Intégration des tâches avec Kaspersky Endpoint Detection and Response (KATA) (KATAEDR, ID : 24)

Kaspersky Endpoint Detection and Response (KATA) (également connu sous le nom de EDR (KATA)) est un composant de Kaspersky Anti Targeted Attack Platform conçu pour protéger l'infrastructure informatique d'une entreprise et assurer la détection rapide des menaces telles que les attaques ZeroDay, les attaques ciblées et les attaques ciblées complexes des menaces persistantes avancées (ci-après également appelées "APT"). Pour en savoir plus, consultez l'aide de Kaspersky Anti Targeted Attack Platform.

Lors de l'interaction avec EDR (KATA), Kaspersky Endpoint Security peut exécuter les fonctions suivantes :

• Envoi de données sur les événements survenus sur les périphériques (télémétrie) au serveur Kaspersky Anti Targeted Attack Platform avec le composant Central Node (ci-après dénommé serveur KATA). Kaspersky Endpoint Security envoie au serveur KATA des données de surveillance sur les processus, les connexions réseau ouvertes et les fichiers modifiés, ainsi que des données sur les menaces détectées par l'application et des données sur les résultats du traitement de ces menaces.
• Exécution des tâches reçues de Kaspersky Anti Targeted Attack Platform et visant à assurer des fonctions de sécurité.

La tâche Intégration à Kaspersky Endpoint Detection and Response (KATA) permet de configurer et d'activer l'intégration de l'application Kaspersky Endpoint Security avec le composant EDR (KATA). Vous pouvez également gérer l'intégration de Kaspersky Endpoint Security avec EDR (KATA) à l'aide de la Console d'administration de Kaspersky Security Center et de Kaspersky Security Web Console.

La gestion des paramètres d'intégration à EDR (KATA) via Kaspersky Security Center Cloud Console n'est pas prise en charge.

La tâche Détection comportementale doit être exécutée afin d'intégrer le système EDR (KATA).

L'intégration de Kaspersky Endpoint Security avec EDR (KATA) n'est possible que si cette tâche est en cours d'exécution. Sinon, les données télémétriques nécessaires ne sont pas transmises.

En outre, EDR (KATA) peut utiliser des données provenant des tâches suivantes :

• Protection contre les menaces sur les fichiers.
• Protection contre les menaces réseaux.
• Protection contre les menaces Internet.

Lors de l'intégration à EDR (KATA), les périphériques dotés de Kaspersky Endpoint Security établissent des connexions sécurisées avec le serveur KATA via HTTPS. Les certificats suivants émis par le serveur KATA sont utilisés pour sécuriser la connexion :

• Certificat du serveur KATA. La connexion est chiffrée à l'aide du certificat TLS du serveur. Vous pouvez augmenter le niveau de sécurité de la connexion en activant la vérification du certificat du serveur du côté de Kaspersky Endpoint Security. Pour ce faire, vous devez ajouter le certificat du serveur d'intégration avant d'exécuter la tâche Intégration à Kaspersky Endpoint Detection and Response (KATA).
• Certificat client. Ce certificat est utilisé pour sécuriser davantage la connexion avec une authentification bidirectionnelle (analyse des périphériques avec Kaspersky Endpoint Security par le serveur KATA). Le même certificat client peut être utilisé par plusieurs périphériques. Par défaut, le serveur KATA n'effectue pas la validation du certificat client, mais l'authentification bidirectionnelle peut être activée du côté de Kaspersky Anti Targeted Attack Platform. Dans ce cas, vous devez activer l'authentification bidirectionnelle dans les paramètres de la tâche Intégration à Kaspersky Endpoint Detection and Response (KATA) et ajouter un certificat client (cryptocontainer avec le certificat et la clé privée).

Les certificats destinés à protéger la connexion au serveur KATA sont fournis par l'administrateur de Kaspersky Anti Targeted Attack Platform.

Un serveur proxy est utilisé pour se connecter au serveur KATA si l'utilisation d'un serveur proxy est configurée dans les paramètres généraux de l'application Kaspersky Endpoint Security.

Lorsque Kaspersky Endpoint Security est intégré à Kaspersky Anti Targeted Attack Platform, un grand nombre d'événements peuvent être enregistrés dans le journal systemd. Si vous souhaitez désactiver la journalisation des audits dans systemd, vous devez désactiver le socket systemd-journald-audit et redémarrer le système d'exploitation.

Pour désactiver le socket systemd-journald-audit, exécutez les commandes suivantes :

systemctl stop systemd-journald-audit.socket

systemctl disable systemd-journald-audit.socket

systemctl mask systemd-journald-audit.socket

Dans cette rubrique d'aide Paramètres de la tâche Intégration à Kaspersky Endpoint Detection and Response (KATA) Gestion des certificats pour la connexion aux serveurs KATA

Haut de page