Kaspersky Endpoint Security for Linux
12
日本語‪(日本)

Kaspersky Managed Detection and Response(KATA)との連携タスク(KATAEDR、ID:24)

Kaspersky Endpoint Security は、組織の IT インフラを保護し、ゼロデイ攻撃、標的型攻撃、高度持続型脅威(APT)などの脅威をプロンプトリーに検知することを目的とした Kaspersky Anti Targeted Attack Platform ソリューションと互換性があります。詳細は、Kaspersky Anti Targeted Attack Platform のヘルプを参照してください。

Kaspersky Endpoint Detection and Response (KATA) は、Kaspersky Anti Targeted Attack Platform ソリューションのコンポーネントです。

Kaspersky Endpoint Detection and Response (KATA) と対話する場合、Kaspersky Endpoint Security では次の操作が可能になります:

  • デバイス上のイベントに関するデータ(テレメトリ)を、セントラルノードコンポーネントのある Kaspersky Anti Targeted Attack Platform サーバー(「KATA サーバー」)に送信します。Kaspersky Endpoint Security は、プロセス、オープンネットワーク接続、変更されたファイルに関する監視データを、KATA サーバーに送信するとともに、アプリケーションが検知した脅威のデータと脅威の処理結果のデータを送信します。
  • Kaspersky Anti Targeted Attack Platform から受信したコマンドに基づき、保護機能の確保を目的とした次の対応処理を実行します:
    • 「ファイルの取得」タスクを使用すると、ユーザーデバイスからファイルを取得できます。たとえば、サードパーティのプログラムによって生成されたイベントログファイルを取得するようにアプリケーションを設定できます。
    • 「ファイルの削除」タスクを使用すると、デバイスからファイルを削除できます。
    • 「プロセスの実行」タスクを使用すると、デバイス上のファイルをリモートで実行できます。たとえば、デバイスの設定情報ファイルを作成するユーティリティをリモートで実行し、「ファイルの取得」タスクを使用して作成されたファイルを取得できます。

      SELinux が Enforcing モードでオペレーティングシステムにインストールされている場合、[プロセスの開始]タスクを開始するには、SELinux の追加設定が必要です。

    • 「プロセスの終了」タスクを使用すると、デバイス上のプロセスをリモートで終了できます。たとえば、「プロセスの実行」タスクを使用して起動されたインターネットスピードテストユーティリティをリモートで終了できます。
    • IOC スキャンタスクを使用すると、デバイス上の侵害の兆候を検知し、脅威に対応する処理を実行できます。侵害の兆候(IOC)は、デバイスへの不正アクセス(侵害されたデータ)を示すオブジェクトまたは処理に関する一連のデータです。
      IOC ファイル
      は、IOC の検索に使用されます。IOC 検索タスクは、オペレーティングシステムの主要な名前空間でのみ、IOC 用語(IOC オブジェクトのプロパティ、たとえばファイルハッシュ)をチェックします。IOC 検索タスクでは、200 MB を超えるファイルのハッシュは計算されません。
    • ネットワークデバイス分離を使用すると、デバイスをネットワークから分離できます。ネットワーク分離を有効にした後に KATA サーバーとの接続が失われた場合は、デバイスのネットワーク分離を無効にすることができます。

ネットワーク分離の制限

ネットワーク分離を使用する時は、以下に説明する制限をよく理解しておくことを強く推奨します。

ネットワーク分離を行うには、Kaspersky Endpoint Security が実行されている必要があります。Kaspersky Endpoint Security に障害が発生している場合(アプリケーションが実行されていない場合)、Kaspersky Anti Targeted Attack Platform でネットワーク分離を有効にしても、トラフィックがブロックされないことがあります。

ネットワーク分離が有効になっているトランジットトラフィックは制限付きでサポートされており、フィルタリングされる場合があります。

DHCP と DNS はネットワーク分離の例外に自動的に追加されないため、ネットワーク分離中に発生源のネットワークアドレスが変更された場合、Kaspersky Endpoint Security はその発生源にアクセスできなくなります。フォールトトレラント KATA サーバーのノードにも同じことが当てはまります。Kaspersky Endpoint Security との連絡が途絶えないように、アドレスを変更しないことを推奨します。

また、プロキシサーバーはネットワーク分離の除外対象に自動的に追加されないため、Kaspersky Endpoint Security が KATA サーバーとの接続を失わないように、手動で除外対象に追加する必要があります。

