セキュリティ侵害インジケーターのスキャン

セキュリティ侵害インジケーター（IOC）は、コンピュータへの不正アクセス（データの侵害）を示すオブジェクトまたは活動に関するデータのセットです。たとえば、システムへのサインインの試行が何度も失敗すると、セキュリティ侵害インジケーターとなる可能性があります。IOC スキャンタスクを使用すると、コンピュータ上のセキュリティ侵害インジケーターを検知し、脅威への対応策を講じることができます。

Kaspersky Endpoint Security は、IOC ファイルを使用してセキュリティ侵害インジケーターを検索します。IOC ファイルは、本製品が検知をカウントする目的で一致を試行するインジケーターのセットを含むファイルです。IOC ファイルは、 IOC ファイルの要件を満たしている必要があります。

IOC スキャンタスクの実行モード

Kaspersky Endpoint Detection and Response と、侵害されたデータを検知するための標準の IOC スキャンタスクを作成できます。標準 IOC スキャンタスクは、Web コンソールで手動で作成および設定されるグループタスクまたはローカルタスクです。タスクは、ユーザーが準備した IOC ファイルを使用して実行されます。セキュリティ侵害インジケーターを手動で追加する場合は、 IOC ファイルの要件をお読みください。

IOC スキャンタスクの作成

IOC スキャンタスクを手動で作成できます：

• アラートの詳細（EDR Optimum のみ）：

  アラートの詳細は、検知された脅威に関する収集された情報全体を表示するためのツールです。アラートの詳細には、たとえば、コンピュータに表示されるファイルの履歴が含まれます。アラートの詳細を管理する方法の詳細は、 Kaspersky Endpoint Detection and Response Optimum のヘルプを参照してください。

• タスクウィザードの使用：

IOC スキャンタスクを作成するには：

1. Web コンソールのメインウインドウで、［アセット（デバイス）］→［タスク］の順に選択します。

   タスクのリストが開きます。

2. ［追加］をクリックします。

   新規タスクウィザードが起動します。

3. タスクの設定の編集：
   1. ［アプリケーション］ドロップダウンリストから、［Kaspersky Endpoint Security for Mac (12.2)］を選択します。
   2. ［タスク種別］ドロップダウン リストで、 ［IOC スキャン］を選択します。
   3. ［タスク名］フィールドに簡単な説明を入力します。
   4. タスクを割り当てるデバイスを選択するブロックで、タスクの範囲を選択します。
4. 選択したタスク範囲オプションに応じてデバイスを選択します。
5. ［IOC スキャン設定］セクションで、IOC ファイルを読み込んでセキュリティ侵害インジケーターを検索します。IOC ファイルを追加したり、ファイルハッシュまたは IP アドレスを含むファイルから IOC ファイルを生成することができます。

   IOC ファイルの読み込み後、IOC ファイルからインジケーターのリストを表示および編集できます。

   注意：タスクの実行後に IOC ファイルを追加または削除することは推奨しません。これにより、タスクの以前の実行の IOC スキャン結果が誤って表示される可能性があります。新しい IOC ファイルによるセキュリティ侵害インジケーターを検索するには、新しいタスクの追加を推奨します。

6. IOC 検知時の処理の設定：
   • コンピュータをネットワークから分離する：このオプションをオンにすると、 Kaspersky Endpoint Security は脅威の拡散を防ぐためにコンピュータをネットワークから分離します。Endpoint Detection and Response コンポーネントの設定で、分離の期間を設定できます。
   • コピーを隔離に移動し、オブジェクトを削除する：このオプションをオンにすると、 Kaspersky Endpoint Security はコンピュータ上で見つかった悪意のあるオブジェクトを削除します。オブジェクトを削除する前に、 Kaspersky Endpoint Security は、後でオブジェクトを復元する必要がある場合に備えてバックアップコピーを作成します。Kaspersky Endpoint Security がバックアップコピーを隔離に移動します。
   • 簡易スキャンを実行する：このオプションをオンにすると、 Kaspersky Endpoint Security は簡易スキャンタスクを実行します。既定では、 Kaspersky Endpoint Security はメモリ、スタートアップオブジェクト、システムフォルダーをスキャンします。
7. ［詳細］セクションに移動します。
8. タスクの一部として分析する必要があるデータ種別（IOC ドキュメント）を選択します。

   注意： Kaspersky Endpoint Security は、読み込まれた IOC ファイルの内容に応じて、IOC スキャンタスクのデータ種別 （IOC ドキュメント）を自動的に選択します。データ種別の選択をオフにすることは推奨されません。

   さらに、次のデータ種別に対してスキャン 範囲を設定できます：

   • プロセス - ProcessItem
   • ファイル - FileItem
   • ネットワークポート - PortItem
   • ユーザーアカウント - UserItem
   • ARP テーブル - ArpEntryItem
   • ホスト - SystemInfoItem
   • URL – UrlHistoryItem
   • ルート – RouteEntryItem
9. ［OK］をクリックします。
10. タスクを実行するために権限を使用するユーザーのアカウント資格情報を入力します。［次へ］をクリックします。

    注意：既定では、 Kaspersky Endpoint Security はシステムユーザーアカウント（root）としてタスクを開始します。

11. タスク作成の完了手順で、 ［完了］をクリックしてタスクを作成し、ウィザードを閉じます。

    ［作成が完了したらタスクの詳細を開く］をオンにした場合は、タスク設定ウインドウが開きます。このウインドウでは、タスクのパラメータを確認したり、変更したり、必要に応じてタスク開始スケジュールを設定したりできます。

12. 新しいタスクをクリックします。

    タスクのプロパティウインドウが表示されます。

13. ［スケジュール］タブを選択します。
14. タスクスケジュールを設定します。

    注意：タスクを実行するには、コンピュータの電源がオンになっていることを確認してください。

15. ［保存］をクリックします。
16. 設定したスケジュールに関係なくタスクをすぐに実行するには、次の手順を実行します：
    1. タスクに隣接するチェックボックスをオンにします。
17. ［実行］をクリックします。

    これにより、 Kaspersky Endpoint Security はコンピュータ上のセキュリティ侵害インジケーターの検索を実行します。タスクの結果は、タスクのプロパティの［結果］セクションで確認できます。検知されたセキュリティ侵害インジケーターに関する情報は、タスクのプロパティ（［アプリケーション設定］→［IOC スキャン結果］）で確認できます。

注意： IOC スキャンの結果は 30 日間保存されます。この期間を過ぎると、 Kaspersky Endpoint Security は最も古いエントリを自動的に削除します。

ページのトップに戻る