Endpoint Detection and Response

Kaspersky Endpoint Security 11.7.0 には、Kaspersky Endpoint Detection and Response Optimum ソリューション(以降「EDR Optimum」とします)の組み込みエージェントが含まれます。Kaspersky Endpoint Security 11.8.0 には、Kaspersky Endpoint Detection and Response Expert ソリューション(以降「EDR Expert」とします)の組み込みエージェントが含まれます。Kaspersky Endpoint Detection and Response は、高度なサイバー脅威から企業の IT インフラストラクチャを保護する幅広いソリューションです。ソリューションの機能は、新しい脆弱性攻撃やランサムウェア、ファイルレス攻撃、またシステムシステムツールを悪用する方法などを含む複雑な脅威の検知とそれらへの対応を組み合わせたソリューションです。EDR Expert は EDR Optimum に比べ、より多くの脅威監視および応答機能を備えています。ソリューションの詳細については、Kaspersky Endpoint Detection and Response Optimum のヘルプおよび Kaspersky Endpoint Detection and Response Expert のヘルプを参照してください。

Kaspersky Endpoint Detection and Response Optimum は脅威の活動を確認して分析し、迅速な対応に必要となる攻撃の可能性に関する情報をセキュリティの担当者または管理者に提供します。Kaspersky Endpoint Detection and Response は別のウィンドウでアラートの詳細を表示します。アラートの詳細(Alert details)は、収集済みの検知した脅威に関する情報を全体的に表示するツールです。アラートの詳細には、コンピューター上に表示されるファイルの履歴が含まれます。アラートの詳細の管理について詳しくは、Kaspersky Endpoint Detection and Response Optimum のヘルプおよび Kaspersky Endpoint Detection and Response Expert のヘルプを参照してください。

Web コンソールおよび Cloud コンソールで EDR Optimum を設定できます。EDR Expert のコンポーネントの設定は Cloud コンソールのみで使用可能です。

Endpoint Detection and Response の設定

パラメータ

説明

ネットワーク分離

検知された脅威への対応として、ネットワークからコンピューターを自動的に分離します。

ネットワーク分離がオンになると、本製品はすべてのアクティブな接続を切断し、コンピューターのすべての新規 TCP/IP 接続をブロックします。次の接続のみ有効にします:

  • ネットワーク分離の除外リストに追加されている接続。
  • Kaspersky Endpoint Security サービスによって開始された接続。
  • Kaspersky Security Center 管理エージェントによって開始された接続。

分離されたコンピューターのロックを自動的に解除するまでの時間

ネットワーク分離は、指定した時間の経過後に自動で、または手動で解除することができます。既定では、Kaspersky Endpoint Security は分離の開始から 5 時間が経過するとネットワーク分離を解除します。

ネットワーク分離の除外リスト

ネットワーク分離から除外されるルールのリストです。ネットワーク分離がオンになっても、ルールに一致するネットワーク接続はブロックされません。

標準のネットワークプロファイルのリストを使用してネットワーク分離の除外リストを設定できます。既定では、除外リストには DNS/DHCP サーバーおよび DNS/DHCP クライアントロールを持つデバイスの動作が妨げられないようにするルールを含むネットワークプロファイルが含まれています。標準のネットワークプロファイルまたは除外リストの設定は手動で変更できます。

ポリシーのプロパティで指定された除外リストは、脅威の検知時の対応としてネットワーク分離が自動的にオンになった場合にのみ適用されます。コンピューターのプロパティで指定された除外リストは、Kaspersky Security Center のコンソールのコンピューターのプロパティから手動でネットワーク分離をオンにした場合にのみ適用されます。

実行防止

実行ファイルやスクリプトを実行したり、Office 形式のファイルを開いたりする動作をコントロールします。たとえば、選択したコンピューター上で安全でないと判断されたアプリケーションの実行を防止することができます。実行防止は、Office ファイルの拡張子のセットおよびスクリプトインタープリターのセットをサポートしています。

禁止されたオブジェクトを実行、または開いたときの処理

ブロックしてレポートに書き込む:このモードでは、オブジェクトを実行したり、禁止するルールの基準に一致するドキュメントを開いたりする動作がブロックされます。さらに、オブジェクトを実行しようとしたりドキュメントを開いたりしようとした試みに関するイベントを Windows イベントログおよび Kaspersky Security Center のイベントログに記録します。

イベントの記録のみ:このモードでは、Kaspersky Endpoint Security はオブジェクトを実行しようとしたり、防止ルールに一致したドキュメントを開いたりしようとした試みに関するイベント Windows イベントログと Kaspersky Security Center のイベントログに記録しますが、これらの動作をブロックしません。既定ではこのモードが選択されます。

実行防止ルール

オブジェクトの実行防止ルールのリストです。実行防止ルールはブロック時に参照される条件の一式です。本製品は、パスや MD5 または SHA256 ハッシュアルゴリズムで計算されたチェックサムからファイルを識別します。

ページのトップに戻る