Network Detection and Response (KATA)
Kaspersky Endpoint Security for Windows fonctionne avec le module Kaspersky Endpoint Detection and Response dans le cadre de la solution Kaspersky Anti Targeted Attack Platform (EDR (KATA)). Kaspersky Anti Targeted Attack Platform est une solution conçue pour la détection ponctuelle de menaces complexes, telles que les attaques ciblées, les menaces persistantes avancées (APT en anglais), les attaques zero day, etc. Kaspersky Anti Targeted Attack Platform comprend trois unités fonctionnelles :
- Kaspersky Anti Targeted Attack Platform (KATA)
- Kaspersky Endpoint Detection and Response (EDR (KATA))
- Network Detection and Response (NDR (KATA)).
Vous pouvez acheter l'ensemble des unités fonctionnelles ou des unités fonctionnelles individuelles séparément. Pour en savoir plus sur la solution, consultez l'aide de Kaspersky Anti Targeted Attack Platform.
Kaspersky Endpoint Security est installé sur chaque ordinateur de l'infrastructure informatique de l'entreprise et surveille en permanence les processus, les connexions réseau ouvertes ainsi que les fichiers en cours de modification. Les informations relatives aux événements survenus sur l'ordinateur (données de télémétrie) sont envoyées au serveur Kaspersky Anti Targeted Attack Platform. Dans ce cas, Kaspersky Endpoint Security envoie également au serveur Kaspersky Anti Targeted Attack Platform des informations relatives aux menaces découvertes par l'application ainsi que des informations relatives aux résultats du traitement de ces menaces.
L'intégration de EDR (KATA) et NDR (KATA) est configurée dans la console de Kaspersky Security Center. L'agent intégré est ensuite géré à l'aide de la console Kaspersky Anti Targeted Attack Platform, y compris l'exécution des tâches, la gestion des objets mis en quarantaine, l'affichage des rapports et d'autres actions.
Paramètres de Network Detection and Response (KATA)
Paramètre | Description |
|---|---|
Paramètres de connexion au serveur | Délai d'attente. Délai maximal de réponse du serveur Central Node. À l'expiration du délai, Kaspersky Endpoint Security essaie de se connecter à un autre serveur Central Node. Certificat TLS du serveur. Certificat TLS permettant d'établir une connexion sécurisée avec le serveur Central Node. Vous pouvez obtenir un certificat TLS dans la console Kaspersky Anti Targeted Attack Platform (voir les instructions dans l'aide de Kaspersky Anti Targeted Attack Platform). Utiliser l'authentification bidirectionnelle. Authentification bidirectionnelle lors de l'établissement d'une connexion sécurisée entre Kaspersky Endpoint Security et Central Node. Pour utiliser l'authentification bidirectionnelle, vous devez activer l'authentification bidirectionnelle dans les paramètres du Central Node, puis obtenir un crypto-conteneur et définir un mot de passe pour protéger le crypto-conteneur. Un conteneur crypto est une archive PFX contenant un certificat et une clé privée. Vous pouvez obtenir un conteneur crypto dans la console Kaspersky Anti Targeted Attack Platform (voir les instructions dans l'aide de Kaspersky Anti Targeted Attack Platform). Après avoir configuré les paramètres du Central Node, vous devez également activer l'authentification bidirectionnelle dans les paramètres de Kaspersky Endpoint Security et charger un crypto-conteneur protégé par mot de passe. Le conteneur crypto doit être protégé par un mot de passe. Il n'est pas possible d'ajouter de conteneur crypto avec un mot de passe vide. |
Adresse et Port | Paramètres de connexion des serveurs de Kaspersky Anti Targeted Attack Platform. Vous pouvez saisir une adresse IP (IPv4 ou IPv6). |
Envoyer une demande de synchronisation au serveur NDR toutes les (min.) | Fréquence des requêtes de synchronisation envoyées au serveur. Lors de la synchronisation, Kaspersky Endpoint Security envoie des informations sur les paramètres et les tâches modifiés de l'application. |
Délai maximal de transmission des événements (s.) | L'application se synchronise avec le serveur pour envoyer des événements après l'expiration de l'intervalle de synchronisation. Le paramètre par défaut est de 30 secondes. |
Activer la limitation des demandes | Cette fonctionnalité permet d'optimiser la charge exercée sur l'ordinateur. Si la case est cochée, l'application limite le nombre d'événements transmis. Si le nombre d'événements dépasse les limites configurées, Kaspersky Endpoint Security arrête d'envoyer des événements. |
Nombre maximal d'événements par heure | L'application analyse le flux de données de télémétrie et limite l'envoi d'événements si le flux d'événements dépasse la limite configurée du nombre d'événements par heure. Kaspersky Endpoint Security reprend l'envoi des événements après une heure. Le paramètre par défaut est de 3 000 événements par heure. Si l'application est installée sur un serveur, le flux de données de télémétrie est plus élevé. Pour les serveurs, il est recommandé d'augmenter la valeur à 60 000 événements par heure. |
Pourcentage de la limite d'événement excédentaire | L'application trie les événements par type (par exemple, les événements « modifications du registre ») et limite la transmission des événements si le rapport des événements du même type au nombre total d'événements dépasse la limite configurée en pourcentage. Kaspersky Endpoint Security reprend l'envoi d'événements lorsque le rapport entre les autres événements et le nombre total d'événements redevient suffisant. Le paramètre par défaut est de 15 %. |