Endpoint Detection and Response Expert (on-premise)

Endpoint Detection and Response (KATA)

Kaspersky Endpoint Security for Windows fonctionne avec le module Kaspersky Endpoint Detection and Response dans le cadre de la solution Kaspersky Anti Targeted Attack Platform (EDR (KATA)). Kaspersky Anti Targeted Attack Platform est une solution conçue pour la détection ponctuelle de menaces complexes, telles que les attaques ciblées, les menaces persistantes avancées (APT en anglais), les attaques zero day, etc. Kaspersky Anti Targeted Attack Platform comprend trois unités fonctionnelles :

Vous pouvez acheter l'ensemble des unités fonctionnelles ou des unités fonctionnelles individuelles séparément. Pour en savoir plus sur la solution, consultez l'aide de Kaspersky Anti Targeted Attack Platform.

Kaspersky Endpoint Security est installé sur chaque ordinateur de l'infrastructure informatique de l'entreprise et surveille en permanence les processus, les connexions réseau ouvertes ainsi que les fichiers en cours de modification. Les informations relatives aux événements survenus sur l'ordinateur (données de télémétrie) sont envoyées au serveur Kaspersky Anti Targeted Attack Platform. Dans ce cas, Kaspersky Endpoint Security envoie également au serveur Kaspersky Anti Targeted Attack Platform des informations relatives aux menaces découvertes par l'application ainsi que des informations relatives aux résultats du traitement de ces menaces.

L'intégration de EDR (KATA) et NDR (KATA) est configurée dans la console de Kaspersky Security Center. L'agent intégré est ensuite géré à l'aide de la console Kaspersky Anti Targeted Attack Platform, y compris l'exécution des tâches, la gestion des objets mis en quarantaine, l'affichage des rapports et d'autres actions.

Endpoint Detection and Response Expert (on-premise)

L'intégration de Kaspersky Endpoint Security avec la solution Kaspersky Endpoint Detection and Response Expert (on premise) sera bientôt disponible. Kaspersky Endpoint Detection and Response Expert (on-premise) est une solution de cybersécurité d'entreprise qui comprend des applications Kaspersky permettant à une organisation de se défendre contre la plupart des types de cyber-risques et de faire face aux scénarios de propagation des menaces les plus importants. Les modules EDR Expert (on-premise) sont déployés sur Open Single Management Platform (OSMP). Il est prévu que cette fonctionnalité soit prise en charge d'ici fin 2025. Consultez régulièrement nos notes de mise à jour pour vous tenir informé des mises à niveau des applications et des nouvelles fonctionnalités.

Paramètres d'Endpoint Detection and Response Expert (on-premise)

Paramètre

Description

Connexion aux serveurs KATA/Connexion aux serveurs de collecte de données télémétriques

Configurez les éléments suivants pour la connexion au serveur KATA :

  • Délai d'attente (s.). Délai maximal de réponse du serveur Central Node. À l'expiration du délai, Kaspersky Endpoint Security essaie de se connecter à un autre serveur Central Node.
  • Certificat TLS du serveur. Certificat TLS permettant d'établir une connexion sécurisée avec le serveur Central Node. Vous pouvez obtenir un certificat TLS dans la console Kaspersky Anti Targeted Attack Platform (voir les instructions dans l'aide de Kaspersky Anti Targeted Attack Platform).
  • Utiliser l'authentification bidirectionnelle. Authentification bidirectionnelle lors de l'établissement d'une connexion sécurisée entre Kaspersky Endpoint Security et le serveur Central Node. Pour utiliser l'authentification bidirectionnelle, vous devez activer l'authentification bidirectionnelle dans les paramètres du serveur Central Node, puis obtenir un conteneur crypto et définir un mot de passe pour protéger le conteneur crypto. Un conteneur crypto est une archive PFX contenant un certificat et une clé privée. Vous pouvez obtenir un conteneur crypto dans la console Kaspersky Anti Targeted Attack Platform (voir les instructions dans l'aide de Kaspersky Anti Targeted Attack Platform). Après avoir configuré les paramètres du Central Node, vous devez également activer l'authentification bidirectionnelle dans les paramètres de Kaspersky Endpoint Security et charger un crypto-conteneur protégé par mot de passe.

