Kaspersky Unified Monitoring and Analysis Platform (KUMA)

Kaspersky Endpoint Security for Windows は、Kaspersky Unified Monitoring and Analysis Platform ソリューションをサポートしています。Kaspersky Unified Monitoring and Analysis Platform (KUMA) は、組織の IT インフラストラクチャ向けの SIEM (Security Information and Event Management) ソリューションです。KUMA を使用すると、セキュリティ上の脅威が被害をもたらす前にそれを検知、分析し、緩和することができます。

Kaspersky Endpoint Security は、企業の IT インフラストラクチャにある個別のコンピューターにインストールされ、プロセス、開かれているネットワーク接続や編集されているファイルを継続的に監視します。コンピューターのイベントに関する情報（テレメトリ）は Kaspersky Unified Monitoring and Analysis Platform (KUMA) サーバーに送信されます。KUMA のコンソールには、Windows イベントログと同様に、イベントがマークアップなしのリストとして表示されます。KUMA のすべての機能にアクセスするには、ライセンスを購入し、KUMA 管理者ガイドに従ってソリューションを導入する必要があります。

KUMA との連携

KUMA を使用するには、次の条件を満たす必要があります：

Kaspersky Security Center のバージョンが 14.2 以降である。以前のバージョンの Kaspersky Security Center では、KUMA 連携機能をアクティベートすることはできません。
本製品がアクティベートされており、ライセンスがこの機能をサポートしている。
KUMA 連携コンポーネントが有効になっている。

KUMA 連携を設定するには、次の手順を実行します：

KUMA 連携コンポーネントのインストール
KUMA 連携コンポーネントは、本製品のインストール中またはアップグレード中に選択するか、コンポーネントの変更タスクを使用して選択することができます。

新機能を持つ製品にアップグレードを完了するにはコンピューターを再起動する必要があります。
KUMA のアクティベーション
Kaspersky Endpoint Security と KUMA を連携させるには、別途ライセンスが必要です（Kaspersky Endpoint Security for Windows KUMA 連携アドオン）。

別途 KUMA のライセンスを追加することで機能を使用できるようになります。その結果、Kaspersky Endpoint Security を KUMA と連携させるためのアクティブなキーがコンピューター上にもう 1 つ存在することになります。

スタンドアロンの KUMA 機能のライセンス認証は、Kaspersky Endpoint Security のライセンス認証と同じです。

KUMA がライセンスでサポートされており、本製品のローカルインターフェイスで稼働していることを確認してください。
KUMA への接続
Kaspersky Endpoint Security アプリケーションを搭載したコンピューターを KUMA ソリューションに接続するには：
1. Kaspersky Endpoint Security ポリシーに KUMA サーバーのアドレスを追加し、接続のネットワーク設定を指定します。
2. KUMA コンソールで、種別が TCP または UDP のコネクターを持つコレクターを追加し、接続の基本的なネットワーク設定を指定します。コレクターの管理について詳しくは、Kaspersky Unified Monitoring and Analysis Platform のヘルプを参照してください。
Kaspersky Endpoint Security と KUMA サーバーの間に信頼済みの接続を確立できます。信頼する接続を設定するには、TLS 証明書を使用してください。TLS 証明書は KUMA Core サーバーで取得できます（種別が TCP のコネクターの設定については、Kaspersky Unified Monitoring and Analysis Platform のヘルプを参照してください）。それから、TLS 証明書を Kaspersky Endpoint Security に追加してください（以下の手順を参照）。

接続の安全性をより高めるには、追加で KUMA のコンピューターの検証をオンにすることができます（相互認証）。この検証をオンにするには、KUMA および Kaspersky Endpoint Security の設定で相互認証をオンにしておく必要があります。相互認証を使用するには、暗号化コンテナーも必要となります。暗号化コンテナーとは、証明書と秘密鍵が含まれた PFX アーカイブです。外部の認証局で、PKCS#12 コンテナー形式の秘密鍵を含む証明書を生成する必要があります。次に、KUMA コンソールと Kaspersky Endpoint Security に PFX アーカイブを追加する必要があります（種別が TCP のコネクターの設定については、Kaspersky Unified Monitoring and Analysis Platform のヘルプを参照してください）。

