- Kaspersky Security for Windows Server について
- 新機能
- Kaspersky Security for Windows Server に関する情報源
- Kaspersky Security for Windows Server
- Kaspersky Endpoint Agent
- アプリケーションのインストールと削除
- Windows インストーラーサービスでの Kaspersky Security for Windows Server ソフトウェアコンポーネントの指定時に使用するコンポーネントコード
- Kaspersky Security for Windows Server インストール後のシステム変更
- Kaspersky Security for Windows Server プロセス
- インストールおよびアンインストールの設定と Windows インストーラーサービスで使用するコマンドラインオプション
- Kaspersky Security for Windows Server のインストールログとアンインストールログ
- インストールの計画
- ウィザードを使用した製品のインストールとアンインストール
- セットアップウィザードを使用したインストール
- コンポーネントセットの変更と Kaspersky Security for Windows Server の修復
- セットアップウィザードを使用したアンインストール
- コマンドラインによる製品のインストールとアンインストール
- Kaspersky Security Center を使用した製品のインストールとアンインストール
- Kaspersky Security Center を使用したインストールに関する全般的な情報
- Kaspersky Security for Windows Server をインストールまたはアンインストールする権限
- Kaspersky Security Center を使用した Kaspersky Security for Windows Server のインストール
- Kaspersky Security for Windows Server インストール後に実行する処理
- Kaspersky Security Center を使用したアプリケーションコンソールのインストール
- Kaspersky Security Center を使用した Kaspersky Security for Windows Server のアンインストール
- Active Directory のグループポリシーを使用したインストールとアンインストール
- Kaspersky Security for Windows Server の機能のテスト:テスト用ウイルス EICAR の使用
- アプリケーションインターフェイス
- ライセンス
- 管理プラグインの使用
- Kaspersky Security for Windows Server コンソールの使用
- Kaspersky Security for Windows Server コンソールについて
- Kaspersky Security for Windows Server コンソールのインターフェイス
- 別のデバイスにインストールしたアプリケーションコンソールを使用した Kaspersky Security for Windows Server の管理
- アプリケーションコンソールからの全般的なアプリケーション設定
- Kaspersky Security for Windows Server タスクの管理
- 保護ステータスと Kaspersky Security for Windows Server の情報の表示
- Web コンソールおよび Cloud コンソールからの Web プラグインの操作
- コンパクト診断インターフェイス
- Kaspersky Security for Windows Server の定義データベースとソフトウェアモジュールのアップデート
- オブジェクトの隔離とバックアップのコピー
- イベントの登録:Kaspersky Security for Windows Server のログ
- 通知の設定
- Kaspersky Security for Windows Server の開始と停止
- Kaspersky Security for Windows Server のセルフディフェンス機構
- Kaspersky Security for Windows Server のセルフディフェンス機構について
- Kaspersky Security for Windows Server のコンポーネントがインストールされているフォルダーの改変防止
- Kaspersky Security for Windows Server のレジストリキーの改変防止
- Kaspersky Security サービスを保護対象サービスとして登録する
- Kaspersky Security for Windows Server の各種機能に対するアクセス権限の管理
- ファイルのリアルタイム保護
- ファイルのリアルタイム保護タスクについて
