- Kaspersky Endpoint Security 12.2 for Linux ヘルプ
- Kaspersky Endpoint Security 12.2 for Linux
- 主な変更点
- Kaspersky Endpoint Security のインストールの準備
- Kaspersky Endpoint Security のインストールと初期設定
- Kaspersky Security Center ネットワークエージェントのインストールと初期設定
- Kaspersky Endpoint Security 管理プラグインのインストール
- Kaspersky Security Center を使用した本製品のインストールと初期設定
- コマンドラインを使用したネットワークエージェントのインストールと初期設定
- SELinux システムの許可ルールの設定
- 閉鎖ソフトウェア環境モードの Astra Linux OS での本製品の実行
- アプリケーションの動作のための OSnova オペレーティングシステムの設定
- 旧バージョンからの本製品のアップデート
- 本製品のアンインストール
- 本製品のライセンス管理
- データの提供
- アクティベーションコードを使用する時に提供されるデータ
- カスペルスキーのアップデートサーバーからアップデートをダウンロードする時に提供されるデータ
- Light Agent モードで本製品を使用する際に転送されるデータ
- Kaspersky Security Center に送信されるデータ
- 本製品のインターフェイスでリンクをたどった時に提供されるデータ
- Kaspersky Security Network を使用する時に提供されるデータ
- Kaspersky Endpoint Detection and Response Optimum と連携時に提供されるデータ
- Kaspersky Endpoint Detection and Response (KATA) コンポーネントと連携時に提供されるデータ
- Kaspersky Network Detection and Response (KATA) コンポーネントと連携時に提供されるデータ
- Kaspersky Unified Monitoring and Analysis Platform と連携時に提供されるデータ
- アプリケーション管理概念
- Kaspersky Security Center を使用した製品の管理
- コマンドラインを使用した本製品の管理
- 本製品の起動および停止
- デバイスとアプリケーションパフォーマンスについての情報の保護ステータスを表示する
- アプリケーションデータベースとモジュールのアップデート
- ファイル脅威対策
- マルウェアのスキャン
- 簡易スキャン
- リムーバブルドライブのスキャン
- コンテナスキャン
- ファイアウォール管理
- ウェブ脅威対策
- 暗号化された接続のスキャン
- ネットワーク脅威対策
- 悪質なリモート暗号化に対する保護
- ブロックされるデバイスの管理
- アプリケーションコントロール
- インベントリ
- デバイスコントロール
- ウェブコントロール
- システム変更監視
- ふるまい検知
- Kaspersky Security Network を使用する
- 製品の詳細設定
- バックアップ
- Detection and Response ソリューションとの連携
- Detection and Response ソリューションのコマンドに対する応答処理について
- Kaspersky Anti Targeted Attack Platform との連携
- Kaspersky Unified Monitoring and Analysis Platform との連携
- Kaspersky Endpoint Detection and Response Optimumの連携
- 隔離の管理
- ネットワーク分離
- オブジェクトの実行防止
- クラウドサンドボックス
- Kaspersky Managed Detection and Response との連携
- Light Agent モードで本製品を使用する際の設定
- イベントとレポートの表示
- グラフィカルユーザーインターフェイス経由のアプリケーション管理
- アプリケーションコンポーネントの変更チェック
- テクニカルサポートへの問い合わせ
- 付録
- 付録 1:リソース消費の最適化
- 付録 2:Kaspersky Endpoint Security を管理するコマンド
- 製品のタスクと設定を管理するためのコマンド
- 統計コマンド
- イベントを表示するコマンド
- 製品イベントを管理するコマンド
- ライセンスを管理するコマンド
- ファイアウォールを管理するコマンド
- ブロックされたデバイスの管理に使用されるコマンド
- デバイスコントロールを管理するコマンド
- アプリケーションコントロールを管理するコマンド
- ウェブコントロール管理コマンド
- バックアップを管理するコマンド
- 隔離を管理するためのコマンド
- ユーザーとロールを管理するためのコマンド
