EDR Agent と KATA (EDR) の統合

組織の IT インフラストラクチャ内のワークステーションとサーバーに EDR Agent がインストールされます。これらのコンピューター上で、EDR Agent はプロセス、開かれているネットワーク接続、および変更されたファイルを継続的に監視し、EDR Expert（オンプレミス）のサーバーに監視データを送信します。

EDR Expert（オンプレミス）と連携するには、Endpoint Detection and Response Expert（オンプレミス）コンポーネントを有効にして、EDR Agent を設定する必要があります。

Endpoint Detection and Response Expert（オンプレミス）とは次の手順で連携されます：

1. Kaspersky Endpoint Detection and Response Expert（オンプレミス）のアクティベーション

   EDR Expert（オンプレミス）（Kaspersky Endpoint Detection and Response Expert（オンプレミス）アドオン）の個別ライセンスを購入する必要があります。

   この機能は、Kaspersky Endpoint Detection and Response Expert（オンプレミス）向けの別のライセンスを追加すると使用できるようになります。スタンドアロンの Endpoint Detection and Response (KATA) のライセンスは、Kaspersky Endpoint Security のライセンスと同じです。

   EDR Expert（オンプレミス）がライセンスでサポートされており、本製品のローカルインターフェイスで実行中であることを確認してください。

2. テレメトリ収集サーバーと応答サーバーへの接続

   Kaspersky Endpoint Detection and Response Expert（オンプレミス）では、Kaspersky Endpoint Security と次の 2 つのサーバーとの信頼済みの接続が必要です：

   • テレメトリの収集サーバーは、コンピューター上で発生するイベントに関する情報を収集、正規化、関連付け、分析、保存する SIEM ソリューションの一部であるサーバーです。
   • 応答サーバーは、データを受信してスキャンし、オブジェクトのふるまいを調査し、そのような調査結果を公開するためのサーバーです。

   信頼する接続を設定するには、TLS 証明書を使用してください。TLS 証明書は Open Single Management Platform で取得できます（Endpoint Detection and Response Expert（オンプレミス）のヘルプを参照してください）。それから、TLS 証明書を Kaspersky Endpoint Security に追加してください（以下の手順を参照）。

   既定では、Kaspersky Endpoint Security はサーバーの TLS 証明書のみを確認します。接続の安全性をより高めるには、追加でサーバーのコンピューターの検証をオンにすることができます（相互認証）。この検証をオンにするには、サーバーおよび Kaspersky Endpoint Security の設定で相互認証をオンにしておく必要があります。相互認証を使用するには、暗号化コンテナーも必要となります。暗号化コンテナーとは、証明書と秘密鍵が含まれた PFX アーカイブです。暗号化コンテナは Open Single Management Platform で取得できます（Endpoint Detection and Response Expert（オンプレミス）のヘルプを参照してください）。

   Web コンソールを使用して Kaspersky Endpoint Security 端末を EDR Expert（オンプレミス）に接続する方法

   1. Web コンソールのメインウィンドウで、［アセット（デバイス）］→［ポリシーとプロファイル］タブを選択します。
   2. Kaspersky Endpoint Security のポリシーの名前をクリックします。

      ポリシーのプロパティウィンドウが表示されます。

   3. ［アプリケーション設定］タブを選択します。
   4. ［組み込みエージェントの設定］→［Endpoint Detection and Response Expert（オンプレミス）］に移動します。
   5. ［Endpoint Detection and Response Expert（オンプレミス）が有効です］をオンにします。
   6. EDR Expert（オンプレミス）を設定するには、ソリューションのリストから［Endpoint Detection and Response Expert（バージョン 8.0 以降）］を選択します。
   7. テレメトリ収集サーバーの接続を設定します：
      1. ［テレメトリ収集サーバーへの接続］セクションで、［接続設定］をクリックします。
      2. テレメトリ収集サーバーの接続を設定します：
         • タイムアウト（秒）：サーバーの応答がタイムアウトするまでの最大値。タイムアウトすると、Kaspersky Endpoint Security は別のサーバーに接続を試みます。
         • サーバー証明書：サーバーと信頼済みの接続を確立するための TLS 証明書。TLS 証明書は Open Single Management Platform で取得できます（Endpoint Detection and Response Expert（オンプレミス）のヘルプを参照してください）。
         • 相互認証を使用する：Kaspersky Endpoint Security とサーバー間でセキュアな通信を確立する際の相互認証。相互認証を使用するには、サーバーの設定で相互認証を有効にする必要があります。その後、暗号化コンテナを取得して暗号化コンテナを保護するパスワードを設定します。暗号化コンテナーとは、証明書と秘密鍵が含まれた PFX アーカイブです。暗号化コンテナは Open Single Management Platform で取得できます（Endpoint Detection and Response Expert（オンプレミス）のヘルプを参照してください）。サーバーを設定した後、Kaspersky Endpoint Security の設定でも相互認証を有効にして、パスワード保護された暗号化コンテナーを読み込む必要があります。

