Kaspersky Managed Detection and Response(KATA)との連携タスク(KATAEDR、ID:24)
2023年4月20日
ID 245712
Kaspersky Endpoint Detection and Response(KATA)(EDR(KATA))は、組織の IT インフラを保護し、ゼロデイ攻撃、標的型攻撃、高度持続型脅威(APT)などの脅威をプロンプトリーに検知することを目的とした Kaspersky Anti Targeted Attack Platform ソリューションのコンポーネントです。詳細は、Kaspersky Anti Targeted Attack Platform のヘルプセクションを参照してください。
EDR(KATA)と連携する場合、Kaspersky Endpoint Security は次の機能を実行できます:
- デバイス上のイベントに関するデータ(テレメトリ)を、セントラルノードコンポーネントのある Kaspersky Anti Targeted Attack Platform サーバー(「KATA サーバー」)に送信します。Kaspersky Endpoint Security は、プロセス、オープンネットワーク接続、変更されたファイルに関する監視データを、KATA サーバーに送信するとともに、アプリケーションが検知した脅威のデータと脅威の処理結果のデータを送信します。
- Kaspersky Anti Targeted Attack Platform から受け取った、保護機能を確保することを目的としたタスクを実行します。
Kaspersky Managed Detection and Response(KATA)との連携タスクでは、Kaspersky Endpoint Security アプリケーションと EDR(KATA)コンポーネントの連携を設定および有効にすることができます。Kaspersky Endpoint Security と EDR(KATA)との連携を、Kaspersky Security Center 管理コンソールと Kaspersky Security Center Web コンソールを使用して管理することもできます。
Kaspersky Security Center Cloud コンソールによる EDR(KATA)との連携の設定管理はサポートされていません。
EDR(KATA)と連携するためには、ふるまい検知タスクの起動が必要です。
Kaspersky Endpoint Security with EDR(KATA)との連携は、このタスクが開始されている場合にのみ可能です。それ以外の場合は、必要なテレメトリデータを送信することはできません。
EDR(KATA)は、次のタスクから受信したデータも使用できます:
- ファイル脅威対策
- ネットワーク脅威対策
- ウェブ脅威対策
EDR(KATA)との連携では、Kaspersky Endpoint Security を搭載したデバイスは、HTTPS プロトコルで KATA サーバーとの安全な接続を確立します。安全な接続を実現するため、KATA サーバーが発行する次の証明書を使用しています:
- KATA サーバー証明書。接続はサーバーの TLS 証明書を使用して暗号化されます。接続のセキュリティレベルは、Kaspersky Endpoint Security 側のサーバー証明書を検証することで上げられます。Kaspersky Managed Detection and Response(KATA)との連携タスクを実行する前に、連携サーバー証明書を追加します。
- クライアント証明書。この証明書は、双方向認証を使用した接続の追加保護に使用されます(Kaspersky Endpoint Security KATA サーバーを使用するスキャンデバイス)。同一のクライアント証明書を複数のデバイスで使用することができます。既定では、KATA サーバーはクライアント証明書をチェックしませんが、Kaspersky Anti Targeted Attack Platform 側で双方向認証を有効にすることができます。この場合、Kaspersky Managed Detection and Response(KATA)との連携タスク設定で双方向認証を有効にし、クライアント証明書(証明書と秘密鍵の入った暗号コンテナ)を追加する必要があります。
KATA サーバーとの接続を確保するための証明書は、Kaspersky Anti Targeted Attack Platform の管理者から提供されます。
Kaspersky Endpoint Security のアプリケーション全般設定で、プロキシサーバーの使用が設定されている場合、KATA サーバーへの接続にプロキシサーバーが使用されます。
Kaspersky Endpoint Security と Kaspersky Anti Targeted Attack Platform が連携されている場合、systemd ログに大量のイベントが書き込まれる可能性があります。監査イベントのログ記録を無効にする場合、systemd-journald-audit ソケットを無効にし、オペレーティングシステムを再起動します。
systemd-journald-audit ソケットを無効にするには、次のコマンドを実行します:
systemctl stop systemd-journald-audit.socket
systemctl disable systemd-journald-audit.socket
systemctl mask systemd-journald-audit.socket