l'objet IOC, par exemple, somme de hachage du fichier) est effectuée uniquement dans l'espace de noms principal du système d'exploitation. La tâche Analyse IOC ne calcule pas les sommes de hachage pour les fichiers de plus de 200 Mo.

• Activer ou désactiver l'isolation réseau de l'appareil.

  Lorsque Kaspersky Endpoint Security interagit avec Kaspersky Endpoint Detection and Response Optimum, vous pouvez :

  • Activer ou désactiver l'isolation réseau dans Web Console.
  • Désactiver l'isolation réseau dans la ligne de commande.
  • Configurer la désactivation automatique de l'isolation réseau dans Web Console.

  Lorsque Kaspersky Endpoint Security interagit avec Kaspersky Endpoint Detection and Response (KATA), vous pouvez :

  • Désactiver l'isolation réseau dans la ligne de commande.
  • Activer ou désactiver l'isolation réseau du côté de la solution Kaspersky Endpoint Detection and Response (KATA).

    Pour en savoir plus, consultez l'aide de Kaspersky Anti Targeted Attack Platform.

Limites de l'isolation du réseau

Lorsque vous utilisez l'isolation réseau, il est fortement recommandé de vous familiariser avec les limitations décrites ci-dessous.

Pour que l'isolation du réseau fonctionne, l'application Kaspersky Endpoint Security doit être en cours d'exécution. Lors d'une panne de l'application Kaspersky Endpoint Security (lorsque l'application n'est pas en cours d'exécution), le blocage du trafic lorsque l'isolation réseau est activée par la solution Kaspersky Anti Targeted Attack Platform ou Kaspersky Endpoint Detection and Response Optimum n'est pas garanti.

Le trafic de transit avec l'isolation du réseau activée est pris en charge avec des restrictions et peut être filtré.

DHCP et DNS ne sont pas automatiquement ajoutés aux exceptions d'isolement du réseau. Par conséquent, si l'adresse réseau d'une ressource a été modifiée pendant l'isolement du réseau, Kaspersky Endpoint Security ne pourra pas y accéder. Il en va de même pour les nœuds du serveur tolérant aux pannes KATA. Il n'est pas recommandé de modifier leurs adresses afin que Kaspersky Endpoint Security ne perde pas le contact avec eux.

Le serveur proxy n'est pas non plus automatiquement ajouté aux exceptions d'isolement du réseau, vous devez donc l'ajouter manuellement aux exceptions afin que l'application Kaspersky Endpoint Security ne perde pas la connexion avec le serveur KATA.

L'ajout d'un processus à l'isolation réseau et l'exclusion d'un processus de l'isolation réseau par son nom ne sont pas pris en charge.

Si Kaspersky Endpoint Security est utilisé en mode standard, lors de l'utilisation de l'isolation réseau, il est recommandé :

• Utiliser le serveur proxy KSN pour interagir avec Kaspersky Security Network.
• Utiliser Kaspersky Security Center en guise de serveur proxy pour l'activation de l'application.

  S'il est impossible d'utiliser Kaspersky Security Center comme serveur proxy, configurez les paramètres du serveur proxy requis et ajoutez-le aux exclusions.

• Spécifier Kaspersky Security Center comme source des mises à jour des bases de données.

Ces recommandations ne s'appliquent pas si Kaspersky Endpoint Security est utilisé en mode Light Agent.