Intégration avec Kaspersky Anti Targeted Attack Platform

L'application Kaspersky Endpoint Security est compatible avec la solution Kaspersky Anti Targeted Attack Platform conçu pour protéger l'infrastructure informatique d'une entreprise et assurer la détection rapide des menaces telles que les attaques ZeroDay, les attaques ciblées et les attaques ciblées complexes des menaces persistantes avancées (ci-après également appelées "APT"). Pour en savoir plus, consultez l'aide de Kaspersky Anti Targeted Attack Platform.

L'application Kaspersky Endpoint Security peut être intégrée avec des modules suivants qui font partie de la solution Kaspersky Anti Targeted Attack Platform :

• Kaspersky Endpoint Detection and Response (KATA) assure la protection des appareils sur le réseau local d'une organisation. Lors de l'intégration avec Kaspersky Endpoint Detection and Response (KATA), l'application Kaspersky Endpoint Security peut exécuter les fonctions suivantes :
  • Envoyer les données sur les événements sur les appareils (télémétrie) au serveur avec le module Central Node, qui assure l'interaction avec Kaspersky Endpoint Detection and Response (KATA) (ci-après également appelé serveur KATA). Kaspersky Endpoint Security envoie au serveur KATA des données de surveillance sur les processus, les connexions réseau ouvertes et les fichiers modifiés, ainsi que des données sur les menaces détectées par l'application et des données sur les résultats du traitement de ces menaces.
  • Effectuez les actions de réponse visant à garantir les fonctions de sécurité sur la base des commandes reçues de Kaspersky Anti Targeted Attack Platform :
• Kaspersky Network Detection and Response (KATA) assure la protection du réseau interne de l'entreprise. Lorsqu'elle est intégrée à Kaspersky Network Detection and Response (KATA), l'application Kaspersky Endpoint Security peut envoyer des données sur les événements sur les appareils (télémétrie) à un serveur qui assure l'interaction avec Kaspersky Network Detection and Response (KATA) (ci-après également appelé serveur NDR).
• KATA Sandbox analyse les objets pour identifier les activités malveillantes et les signes d'attaques ciblées sur l'infrastructure informatique d'une organisation sur des serveurs spéciaux avec des images virtuelles déployées des systèmes d'exploitation. Lorsqu'elle est intégrée à KATA Sandbox, l'application Kaspersky Endpoint Security peut envoyer des fichiers à analyser à un serveur doté du module Central Node, qui assure l'interaction avec KATA Sandbox (ci-après également appelé serveur Sandbox).

L'intégration avec ces modules de la solution Kaspersky Endpoint Detection and Response (KATA) est assurée par les modules suivants de l'application Kaspersky Endpoint Security :

• module Endpoint Detection and Response (KATA) (ci-après également EDR (KATA)) ;
• module Network Detection and Response (KATA) (ci-après également NDR (KATA)) ;
• Module Sandbox.

Vous pouvez configurer l'intégration de l'application Kaspersky Endpoint Security avec tous les modules de la solution Kaspersky Anti Targeted Attack Platform ou avec chaque module séparément.

Pour intégrer les modules de Kaspersky Anti Targeted Attack Platform, vous devez activer la solution Kaspersky Anti Targeted Attack Platform (pour plus de détails, consultez l'aide de la solution). Il n'est pas nécessaire d'activer les modules de l'application Kaspersky Endpoint Security qui assurent l'intégration ; les licences de base de Kaspersky Endpoint Security incluent cette fonctionnalité.

Pour intégrer complètement l'application Kaspersky Endpoint Security à Kaspersky Anti Targeted Attack Platform, vous devez activer le module Détection comportementale. Si la Détection comportementale est désactivée, aucune donnée de télémétrie requise n'est transmise (à l'exception des demandes de synchronisation et des données de détection des menaces provenant d'autres modules de protection).

Lorsque vous utilisez le mécanisme eBPF pour obtenir la télémétrie du système dans le module Détection comportementale (disponible sur les systèmes d'exploitation 64 bits avec la version de noyau 5.3 et supérieure avec prise en charge eBPF), les données de télémétrie seront plus complètes.

