L'application Kaspersky Endpoint Security peut effectuer des actions de réponse visant à fournir des fonctions de sécurité :
Les paramètres d'action de réponse de Kaspersky Anti Targeted Attack Platform et de Kaspersky Endpoint Detection and Response Optimum sont différents.
L'application Kaspersky Endpoint Security peut effectuer les actions de réponse suivantes :
L'action est effectuée à l'aide de la tâche Obtenir un fichier (Get file task). Par exemple, vous pouvez configurer pour recevoir un fichier journal des événements généré par un logiciel tiers.
L'action est effectuée à l'aide de la tâche Supprimer le fichier (Delete file task).
L'action est effectuée à l'aide de la tâche Exécuter le processus (Run process).
Par exemple, vous pouvez exécuter à distance un utilitaire qui crée un fichier de configuration de l'appareil, puis récupérer le fichier créé à l'aide de la tâche Obtenir un fichier.
L'action est effectuée à l'aide de la tâche Terminer le processus (Terminate process).
Par exemple, vous pouvez arrêter à distance l'utilitaire de test de vitesse Internet lancé à l'aide de la tâche de démarrage du processus.
L'action est effectuée à l'aide de la tâche Analyse IOC (IOC Scan).
Lors de l'exécution de la tâche Analyse IOC, la vérification des termes IOC (propriétés de l'objet IOC, par exemple, somme de hachage du fichier) est effectuée uniquement dans l'espace de noms principal du système d'exploitation. La tâche Analyse IOC ne calcule pas les sommes de hachage pour les fichiers de plus de 200 Mo.
Lorsque Kaspersky Endpoint Security interagit avec Kaspersky Endpoint Detection and Response Optimum, vous pouvez :
Lorsque Kaspersky Endpoint Security interagit avec Kaspersky Endpoint Detection and Response (KATA), vous pouvez :
Pour en savoir plus, consultez l'aide de Kaspersky Anti Targeted Attack Platform.
Limites de l'isolation du réseau
Lorsque vous utilisez l'isolation réseau, il est fortement recommandé de vous familiariser avec les limitations décrites ci-dessous.
Pour que l'isolation du réseau fonctionne, l'application Kaspersky Endpoint Security doit être en cours d'exécution. Lors d'une panne de l'application Kaspersky Endpoint Security (lorsque l'application n'est pas en cours d'exécution), le blocage du trafic lorsque l'isolation réseau est activée par la solution Kaspersky Anti Targeted Attack Platform ou Kaspersky Endpoint Detection and Response Optimum n'est pas garanti.
Le trafic de transit avec l'isolation du réseau activée est pris en charge avec des restrictions et peut être filtré.
DHCP et DNS ne sont pas automatiquement ajoutés aux exceptions d'isolement du réseau. Par conséquent, si l'adresse réseau d'une ressource a été modifiée pendant l'isolement du réseau, Kaspersky Endpoint Security ne pourra pas y accéder. Il en va de même pour les nœuds du serveur tolérant aux pannes KATA. Il n'est pas recommandé de modifier leurs adresses afin que Kaspersky Endpoint Security ne perde pas le contact avec eux.
Le serveur proxy n'est pas non plus automatiquement ajouté aux exceptions d'isolement du réseau, vous devez donc l'ajouter manuellement aux exceptions afin que l'application Kaspersky Endpoint Security ne perde pas la connexion avec le serveur KATA.
L'ajout d'un processus à l'isolation réseau et l'exclusion d'un processus de l'isolation réseau par son nom ne sont pas pris en charge.
Si Kaspersky Endpoint Security est utilisé en mode standard, lors de l'utilisation de l'isolation réseau, il est recommandé :
S'il est impossible d'utiliser Kaspersky Security Center comme serveur proxy, configurez les paramètres du serveur proxy requis et ajoutez-le aux exclusions.
Ces recommandations ne s'appliquent pas si Kaspersky Endpoint Security est utilisé en mode Light Agent.
Haut de page