Endpoint Detection and Response

À partir de la version 11.7.0, Kaspersky Endpoint Security for Windows inclut un agent intégré pour la solution Kaspersky Endpoint Detection and Response Optimum (ci-après également « EDR Optimum »). À partir de la version 11.8.0, Kaspersky Endpoint Security for Windows inclut un agent intégré pour la solution Kaspersky Endpoint Detection and Response Expert (ci-après également « EDR Expert »). Kaspersky Endpoint Detection and Response est une gamme de solutions destinées à protéger l'infrastructure informatique des entreprises contre les cybermenaces avancées. La fonctionnalité des solutions combine la détection automatique des menaces avec la capacité de réagir à ces menaces pour contrer les attaques avancées, notamment les nouveaux exploits, les ransomwares, les attaques sans fichier ainsi que les méthodes utilisant des outils système légitimes. EDR Expert offre davantage de fonctionnalités de surveillance et de réponse aux menaces que EDR Optimum. Pour en savoir plus à propos des solutions, consultez l'aide de Kaspersky Endpoint Detection and Response Optimum et l'aide de Kaspersky Endpoint Detection and Response Expert.

Kaspersky Endpoint Detection and Response passe en revue et analyse le développement des menaces et fournit au personnel de sécurité ou à l'administrateur les informations sur l'attaque potentielle qui sont nécessaires pour assurer une réponse rapide. Kaspersky Endpoint Detection and Response affiche les détails de l'alerte dans une nouvelle fenêtre. Les Détails de l'alerte sont un outil permettant de visualiser l'ensemble des informations collectées sur une menace détectée. Les détails de l'alerte reprennent par exemple l'histoire des fichiers qui apparaissent sur l'ordinateur. Pour en savoir plus à propos de la gestion des détails de l'alerte, consultez l'aide de Kaspersky Endpoint Detection and Response Optimum et l'aide de Kaspersky Endpoint Detection and Response Expert.

Vous pouvez configurer le module EDR Optimum dans Web Console et Cloud Console. Les paramètres des modules pour EDR Expert sont disponibles uniquement dans Cloud Console.

Paramètres de Endpoint Detection and Response

Paramètre

Description

Isolation du réseau

Isolation automatique de l'ordinateur du réseau en réponse aux menaces détectées.

Lorsque l'isolation du réseau est activée, l'application coupe toutes les connexions actives et bloque toutes les nouvelles connexions TCP/IP sur l'ordinateur. L'application ne laisse actives que les connexions suivantes :

  • Les connexions indiquées dans Exclusions de l'isolation du réseau.
  • Les connexions amorcées par les services de Kaspersky Endpoint Security.
  • Les connexions amorcées par l'Agent d'administration de Kaspersky Security Center.

Déverrouiller automatiquement l'ordinateur isolé dans X jours

L'isolation du réseau peut être désactivée automatiquement après une durée déterminée ou manuellement. Par défaut, Kaspersky Endpoint Security désactive l'isolation du réseau 5 heures après le début de l'isolation.

Exclusions d'isolation du réseau

Liste des règles d'exclusion de l'isolation du réseau. Les connexions réseau qui correspondent aux règles ne sont pas bloquées sur les ordinateurs lorsque l'isolation du réseau est activée.

Pour configurer les exclusions d'isolation du réseau, vous pouvez utiliser une liste de profils réseau standard. Par défaut, les exclusions comprennent les profils réseau contenant des règles qui assurent le fonctionnement ininterrompu des appareils avec les rôles de serveur DNS/DHCP et de client DNS/DHCP. Vous pouvez également modifier les paramètres des profils réseau standard ou définir des exclusions manuellement.

Les exclusions définies dans les propriétés de la stratégie sont appliquées uniquement si l'isolation du réseau est activée automatiquement en réponse à une menace détectée. Les exclusions définies dans les propriétés de l'ordinateur sont appliquées uniquement si l'isolation du réseau est activée manuellement dans les propriétés de l'ordinateur dans la console Kaspersky Security Center ou dans les détails de l'alerte.

Prévention de l'exécution

Contrôlez l'exécution des fichiers exécutables et des scripts ainsi que l'ouverture des fichiers au format Office. Par exemple, vous pouvez empêcher l'exécution d'applications considérées comme étant non sécurisées sur l'ordinateur sélectionné. La prévention de l'exécution prend en charge un ensemble d'extensions de fichier Office et un ensemble d'interpréteurs de scripts.

Pour utiliser le module Prévention de l'exécution, vous devez ajouter des règles de prévention d'exécution. La règle de prévention de l'exécution est un ensemble de critères que l'application prend en compte lorsqu'elle réagit à l'exécution d'un objet, par exemple lorsqu'elle bloque l'exécution d'un objet. L'application identifie les fichiers par leur chemin d'accès ou leurs sommes de contrôle calculées à l'aide des algorithmes de hachage MD5 et SHA256.

Action sur l'exécution ou l'ouverture d'un objet interdit

Bloquer et écrire dans le rapport ; Dans ce mode, l'application bloque l'exécution des objets ou l'ouverture des documents qui correspondent aux critères des règles de prévention. L'application publie également un événement sur les tentatives d'exécution d'objets ou d'ouverture de documents dans le journal des événements Windows et dans le journal des événements de Kaspersky Security Center.

Consigner les événements uniquement ; Dans ce mode, Kaspersky Endpoint Security publie un événement sur les tentatives d'exécution d'objets exécutables ou d'ouverture de documents qui correspondent aux critères de la règle de prévention dans le journal des événements Windows et dans Kaspersky Security Center, mais ne bloque pas la tentative d'exécution ni d'ouverture de l'objet ou du document. Ce mode est sélectionné par défaut.

Cloud Sandbox

Cloud Sandbox est une technologie qui vous permet de détecter les menaces avancées sur un ordinateur. Kaspersky Endpoint Security transmet automatiquement les fichiers détectés à Cloud Sandbox pour analyse. Cloud Sandbox exécute ces fichiers dans un environnement isolé pour identifier les activités malveillantes et décider de leur réputation. Les données de ces fichiers sont ensuite envoyées à Kaspersky Security Network. Par conséquent, si Cloud Sandbox a détecté un fichier malveillant, Kaspersky Endpoint Security effectuera l'action appropriée pour éliminer cette menace sur tous les ordinateurs où ce fichier est détecté.

La technologie Cloud Sandbox est activée en permanence et est disponible pour tous les utilisateurs de Kaspersky Security Network, quel que soit le type de licence qu'ils utilisent.

Si cette case est cochée, Kaspersky Endpoint Security activera le compteur des menaces détectées à l'aide de Cloud Sandbox dans la fenêtre principale de l'application sous Technologies de détection des menaces. Kaspersky Endpoint Security indiquera également la technologie de détection des menaces de Cloud Sandbox dans les événements des applications et dans le rapport sur les menaces de la console de Kaspersky Security Center.

Haut de page