Endpoint Detection and Response (KATA)
Kaspersky Endpoint Security バージョン 12.1 では、Kaspersky Anti Targeted Attack Platform ソリューションの一部である Kaspersky Endpoint Detection and Response コンポーネントの管理用の組み込みエージェントが含まれるようになりました。Kaspersky Anti Targeted Attack Platform は、標的型攻撃、高度な持続的脅威(APT)、ゼロデイ攻撃などの高度な脅威をタイムリーに検知するために設計されたソリューションです。Kaspersky Anti Targeted Attack Platform には、Kaspersky Anti Targeted Attack(以下、「KATA」とも表記)および Kaspersky Endpoint Detection and Response(以下「EDR (KATA)」とも表記)の 2 つの機能ブロックがあります。EDR (KATA) 個別で購入することも可能です。ソリューションについて詳しくは、Kaspersky Anti Targeted Attack Platform のヘルプを参照してください。
Kaspersky Endpoint Security は、企業の IT インフラストラクチャにある個別のコンピューターにインストールされ、プロセス、開かれているネットワーク接続や編集されているファイルを継続的に監視します。コンピューターのイベントに関する情報(テレメトリデータ)は Kaspersky Anti Targeted Attack Platform サーバーに送信されます。この場合、Kaspersky Endpoint Security は、本製品が検出した脅威に関する情報およびその脅威の処理結果についての情報を Kaspersky Anti Targeted Attack Platform サーバーに 送信します。
EDR (KATA) 連携は Kaspersky Security Center コンソールで設定します。タスクの実行、隔離されたオブジェクトの管理、レポートの表示やその他の処理を含む組み込みエージェントは、Kaspersky Anti Targeted Attack Platform コンソールを使用して管理されるようになります。
Endpoint Detection and Response (KATA) の設定
パラメータ | 説明 |
|---|---|
KATA サーバーへの接続設定 | タイムアウト:Central Node サーバーの応答がタイムアウトするまでの最大値。タイムアウトすると、Kaspersky Endpoint Security は別の Central Node サーバーに接続を試みます。 サーバー TLS 証明書:Central Node サーバーと信頼済みの接続を確立するための TLS 証明書。TLS 証明書は Kaspersky Anti Targeted Attack Platform コンソールで取得できます(Kaspersky Anti Targeted Attack Platform のヘルプを参照してください)。 相互認証を使用する:Kaspersky Endpoint Security と Central Node 間でセキュアな通信を確立する際の相互認証。相互認証を使用するには、Central Node の設定で相互認証を有効にする必要があります。その後、暗号化コンテナーを取得して暗号化コンテナーを保護するパスワードを設定します。暗号化コンテナーとは、証明書と秘密鍵が含まれた PFX アーカイブです。暗号化コンテナーは Kaspersky Anti Targeted Attack Platform コンソールで取得できます(Kaspersky Anti Targeted Attack Platform のヘルプを参照してください)。Central Node を設定した後、Kaspersky Endpoint Security の設定でも相互認証を有効にして、パスワード保護された暗号化コンテナーを読み込む必要があります。 暗号化コンテナーはパスワードで保護されている必要があります。パスワードを空白にして暗号化コンテナーを追加することはできません。 |
KATA サーバー | Central Node サーバーの接続設定。IP アドレス(IPv4 または IPv6)を入力できます。 |
KATA サーバーに同期リクエストを送信する間隔(分) | Central Node サーバーに送信される同期リクエストの頻度。同期中に、Kaspersky Endpoint Security は変更した製品設定とタスクに関する情報を送信します。 |
KATA にテレメトリを送信する | この機能を使用してサーバーへのテレメトリの送信を完全にオフにすることができます。テレメトリを使用する別のソリューションとあわせて Kaspersky Anti Targeted Attack Platform を使用している場合は、KATA (EDR) 向けのテレメトリをオフにすることができます。これにより、これらのソリューションのサーバー負荷を最適化することができます。例えば、Managed Detection and Response ソリューションと KATA (EDR) を導入している場合、MDR テレメトリを使用して KATA (EDR) で脅威応答タスクを作成することができます。 |
最大イベント転送遅延時間(秒) | 指定した同期間隔の期間が過ぎると、本製品はイベント送信のためサーバーと同期します。既定値は 30 秒です。 |
リクエストの調整を有効にする | これは、サーバーの負荷の最適化に役立ちます。このチェックボックスがオンになっていると、本製品はイベントの転送を制限します。イベント数が設定した制限値を超えると、Kaspersky Endpoint Security はイベントの送信を停止します。 |
1 時間ごとのイベントの最大数 | 本製品はテレメトリデータストリームを分析し、イベントストリームが設定した時間当たりのイベント数を超えた場合は、イベントの送信を制限します。1 時間後にイベントの送信は再開されます。1 時間あたりの既定値は 3000 イベントです。 |
イベントの制限超過のパーセンテージ | 本製品は種別ごと(「レジストリの変更」イベントなど)にイベントを並べ替えます。全体のイベント合計数に対して同じ種別のイベントが占める比率が設定された割合を超えると、本製品はイベントの転送を制限します。その他のイベントが占める全体のイベントの割合がまた大きくなった場合はイベントの送信を再開します。既定値は 15 % です。 |