           暗号化コンテナーはパスワードで保護されている必要があります。パスワードを空白にして暗号化コンテナーを追加することはできません。

      3. ［OK］をクリックします。
      4. テレメトリ収集サーバーを追加します。追加するには、サーバーアドレス（IPv4、IPv6）とサーバーに接続するポートを指定する必要があります。

         複数のテレメトリ収集サーバーアドレスを追加できます。Kaspersky Endpoint Security は、最初の IP アドレスでサーバーに接続しようとします。接続を確立できない場合、リストの 2 番目の IP アドレスで接続しようとします。それでも接続を確立できない場合は、以降同様に次の IP アドレスで接続を試行します。

      5. 必要に応じて、テレメトリを設定してください。
   8. 応答サーバーの接続を設定します：
      1. ［応答サーバーへの接続］ブロックで、［サーバーに同期リクエストを送信する間隔（分）］を設定します：サーバーに送信される同期リクエストの頻度。同期中に、Kaspersky Endpoint Security は脅威対応タスクを受信し、タスクの結果を送信します。
      2. ［接続設定］リンクをクリックします。
      3. 応答サーバーの接続を設定します：
         • タイムアウト（秒）：サーバーの応答がタイムアウトするまでの最大値。タイムアウトすると、Kaspersky Endpoint Security は別のサーバーに接続を試みます。
         • サーバー証明書：サーバーと信頼済みの接続を確立するための TLS 証明書。TLS 証明書は Open Single Management Platform で取得できます（Endpoint Detection and Response Expert（オンプレミス）のヘルプを参照してください）。
         • 相互認証を使用する：Kaspersky Endpoint Security とサーバー間でセキュアな通信を確立する際の相互認証。相互認証を使用するには、サーバーの設定で相互認証を有効にする必要があります。その後、暗号化コンテナを取得して暗号化コンテナを保護するパスワードを設定します。暗号化コンテナーとは、証明書と秘密鍵が含まれた PFX アーカイブです。暗号化コンテナは Open Single Management Platform で取得できます（Endpoint Detection and Response Expert（オンプレミス）のヘルプを参照してください）。サーバーを設定した後、Kaspersky Endpoint Security の設定でも相互認証を有効にして、パスワード保護された暗号化コンテナーを読み込む必要があります。

           暗号化コンテナーはパスワードで保護されている必要があります。パスワードを空白にして暗号化コンテナーを追加することはできません。

      4. ［OK］をクリックします。
      5. 応答サーバーを追加します。追加するには、サーバーアドレス（IPv4、IPv6）とサーバーに接続するポートを指定する必要があります。

         複数の応答サーバーアのドレスを追加できます。Kaspersky Endpoint Security は、最初の IP アドレスでサーバーに接続しようとします。接続を確立できない場合、リストの 2 番目の IP アドレスで接続しようとします。それでも接続を確立できない場合は、以降同様に次の IP アドレスで接続を試行します。

   9. 変更内容を保存します。コンピューターにポリシーを適用するには、南京錠を閉じます（）。

   その結果、コンピューターが Open Single Management Platform (OSMP) に追加されます。コンポーネントの動作状態は製品コンポーネントのステータスレポートで表示できます。また、コンポーネントの動作状態を Kaspersky Endpoint Security のローカルインターフェイス内のレポートで表示して確認することもできます。［Endpoint Detection and Response Expert（オンプレミス）］は Kaspersky Endpoint Security のコンポーネントのリストに追加されます。

ページのトップに戻る