- EDR (KATA) / NDR (KATA) コンポーネント設定を管理するコマンド
- Kaspersky Managed Detection and Response Optimum との連携の設定を管理するためのコマンド
- Kaspersky Unified Monitoring and Analysis Platform との連携の設定を管理するためのコマンド
- KATA Sandbox との連携の設定を管理するためのコマンド
- IOC スキャンを管理するコマンド
- 仮想環境を保護する Light Agent モードでのアプリケーションコマンド
- システムパフォーマンスメトリックを管理するためのコマンド
- 付録 3:設定情報ファイルと既定のアプリケーション設定
- 製品タスクの設定情報ファイルの編集ルール
- プレセットの設定情報ファイル
- コマンドラインタスクの既定
- File_Threat_Protection タスク(ID:1)の既定
- Scan_My_Computer タスク(ID:2)の既定
- Scan_File タスク(ID:3)の既定
- Critical_Areas_Scan タスク(ID:4)の既定
- Update タスク(ID:6)の既定
- System_Integrity_Monitoring タスク(ID:11)の既定
- Firewall_Management タスク(ID:12)の既定
- Anti_Cryptor タスク(ID:13)の既定
- Web_Threat_Protection タスク(ID:14)の既定
- Device_Control タスク(ID:15)の既定
- Removable_Drives_Scan タスク(ID:16)の既定
- Network_Threat_Protection タスク(ID:17)の既定
- Container_Scan(ID:18)と Custom_Container_Scan(ID:19)タスクの既定
- Behavior_Detection タスク(ID:20)の既定
- Application_Control タスク(ID:21)の既定
- Inventory_Scan タスク(ID:22)の既定
- KATAEDR タスク(ID:24)の既定
- Web_Control タスク(ID:26)の既定
- Standalone_Sandbox タスク(ID:29)の既定
- KATANDR タスク(ID:31)の既定
- KUMA タスク(ID:29)の既定
- 全般的な製品設定
- コンテナスキャンの全般設定
- 暗号化された接続のスキャン設定
- タスクのスケジュール設定
- 付録 4:コマンドラインの戻りコード
- 付録 5:Kaspersky Anti-Virus for Linux Mail Server との対話の設定
- Kaspersky Endpoint Security に関する情報源
- 用語解説
- サードパーティ製のコードに関する情報
- 商標に関する通知
IOC スキャンを管理するコマンド
「-T」は、製品設定とタスクを管理するためのコマンドのグループに、そのコマンドが属することを示す接頭辞です。
kesl-control --scan-ioc
このコマンドは、デバイス上の侵害の兆候 (IOC) の検索を開始します。
コマンド構文
kesl-control [-T] --scan-ioc --path <ディレクトリまたはファイルへのパス> [--process on|off] [--hint <正規表現>] [--arpentry on|off] [--ports on|off] [--system on|off] [--files on|off] [--drives all|system|critical|custom] [--excludes <除外リスト>] [--scope <ディレクトリリスト>] [--action Skip|QuarantineFile|IsolateHost|ScanCriticalAreas]
引数とキー
--path <ディレクトリまたはファイルへのパス>– スキャンを実行するために使用する、.IOC または .XML 拡張子を持つ IOC ファイルまたは IOC ファイルを含むディレクトリへのパス。
スペースで区切って複数のパスを指定することもできる。両方の種別のパス(ファイルへのパスとディレクトリへのパス)を指定することもできます。
--process – デバイス上で実行されているプロセスの分析を有効にします。
考えられる引数:
on– デバイス上で実行されているプロセスの分析を有効にします(既定値)。off– デバイス上で実行されているプロセスの分析を無効にします。
--process オプションを指定しない場合、アプリケーションは使用される IOC ファイルでこれらのプロセスの詳細 (ProcessItem) が指定されている場合にのみプロセスを分析します。
--hint <正規表現> – 分析対象のファイル (FileItem) またはプロセス (ProcessItem) の実行ファイルへの完全パスに一致する正規表現。
次の正規表現要素を使用できます:
- メタ文字:
. ^ $ | - 文字クラス:数字、英字、小文字、大文字、cntrl
