Kaspersky Endpoint Detection and Response (KATA) (également connu sous le nom de EDR (KATA)) est un composant de Kaspersky Anti Targeted Attack Platform conçu pour protéger l'infrastructure informatique d'une entreprise et assurer la détection rapide des menaces telles que les attaques ZeroDay, les attaques ciblées et les attaques ciblées complexes des menaces persistantes avancées (ci-après également appelées "APT"). Pour en savoir plus, consultez l'aide de Kaspersky Anti Targeted Attack Platform.
Lors de l'interaction avec EDR (KATA), Kaspersky Endpoint Security peut exécuter les fonctions suivantes :
La tâche Intégration à Kaspersky Endpoint Detection and Response (KATA) permet de configurer et d'activer l'intégration de l'application Kaspersky Endpoint Security avec le composant EDR (KATA). Vous pouvez également gérer l'intégration de Kaspersky Endpoint Security avec EDR (KATA) à l'aide de la Console d'administration de Kaspersky Security Center et de Kaspersky Security Web Console.
La gestion des paramètres d'intégration à EDR (KATA) via Kaspersky Security Center Cloud Console n'est pas prise en charge.
La tâche Détection comportementale doit être exécutée afin d'intégrer le système EDR (KATA).
L'intégration de Kaspersky Endpoint Security avec EDR (KATA) n'est possible que si cette tâche est en cours d'exécution. Sinon, les données télémétriques nécessaires ne sont pas transmises.
En outre, EDR (KATA) peut utiliser des données provenant des tâches suivantes :
Lors de l'intégration à EDR (KATA), les périphériques dotés de Kaspersky Endpoint Security établissent des connexions sécurisées avec le serveur KATA via HTTPS. Les certificats suivants émis par le serveur KATA sont utilisés pour sécuriser la connexion :
Les certificats destinés à protéger la connexion au serveur KATA sont fournis par l'administrateur de Kaspersky Anti Targeted Attack Platform.
Un serveur proxy est utilisé pour se connecter au serveur KATA si l'utilisation d'un serveur proxy est configurée dans les paramètres généraux de l'application Kaspersky Endpoint Security.
Lorsque Kaspersky Endpoint Security est intégré à Kaspersky Anti Targeted Attack Platform, un grand nombre d'événements peuvent être enregistrés dans le journal systemd. Si vous souhaitez désactiver la journalisation des audits dans systemd, vous devez désactiver le socket systemd-journald-audit et redémarrer le système d'exploitation.
Pour désactiver le socket systemd-journald-audit, exécutez les commandes suivantes :
systemctl stop systemd-journald-audit.socket
systemctl disable systemd-journald-audit.socket
systemctl mask systemd-journald-audit.socket