Kaspersky Managed Detection and Response との連携
2023年4月20日
ID 247439
Kaspersky Endpoint Security と Kaspersky Managed Detection and Response(MDR)の連携により、組織を対象とした脅威の継続的な検索、検知、および排除を可能にします。
Kaspersky Managed Detection and Response との対話時に、Kaspersky Endpoint Security では次の機能を実行できます:
- テレメトリデータを Kaspersky Managed Detection and Response に送信して、脅威を検知します。
- Kaspersky Managed Detection and Response のコマンドを実行して、セキュリティ機能を提供します。
Kaspersky Endpoint Security と Kaspersky Managed Detection and Response との連携を設定するには、次の処理を実行します:
- ファイル脅威対策およびふるまい検知が開始されたことを確認します。それ以外の場合は、Kaspersky Managed Detection and Response でコンピューターのステータスが赤色になります。また、ウェブ脅威対策とネットワーク脅威対策のタスクも開始することを推奨します。それ以外の場合は、Kaspersky Managed Detection and Response でコンピューターのステータスが赤色になります。ステータスの詳細は、「Managed Detection and Responseのオンラインヘルプ」を参照してください。
- 拡張モードでの Kaspersky Security Network の使用を有効にします。
コマンドラインの使用、管理コンソール、または Kaspersky Security Center Web コンソールによって、Kaspersky Security Network の使用を有効化できます。
- MDR 設定情報ファイルの ZIP アーカイブにある Kaspersky Security Network 設定情報ファイルを使用してテレメトリを送信するように、Kaspersky Private Security Network を設定します。
プライベート KSN は、管理コンソールまたは Kaspersky Security Center Web コンソールでのみ設定できます。
- Kaspersky Managed Detection and Response との連携を有効にし、MDR 設定情報ファイルの ZIP アーカイブにある BLOB 設定情報ファイルをアップロードします。
管理コンソールまたは Kaspersky Security Center Web コンソールで、Kaspersky Endpoint Security と Kaspersky Managed Detection and Response の連携を設定してください。
Kaspersky Endpoint Security と Kaspersky Managed Detection and Response の連携を設定し、コマンドラインから BLOB 設定情報ファイルをアップロードすることもできます。
Kaspersky Managed Detection and Response との連携を有効にするには、次のコマンドを実行します:
kesl-control --set-app-settings UseMDR=Yes
Kaspersky Managed Detection and Response との連携を無効にするには、次のコマンドを実行します:
kesl-control --set-app-settings UseMDR=No
BLOB 設定情報ファイルを読み込むには、次のコマンドを実行します:
kesl-control --load-mdr-blob <
MDR BLOB 設定情報ファイルのパス
>
BLOB 設定情報ファイルを削除するには、次のコマンドを実行します:
kesl-control --remove-mdr-blob
Kaspersky Endpoint Security と Kaspersky Managed Detection and Response ソリューションの連携を有効にした後、アプリケーションに Mdr_Autostart_Scan タスクが作成されます。必要な場合、/opt/kaspersky/kesl/bin/kesl-control --set-schedule <task ID|task name> --file <full path to file
コマンドを使用してこのタスクのスケジュールを設定し、アプリケーションでこのタスクに割り当てられた ID またはタスク名 Mdr_Autostart_Scan を指定できます。
Kaspersky Endpoint Security と Kaspersky Managed Detection and Response が連携されている場合、systemd ログに大量のイベントが書き込まれる可能性があります。監査イベントのログ記録を無効にする場合、systemd-journald-audit ソケットを無効にし、オペレーティングシステムを再起動します。
systemd-journald-audit ソケットを無効にするには、次のコマンドを実行します:
systemctl stop systemd-journald-audit.socket
systemctl disable systemd-journald-audit.socket
systemctl mask systemd-journald-audit.socket