- 量指定子:
* + ? {n} {n,} {n, m} - 否定:
[^a-c] - エスケープ文字:
\a\e\f,\n\r\t\v\b
--arpentry – ARP テーブル (ArpEntryItem) 内のエントリの分析を有効にします。
考えられる引数:
on– ARP 表内のエントリの分析を有効にします(既定値)。off– ARP 表内のエントリの分析を無効にします。
--arpentry オプションを指定しない場合、使用される IOC ファイルで ARP 表の詳細 (ArpEntryItem) が指定されている場合にのみ ARP 表を分析します。
--ports – 接続用に開いているポートの分析を有効にします。
考えられる引数:
on– 接続用に開いているポートの分析を有効にし、デバイス上のアクティブな接続をスキャンします(既定値)。off– 接続用に開いているポートの分析を無効にし、デバイス上のアクティブな接続をスキャンしません。
--ports オプションを指定しない場合、使用される IOC ファイルでこれらのポートの詳細 (PortItem) が指定されている場合にのみポートを分析します。
--system – システム環境の分析を有効にします。
考えられる引数:
on– システム環境の分析を有効にします(既定値)。off– システム環境の分析を無効にします。
--system オプションを指定しない場合、使用される IOC ファイルでシステム環境の詳細 (SystemInfoItem) が指定されている場合にのみ、システム環境を分析します。
--files – ファイル分析を有効にします。
考えられる引数:
on– ファイル分析を有効にします(既定値)。off– ファイル分析を無効にします。
--files オプションを指定しない場合、使用される IOC ファイルでファイルの詳細 (FileItem) が指定されている場合にのみファイルを分析します。
--drives – スキャンする領域。
考えられる引数:
all– 利用可能なすべてのファイル領域をチェックします。system– オペレーティングシステムがインストールされているディレクトリにあるファイルのみをスキャンします。critical– ユーザーディレクトリとシステムディレクトリ内のファイルをスキャンします(既定値)。custom– 指定した領域内のファイルのみをスキャンします。
--drives オプションを指定しない場合、アプリケーションはユーザーディレクトリとシステムディレクトリ内のファイルを分析します。
--excludes <除外リスト> – スキャンから除外されるパスのリスト。
このオプションで指定された除外はグローバルであり、範囲の種別やディレクトリリストに関係なく有効です。これらの除外は、--hint や --scope などの他のコマンドラインオプションよりも優先されます。
除外はパスとして指定されますが、再帰要素やワイルドカード文字(例:*)を含めることはできません。
--excludes オプションを指定しない場合は、除外なしでスキャンが実行されます。
スペースで区切って複数の除外を指定することもできる。
--scope <ディレクトリリスト> – スキャンする追加ディレクトリのリスト。
--drives オプションにカスタム引数を指定した場合、このオプションは必須です。
--action – 侵害の兆候が検知された場合に実行される処理。
考えられる引数:
Skip– 検知されたオブジェクトに対して処理を実行しませんが、そのオブジェクトに関する情報はタスク実行結果に保存されます(既定値)。QuarantineFile– 検知されたオブジェクトを隔離します。IsolateHost– オブジェクトが検知されたデバイスにネットワーク分離を強制します。ScanCriticalAreas– 簡易スキャンを実行します。- /lib/systemd
- /lib/udev
- /lib/dbus-1.0
- /usr/local/lib/systemd/user
- /usr/share/dbus-1
- /usr/share/gdm/autostart
- /usr/share/gnome/autostart
- /var/spool/at
- /var/spool/at/spool
- /var/spool/anacron
- /var/spool/cron
- /boot
- /bin
- /sbin
- /lib
- /lib32
- /lib64
- /libx32
- /usr/lib
- /usr/lib32
- /usr/lib64
- /usr/libx32
- ~/.config/autostart
- ~/.config/autostart-scripts
- ~/.config/plasma-workspace/env
- ~/.config/plasma-workspace/shutdown
- ~/.config/lxsession
- ~/.fluxbox/startup
- ~/.kde/Autostart
- /etc
スペースで区切って複数のパスを指定することもできます。
Skip 引数を指定する場合は、他の引数を追加しないでください。Skip 引数は単独でのみ使用できます。