Detection and Response ソリューションとの連携
カスペルスキーの Detection and Response ソリューションは、組織のインフラストラクチャの様々なレベルで高度な脅威や攻撃の兆候を検知するように設計されたセキュリティシステムです。検知および対応ソリューションは、検知された脅威に関する情報を提供し、検知への対応を管理します。
Kaspersky Endpoint Security は、次の Kaspersky Detection and Response ソリューションと相互運用できます:
- Kaspersky Anti Targeted Attack Platform (Kaspersky Endpoint Detection and Response コンポーネント)Kaspersky Endpoint Detection and Response (KATA) との連携は、Kaspersky Endpoint Security コンポーネントで Endpoint Detection and Response (KATA) (EDR (KATA)) によって促進されます。
- Kaspersky Endpoint Detection and Response Optimum連携は、Kaspersky Endpoint Security コンポーネントである Endpoint Detection and Response Optimum (EDR Optimum) によって促進されます。
- Kaspersky Managed Detection and Response連携は、Kaspersky Endpoint Security コンポーネントである Managed Detection and Response (MDR) によって促進されます。
Kaspersky Endpoint Security と Kaspersky Managed Detection and Response および Kaspersky Anti Targeted Attack Platform が連携されている場合、systemd ログに大量のイベントが書き込まれる可能性があります。監査イベントのログ記録を無効にする場合、systemd-journald-audit ソケットを無効にし、オペレーティングシステムを再起動します。
systemd-journald-audit ソケットを無効にするには、次のコマンドを実行します:
systemctl stop systemd-journald-audit.socket
systemctl disable systemd-journald-audit.socket
systemctl mask systemd-journald-audit.socket
既定では、SintezM-Client オペレーティングシステムでは、auditd サービスの設定は変更から保護されており、enabled 2
モードになっています。Kaspersky Endpoint Security が Kaspersky Managed Detection and Response および Kaspersky Anti Targeted Attack Platform ソリューションと連携されている場合にふるまい検知コンポーネントを正しく動作させるには、設定情報ファイルの auditd モードを enabled 1
(設定ブロックなし)に変更し、オペレーティングシステムを再起動します。