Kaspersky Endpoint Security for Windows には Kaspersky Sandbox ソリューションとの連携用の組み込みエージェントが含まれるようになりました。Sandbox コンポーネントはコンピューター上の高度な脅威を検知し、自動的にブロックします。Sandbox は、オブジェクトのふるまいを分析し、悪意のある操作や、組織の IT インフラストラクチャに向けられた標的型攻撃に特有の動作を検知します。Sandbox は、Microsoft Windows オペレーティングシステムの仮想イメージを配備した特別なサーバー(Sandbox サーバー)上でオブジェクトを分析およびスキャンします。ソリューションについて詳しくは、Kaspersky Sandbox のヘルプおよび Kaspersky Anti Targeted Attack Platform のヘルプを参照してください。
バージョン 12.7 以降、Kaspersky Endpoint Security for Windows は、Kaspersky Anti Targeted Attack Platform ソリューションの一部である Sandbox コンポーネントをサポートします。Kaspersky Sandbox ソリューションとは対照的に、KATA Sandbox コンポーネントでは、ファイルコンテキストメニューから手動でのみファイルをスキャンできます。
KATA Sandbox を使用するには、Kaspersky Anti Targeted Attack Platform 7.0 以降を導入する必要があります。
この機能は Kaspersky Security Center Web コンソールを使用した場合のみ管理できます。管理コンソール(MMC)を使用してこの機能を管理することはできません。
Sandbox コンポーネントの設定
パラメータ |
説明 |
|---|---|
連携モード |
|
サーバー TLS 証明書 |
Sandbox サーバーと信頼済み接続を設定するには、TLS 証明書を準備する必要があります。次に、ポリシーを使用してこの証明書をコンピューターに追加する必要があります。また、証明書を Sandbox サーバーに追加する必要もあります。[KATA Sandbox(スキャン用ファイルの手動送信)]を選択した場合、証明書を Central Node サーバーに追加する必要があります。 |
サーバーの接続設定 |
タイムアウト:Sandbox サーバーの接続タイムアウトです。設定したタイムアウト期間が経過すると、Kaspersky Endpoint Security は要求を次のサーバーに送ります。接続スピードが遅いまたは接続が安定していない場合は、サーバーの接続タイムアウトの時間を長くすることができます。要求のタイムアウトは 0.5 秒以下を推奨します。 要求のキュー:要求のキューフォルダーのサイズです。Sandbox でスキャンするために複数のオブジェクトを送信する場合、Kaspersky Endpoint Security は要求のキューを作成します。既定では要求のキューフォルダーは 100 MB に制限されています。最大サイズに到達すると、Sandbox は新しい要求のキューへの追加を停止し、関連するイベントを Kaspersky Security Center に送ります。サーバーの設定にお浮いて、要求のキューフォルダーのサイズを設定することができます。 サーバー TLS 証明書:Sandbox サーバーと信頼済み接続を設定するには、TLS 証明書を準備する必要があります。次に、ポリシーを使用してこの証明書をコンピューターに追加する必要があります。また、証明書を Sandbox サーバーに追加する必要もあります。 相互認証を使用する: (KATA Sandbox のみ)。Kaspersky Endpoint Security と Central Node サーバー間でセキュアな通信を確立する際の相互認証。相互認証を使用するには、Central Node サーバーの設定で相互認証を有効にする必要があります。その後、暗号化コンテナーを取得して暗号化コンテナーを保護するパスワードを設定します。暗号化コンテナーとは、証明書と秘密鍵が含まれた PFX アーカイブです。暗号化コンテナーは Kaspersky Anti Targeted Attack Platform コンソールで取得できます(Kaspersky Anti Targeted Attack Platform のヘルプを参照してください)。Sandbox サーバーを設定した後、Kaspersky Endpoint Security の設定でも相互認証を有効にして、パスワード保護された暗号化コンテナーを読み込む必要があります。 |
サーバー |
Sandbox サーバーの接続設定です。サーバーは配備された Microsoft Windows オペレーティングシステムの仮想イメージを使用してスキャンする必要のあるオブジェクトを実行します。IP アドレス(IPv4 または IPv6)、または完全修飾ドメイン名を入力できます。 |
脅威の検知時の処理 |
コピーを隔離に移動し、オブジェクトを削除する:このオプションを選択した場合、Kaspersky Endpoint Security はコンピューターで検知された悪意のあるオブジェクトを削除します。オブジェクトを削除する前に、後で復元する必要があった場合に備えて Kaspersky Endpoint Security はオブジェクトのバックアップコピーを作成します。バックアップコピーは隔離に移動されます。 簡易スキャンを実行する:このオプションを選択した場合、Kaspersky Endpoint Security は簡易スキャンタスクを実行します。既定では、カーネルメモリ、実行中のプロセスおよびスタートアップオブジェクト、ディスクブートセクターをスキャンします。 IOC スキャンタスクを作成する:このオプションを選択した場合、Kaspersky Endpoint Security は自動的に IOC スキャン (自動 IOC スキャンタスク)を作成します。このタスクに対して、実行モード、スキャン範囲、また IOC の検知時の動作(オブジェクトの削除、簡易スキャンタスクの実行)を設定できます。このタスクに対して、実行モード、スキャン範囲、また IOC の検知時の動作(オブジェクトの削除、簡易スキャンタスクの実行)を設定できます。その他の IOC スキャンタスクの設定を変更するには、タスクの設定に移動してください。 |
IOC スキャン範囲 |
重要なファイル領域:このオプションを選択した場合、Kaspersky Endpoint Security はカーネルメモリやブートセクターのような、コンピューター上の重要なファイル領域にのみ IOC スキャンを実行します。 コンピューターのシステムドライブのファイル領域:このオプションを選択した場合、Kaspersky Endpoint Security はコンピューターのシステムドライブで IOC スキャンを実行します。 |
IOC スキャンタスクを実行する |
手動:都合の良いときに手動で IOC スキャンタスクを開始できる実行方法です。 脅威の検知後:脅威が検知されたときに自動で Kaspersky Endpoint Security が IOC スキャンタスクを実行する実行モードです。 コンピューターを使用していないときにのみ実行する:スクリーンセーバーが動作しているまたは画面がロックされているときに Kaspersky Endpoint Security が IOC スキャンタスクを実行する実行モードです。ユーザーがコンピューターをロック解除すると、Kaspersky Endpoint Security はタスクを一時停止します。このため、タスクの完了まで数日かかることがあります。 |