Endpoint Detection and Response Optimum
2 juillet 2024
ID 276062
Depuis la version 12.1, Kaspersky Endpoint Security for Mac inclut un agent intégré pour la solution Kaspersky Endpoint Detection and Response Optimum (ci-après également « EDR Optimum »). Cette solution est conçue pour protéger l’infrastructure informatique de l’entreprise contre les menaces informatiques avancées. La fonctionnalité des solutions associe la détection automatique des menaces à la capacité de réagir à ces menaces pour contrer les attaques avancées comprenant les nouveaux exploits, les ransomwares, les attaques sans fichier ainsi que les méthodes utilisant des outils système légitimes. Pour en savoir plus sur cette solution, consultez l’aide de Kaspersky Endpoint Detection and Response Optimum.
Kaspersky Endpoint Detection and Response examine et analyse l’évolution des menaces et fournit au personnel de sécurité ou à l’ Administrateur les informations relatives à l’attaque potentielle qui sont nécessaires pour une réponse opportune. Kaspersky Endpoint Detection and Response affiche les détails de l’alerte dans une nouvelle fenêtre. Détails de l’alerte est un outil qui permet de consulter l’intégralité des informations recueillies sur une menace détectée. Les détails de l’alerte reprennent, par exemple, l’historique des fichiers apparus sur l’ordinateur. Pour en savoir plus sur la gestion des détails de l’alerte, consultez l’ aide de Kaspersky Endpoint Detection and Response Optimum.
Remarque : vous pouvez configurer le composant EDR Optimum dans Web Console et Cloud Console.
Paramètres d’Endpoint Detection and Response
Paramètre | Description |
|---|---|
Isolation du réseau | Isolation automatique de l’ordinateur du réseau en réponse aux menaces détectées. Lorsque l’isolation du réseau est activée, l’application coupe toutes les connexions actives et bloque toutes les nouvelles connexions TCP/IP sur l’ordinateur. L’application ne maintient que les connexions suivantes :
|
Déverrouiller automatiquement l’ordinateur isolé dans X heures | L’isolation du réseau peut être désactivée automatiquement après un certain temps ou manuellement. Par défaut, Kaspersky Endpoint Security désactive l’isolation du réseau 8 heures après le début de l’isolation. |
Exclusions de l’isolation du réseau | Liste des règles pour les exclusions de l’isolation du réseau. Les connexions réseau qui satisfont aux règles ne sont pas bloquées sur les ordinateurs dont l’isolation du réseau est activée. Pour configurer les exclusions d’isolation du réseau, vous pouvez utiliser une liste de profils réseau standard. Par défaut, les exclusions incluent les profils réseau contenant des règles garantissant le fonctionnement ininterrompu des appareils dotés des rôles serveur DNS/DHCP et client DNS/DHCP. Vous pouvez également modifier les paramètres des profils réseau standard ou définir des exclusions manuellement. Important : les exclusions spécifiées dans les propriétés de la stratégie sont appliquées uniquement si l’isolation du réseau est activée automatiquement en réponse à la détection d’une menace. Les exclusions définies dans les propriétés de l’ordinateur ne sont appliquées que si l’isolation du réseau est activée manuellement dans les propriétés de l’ordinateur dans la console Kaspersky Security Center ou dans les détails de l’alerte. |
Prévention de l’exécution | La prévention de l’exécution permet de gérer le lancement des fichiers exécutables et des scripts ainsi que l’ouverture des fichiers au format Office. Vous pouvez ainsi empêcher l’exécution d’applications que vous jugez dangereuses. Il est ainsi possible d’arrêter la propagation de la menace. La prévention de l’exécution prend en charge un ensemble d’interpréteurs de script. Pour utiliser le module Prévention de l’exécution, vous devez ajouter des règles de prévention de l’exécution. La règle de prévention de l’exécution est un ensemble de critères que l’application prend en compte lorsqu’elle réagit à l’exécution d’un objet, par exemple lorsqu’elle bloque l’exécution de l’objet. L’application identifie les fichiers grâce au chemin d’accès ou à la somme de contrôle calculée à l’aide des algorithmes de hachage MD5 et SHA256. |
Action lors de l’exécution ou de l’ouverture de l’objet interdit | Bloquer et écrire pour signaler. Dans ce mode, l’application bloque l’exécution des objets ou l’ouverture des documents répondant aux critères de la règle d’interdiction. De plus, l’application publie un événement sur les tentatives d’exécution d’un objet ou d’ouverture de documents dans le journal des événements de Kaspersky Security Center. Enregistrer les événements uniquement. Dans ce mode, Kaspersky Endpoint Security publie un événement sur les tentatives d’exécution d’objets exécutables ou d’ouverture de documents conformes aux critères des règles de prévention dans le journal des événements de Kaspersky Security Center, mais ne bloque pas la tentative d’exécution de l’objet ou d’ouverture du document. Ce mode est sélectionné par défaut. |
Cloud Sandbox | Cloud Sandbox est une technologie qui vous permet de détecter les menaces avancées sur les ordinateurs. Kaspersky Endpoint Security transmet automatiquement les fichiers détectés à Cloud Sandbox pour analyse. Cloud Sandbox exécute ces fichiers dans un environnement isolé pour identifier les activités malveillantes et détermine leur réputation. Les données relatives à ces fichiers sont transmises à Kaspersky Security Network. Par conséquent, si Cloud Sandbox détecte un fichier malveillant, Kaspersky Endpoint Security exécute les actions appropriées afin d’éliminer cette menace sur tous les ordinateurs sur lesquels ce fichier est détecté. Remarque : la technologie Cloud Sandbox est activée en permanence et est accessible à l’ensemble des utilisateurs de Kaspersky Security Network, quel que soit le type de licence qu’ils utilisent. |