Endpoint Detection and Response

Kaspersky Endpoint Security 11.7.0 には、Kaspersky Endpoint Detection and Response Optimum ソリューション(以降「EDR Optimum」とします)の組み込みエージェントが含まれます。Kaspersky Endpoint Detection and Response Optimum は、高度なサイバー脅威から組織の IT インフラストラクチャを保護するソリューションです。ソリューションの機能は、新しい脆弱性攻撃やランサムウェア、ファイルレス攻撃、またシステムシステムツールを悪用する方法などを含む複雑な脅威の検知とそれらへの対応を組み合わせたソリューションです。このソリューションについて詳しくは、Kaspersky Endpoint Detection and Response Optimum のヘルプを参照してください。

Kaspersky Endpoint Detection and Response Optimum は脅威の活動を調査して分析し、迅速な対応に必要となる攻撃の可能性に関する情報をセキュリティの担当者または管理者に提供します。Kaspersky Endpoint Detection and Response は別のウィンドウでアラートの詳細を表示します。アラートの詳細(Alert details)は、収集済みの検知した脅威および応答操作の管理に関する情報を全体的に表示するツールです。アラートの詳細には、コンピューター上に表示されるファイルの履歴が含まれます。アラートの詳細の管理について詳しくは、Kaspersky Endpoint Detection and Response Optimum のヘルプを参照してください。

この機能は Kaspersky Security Center Web コンソールを使用した場合のみ管理できます。管理コンソール(MMC)を使用してこの機能を管理することはできません。

Endpoint Detection and Response Optimum の設定

パラメータ

説明

ネットワーク分離

検知された脅威への対応として、ネットワークからコンピューターを自動的に分離します。

ネットワーク分離がオンになると、本製品はすべてのアクティブな接続を切断し、コンピューターのすべての新規 TCP/IP 接続をブロックします。次の接続のみ有効にします:

  • ネットワーク分離の除外リストに追加されている接続。
  • Kaspersky Endpoint Security サービスによって開始された接続。
  • Kaspersky Security Center 管理エージェントによって開始された接続。

分離されたコンピューターのロックを自動的に解除するまでの時間

ネットワーク分離は、指定した時間の経過後に自動で、または手動で解除することができます。既定では、Kaspersky Endpoint Security は分離の開始から 5 時間が経過するとネットワーク分離を解除します。

ネットワーク分離の除外リスト

ネットワーク分離から除外されるルールのリストです。ネットワーク分離がオンになっても、ルールに一致するネットワーク接続はブロックされません。

標準のネットワークプロファイルのリストを使用してネットワーク分離の除外リストを設定できます。既定では、除外リストには DNS/DHCP サーバーおよび DNS/DHCP クライアントロールを持つデバイスの動作が妨げられないようにするルールを含むネットワークプロファイルが含まれています。標準のネットワークプロファイルまたは除外リストの設定は手動で変更できます。

ポリシーのプロパティで指定された除外リストは、脅威の検知時の対応としてネットワーク分離が自動的にオンになった場合にのみ適用されます。コンピューターのプロパティで指定された除外リストは、Kaspersky Security Center のコンソールのコンピューターのプロパティから手動でネットワーク分離をオンにした場合にのみ適用されます。

実行防止

実行ファイルやスクリプトを実行したり、Office 形式のファイルを開いたりする動作をコントロールします。たとえば、選択したコンピューター上で安全でないと判断されたアプリケーションの実行を防止することができます。実行防止は、Office ファイルの拡張子のセットおよびスクリプトインタープリターのセットをサポートしています。

禁止されたオブジェクトを実行、または開いたときの処理

ブロックしてレポートに書き込む:このモードでは、オブジェクトを実行したり、禁止するルールの基準に一致するドキュメントを開いたりする動作がブロックされます。さらに、オブジェクトを実行しようとしたりドキュメントを開いたりしようとした試みに関するイベントを Windows イベントログおよび Kaspersky Security Center のイベントログに記録します。

イベントの記録のみ:このモードでは、Kaspersky Endpoint Security はオブジェクトを実行しようとしたり、防止ルールに一致したドキュメントを開いたりしようとした試みに関するイベント Windows イベントログと Kaspersky Security Center のイベントログに記録しますが、これらの動作をブロックしません。既定ではこのモードが選択されます。

実行防止ルール

オブジェクトの実行防止ルールのリストです。実行防止ルールはブロック時に参照される条件の一式です。本製品は、パスや MD5 または SHA256 ハッシュアルゴリズムで計算されたチェックサムからファイルを識別します。

ページのトップに戻る