Définition des paramètres d'analyse IoC
5 mars 2024
ID 231841
Lors de la configuration d'analyses régulières pour identifier les menaces sur les appareils, vous pouvez définir les paramètres d'analyse suivants : planification, portée et réponses automatiques.
Pour définir les paramètres d'une analyse IoC :
- Ouvrez la Console de gestion Kaspersky Endpoint Security Cloud.
- Sélectionnez la section Administration de la sécurité → section Endpoint Detection and Response.
- Cliquez sur le bouton Analyse IoC.
- Sur la vignette de l'analyse requise, placez le curseur sur les points de suspension verticaux, puis cliquez sur Définir les paramètres d'analyse.
La fenêtre Paramètres de recherche s'ouvre.
- Sélectionnez la valeur requise dans la liste Planification :
- Non précisé (par défaut)
L'analyse IoC ne s'exécute jamais.
- Chaque jour
Indiquez l'heure à laquelle l'analyse IoC doit s'exécuter.
- Chaque semaine
Indiquez le jour de la semaine et l'heure auxquels l'analyse IoC doit avoir lieu.
L'Analyse personnalisée s'exécutera à l'heure indiquée dans le fuseau horaire UTC±00:00. L'Analyse proactive et l'Analyse réactive s'exécuteront à l'heure indiquée dans le fuseau horaire du système d'exploitation de l'appareil. Si un appareil protégé est hors ligne à l'heure planifiée, la tâche sera exécutée dès que l'appareil sera en ligne.
- Non précisé (par défaut)
- Sous Zone d'analyse , cliquez sur le lien Modifier pour indiquer la liste des appareils sur lesquels l'analyse IoC doit avoir lieu.
Cochez les cases à côté des appareils à inclure et décochez les cases à côté des appareils à exclure. Cliquez sur Enregistrer pour enregistrer les modifications.
Ce paramètre est disponible uniquement pour l'Analyse personnalisée. Pour les deux autres types d'analyse (Analyse proactive et Analyse réactive), la zone d'analyse inclut tous les appareils Windows de vos utilisateurs. Elle ne peut être modifiée.
Tous les nouveaux appareils ajoutés ultérieurement sont automatiquement repris dans la zone d'analyse. Ainsi, si vous souhaitez les exclure de la zone d'analyse personnalisée, vous devrez le faire manuellement.
- Sous Actions de la réponse, sélectionnez les actions à mettre en œuvre quand les menaces spécifiées sont détectées :
- Alerter uniquement
La détection d'une menace est ajoutée au journal des événements. Aucune autre action n'est exécutée.
- Alerter et répondre
La détection d'une menace est ajoutée au journal des événements. De plus, les actions de la réponse sélectionnées sont exécutées :
- Analyser les zones critiques
Kaspersky Endpoint Security for Windows analyse la mémoire du noyau, les processus en cours et les secteurs d'amorçage du disque de l'appareil concerné.
- Mettre une copie en quarantaine et supprimer l'objet
Kaspersky Endpoint Security for Windows crée d'abord une copie de sauvegarde de l'objet malveillant détecté sur l'appareil, au cas où l'objet devrait être restauré ultérieurement. La copie de sauvegarde est placée en quarantaine. Ensuite, Kaspersky Endpoint Security for Windows supprime l'objet.
- Isoler l'appareil du réseau
Kaspersky Endpoint Security for Windows isole l'appareil du réseau pour empêcher la propagation de la menace ou la fuite d'informations sensibles. Pour configurer la durée d'isolement, cliquez sur Configuration, puis sélectionnez la valeur requise.
La durée d'isolement est commune aux trois analyses IoC. Si vous modifiez la valeur dans les paramètres d'une analyse, cette modification sera propagée aux autres analyses.
Vous pouvez également configurer la durée d'isolement en sélectionnant la section Administration de la sécurité → Endpoint Detection and Response , puis en cliquant sur Paramètres de réponse → Isolement sur le réseau.
- Analyser les zones critiques
- Alerter uniquement
- Cliquez sur Enregistrer pour enregistrer les modifications.
Les paramètres de l'analyse IoC sélectionnée sont définis.