Intégration avec la solution Kaspersky Managed Detection and Response
3 juillet 2024
ID 247439
L'intégration de l'application Kaspersky Endpoint Security avec la solution Kaspersky Managed Detection and Response (MDR) permet de s'assurer que les menaces visant votre organisation sont détectées, identifiées et éliminées en permanence.
En interagissant avec Kaspersky Managed Detection and Response, l'application Kaspersky Endpoint Security peut exécuter les fonctions suivantes :
- Envoi de données de télémétrie à Kaspersky Managed Detection and Response pour la détection des menaces.
- Exécution de commandes de Kaspersky Managed Detection and Response visant à assurer des fonctions de sécurité.
Pour configurer l'intégration de l'application Kaspersky Endpoint Security avec la solution Kaspersky Managed Detection and Response, il convient de procéder comme suit :
- Assurez-vous que les tâches Protection contre les menaces sur les fichiers et Détection comportementale sont en cours d'exécution, sinon l'ordinateur présentera un état rouge dans Kaspersky Managed Detection and Response. Il est également recommandé d'exécuter les tâches Protection contre les menaces Internet et Protection contre les menaces réseaux, faute de quoi l'ordinateur présentera un état jaune dans Kaspersky Managed Detection and Response. Pour en savoir plus sur les états, consultez l'aide en ligne de Kaspersky Managed Detection and Response.
- Activer l'utilisation de Kaspersky Security Network avec envoi des statistiques.
Vous pouvez activer l'utilisation de Kaspersky Security Network à l'aide de la ligne de commande, dans la Console d'administration ou dans Kaspersky Security Center Web Console.
- Configurez Kaspersky Private Security Network pour qu'il envoie les données de télémétrie en utilisant le fichier de configuration Kaspersky Security Network, qui se trouve dans l'archive ZIP du fichier de configuration MDR.
Vous pouvez configurer Kaspersky Private Security Network uniquement dans la Console d'administration ou dans Kaspersky Security Center Web Console.
- Activez l'intégration avec Kaspersky Managed Detection and Response et chargez le fichier de configuration BLOB, qui se trouve dans l'archive ZIP du fichier de configuration MDR.
il est recommander de configurer l'intégration de l'application Kaspersky Endpoint Security avec la solution Kaspersky Managed Detection and Response dans la Console d'administration ou dans Kaspersky Security Center Web Console.
Vous pouvez également configurer l'intégration de l'application Kaspersky Endpoint Security avec la solution Kaspersky Managed Detection and Response et charger le fichier de configuration BLOB à partir de l'invite de commandes.
Pour activer l'intégration avec Kaspersky Managed Detection and Response, exécutez la commande suivante :
kesl-control --set-app-settings UseMDR=Yes
Pour désactiver l'intégration avec Kaspersky Managed Detection and Response, exécutez la commande suivante :
kesl-control --set-app-settings UseMDR=No
Pour charger le fichier de configuration BLOB, exécutez la commande suivante :
kesl-control --load-mdr-blob <
chemin d'accès au fichier de configuration
MDR BLOB>
Pour supprimer le fichier de configuration BLOB, exécutez la commande suivante :
kesl-control --remove-mdr-blob
Une fois l'intégration de l'application Kaspersky Endpoint Security avec la solution Kaspersky Managed Detection and Response activée, la tâche Mdr_Autostart_Scan est créée dans l'application. Si nécessaire, vous pouvez configurer la planification de cette tâche dans la ligne de commande à l'aide de la commande /opt/kaspersky/kesl/bin/kesl-control --set-schedule <ID de la tâche|nom de la tâche> --file <chemin complet vers file>
, en spécifiant le nom de la tâche Mdr_Autostart_Scan ou l'ID que l'application a attribué à cette tâche.
Lorsque Kaspersky Endpoint Security est intégré à Kaspersky Managed Detection and Response, un grand nombre d'événements peuvent être enregistrés dans le journal systemd. Si vous souhaitez désactiver la journalisation des audits dans systemd, vous devez désactiver le socket systemd-journald-audit et redémarrer le système d'exploitation.
Pour désactiver le socket systemd-journald-audit, exécutez les commandes suivantes :
systemctl stop systemd-journald-audit.socket
systemctl disable systemd-journald-audit.socket
systemctl mask systemd-journald-audit.socket