- タスクの保護範囲とセキュリティ設定について
- 仮想保護範囲について
- 定義済みの保護範囲
- 定義済みのセキュリティレベルについて
- ファイルのリアルタイム保護タスクで既定でスキャンされるファイルの拡張子
- ファイルのリアルタイム保護タスクの既定の設定
- 管理プラグインからファイルのリアルタイム保護タスクを管理する
- アプリケーションコンソールからファイルのリアルタイム保護タスクを管理する
- Web プラグインからファイルのリアルタイム保護タスクを管理する
- スクリプト監視
- KSN の使用
- ネットワーク脅威対策
- トラフィックセキュリティ
- アンチクリプター
- アプリケーション起動コントロール
- アプリケーション起動コントロールタスクについて
- アプリケーション起動コントロールルールについて
- ソフトウェア配布コントロールについて
- アプリケーション起動コントロールタスクでの KSN の使用について
- アプリケーション起動コントロールルールの作成について
- アプリケーション起動コントロールタスクの既定の設定
- 管理プラグインからアプリケーション起動コントロールを管理する
- アプリケーションコンソールからアプリケーション起動コントロールを管理する
- Web プラグインからアプリケーション起動コントロールを管理する
- デバイスコントロール
- デバイスコントロールタスクについて
- デバイスコントロールルールについて
- デバイスコントロールルールの作成について
- デバイスコントロールルールの自動作成タスクについて
- デバイスコントロールの既定のタスク設定
- 管理プラグインからデバイスコントロールを管理する
- アプリケーションコンソールからデバイスコントロールを管理する
- アプリケーションコンソール Web プラグインからデバイスコントロールを管理する
- ファイアウォール管理
- ファイル変更監視
- Windows イベントログ監視
- オンデマンドスキャン
- 信頼ゾーン
- 脆弱性攻撃ブロック
- 階層型ストレージの管理
- ネットワーク接続ストレージの保護
- ネットワーク接続ストレージの保護について
- Windows ファイアウォールでの受信接続と送信接続の設定
- ローカルグループポリシーエディターを使用したローカルポリシーのセキュリティ設定の定義
- Celerra / VNX グループの EMC ネットワーク接続ストレージの保護
- ネットワーク接続ストレージの保護に関するステータス情報の確認
- RPC ネットワークストレージの保護
- RPC ネットワークストレージの保護について
- シンボリックリンクのスキャンについて
- スナップショットやその他の読み取り専用のボリュームとフォルダーのスキャンについて
- RPC ネットワークストレージの保護タスクのセキュリティレベルについて
- アプリケーションコンソールから RPC ネットワークストレージの保護タスクを管理する
- 管理プラグインから RPC ネットワークストレージの保護タスクを管理する
- Web プラグインから RPC ネットワークストレージの保護タスクを管理する
- ICAP ネットワークストレージの保護
- ICAP ネットワークストレージの保護について
- ICAP ネットワークストレージの保護タスクのセキュリティレベルについて
- アプリケーションコンソールから ICAP ネットワークストレージの保護タスクを管理する
- 管理プラグインから ICAP ネットワークストレージの保護タスクを管理する
- Web プラグインから ICAP ネットワークストレージの保護タスクを管理する
- NetApp のアンチクリプター
- サードパーティ製システムとの統合
- システム監視用パフォーマンスカウンター
- Kaspersky Security for Windows Server の SNMP カウンターおよびトラップ
- WMI との統合
- コマンドラインからの Kaspersky Security for Windows Server の使用
- コマンド
- Kaspersky Security for Windows Server コマンドヘルプの表示:KAVSHELL HELP
- Kaspersky Security サービスの開始と停止:KAVSHELL START、KAVSHELL STOP
- 選択した領域のスキャン:KAVSHELL SCAN
- 簡易スキャンの開始:KAVSHELL SCANCRITICAL
- タスクの非同期での管理:KAVSHELL TASK
- PPL 属性の削除:KAVSHELL CONFIG
- サーバーのリアルタイム保護タスクの開始と停止:KAVSHELL RTP
- アプリケーション起動コントロールタスクの管理:KAVSHELL APPCONTROL /CONFIG
- アプリケーション起動コントロールルールの自動作成:KAVSHELL APPCONTROL /GENERATE
- アプリケーション起動コントロールルールのリストの入力:KAVSHELL APPCONTROL
- デバイスコントロールルールのリストの入力:KAVSHELL DEVCONTROL
