Intégration avec Kaspersky Endpoint Detection and Response Optimum

Kaspersky Endpoint Detection and Response Optimum est une solution conçue pour protéger l'infrastructure informatique d'une organisation contre les menaces telles que les exploits, les ransomwares, les attaques sans fichier et l'utilisation de fichiers système légitimes par des outils malveillants pour endommager les appareils ou les données.

Kaspersky Endpoint Detection and Response Optimum surveille et analyse l'évolution de la menace et fournit également au responsable de la sécurité ou à l'administrateur les informations sur une attaque potentielle nécessaires pour prendre des mesures de réponse en temps opportun.

Kaspersky Endpoint Detection and Response Optimum utilise les outils d'analyse des menaces suivants (Threat Intelligence) :

• L'infrastructure de services cloud Kaspersky Security Network (ci-après également KSN), donnant accès à la base de connaissances opérationnelles de Kaspersky sur la réputation des fichiers, des sites et des logiciels.
• Intégration avec le portail Kaspersky Threat Intelligence Portal, qui contient et affiche des informations sur la réputation des fichiers et des sites.
• Base de données des menaces de Kaspersky Threats.

L'application Kaspersky Endpoint Security 12.3 for Linux est compatible avec Kaspersky Endpoint Detection and Response Optimum version 3.1.

En interagissant avec Kaspersky Endpoint Detection and Response Optimum, l'application Kaspersky Endpoint Security peut exécuter les fonctions suivantes :

• Envoyer les données d'événements sur les appareils vers Kaspersky Security Center. Kaspersky Endpoint Security envoie à Kaspersky Security Center des données de surveillance sur les processus, les connexions réseau ouvertes et les fichiers modifiés, ainsi que des données sur les menaces détectées par l'application et des données sur les résultats du traitement de ces menaces.
• Effectuez les actions de réponse visant à garantir les fonctions de sécurité sur la base des commandes reçues de Kaspersky Security Center.

L'intégration de l'application Kaspersky Endpoint Security avec la solution Kaspersky Endpoint Detection and Response Optimum est assurée par le module de l'application Kaspersky Endpoint Security – Endpoint Detection and Response Optimum (ci-après, EDR Optimum).

Pour utiliser la fonctionnalité de Kaspersky Endpoint Detection and Response Optimum, vous devez activer le module EDR Optimum. Si la licence principale sous laquelle vous utilisez l'application Kaspersky Endpoint Security n'inclut pas la fonctionnalité Kaspersky Endpoint Detection and Response Optimum, vous devez acheter une licence distincte pour cette fonctionnalité et ajouter la clé de licence EDR Optimum à l'application.

Si Kaspersky Endpoint Security est utilisé en mode Light Agent pour protéger les environnements virtuels, l'activation est effectuée du côté du Serveur de protection (un module de la solution Kaspersky Security for Virtualization Light Agent) en ajoutant des clés de licence à la SVM.

L'intégration avec Kaspersky Endpoint Detection and Response Optimum comprend les étapes suivantes :

1. Activation des modules requis de Kaspersky Endpoint Security

   Assurez-vous que les modules suivants de l'application Kaspersky Endpoint Security sont activés et fonctionnent :

   • Protection contre les fichiers malicieux.
   • Protection contre les menaces Internet.
   • Détection comportementale.

   Vous pouvez également activer la prévention du lancement des objets.

2. Activer la moyens d'analyse des menaces

   Assurez-vous que Kaspersky Security Network est activé en mode standard ou avancé.

   Pour un fonctionnement plus efficace de Kaspersky Endpoint Detection and Response Optimum, il est recommandé d'utiliser Kaspersky Security Network en mode avancé.

3. Activation du module EDR Optimum

   Assurez-vous que l'une des conditions suivantes est remplie :

   • Vous utilisez l'application Kaspersky Endpoint Security sous une licence qui inclut la fonctionnalité Kaspersky Endpoint Detection and Response Optimum.
   • Vous avez acheté une licence distincte pour utiliser la fonctionnalité Kaspersky Endpoint Detection and Response Optimum et ajouté à l'application une clé de licence EDR Optimum.

     Si l'application Kaspersky Endpoint Security est utilisée en mode Light Agent pour protéger les environnements virtuels, une clé de licence pour activer des fonctionnalités supplémentaires est ajoutée à la SVM.

4. Installation du plug-in d'administration de Kaspersky Endpoint Detection and Response Optimum

   Le plug-in d'administration de Kaspersky Endpoint Detection and Response Optimum est un plug-in unique permettant de travailler avec des agents sous Windows, Mac et Linux et est requis pour afficher et visualiser les détails des alertes.

5. Activation du module EDR Optimum

   Par défaut, EDR Optimum est désactivé. Vous pouvez activer et désactiver le module et configurer les paramètres d'intégration :

   • à l'aide de Web Console ;
   • à l'aide de la ligne de commande.

     La gestion du module EDR Optimum à l'aide de la Console d'administration de Kaspersky Security Center n'est pas prise en charge.

   Vous pouvez vérifier l'état de fonctionnement du module EDR Optimum :

   • Utilisation du Rapport sur l'état des modules de l'application dans Web Console.

     Le module Endpoint Detection and Response Optimum a été ajouté à la liste des modules de Kaspersky Endpoint Security. Pour des informations détaillées sur l'utilisation des rapports, consultez l'aide de Kaspersky Security Center.

   • Dans les propriétés de l'appareil dans Web Console.
   • À l'aide de la ligne de commande.
6. Activation du transfert de données vers le Serveur d'administration

   Pour que toutes les fonctionnalités de Kaspersky Endpoint Detection and Response Optimum fonctionnent, vous devez configurer les paramètres suivants :

   • Activez l'envoi des informations sur les fichiers dans la sauvegarde et dans la quarantaine vers le stockage de Kaspersky Security Center. Pour ce faire, vous devez cocher les cases dans les propriétés de la stratégie :
     • À propos des fichiers de la sauvegarde.
     • À propos des fichiers de quarantaine.
   • Autoriser l'affichage de la liste des alertes. Pour ce faire, vous devez activer le commutateur Afficher les alertes EDR dans la fenêtre principale de Web Console dans la section Paramètres → Paramètres de l'interface.

     Paramètre Afficher les alertes EDR non disponible dans les versions de Web Console inférieures à 15.1.

Dans cette section Activation et désactivation de l'intégration avec Kaspersky Endpoint Detection and Response Optimum Consultation de l'état d'intégration avec Kaspersky Endpoint Detection and Response (KATA) Afficher des informations sur la menace détectée et les actions de réponse

Haut de page