Endpoint Detection and Response

Kaspersky Endpoint Security 11.7.0 には、Kaspersky Endpoint Detection and Response Optimum ソリューション（以降「EDR Optimum」とします）の組み込みエージェントが含まれます。Kaspersky Endpoint Detection and Response Optimum は、高度なサイバー脅威から組織の IT インフラストラクチャを保護するソリューションです。ソリューションの機能は、新しい脆弱性攻撃やランサムウェア、ファイルレス攻撃、またシステムシステムツールを悪用する方法などを含む複雑な脅威の検知とそれらへの対応を組み合わせたソリューションです。このソリューションについて詳しくは、Kaspersky Endpoint Detection and Response Optimum のヘルプを参照してください。 Kaspersky Endpoint Detection and Response Optimum は脅威の活動を調査して分析し、迅速な対応に必要となる攻撃の可能性に関する情報をセキュリティの担当者または管理者に提供します。Kaspersky Endpoint Detection and Response は別のウィンドウでアラートの詳細を表示します。アラートの詳細（Alert details）は、収集済みの検知した脅威および応答操作の管理に関する情報を全体的に表示するツールです。アラートの詳細には、コンピューター上に表示されるファイルの履歴が含まれます。アラートの詳細の管理について詳しくは、Kaspersky Endpoint Detection and Response Optimum のヘルプを参照してください。

このソリューションは次の脅威インテリジェンスツールを使用します：

• Kaspersky Security Network（以下、「KSN」とも表記）。クラウドサービスのインフラストラクチャで、カスペルスキーの情報基盤に基づいたリアルタイムのファイル、Web サイト、ソフトウェアの評価情報を提供します。Kaspersky Security Network のデータを使用することにより、新しい脅威に対するカスペルスキー製品の対応が迅速化され、一部の保護機能の効果が高まり、誤検知の可能性が低減されます。
• Kaspersky Private Security Network（以降「KPSN」とも表記）との連携。KSN にコンピューターからデータを送信することなく、その他の統計データや KSN 評価データベースへのアクセスを提供します。
• Kaspersky Threat Intelligence Portal の情報システムとの連携。ファイルや URL の評価に関する情報を蓄積し、表示できます。
• カスペルスキーの脅威データベース。

Kaspersky Endpoint Detection and Response Optimum が正常に動作するには、Kaspersky Security Center バージョン 13.2 が必要です。以前のバージョンの Kaspersky Security Center では、EDR Optimum をアクティベートすることはできません。

この機能は Web コンソールを使用した場合のみ管理できます。管理コンソール（MMC）を使用してこの機能を管理することはできません。

Kaspersky Endpoint Detection and Response Optimum との連携

Kaspersky Endpoint Detection and Response Optimum とは次の手順で連携されます：

1. Kaspersky Endpoint Detection and Response Optimum コンポーネントのインストール

   Kaspersky Endpoint Detection and Response Optimum コンポーネントは、インストール中またはアップグレード中、またはコンポーネントの変更タスクを使用して選択できます。

   コンポーネントの変更タスクの実行後、タスクのステータスが正しく表示されないことがあります。「正常に完了しました」と表示されるはずの箇所に「スケジュール済み」ステータスが表示されます。しかし、タスクは正常に完了している可能性があります。Kaspersky Security Center コンソール（［アプリケーション］ - ［Kaspersky Endpoint Security for Windows］ - ［コンポーネント］の順に選択）または製品のローカルインターフェイスで新しいコンポーネントが正しくインストールされていることを確認してください。

2. Kaspersky Endpoint Detection and Response Optimum をアクティベートする

   次の方法で Kaspersky Endpoint Detection and Response Optimum を使用するライセンスを入手できます：

   • EDR Optimum の機能が Kaspersky Endpoint Security for Windows を使用するライセンスに含まれている。

     機能は Kaspersky Endpoint Security for Windows のアクティベーション後すぐに使用できます。

   • EDR Optimum を使用するためにライセンスを拡張する。

     Kaspersky Endpoint Detection and Response 向けの別のライセンスを追加すると使用できます。結果として、Kaspersky Endpoint Security のライセンスおよび Kaspersky Endpoint Detection and Response Optimum のライセンスの 2 種類のライセンスがコンピューターにインストールされることになります。

