Detection and Response ソリューションのコマンドに対する応答処理について
Kaspersky Endpoint Security は、セキュリティ機能の提供を目的とした応答処理を実行できます。
- Kaspersky Endpoint Detection and Response (KATA) と対話する場合は、Kaspersky Anti Targeted Attack Platform ソリューションのコンポーネントです。
- Kaspersky Endpoint Detection and Response Optimum と対話する場合:
Kaspersky Anti Targeted Attack Platform と Kaspersky Endpoint Detection and Response Optimum の応答処理設定は異なります。
Kaspersky Endpoint Security は次の応答処理を実行できます:
- デバイスからファイルを取得します。
この処理は、ファイルの取得タスクを使用して実行されます。たとえば、サードパーティのプログラムによって生成されたイベントログファイルを取得するようにアプリケーションを設定できます。
- デバイスからファイルを削除します。
この処理は、ファイルの削除タスクを使用して実行されます。
- デバイス上でプロセスをリモートで実行します。
この処理は、プロセスの実行タスクを使用して実行されます。
たとえば、デバイスの設定情報ファイルを作成するユーティリティをリモートで実行し、ファイルの取得タスクでファイルを取得します。
- デバイス上のプロセスをリモートで終了します。
この処理は、プロセスの終了タスクを使用して実行されます。
たとえば、「プロセスの実行」タスクを使用して起動されたインターネットスピードテストユーティリティをリモートで終了できます。
- デバイス上の侵害の兆候を検出し、脅威への対応処理を実行します。
この処理は、IOC スキャンタスクを使用して実行されます。
IOC スキャンタスクは、オペレーティングシステムの主要な名前空間でのみ、IOC 用語(IOC オブジェクトのプロパティ、たとえばファイルハッシュ)をチェックします。IOC スキャンタスクでは、200 MB を超えるファイルのハッシュは計算されません。
- デバイスのネットワーク分離を有効または無効にします。
Kaspersky Endpoint Security が Kaspersky Endpoint Detection and Response Optimum と連携すると、次の操作が可能になります:
- Web コンソールでのネットワーク分離の有効化または無効化
- コマンドラインでのネットワーク分離の無効にします。
- Web コンソールでネットワーク分離の自動無効化を設定します。
Kaspersky Endpoint Security が Kaspersky Endpoint Detection and Response (KATA) と連携すると、次の操作が可能になります:
- コマンドラインでのネットワーク分離の無効にします。
- Kaspersky Endpoint Detection and Response (KATA) ソリューションでネットワーク分離を有効または無効にします。
詳細は、Kaspersky Anti Targeted Attack Platform のヘルプを参照してください。
ネットワーク分離の制限
ネットワーク分離を使用する時は、以下に説明する制限をよく理解しておくことを強く推奨します。
ネットワーク分離を行うには、Kaspersky Endpoint Security が実行されている必要があります。Kaspersky Endpoint Security に不具合がある場合(かつアプリケーションが実行されていない場合)、 Kaspersky Anti Targeted Attack Platform または Kaspersky Endpoint Detection and Response Optimum によってネットワーク分離が有効になっていると、トラフィックのブロックは保証されません。
ネットワーク分離が有効になっているトランジットトラフィックは制限付きでサポートされており、フィルタリングされる場合があります。
DHCP と DNS はネットワーク分離の例外に自動的に追加されないため、ネットワーク分離中に発生源のネットワークアドレスが変更された場合、Kaspersky Endpoint Security はその発生源にアクセスできなくなります。フォールトトレラント KATA サーバーのノードにも同じことが当てはまります。Kaspersky Endpoint Security との連絡が途絶えないように、アドレスを変更しないことを推奨します。
また、プロキシサーバーはネットワーク分離の除外対象に自動的に追加されないため、Kaspersky Endpoint Security が KATA サーバーとの接続を失わないように、手動で除外対象に追加する必要があります。
プロセスをネットワーク分離に追加したり、名前でプロセスをネットワーク分離から除外したりすることはサポートされていません。
Kaspersky Endpoint Security を標準モードで使用する場合、ネットワーク分離を使用するときは次の操作を実行することを推奨します:
- Kaspersky Security Network と対話するには、KSN プロキシサーバーを使用します。
- Kaspersky Security Center を製品のアクティベーションのプロキシサーバーとして使用します。
Kaspersky Security Center をプロキシサーバーとして使用できない場合は、必要なプロキシサーバーの設定を設定し、除外に追加してください。
- データベース更新ソースとして Kaspersky Security Center を指定します。
これらの推奨事項は、Kaspersky Endpoint Security が Light Agent モードで使用される場合には適用されません。