Endpoint Detection and Response

バージョン 11.7.0 から、Kaspersky Endpoint Security for Windows には Kaspersky Endpoint Detection and Response Optimum ソリューション(以降、「EDR Optimum」とも表記)向けの組み込みエージェントが含まれるようになりました。バージョン 11.8.0 から、Kaspersky Endpoint Security for Windows には Kaspersky Endpoint Detection and Response Expert ソリューション(以降、「EDR Expert」とも表記)向けの組み込みエージェントが含まれるようになりました。Kaspersky Endpoint Detection and Response は、高度なサイバー脅威から企業の IT インフラストラクチャを保護する幅広いソリューションです。ソリューションの機能は、新しい脆弱性攻撃やランサムウェア、ファイルレス攻撃、またシステムシステムツールを悪用する方法などを含む複雑な脅威の検知とそれらへの対応を組み合わせたソリューションです。EDR Expert は EDR Optimum に比べ、より多くの脅威監視および応答機能を備えています。ソリューションについて詳しくは、Kaspersky Endpoint Detection and Response Optimum のヘルプおよび Kaspersky Endpoint Detection and Response Expert のヘルプを参照してください。

Kaspersky Endpoint Detection and Response Optimum は脅威の活動を確認して分析し、迅速な対応に必要となる攻撃の可能性に関する情報をセキュリティの担当者または管理者に提供します。Kaspersky Endpoint Detection and Response は別のウィンドウでアラートの詳細を表示します。アラートとは、本製品によって異常または疑わしいと識別され、企業の IT インフラストラクチャにセキュリティ上の脅威をもたらす可能性がある、企業の IT インフラストラクチャ内のイベントです。アラートの詳細(Alert details)は、収集済みの検知した脅威に関する情報を全体的に表示するツールです。アラートの詳細には、コンピューター上に表示されるファイルの履歴が含まれます。アラートの詳細の管理について詳しくは、Kaspersky Endpoint Detection and Response Optimum のヘルプおよび Kaspersky Endpoint Detection and Response Expert のヘルプを参照してください。

Web コンソールおよび Cloud コンソールで EDR Optimum を設定できます。EDR Expert のコンポーネントの設定は Cloud コンソールのみで使用可能です。

Endpoint Detection and Response の設定

パラメータ

説明

ネットワーク分離

検知された脅威への対応として、ネットワークからコンピューターを自動的に分離します。

ネットワーク分離がオンになると、本製品はすべてのアクティブな接続を切断し、コンピューターのすべての新規 TCP/IP 接続をブロックします。次の接続のみ有効にします:

  • ネットワーク分離の除外リストに追加されている接続。
  • Kaspersky Endpoint Security サービスによって開始された接続。
  • Kaspersky Security Center ネットワークエージェントによって開始された接続。

分離されたコンピューターのロックを自動的に解除するまでの時間

ネットワーク分離は、指定した時間の経過後に自動で、または手動で解除することができます。既定では、Kaspersky Endpoint Security は分離の開始から 5 時間が経過するとネットワーク分離を解除します。

ネットワーク分離の除外リスト

ネットワーク分離から除外されるルールのリストです。ネットワーク分離がオンになっても、ルールに一致するネットワーク接続はブロックされません。

標準のネットワークプロファイルのリストを使用してネットワーク分離の除外リストを設定できます。既定では、除外リストには DNS/DHCP サーバーおよび DNS/DHCP クライアントロールを持つデバイスの動作が妨げられないようにするルールを含むネットワークプロファイルが含まれています。標準のネットワークプロファイルまたは除外リストの設定は手動で変更できます。

ポリシーのプロパティで指定された除外リストは、脅威の検知時の対応としてネットワーク分離が自動的にオンになった場合にのみ適用されます。コンピューターのプロパティで指定された除外リストは、Kaspersky Security Center のコンソールのコンピューターのプロパティまたはアラートの詳細から手動でネットワーク分離をオンにした場合にのみ適用されます。

実行防止

実行ファイルやスクリプトを実行したり、Office 形式のファイルを開いたりする動作をコントロールします。たとえば、選択したコンピューター上で安全でないと判断されたアプリケーションの実行を防止することができます。実行防止は、Office ファイルの拡張子のセットおよびスクリプトインタープリターのセットをサポートしています。

実行防止機能を使用するには、実行防止ルールを追加する必要があります。実行防止ルールとは、オブジェクトの実行のブロックなど、製品がオブジェクトの実行時への対応時に適用する一連の条件です。本製品は、パスや MD5 または SHA256 ハッシュアルゴリズムで計算されたチェックサムからファイルを識別します。

禁止されたオブジェクトを実行、または開いたときの処理

ブロックしてレポートに書き込む:このモードでは、オブジェクトを実行したり、禁止するルールの基準に一致するドキュメントを開いたりする動作がブロックされます。さらに、オブジェクトを実行しようとしたりドキュメントを開いたりしようとした試みに関するイベントを Windows イベントログおよび Kaspersky Security Center のイベントログに記録します。

記録のみ:このモードでは、Kaspersky Endpoint Security はオブジェクトを実行しようとしたり、防止ルールに一致したドキュメントを開いたりしようとした試みに関するイベント Windows イベントログと Kaspersky Security Center のイベントログに記録しますが、これらの動作をブロックしません。既定ではこのモードが選択されます。

Cloud Sandbox

Cloud Sandbox はコンピューター上のより高度な脅威を検知する技術です。Kaspersky Endpoint Security は、検知したファイルを自動的に Cloud Sandbox に送って分析します。Cloud Sandbox はこれらのファイルを隔離された環境で実行し、悪意のある活動を識別してそのファイルの評価を決定します。これらのファイルのデータは Kaspersky Security Network に送られます。このため、Cloud Sandbox が悪意のあるファイルを検知すると、Kaspersky Endpoint Security はこのファイルが検出されたすべてのコンピューター上でこの脅威を除去するための適切な操作を実行します。

Cloud Sandbox 技術は、使用しているライセンス種別にかかわらずすべての Kaspersky Security Network ユーザーに対して有効で使用可能です。

このチェックボックスをオンにすると、Kaspersky Endpoint Security は[脅威検知技術]の下のメインウィンドウで Cloud Sandbox を使用して検知された脅威向けのカウンターを有効にします。また、Kaspersky Endpoint Security では製品イベントおよび Kaspersky Security Center コンソールの脅威レポートで Cloud Sandbox 脅威検知技術が表示されます。

ページのトップに戻る