- 定義データベースのアップデートタスクを開始する:KAVSHELL UPDATE
- Kaspersky Security for Windows Server 定義データベースのロールバック:KAVSHELL ROLLBACK
- Windows イベントログ監視の管理:KAVSHELL TASK LOG-INSPECTOR
- 製品のアクティベート:KAVSHELL LICENSE
- トレースログの有効化、設定、無効化:KAVSHELL TRACE
- Kaspersky Security for Windows Server ログファイルのデフラグ:KAVSHELL VACUUM
- iSwift ベースのクリーニング:KAVSHELL FBRESET
- ダンプファイル作成の有効化と無効化:KAVSHELL DUMP
- 設定のインポート:KAVSHELL IMPORT
- 設定のエクスポート:KAVSHELL EXPORT
- Microsoft Operations Management Suite との統合:KAVSHELL OMSINFO
- ベースラインに基づくファイル変更監視タスクの管理:KAVSHELL FIM /BASELINE
- コマンドのリターンコード
- KAVSHELL START および KAVSHELL STOP コマンドのリターンコード
- KAVSHELL SCAN および KAVSHELL SCANCRITICAL コマンドのリターンコード
- KAVSHELL TASK LOG-INSPECTOR コマンドのリターンコード
- KAVSHELL TASK コマンドのリターンコード
- KAVSHELL RTP コマンドのリターンコード
- KAVSHELL UPDATE コマンドのリターンコード
- KAVSHELL ROLLBACK コマンドのリターンコード
- KAVSHELL LICENSE コマンドのリターンコード
- KAVSHELL TRACE コマンドのリターンコード
- KAVSHELL FBRESET コマンドのリターンコード
- KAVSHELL DUMP コマンドのリターンコード
- KAVSHELL IMPORT コマンドのリターンコード
- KAVSHELL EXPORT コマンドのリターンコード
- KAVSHELL FIM /BASELINE コマンドのリターンコード
- コマンド
- テクニカルサポートへのお問い合わせ
- 用語解説
- サードパーティ製のコードに関する情報
- 商標に関する通知
SIEM 統合設定
低パフォーマンスデバイスの負荷を低下させ、アプリケーションログのサイズの肥大化によるシステムの性能低下のリスクを低減するために、Syslog プロトコルによる syslog サーバーへの監査イベントおよびタスクパフォーマンスイベントの公開を設定できます。
syslog サーバーは、イベント(SIEM)を集計するための外部サーバーです。受信したイベントを保管、分析し、その他のログ管理処理も実行します。
次の 2 つのモードで SIEM 統合を使用できます:
- syslog プロトコルでリモート syslog サーバーにイベントを送信する:このモードでは、ログの設定で公開が設定されたすべてのタスクパフォーマンスイベントとすべてのシステム監査イベントが、SIEM サーバーへの送信後も保護対象デバイスに引き続き格納されます。
このモードを使用して、保護対象デバイスの負荷をできるだけ軽減してください。
- リモート syslog サーバーに送信されたイベントの場合、ローカルコピーを削除する:このモードでは、アプリケーションの操作中に登録され、SIEM サーバーに公開されたすべてのイベントが、保護対象デバイスから削除されます。
セキュリティログのローカルバージョンは決して削除されません。
Kaspersky Security for Windows Server はアプリケーションログのイベントを syslog サーバーでサポートされる形式に変換して、イベントを送信し SIEM サーバーが正常に認識できるようにできます。STRUCTURED-DATA 形式や JSON 形式への変換がサポートされています。
SIEM サーバーへのイベントの送信に失敗するリスクを軽減するために、ミラー syslog サーバーへの接続設定を指定できます。
ミラー syslog サーバーは追加の syslog サーバーで、メインの syslog サーバーに接続できないか、メインのサーバーが使用できない場合に、自動的に切り替えられます。
既定では、SIEM 統合は使用されません。SIEM 統合は、有効化や無効化、関連する設定ができます(次の表を参照)。
SIEM 統合設定
設定 |
既定値 |
説明 |
|---|---|---|
syslog プロトコルでリモート syslog サーバーにイベントを送信する |
オフ |
それぞれ、チェックボックスをオンまたはオフにすることによって、SIEM 統合を有効または無効にできます。 |
リモート syslog サーバーに送信されたイベントの場合、ローカルコピーを削除する |
オフ |
チェックボックスをオンまたはオフにすることによって SIEM サーバーに送信されたログのローカルコピーの保存設定を行うことができます。 |
