Kaspersky Endpoint Security は、組織の IT インフラを保護し、ゼロデイ攻撃、標的型攻撃、高度持続型脅威(APT)などの脅威をプロンプトリーに検知することを目的とした Kaspersky Anti Targeted Attack Platform ソリューションと互換性があります。詳細は、Kaspersky Anti Targeted Attack Platform のヘルプを参照してください。
Kaspersky Endpoint Detection and Response (KATA) は、Kaspersky Anti Targeted Attack Platform ソリューションのコンポーネントです。
Kaspersky Endpoint Detection and Response (KATA) と対話する場合、Kaspersky Endpoint Security では次の操作が可能になります:
SELinux が Enforcing モードでオペレーティングシステムにインストールされている場合、[プロセスの開始]タスクを開始するには、SELinux の追加設定が必要です。
ネットワーク分離の制限
ネットワーク分離を使用する時は、以下に説明する制限をよく理解しておくことを強く推奨します。
ネットワーク分離を行うには、Kaspersky Endpoint Security が実行されている必要があります。Kaspersky Endpoint Security に障害が発生している場合(アプリケーションが実行されていない場合)、Kaspersky Anti Targeted Attack Platform でネットワーク分離を有効にしても、トラフィックがブロックされないことがあります。
ネットワーク分離が有効になっているトランジットトラフィックは制限付きでサポートされており、フィルタリングされる場合があります。
DHCP と DNS はネットワーク分離の例外に自動的に追加されないため、ネットワーク分離中に発生源のネットワークアドレスが変更された場合、Kaspersky Endpoint Security はその発生源にアクセスできなくなります。フォールトトレラント KATA サーバーのノードにも同じことが当てはまります。Kaspersky Endpoint Security との連絡が途絶えないように、アドレスを変更しないことを推奨します。
また、プロキシサーバーはネットワーク分離の除外対象に自動的に追加されないため、Kaspersky Endpoint Security が KATA サーバーとの接続を失わないように、手動で除外対象に追加する必要があります。
プロセスをネットワーク分離に追加したり、名前でプロセスをネットワーク分離から除外したりすることはサポートされていません。
ネットワーク分離を使用する時は、KSN プロキシサーバーを使用して Kaspersky Security Network と対話し、Kaspersky Security Center をプロキシサーバーとして使用してアプリケーションをアクティベートし、Kaspersky Security Center を定義データベースのアップデート元として指定することを推奨します。Kaspersky Security Center をプロキシサーバーとして使用できない場合は、必要なプロキシサーバーの設定を設定し、例外に追加してください。
統合条件
Kaspersky Managed Detection and Response(KATA)との連携タスクでは、Kaspersky Endpoint Security アプリケーションと Kaspersky Endpoint Detection and Response(KATA)コンポーネントの連携を設定および有効にすることができます。Kaspersky Endpoint Security と Kaspersky Endpoint Detection and Response(KATA)との連携を、Kaspersky Security Center 管理コンソールと Kaspersky Security Center Web コンソールを使用して管理することもできます。
Kaspersky Security Center Cloud コンソールでのKaspersky Endpoint Detection and Response (KATA) の連携設定の管理には対応していません。
Kaspersky Endpoint Detection and Response (KATA) との連携には、ふるまい検知タスクを有効にする必要があります。
Kaspersky Endpoint Security アプリケーションと Kaspersky Endpoint Security および Kaspersky Endpoint Security and Response (KATA) の連携は、ふるまい検知が有効になっている場合にのみ可能です。そうしないと、必要なテレメトリーデータを送信することができません。
テレメトリの除外を機能させるには、Kaspersky Endpoint Security と Kaspersky Managed Detection and Response ソリューションの統合を無効にする必要があります。Kaspersky Endpoint Security と Kaspersky Managed Detection and Response の統合が有効になっている場合、プロセスによる除外は適用されません。
Kaspersky Endpoint Detection and Response (KATA) は、さらに次のタスクから受信したデータを使用できます:
接続のセキュア化
Kaspersky Managed Detection and Response との連携では、Kaspersky Endpoint Security を搭載したデバイスは、HTTPS プロトコルで KATA サーバーとの安全な接続を確立します。安全な接続を実現するため、KATA サーバーが発行する次の証明書を使用しています:
KATA サーバーとの接続を確保するための証明書は、Kaspersky Anti Targeted Attack Platform の管理者から提供されます。
Kaspersky Endpoint Security のアプリケーション全般設定で、プロキシサーバーの使用が設定されている場合、KATA サーバーへの接続にプロキシサーバーが使用されます。
イベントのログ記録
Kaspersky Endpoint Security と Kaspersky Anti Targeted Attack Platform が連携されている場合、systemd ログに大量のイベントが書き込まれる可能性があります。監査イベントのログ記録を無効にする場合、systemd-journald-audit ソケットを無効にし、オペレーティングシステムを再起動します。
systemd-journald-audit ソケットを無効にするには、次のコマンドを実行します:
systemctl stop systemd-journald-audit.socket
systemctl disable systemd-journald-audit.socket
systemctl mask systemd-journald-audit.socket