Kaspersky Managed Detection and Response(KATA)との連携タスク(KATAEDR、ID:24)
2023年12月20日
ID 245712
Kaspersky Endpoint Security は、組織の IT インフラを保護し、ゼロデイ攻撃、標的型攻撃、高度持続型脅威(APT)などの脅威をプロンプトリーに検知することを目的とした Kaspersky Anti Targeted Attack Platform ソリューションと互換性があります。詳細は、Kaspersky Anti Targeted Attack Platform のヘルプを参照してください。
Kaspersky Endpoint Detection and Response (KATA) (EDR (KATA)) は、Kaspersky Anti Targeted Attack Platform ソリューションのコンポーネントです。
EDR(KATA)と連携する場合、Kaspersky Endpoint Security は次の機能を実行できます:
- デバイス上のイベントに関するデータ(テレメトリ)を、セントラルノードコンポーネントのある Kaspersky Anti Targeted Attack Platform サーバー(「KATA サーバー」)に送信します。Kaspersky Endpoint Security は、プロセス、オープンネットワーク接続、変更されたファイルに関する監視データを、KATA サーバーに送信するとともに、アプリケーションが検知した脅威のデータと脅威の処理結果のデータを送信します。
- Kaspersky Anti Targeted Attack Platform から受信したコマンドに基づき、保護機能の確保を目的とした次の対応処理を実行します:
- 「ファイルの取得」タスクを使用すると、ユーザーデバイスからファイルを取得できます。たとえば、サードパーティのプログラムによって生成されたイベントログファイルを取得するようにアプリケーションを設定できます。
- 「ファイルの削除」タスクを使用すると、デバイスからファイルを削除できます。
- 「プロセスの実行」タスクを使用すると、デバイス上のファイルをリモートで実行できます。たとえば、デバイスの設定情報ファイルを作成するユーティリティをリモートで実行し、「ファイルの取得」タスクを使用して作成されたファイルを取得できます。
- 「プロセスの終了」タスクを使用すると、デバイス上のプロセスをリモートで終了できます。たとえば、「プロセスの実行」タスクを使用して起動されたインターネットスピードテストユーティリティをリモートで終了できます。
- IOC スキャンタスクを使用すると、デバイス上の侵害の兆候を検知し、脅威に対応する処理を実行できます。侵害の兆候(IOC)は、デバイスへの不正アクセス(侵害されたデータ)を示すオブジェクトまたは処理に関する一連のデータです。IOC ファイルは、IOC の検索に使用されます。IOC 検索タスクは、オペレーティングシステムの主要な名前空間でのみ、IOC 用語(IOC オブジェクトのプロパティ、たとえばファイルハッシュ)をチェックします。IOC 検索タスクでは、200 MB を超えるファイルのハッシュは計算されません。
- ネットワークデバイス分離を使用すると、デバイスをネットワークから分離できます。ネットワーク分離を有効にした後に KATA サーバーとの接続が失われた場合は、デバイスのネットワーク分離を無効にすることができます。
ネットワーク分離の制限
ネットワーク分離を使用する時は、以下に説明する制限をよく理解しておくことを強く推奨します。
ネットワーク分離を行うには、Kaspersky Endpoint Security が実行されている必要があります。Kaspersky Endpoint Security に障害が発生している場合(アプリケーションが実行されていない場合)、Kaspersky Anti Targeted Attack Platform でネットワーク分離を有効にしても、トラフィックがブロックされないことがあります。
ネットワーク分離が有効になっているトランジットトラフィックは制限付きでサポートされており、フィルタリングされる場合があります。
DHCP と DNS はネットワーク分離の例外に自動的に追加されないため、ネットワーク分離中に発生源のネットワークアドレスが変更された場合、Kaspersky Endpoint Security はその発生源にアクセスできなくなります。フォールトトレラント KATA サーバーのノードにも同じことが当てはまります。Kaspersky Endpoint Security との連絡が途絶えないように、アドレスを変更しないことを推奨します。
また、プロキシサーバーはネットワーク分離の除外対象に自動的に追加されないため、Kaspersky Endpoint Security が KATA サーバーとの接続を失わないように、手動で除外対象に追加する必要があります。
プロセスをネットワーク分離に追加したり、名前でプロセスをネットワーク分離から除外したりすることはサポートされていません。