イベント形式 |
STRUCTURED-DATA |
これらのイベントを syslog サーバーに送信して SIEM サーバーで良好に認識するために、イベントの変換形式には 2 つのいずれかを選択できます。 |
接続プロトコル |
TCP |
ドロップダウンリストを使用して、メイン syslog サーバーへの接続プロトコルに UDP または TCP を設定できます。ミラー syslog サーバーへの接続プロトコルには TCP を設定できます。 |
メイン syslog サーバー接続設定 |
IP アドレス:127.0.0.1 ポート:514 |
適切なフィールドを使用して、メインの syslog サーバーへの接続に使用する IP アドレスおよびポートを設定できます。 IP アドレスは IPv4 形式でのみ指定できます。 |
メインのサーバーにアクセスできない場合、ミラー syslog サーバーを使用する |
オフ |
チェックボックスを使用してミラー syslog サーバーの使用を有効または無効にできます。 |
ミラー syslog サーバー接続設定 |
IP アドレス:127.0.0.1 ポート:514 |
適切なフィールドを使用して、ミラー syslog サーバーへの接続に使用する IP アドレスおよびポートを設定できます。 IP アドレスは IPv4 形式でのみ指定できます。 |
SIEM 統合設定を設定するには:
- Kaspersky Security Center の管理コンソールツリーで[管理対象デバイス]フォルダーを展開します。
- アプリケーション設定を編集する管理グループを選択します。
- 選択した管理グループの詳細ペインで、次のいずれかを実行します:
- 保護対象デバイスグループに対してアプリケーションを設定するには、[ポリシー]タブを選択して、設定するポリシーのプロパティウィンドウを開きます。
- 単一の保護対象デバイスに対してアプリケーションを設定するには、[デバイス]タブを選択して、[アプリケーションの設定]ウィンドウを開きます。
Kaspersky Security Center のアクティブポリシーがデバイスに適用され、アプリケーションの設定の変更がブロックされている場合、[アプリケーションの設定]ウィンドウでこれらの設定を編集することはできません。
- [ログと通知]セクションで、[実行ログ]サブセクションの[設定]をクリックします。
[ログと通知の設定]ウィンドウが開きます。
- [SIEM 連携]タブを選択します。
- [連携の設定]セクションで、[syslog プロトコルでリモート syslog サーバーにイベントを送信する]をオンにします。
このチェックボックスを使用して、公開されたイベントを外部 syslog サーバーに送信する機能を有効または無効にできます。
チェックボックスがオンの場合、公開されたイベントは SIEM 統合設定を使用して SIEM サーバーに送信されます。
チェックボックスがオフの場合、SIEM 統合は実行されません。チェックボックスがオフの場合、SIEM 統合を設定できません。
既定では、このチェックボックスはオフです。
- 必要に応じて、[連携の設定]セクションの[リモート syslog サーバーに送信されたイベントの場合、ローカルコピーを削除する]をオンにします。
このチェックボックスを使用して、SIEM サーバーに送信したログのローカルコピーの削除を有効または無効にします。
チェックボックスがオンの場合、SIEM サーバーに正常に公開されると、イベントのローカルコピーが削除されます。低パフォーマンスのデバイスにはこのモードをお勧めします。
チェックボックスがオフの場合、ただ SIEM サーバーにイベントが送信されます。ログのコピーは、引き続きローカルに保存されます。
既定では、このチェックボックスはオフです。
[リモート syslog サーバーに送信されたイベントの場合、ローカルコピーを削除する]の状態は、セキュリティログのイベントを保存する設定に影響を及ぼしません。セキュリティログイベントが自動的に削除されることはありません。
- [イベント形式]セクションで、アプリケーションのイベントを SIEM サーバーに送信できるように変換する形式を指定します。
既定では、STRUCTURED-DATA 形式に変換されます。
- [接続設定]セクション:
- SIEM 接続プロトコルを指定します。
- メインの syslog サーバーに接続する設定を指定します。
IP アドレスは IPv4 形式でのみ指定できます。
- メインの syslog サーバーにイベントを送信できない場合にその他の接続設定を使用するようにするには、[メインのサーバーにアクセスできない場合、ミラー syslog サーバーを使用する]をオンにします。
ミラー syslog サーバーに接続する設定を指定します:[アドレス]および[ポート]。
[メインのサーバーにアクセスできない場合、ミラー syslog サーバーを使用する]がオフの場合、ミラー syslog サーバーの[アドレス]および[ポート]は編集できません。
IP アドレスは IPv4 形式でのみ指定できます。
- [OK]をクリックします。
設定済みの SIEM 統合設定が適用されます。