Les modules EDR (KATA) et NDR (KATA) peuvent utiliser les données obtenues à partir des modules suivants :

• Protection contre les fichiers malicieux.
• Protection contre les menaces réseau.
• Protection contre les menaces Internet.
• Protection contre le chiffrement.
• Contrôle des applications.
• Contrôle des appareils.
• Contrôle de l'intégrité du système.

Lors de l'intégration avec la solution Kaspersky Anti Targeted Attack Platform, les appareils exécutant Kaspersky Endpoint Security établissent des connexions chiffrées avec le serveur KATA/NDR/Sandbox via le protocole HTTPS. Les certificats suivants émis par le serveur KATA/NDR/Sandbox sont utilisés pour sécuriser la connexion :

• Certificat du serveur KATA/NDR/Sandbox. La connexion est chiffrée à l'aide du certificat TLS du serveur. Vous pouvez augmenter le niveau de sécurité de la connexion en activant la vérification du certificat du serveur du côté de Kaspersky Endpoint Security. Pour ce faire, vous devez ajouter le certificat du serveur KATA/NDR/Sandbox avant d'activer l'intégration avec la solution Kaspersky Anti Targeted Attack Platform.
• Certificat client. Ce certificat est utilisé pour sécuriser davantage la connexion avec une vérification en deux étapes (c'est-à-dire, l'analyse des appareils avec l'application Kaspersky Endpoint Security par le serveur KATA/NDR/Sandbox). Le même certificat client peut être utilisé par plusieurs appareils. Par défaut, le serveur KATA/NDR/Sandbox n'effectue pas la validation du certificat client, mais la vérification en deux étapes peut être activée du côté de Kaspersky Anti Targeted Attack Platform. Dans ce cas, vous devez activer la vérification en deux étapes dans les paramètres d'intégration avec le module Kaspersky Endpoint Detection and Response (KATA), Kaspersky Network Detection and Response (KATA) et KATA Sandbox et ajouter un certificat client (cryptoconteneur avec le certificat et la clé privée).

Les certificats destinés à protéger la connexion au serveur KATA/NDR/Sandbox sont fournis par l'administrateur de Kaspersky Anti Targeted Attack Platform.

Un serveur proxy est utilisé pour se connecter au serveur KATA/NDR/Sandbox si l'utilisation d'un serveur proxy est configurée dans les paramètres généraux de l'application Kaspersky Endpoint Security.

Par défaut, l'intégration avec les modules de la solution Kaspersky Anti Targeted Attack Platform est désactivée. Vous pouvez activer et désactiver l'intégration et configurer les paramètres d'intégration suivants à l'aide de la ligne de commande, de la Web Console et de la Console d'administration : Lors de l'intégration avec n'importe quel module de la solution Kaspersky Anti Targeted Attack Platform, vous pouvez :

• Configurer les paramètres généraux de connexion aux serveurs KATA/NDR/Sandboх.
• Ajouter et supprimer des certificats de serveur KATA/NDR/Sandboх.
• Configurer la vérification en deux étapes lors de la connexion aux serveurs KATA/NDR/Sandboх et ajoutez des certificats clients.
• Configurer les paramètres d'envoi des événements.

Lors de l'intégration avec Kaspersky Endpoint Detection and Response (KATA), vous pouvez également :

• Activer ou désactiver l'envoi de la télémétrie.
• Activer ou désactiver l'application de règles de prévention du lancement des objets du module EDR (KATA).

Dans cette section Configuration d'EDR (KATA) / NDR (KATA) dans Web Console Configuration d'EDR (KATA) / NDR (KATA) dans la Сonsole d'administration Configuration d'EDR (KATA) / NDR (KATA) dans la ligne de commande Configuration de l'intégration avec KATA Sandbox dans Web Console Configuration de l'intégration avec KATA Sandbox dans ligne de commande

Haut de page