KB N°15 : Intégration de l’agent Olfeo SaaS avec les EDRs/Antivirus
Contexte
L’objectif de cet article est de permettre la bonne entente de la solution Olfeo SaaS avec tous les EDRs/antivirus. En effet, dans certains cas, ils peuvent perturber la phase d’installation de l’agent de poste Olfeo SaaS, l’authentification de l’utilisateur ou encore la fluidité de la navigation Web. Pour palier ces constatations, voici les mesures qui peuvent être mises en place au cas par cas.
Installation de l’agent de poste Olfeo SaaS
Afin de pallier un blocage de l’installation de l’agent Olfeo SaaS, il peut être nécessaire d’exclure de l’analyse effectuée par l’EDR le .msi d’installation de l’agent Olfeo SaaS, mais aussi les répertoires utilisés par ce dernier :
- Pour Widows :
- C:\Program Files\trustlane (contient les binaire de l’agent lui-même et le systray)
- C:\ProgramData\trustlane (contient les fichiers de configuration)
- Pour MacOS :
- /usr/local/bin (contient les binaire de l’agent lui-même et le systray)
- ~/Library/ (contient les fichiers de configuration)
À noter : sans l’exclusion du répertoire contenant les fichiers de configuration, certains EDR peuvent aussi bloquer la phase d’authentification de l’utilisateur.
Exemple avec l’éditeur Kaspersky et l’exclusion du répertoire C:\ProgramData\trustlane :
Exemple avec Kaspersky et l’exclusion du .msi de l’agent Olfeo SaaS :
Améliorer la fluidité de la navigation Web
Les EDRs peuvent avoir besoin de communiquer avec des services cloud de leur éditeur pour plusieurs raisons :
- Mettre à jour leur base de données de menaces
- Vérifier des informations d’authentification ou de licences
- Émettre des rapports et alertes
- Stockage des journaux d’évènements
- Administrer l’EDR
- Déporter en temps réel une partie de l’analyse de la menace dans le cloud
Les flux résultants du déport en temps réel d’une partie de l’analyse dans un cloud tiers peuvent parfois mal supporter la proxification selon l’éditeur. Ceci peut avoir un impact sur la fluidité de la navigation Web. Dans ce cas, il est recommandé de faire passer en direct ces flux vers les services cloud de l’éditeur. Reportez-vous à la documentation de l’éditeur de votre EDR pour affiner la liste des FQDN à exclure.
Exemple d’exclusion de ces flux avec l’EDR de TrendMicro :