プロセスをネットワーク分離に追加したり、名前でプロセスをネットワーク分離から除外したりすることはサポートされていません。

ネットワーク分離を使用する時は、KSN プロキシサーバーを使用して Kaspersky Security Network と対話し、Kaspersky Security Center をプロキシサーバーとして使用してアプリケーションをアクティベートし、Kaspersky Security Center を定義データベースのアップデート元として指定することを推奨します。Kaspersky Security Center をプロキシサーバーとして使用できない場合は、必要なプロキシサーバーの設定を設定し、例外に追加してください。

統合条件

Kaspersky Managed Detection and Response(KATA)との連携タスクでは、Kaspersky Endpoint Security アプリケーションと Kaspersky Endpoint Detection and Response(KATA)コンポーネントの連携を設定および有効にすることができます。Kaspersky Endpoint Security と Kaspersky Endpoint Detection and Response(KATA)との連携を、Kaspersky Security Center 管理コンソールKaspersky Security Center Web コンソールを使用して管理することもできます。

Kaspersky Security Center Cloud コンソールでのKaspersky Endpoint Detection and Response (KATA) の連携設定の管理には対応していません。

Kaspersky Endpoint Detection and Response (KATA) との連携には、ふるまい検知タスクを有効にする必要があります。

Kaspersky Endpoint Security アプリケーションと Kaspersky Endpoint Security および Kaspersky Endpoint Security and Response (KATA) の連携は、ふるまい検知が有効になっている場合にのみ可能です。そうしないと、必要なテレメトリーデータを送信することができません。

テレメトリの除外を機能させるには、Kaspersky Endpoint Security と Kaspersky Managed Detection and Response ソリューションの統合を無効にする必要があります。Kaspersky Endpoint Security と Kaspersky Managed Detection and Response の統合が有効になっている場合、プロセスによる除外は適用されません。

Kaspersky Endpoint Detection and Response (KATA) は、さらに次のタスクから受信したデータを使用できます:

  • ファイル脅威対策
  • ネットワーク脅威対策。
  • ウェブ脅威対策。

接続のセキュア化

Kaspersky Managed Detection and Response との連携では、Kaspersky Endpoint Security を搭載したデバイスは、HTTPS プロトコルで KATA サーバーとの安全な接続を確立します。安全な接続を実現するため、KATA サーバーが発行する次の証明書を使用しています:

  • KATA サーバー証明書。接続はサーバーの TLS 証明書を使用して暗号化されます。接続のセキュリティレベルは、Kaspersky Endpoint Security 側のサーバー証明書を検証することで上げられます。Kaspersky Managed Detection and Response(KATA)との連携タスクを実行する前に、連携サーバー証明書を追加します。
  • クライアント証明書。この証明書は、双方向認証を使用した接続の追加保護に使用されます(Kaspersky Endpoint Security KATA サーバーを使用するスキャンデバイス)。同一のクライアント証明書を複数のデバイスで使用することができます。既定では、KATA サーバーはクライアント証明書をチェックしませんが、Kaspersky Anti Targeted Attack Platform 側で双方向認証を有効にすることができます。この場合、Kaspersky Managed Detection and Response(KATA)との連携タスク設定で双方向認証を有効にし、クライアント証明書(証明書と秘密鍵の入った暗号コンテナ)を追加する必要があります。

KATA サーバーとの接続を確保するための証明書は、Kaspersky Anti Targeted Attack Platform の管理者から提供されます。

Kaspersky Endpoint Security のアプリケーション全般設定で、プロキシサーバーの使用が設定されている場合、KATA サーバーへの接続にプロキシサーバーが使用されます。

イベントのログ記録

Kaspersky Endpoint Security と Kaspersky Anti Targeted Attack Platform が連携されている場合、systemd ログに大量のイベントが書き込まれる可能性があります。監査イベントのログ記録を無効にする場合、systemd-journald-audit ソケットを無効にし、オペレーティングシステムを再起動します。

systemd-journald-audit ソケットを無効にするには、次のコマンドを実行します:

systemctl stop systemd-journald-audit.socket

systemctl disable systemd-journald-audit.socket

systemctl mask systemd-journald-audit.socket

このヘルプセクションの内容

Kaspersky Endpoint Detection and Response(KATA)との連携タスク設定

KATA サーバーに接続するための証明書の管理
記事 ID: 245712、 前回の更新日時: 2025年4月14日
ページのトップに戻る