Le conteneur crypto doit être protégé par un mot de passe. Il n'est pas possible d'ajouter de conteneur crypto avec un mot de passe vide.

Serveurs KATA / Serveurs de collecte de données télémétriques

Paramètres de connexion des serveurs de Kaspersky Anti Targeted Attack Platform. Vous pouvez saisir une adresse IP (IPv4 ou IPv6).

Vous pouvez ajouter plusieurs adresses de serveur de nœud central. Kaspersky Endpoint Security tente de se connecter au serveur à partir de la première adresse IP. Si une connexion ne peut être établie, Kaspersky Endpoint Security tente de se connecter à la deuxième adresse IP de la liste et ainsi de suite.

Envoyer une demande de synchronisation au serveur KATA toutes les (min.)

Fréquence des requêtes de synchronisation envoyées au serveur. Lors de la synchronisation, Kaspersky Endpoint Security envoie des informations sur les paramètres et les tâches modifiés de l'application.

Envoyer la télémétrie à KATA/Envoyer les données télémétriques aux serveurs de collecte de données télémétriques

Cette fonctionnalité permet de désactiver complètement l'envoi de télémétrie au serveur KATA. Par exemple, si vous utilisez Kaspersky Anti Targeted Attack Platform avec une autre solution qui utilise également la télémétrie, vous pouvez désactiver la télémétrie pour KATA (EDR). Cela vous permet d'optimiser la charge du serveur pour ces solutions. Si vous avez déployé la solution Managed Detection and Response et KATA (EDR), vous pouvez utiliser la télémétrie MDR et créer des tâches Threat Response dans KATA (EDR).

Envoyer la télémétrie avec l'IOA uniquement

(disponible uniquement pour Endpoint Detection and Response (KATA))

Cela permet d'optimiser la télémétrie et d'envoyer uniquement la télémétrie avec IOA. Indicateur d'attaque (IOA) est une règle qui contient une description du comportement suspect dans le système qui peut indiquer une attaque ciblée. L'application compare le comportement actuel du système à ces règles et enregistre les événements qui indiquent une attaque ciblée. L'application utilise la technologie d'analyse en continu qui permet de suivre en temps réel ces événements.

Délai maximal de transmission des événements (s.)

L'application se synchronise avec le serveur pour envoyer des événements après l'expiration de l'intervalle de synchronisation. Le paramètre par défaut est de 30 secondes.

Activer la limitation

Cette fonctionnalité permet d'optimiser la charge exercée sur l'ordinateur. Si la case est cochée, l'application limite le nombre d'événements transmis. Si le nombre d'événements dépasse les limites configurées, Kaspersky Endpoint Security arrête d'envoyer des événements.

Nombre maximal d'événements par heure

L'application analyse le flux de données de télémétrie et limite l'envoi d'événements si le flux d'événements dépasse la limite configurée du nombre d'événements par heure. Kaspersky Endpoint Security reprend l'envoi des événements après une heure. Le paramètre par défaut est de 3 000 événements par heure. Si l'application est installée sur un serveur, le flux de données de télémétrie est plus élevé. Pour les serveurs, il est recommandé d'augmenter la valeur à 60 000 événements par heure.

Pourcentage de la limite d'événement excédentaire

L'application trie les événements par type (par exemple, les événements « modifications du registre ») et limite la transmission des événements si le rapport des événements du même type au nombre total d'événements dépasse la limite configurée en pourcentage. Kaspersky Endpoint Security reprend l'envoi d'événements lorsque le rapport entre les autres événements et le nombre total d'événements redevient suffisant. Le paramètre par défaut est de 15 %.

Voir également

Intégration de l'agent intégré avec EDR / NDR (KATA)

Configuration de la télémétrie
Haut de page