Kaspersky Endpoint Detection and Response(KATA)(EDR(KATA))は、組織の IT インフラを保護し、ゼロデイ攻撃、標的型攻撃、高度持続型脅威(APT)などの脅威をプロンプトリーに検知することを目的とした Kaspersky Anti Targeted Attack Platform ソリューションのコンポーネントです。詳細は、Kaspersky Anti Targeted Attack Platform のヘルプセクションを参照してください。
EDR(KATA)と連携する場合、Kaspersky Endpoint Security は次の機能を実行できます:
Kaspersky Managed Detection and Response(KATA)との連携タスクでは、Kaspersky Endpoint Security アプリケーションと EDR(KATA)コンポーネントの連携を設定および有効にすることができます。Kaspersky Endpoint Security と EDR(KATA)との連携を、Kaspersky Security Center 管理コンソールと Kaspersky Security Center Web コンソールを使用して管理することもできます。
Kaspersky Security Center Cloud コンソールによる EDR(KATA)との連携の設定管理はサポートされていません。
EDR(KATA)と連携するためには、ふるまい検知タスクの起動が必要です。
Kaspersky Endpoint Security with EDR(KATA)との連携は、このタスクが開始されている場合にのみ可能です。それ以外の場合は、必要なテレメトリデータを送信することはできません。
EDR(KATA)は、次のタスクから受信したデータも使用できます:
EDR(KATA)との連携では、Kaspersky Endpoint Security を搭載したデバイスは、HTTPS プロトコルで KATA サーバーとの安全な接続を確立します。安全な接続を実現するため、KATA サーバーが発行する次の証明書を使用しています:
KATA サーバーとの接続を確保するための証明書は、Kaspersky Anti Targeted Attack Platform の管理者から提供されます。
Kaspersky Endpoint Security のアプリケーション全般設定で、プロキシサーバーの使用が設定されている場合、KATA サーバーへの接続にプロキシサーバーが使用されます。
Kaspersky Endpoint Security と Kaspersky Anti Targeted Attack Platform が連携されている場合、systemd ログに大量のイベントが書き込まれる可能性があります。監査イベントのログ記録を無効にする場合、systemd-journald-audit ソケットを無効にし、オペレーティングシステムを再起動します。
systemd-journald-audit ソケットを無効にするには、次のコマンドを実行します:
systemctl stop systemd-journald-audit.socket
systemctl disable systemd-journald-audit.socket
systemctl mask systemd-journald-audit.socket