管理コンソール（MMC）を使用して Kaspersky Endpoint Security 端末を KUMA に接続する方法
1. Kaspersky Security Center の管理コンソールを開きます。
2. コンソールツリーで、［ポリシー］を選択します。
3. 目的のポリシーを選択し、ダブルクリックしてポリシーのプロパティを表示します。
4. ポリシーウィンドウで、［KUMA 連携］を選択します。
5. ［KUMA 連携］チェックボックスをオンにします。
6. KUMA サーバーに接続するためのプロトコル（TCP、UDP）を選択します。
7. KUMA サーバーを追加します。追加するには、サーバーアドレス（IPv4、IPv6）とサーバーに接続するポートを指定する必要があります。
  Kaspersky Endpoint Security はリストの 1 番目の KUMA サーバーに接続します。接続に失敗した場合、リストの 2 番目の KUMA サーバーに接続します。
8. TCP の場合、信頼済みの接続を設定できます。これを行うには、［KUMA サーバーへの接続設定］をクリックします。
9. サーバー接続を設定します：
  - タイムアウト：KUMA サーバーの応答がタイムアウトするまでの最大値。タイムアウトすると、Kaspersky Endpoint Security は別の KUMA サーバーに接続を試みます。
  - サーバー TLS 証明書：KUMA サーバーと信頼済みの接続を確立するための TLS 証明書。
    信頼済みの接続を確立するには、KUMA コンソールの TCP コネクター設定で、TLS モード［With verification］を選択する必要があります（種別が TCP のコネクターの設定については、Kaspersky Unified Monitoring and Analysis Platform のヘルプを参照してください）。
  - 相互認証を使用する：Kaspersky Endpoint Security と KUMA 間でセキュアな通信を確立する際の相互認証。相互認証を使用するには、KUMA コンソールの TCP コネクター設定で、TLS モード［Custom PFX］を選択する必要があります（種別が TCP のコネクターの設定については、Kaspersky Unified Monitoring and Analysis Platform のヘルプを参照してください）。次に、暗号化コンテナーを取得し、暗号コンテナーを保護するためのパスワードを設定する必要があります。暗号化コンテナーとは、証明書と秘密鍵が含まれた PFX アーカイブです。KUMA を設定した後、Kaspersky Endpoint Security の設定でも相互認証を有効にして、パスワード保護された暗号化コンテナーを読み込む必要があります。
    暗号化コンテナーはパスワードで保護されている必要があります。パスワードを空白にして暗号化コンテナーを追加することはできません。
10. ［OK］をクリックします。
11. 必要に応じて、［データ転送設定］ブロックの［最大イベント転送遅延時間（秒）］を設定します。指定された時間が経過すると、Kaspersky Endpoint Security は同じサーバーへの接続を試みます。サーバーが複数ある場合はリスト内の次のサーバーに接続します。既定値は 30 秒です。
12. 変更内容を保存します。
Web コンソールを使用して Kaspersky Endpoint Security 端末を KUMA に接続する方法
1. Web コンソールのメインウィンドウで、［デバイス］ → ［ポリシーとプロファイル］をクリックします。
2. Kaspersky Endpoint Security のポリシーの名前をクリックします。
  ポリシーのプロパティウィンドウが表示されます。
3. ［アプリケーション設定］タブを選択します。
4. ［KUMA 連携］に移動します。
5. ［KUMA 連携を有効にする］をオンにします。
6. KUMA サーバーに接続するためのプロトコル（TCP、UDP）を選択します。
7. KUMA サーバーを追加します。追加するには、サーバーアドレス（IPv4、IPv6）とサーバーに接続するポートを指定する必要があります。
  Kaspersky Endpoint Security はリストの 1 番目の KUMA サーバーに接続します。接続に失敗した場合、リストの 2 番目の KUMA サーバーに接続します。
8. TCP の場合、信頼済みの接続を設定できます。これを行うには、［KUMA サーバーへの接続設定］をクリックします。
9. サーバー接続を設定します：
  - タイムアウト：KUMA サーバーの応答がタイムアウトするまでの最大値。タイムアウトすると、Kaspersky Endpoint Security は別の KUMA サーバーに接続を試みます。
  - サーバー TLS 証明書：KUMA サーバーと信頼済みの接続を確立するための TLS 証明書。
    信頼済みの接続を確立するには、KUMA コンソールの TCP コネクター設定で、TLS モード［With verification］を選択する必要があります（種別が TCP のコネクターの設定については、Kaspersky Unified Monitoring and Analysis Platform のヘルプを参照してください）。
  - 相互認証を使用する：Kaspersky Endpoint Security と KUMA 間でセキュアな通信を確立する際の相互認証。相互認証を使用するには、KUMA コンソールの TCP コネクター設定で、TLS モード［Custom PFX］を選択する必要があります（種別が TCP のコネクターの設定については、Kaspersky Unified Monitoring and Analysis Platform のヘルプを参照してください）。次に、暗号化コンテナーを取得し、暗号コンテナーを保護するためのパスワードを設定する必要があります。暗号化コンテナーとは、証明書と秘密鍵が含まれた PFX アーカイブです。KUMA を設定した後、Kaspersky Endpoint Security の設定でも相互認証を有効にして、パスワード保護された暗号化コンテナーを読み込む必要があります。
    暗号化コンテナーはパスワードで保護されている必要があります。パスワードを空白にして暗号化コンテナーを追加することはできません。
10. ［OK］をクリックします。
11. 必要に応じて、［データ転送設定］ブロックの［最大イベント転送遅延時間（秒）］を設定します。指定された時間が経過すると、Kaspersky Endpoint Security は同じサーバーへの接続を試みます。サーバーが複数ある場合はリスト内の次のサーバーに接続します。既定値は 30 秒です。
12. 変更内容を保存します。

Windows イベントの受信が正しく設定されているかどうかは、KUMA コンソールで確認できます（詳しくは Kaspersky Unified Monitoring and Analysis Platform のヘルプを参照）。コンポーネントの動作状態は、Kaspersky Security Center コンソールの製品機能の状態レポートで表示できます。また、コンポーネントの動作状態を Kaspersky Endpoint Security のローカルインターフェイス内のレポートで表示して確認することもできます。［KUMA連携］は Kaspersky Endpoint Security のコンポーネントのリストに追加されます。

ページのトップに戻る