     個別の EDR Optimum のライセンスと Kaspersky Endpoint Security のライセンスに違いはありません。

   EDR Optimum がライセンスでサポートされており、本製品のローカルインターフェイスで実行中であることを確認してください。

3. Endpoint Detection and Response Optimum コンポーネントの有効化

   Kaspersky Endpoint Security for Windows のポリシー設定でこの機能を有効または無効にできます。

   この機能を使用するには、次の条件を満たす必要があります：

   • 本製品がアクティベートされており、Kaspersky Endpoint Detection and Response Optimum の機能がライセンスでサポートされている。
   • Endpoint Detection and Response Optimum コンポーネントがオンになっている。
   • Endpoint Detection and Response Optimum が連携する製品機能が有効になっており、動作している。Endpoint Detection and Response Optimum は次の製品機能と連携します：
     • ファイル脅威対策：
     • ウェブ脅威対策
     • メール脅威対策
     • 脆弱性攻撃ブロック：
     • ふるまい検知
     • ホスト侵入防止：
     • 修復エンジン：
     • アダプティブアノマリーコントロール：

   Web コンソールで Endpoint Detection and Response Optimum コンポーネントを有効または無効にする方法

   1. Web コンソールのメインウィンドウで［デバイス］→［ポリシーとプロファイル］の順に選択します。
   2. Kaspersky Endpoint Security のポリシーの名前をクリックします。

      ポリシーのプロパティウィンドウが表示されます。

   3. ［アプリケーション設定］タブを選択します。
   4. ［Detection and Response］ → ［Endpoint Detection and Response Optimum］の順に選択します。
   5. ［Endpoint Detection and Response Optimum］をオンにします。
   6. 変更内容を保存します。

   Kaspersky Endpoint Detection and Response Optimum コンポーネントが有効になりました。コンポーネントの動作状態は製品機能の状態レポートで表示できます。また、コンポーネントの動作状態を Kaspersky Endpoint Security のローカルインターフェイス内のレポートで表示して確認することもできます。［Endpoint Detection and Response Optimum］が Kaspersky Endpoint Security のコンポーネントのリストに追加されました。

4. 管理サーバーへのデータ転送を有効にする

   すべての EDR Optimum の機能を有効するには、次の種別のデータの転送を有効にする必要があります。

   • 隔離されたファイルのデータ。

     このデータは Web コンソール経由でコンピューター上で隔離されたファイルに関する情報を取得するために必要となります。たとえば、Web コンソールで分析用に隔離からファイルをダウンロードすることができます。

   • 脅威の活動連鎖のデータ。

     このデータは Web コンソールでコンピューター上で検知されたファイルに関する情報を取得するために必要となります。Web コンソールでアラートの詳細を憑依して必要な応答操作を行うことができます。

   Web コンソールで管理サーバーへのデータ転送を有効にする方法

   1. Web コンソールのメインウィンドウで［デバイス］→［ポリシーとプロファイル］の順に選択します。
   2. Kaspersky Endpoint Security のポリシーの名前をクリックします。

      ポリシーのプロパティウィンドウが表示されます。

   3. ［アプリケーション設定］タブを選択します。
   4. ［全般設定］ → ［レポートと保管領域］の順に選択します。
   5. ［管理サーバーへのデータ転送］の次のチェックボックスを選択してください：
      • 隔離ファイルの情報
      • 脅威の活動連鎖の情報
   6. 変更内容を保存します。

Kaspersky Endpoint Agent から Kaspersky Endpoint Security for Windows への移行

EDR Optimum コンポーネント（組み込みエージェント）を備えた Kaspersky Endpoint Security 11.7.0 以降がインストールされている場合、Kaspersky Endpoint Detection and Response Optimum ソリューションの動作のために必要な操作はありません。EDR Optimum コンポーネントは Kaspersky Endpoint Agent と互換性はありません。Kaspersky Endpoint Agent がコンピューターにインストールされている場合、Kaspersky Endpoint Security をバージョン 11.7.0 にアップデートするときに Kaspersky Endpoint Detection and Response Optimum は Kaspersky Endpoint Security との連携を継続します。また、Kaspersky Endpoint Agent はコンピューターから削除されます。Kaspersky Endpoint Agent から Kaspersky Endpoint Security for Windows への移行を完了するには、移行ウィザードを使用してポリシーとタスクの設定を移す必要があります。

Kaspersky Endpoint Security 11.4.0～11.6.0 を Kaspersky Endpoint Detection and Response Optimum との連携に使用している場合は、製品には Kaspersky Endpoint Agent が含まれます。Kaspersky Endpoint Security のインストール中に並行して Kaspersky Endpoint Agent をインストールできます。

Kaspersky Endpoint Security の一部としての EDR Optimum コンポーネントは Kaspersky Endpoint Detection and Response Optimum 2.0 ソリューションとの連携をサポートします。Kaspersky Endpoint Detection and Response Optimum バージョン 1.0 との連携はサポートされていません。

このセクションの内容 セキュリティ侵害インジケーター（IOC）のスキャン ファイルを隔離する ファイルを取得する ファイルを削除する プロセスの開始 プロセスの終了 実行防止 コンピューターのネットワーク分離

ページのトップに戻る