Autoriser l'agent Kabeen dans votre EDR/antivirus

Résoudre les faux positifs EDR/XDR sur les exécutables Kabeen en ajoutant l'agent à la liste d'autorisation

Les solutions EDR/XDR (Sophos, CrowdStrike, etc.) peuvent générer des faux positifs sur les exécutables de l'agent Kabeen. Cet article explique comment identifier ces alertes et autoriser l'agent dans votre solution de sécurité afin de ne pas interrompre la collecte d'usage.

Symptômes

Vous pouvez observer les signes suivants :

  • Des alertes ou des blocages signalés par votre EDR/XDR sur Kabeen.exe et proxy.exe.
  • Une mise en quarantaine des exécutables de l'agent.
  • Des postes qui ne remontent plus d'usage dans la plateforme, car la collecte est bloquée.

Sans autorisation explicite de l'agent dans votre solution de sécurité, la collecte peut être bloquée et les postes concernés cessent de remonter des données.

Mettre l'agent en liste d'autorisation (allowlist)

Pour rétablir le fonctionnement de l'agent, ajoutez les éléments suivants à la liste d'autorisation de votre EDR/XDR :

  1. L'exécutable Kabeen.exe.
  2. L'exécutable proxy.exe.
  3. Le dossier d'installation de l'agent sous Windows :
C:\Program Files\Kabeen

La configuration exacte dépend de votre solution de sécurité (l'interface et l'emplacement des règles varient d'un éditeur à l'autre). Reportez-vous à la documentation de votre EDR/XDR pour créer une exclusion sur ces exécutables et ce dossier.

Agent serveur d'infrastructure

Les mêmes considérations s'appliquent côté serveurs. Si vous déployez l'agent serveur d'infrastructure sur des machines protégées par un EDR/XDR, autorisez l'agent serveur de la même manière afin que sa collecte ne soit pas bloquée.

Alerte apparue subitement

Une alerte qui apparaît subitement sur un agent jusque-là fonctionnel est souvent due à un changement d'algorithme de détection côté éditeur EDR. Dans ce cas :

  1. Maintenez l'agent en liste d'autorisation.
  2. Signalez l'alerte au support Kabeen pour une éventuelle soumission de l'exécutable à l'éditeur de votre solution de sécurité.

Voir aussi

Si la collecte reste bloquée après la mise en liste d'autorisation, vérifiez également les flux réseau autorisés. L'agent n'utilise que du HTTPS sortant sur le port 443/TCP vers api.kabeen.io et intake.kabeen.io. Reportez-vous aux prérequis de l'agent d'infrastructure pour le détail des flux à autoriser.

PrécédentDiagnosticSuivantModèle de communication utilisateur