ネットワーク分離を使用する時は、KSN プロキシサーバーを使用して Kaspersky Security Network と対話し、Kaspersky Security Center をプロキシサーバーとして使用してアプリケーションをアクティベートし、Kaspersky Security Center を定義データベースのアップデート元として指定することを推奨します。Kaspersky Security Center をプロキシサーバーとして使用できない場合は、必要なプロキシサーバーの設定を設定し、例外に追加してください。
統合条件
Kaspersky Managed Detection and Response(KATA)との連携タスクでは、Kaspersky Endpoint Security アプリケーションと EDR(KATA)コンポーネントの連携を設定および有効にすることができます。Kaspersky Endpoint Security と EDR(KATA)との連携を、Kaspersky Security Center 管理コンソールと Kaspersky Security Center Web コンソールを使用して管理することもできます。
EDR(KATA)との統合の設定は、Kaspersky Security Center Cloud コンソールからは管理できません。
EDR(KATA)と連携するためには、ふるまい検知タスクの起動が必要です。
Kaspersky Endpoint Security と EDR(KATA)との連携は、ふるまい検知タスクが開始されている場合にのみ可能です。そうしないと、必要なテレメトリーデータを送信することができません。
テレメトリの除外を機能させるには、Kaspersky Endpoint Security と Kaspersky Managed Detection and Response ソリューションの統合を無効にする必要があります。Kaspersky Endpoint Security と Kaspersky Managed Detection and Response の統合が有効になっている場合、プロセスによる除外は適用されません。
EDR(KATA)は、次のタスクから受信したデータも使用できます:
- ファイル脅威対策
- ネットワーク脅威対策
- ウェブ脅威対策
接続のセキュア化
EDR(KATA)との連携では、Kaspersky Endpoint Security を搭載したデバイスは、HTTPS プロトコルで KATA サーバーとの安全な接続を確立します。安全な接続を実現するため、KATA サーバーが発行する次の証明書を使用しています:
- KATA サーバー証明書。接続はサーバーの TLS 証明書を使用して暗号化されます。接続のセキュリティレベルは、Kaspersky Endpoint Security 側のサーバー証明書を検証することで上げられます。Kaspersky Managed Detection and Response(KATA)との連携タスクを実行する前に、連携サーバー証明書を追加します。
- クライアント証明書。この証明書は、双方向認証を使用した接続の追加保護に使用されます(Kaspersky Endpoint Security KATA サーバーを使用するスキャンデバイス)。同一のクライアント証明書を複数のデバイスで使用することができます。既定では、KATA サーバーはクライアント証明書をチェックしませんが、Kaspersky Anti Targeted Attack Platform 側で双方向認証を有効にすることができます。この場合、Kaspersky Managed Detection and Response(KATA)との連携タスク設定で双方向認証を有効にし、クライアント証明書(証明書と秘密鍵の入った暗号コンテナ)を追加する必要があります。
KATA サーバーとの接続を確保するための証明書は、Kaspersky Anti Targeted Attack Platform の管理者から提供されます。
Kaspersky Endpoint Security のアプリケーション全般設定で、プロキシサーバーの使用が設定されている場合、KATA サーバーへの接続にプロキシサーバーが使用されます。
イベントのログ記録
Kaspersky Endpoint Security と Kaspersky Anti Targeted Attack Platform が連携されている場合、systemd ログに大量のイベントが書き込まれる可能性があります。監査イベントのログ記録を無効にする場合、systemd-journald-audit ソケットを無効にし、オペレーティングシステムを再起動します。
systemd-journald-audit ソケットを無効にするには、次のコマンドを実行します:
systemctl stop systemd-journald-audit.socket
systemctl disable systemd-journald-audit.socket
systemctl mask systemd-journald-audit.socket