Kaspersky Anti Targeted Attack Platform との連携
Kaspersky Endpoint Security は、組織の IT インフラを保護し、ゼロデイ攻撃、標的型攻撃、高度持続型脅威(APT)などの脅威をプロンプトリーに検知することを目的とした Kaspersky Anti Targeted Attack Platform ソリューションと互換性があります。詳細は、Kaspersky Anti Targeted Attack Platform のヘルプを参照してください。
Kaspersky Endpoint Security アプリケーションは、 Kaspersky Anti Targeted Attack Platform ソリューションの次のコンポーネントと連携できます。
- Kaspersky Endpoint Detection and Response (KATA) は、企業 LAN 上のデバイスを保護します。Kaspersky Endpoint Detection and Response (KATA) と対話する場合、Kaspersky Endpoint Security では次の操作が可能になります:
- デバイス上のイベントに関するデータ(テレメトリ)を、セントラルノードコンポーネントのある Kaspersky Anti Targeted Attack Platform サーバー(「KATA サーバー」)に送信します。Kaspersky Endpoint Security は、プロセス、オープンネットワーク接続、変更されたファイルに関する監視データを、KATA サーバーに送信するとともに、アプリケーションが検知した脅威のデータと脅威の処理結果のデータを送信します。
- Kaspersky Anti Targeted Attack Platform からコマンドを受信したときに、応答処理を実行してセキュリティを確保します。
- Kaspersky Network Detection and Response (KATA) は、企業の内部ネットワークを保護し、デバイス上のイベントに関するデータ(テレメトリ)を、Central Node コンポーネントを備えたKaspersky Anti Targeted Attack Platform サーバー(以下、NDR サーバーともいう)に送信します。
- KATA Sandbox は、オペレーティングシステムの仮想イメージが導入された特別なサーバー(以下、サンドボックスサーバーともいう)を使用して、オブジェクトを分析およびスキャンし、企業の IT インフラストラクチャに対する悪意のあるアクティビティや標的型攻撃の兆候を検出します。
Kaspersky Endpoint Detection and Response (KATA) ソリューションのこれらのコンポーネントとの連携は、Kaspersky Endpoint Security アプリケーションの次のコンポーネントによって提供されます。
- Endpoint Detection and Response (KATA)(以下、EDR (KATA) ともいう)
- Network Detection and Response (KATA)(以下、NDR (KATA) ともいう)
- サンドボックス
Kaspersky Endpoint Security アプリケーションと Kaspersky Anti Targeted Attack Platform ソリューションのすべてのコンポーネントの連携、および各コンポーネントの連携を個別に設定できます。
Kaspersky Anti Targeted Attack Platform コンポーネントと連携するには、Kaspersky Anti Targeted Attack Platform ソリューションをアクティベートする必要があります(詳細については、ソリューションのヘルプを参照してください)。連携を提供する Kaspersky Endpoint Security コンポーネントをアクティベートする必要はありません。Kaspersky Endpoint Security の主なライセンスにはこの機能が含まれています。
Kaspersky Endpoint Security アプリケーションと Kaspersky Anti Targeted Attack Platform の連携は、ふるまい検知コンポーネントが有効になっている場合にのみ可能です。そうでない場合、必要なテレメトリは送信されません(同期要求を除く)。
Kaspersky Endpoint Detection and Response (KATA) コンポーネントは、さらに次のコンポーネントから受信したデータを使用できます:
Kaspersky Network Detection and Response (KATA) コンポーネントは、さらに次のコンポーネントから受信したデータを使用できます:
Kaspersky Anti Targeted Attack Platform ソリューションと連携されている間、Kaspersky Endpoint Security を実行するデバイスは、HTTPS プロトコルを使用して KATA/NDR/サンドボックスサーバーへの暗号化された接続を確立します。安全な接続を実現するため、KATA/NDR/サンドボックスサーバーが発行する次の証明書を使用しています:
- KATA/NDR/サンドボックスサーバー証明書。接続はサーバーの TLS 証明書を使用して暗号化されます。接続のセキュリティレベルは、Kaspersky Endpoint Security 側のサーバー証明書を検証することで上げられます。この操作には、Kaspersky Anti Targeted Attack Platform ソリューションとの連携を有効にする前に、KATA/NDR/サンドボックスサーバー証明書を追加する必要があります。
- クライアント証明書。この証明書は、双方向認証を使用した追加の接続保護に使用されます(つまり、KATA/NDR/サンドボックスサーバーは Kaspersky Endpoint Security アプリケーションを使用してデバイスをチェックします)。同一のクライアント証明書を複数のデバイスで使用することができます。既定では、KATA/NDRサンドボックスサーバーはクライアント証明書をチェックしませんが、Kaspersky Anti Targeted Attack Platform 側で双方向認証を有効にすることができます。この場合、Kaspersky Managed Detection and Response (KATA)、Kaspersky Network Detection and Response (KATA)、KATA サンドボックスとの連携設定で双方向認証を有効にし、クライアント証明書(証明書と秘密鍵の入った暗号コンテナ)を追加する必要があります。
KATA/NDR/サンドボックスサーバーとの接続を確保するための証明書は、Kaspersky Anti Targeted Attack Platform の管理者から提供されます。
Kaspersky Endpoint Security の製品全般設定で、プロキシサーバーの使用が設定されている場合、KATA/NDR/サンドボックスサーバーへの接続にプロキシサーバーが使用されます。
既定では、Kaspersky Anti Targeted Attack Platform ソリューションコンポーネントとの連携は無効になっています。コマンドライン、Web コンソール、および管理コンソールを使用して、連携を有効または無効にし、次の連携設定を構成できます。
- KATA/NDR/サンドボックスサーバー接続の全般設定を構成します。
- KATA/NDR/サンドボックスサーバー証明書を追加または削除します。
- KATA/NDR/サンドボックスサーバーに接続するときに双方向認証を設定し、クライアント証明書を追加します。
- イベントの転送を設定します。
- テレメトリを有効または無効にします(Kaspersky Endpoint Detection and Response (KATA) と連携されている場合のみ)。
Kaspersky Endpoint Security と Kaspersky Managed Detection and Response の統合が有効になっている場合、テレメトリーの送信の際はプロセスの除外は適用されません。
Kaspersky Security Center Cloud コンソールでの Kaspersky Anti Targeted Attack Platform の連携設定の管理には対応していません。