Web コンソールでの侵害の兆候の検索

Kaspersky Endpoint Detection and Response Optimum と連携されている場合にのみ、Web コンソールのセキュリティ侵害インジケーターの［IOC スキャン］タスクを使用して侵害の兆候をスキャンできます。Kaspersky Endpoint Detection and Response (KATA) と連携されている場合、IOC スキャンは Kaspersky Endpoint Detection and Response (KATA) ソリューションで実行されます。

Web コンソールで、［IoC スキャン］タスクを作成して実行したり、その設定を編集したりできます。

IOC スキャン タスクの場合、スケジュール設定で Wake-on-LAN 機能は使用できません。タスクを実行するには、デバイスの電源がオンになっていることを確認してください。

IOC スキャン タスクの主な設定は、タスクプロパティの［製品設定］タブ →［IOC スキャンの設定］で変更できます。

［IOC スキャン］タスクの設定

設定	説明
IOC ファイルの再設定	このボタンで、［IOC ファイルの再設定］パネルが開きます。［IOC ファイルの再設定］パネルにある［IOC ファイルを追加する］ボタンをクリックすると、侵害の兆候を検索するために必要なデバイス上の IOC ファイルを選択してダウンロードできるウィンドウが開きます。IOC ファイルをアップロードすると、IOC ファイルからインジケーターのリストを表示できます。
IOC コレクションのエクスポート	このボタンをクリックすると、IOC ファイルがデバイスにダウンロードされます。
IOC 検知時の応答処理を適用する	このチェックボックスは、侵害の兆候が検知された場合に応答処理の適用を有効または無効にします。チェックボックスをオンにすると、侵害の兆候が検知されると、アプリケーションは選択した処理を実行します。簡易スキャンを開始する。このチェックボックスをオンにすると、侵害の兆候が検知されると、アプリケーションは［簡易スキャン］タスクを開始します。既定では、Kaspersky Endpoint Security はカーネルメモリ、実行中のプロセス、ブートセクター、およびその他主要領域をスキャンします。 /lib/systemd /lib/udev /lib/dbus-1.0 /usr/local/lib/systemd/user /usr/share/dbus-1 /usr/share/gdm/autostart /usr/share/gnome/autostart /var/spool/at /var/spool/at/spool /var/spool/anacron /var/spool/cron /boot /bin /sbin /lib /lib32 /lib64 /libx32 /usr/lib /usr/lib32 /usr/lib64 /usr/libx32 ~/.config/autostart ~/.config/autostart-scripts ~/.config/plasma-workspace/env ~/.config/plasma-workspace/shutdown ~/.config/lxsession ~/.fluxbox/startup ~/.kde/Autostart /etc コピーを隔離し、オブジェクトを削除する。チェックボックスをオンにすると、侵害の兆候が検出されると、アプリケーションはオブジェクトのコピーを隔離し、元のオブジェクトを削除します。デバイスをネットワークから分離する。このチェックボックスをオンにすると、侵害の兆候が検知されると、アプリケーションはデバイスをネットワークから分離し、脅威の拡散を防ぎます。分離期間を設定できます。ポリシーが分離されたデバイスに適用される場合、ポリシープロパティで指定された［指定された期間後に自動的に分離を無効化］および［ネットワーク分離の除外］設定が適用されます。ポリシーがデバイスに適用されない場合は、分離されたデバイスのプロパティで指定された設定が適用されます。チェックボックスをオフにすると、侵害の兆候が検知されてもアプリケーションは応答処理を実行しません。検知された侵害の兆候に関する情報は、［アラートの詳細］ウィンドウとタスクのプロパティに表示されます。

設定

説明

IOC ファイルの再設定

このボタンで、［IOC ファイルの再設定］パネルが開きます。

［IOC ファイルの再設定］パネルにある［IOC ファイルを追加する］ボタンをクリックすると、侵害の兆候を検索するために必要なデバイス上の IOC ファイルを選択してダウンロードできるウィンドウが開きます。IOC ファイルをアップロードすると、IOC ファイルからインジケーターのリストを表示できます。

IOC コレクションのエクスポート

このボタンをクリックすると、IOC ファイルがデバイスにダウンロードされます。

IOC 検知時の応答処理を適用する

このチェックボックスは、侵害の兆候が検知された場合に応答処理の適用を有効または無効にします。

チェックボックスをオンにすると、侵害の兆候が検知されると、アプリケーションは選択した処理を実行します。

簡易スキャンを開始する。
このチェックボックスをオンにすると、侵害の兆候が検知されると、アプリケーションは［簡易スキャン］タスクを開始します。

既定では、Kaspersky Endpoint Security はカーネルメモリ、実行中のプロセス、ブートセクター、およびその他主要領域をスキャンします。
- /lib/systemd
- /lib/udev
- /lib/dbus-1.0
- /usr/local/lib/systemd/user
- /usr/share/dbus-1
- /usr/share/gdm/autostart
- /usr/share/gnome/autostart
- /var/spool/at
- /var/spool/at/spool
- /var/spool/anacron
- /var/spool/cron
- /boot
- /bin
- /sbin
- /lib
- /lib32
- /lib64
- /libx32
- /usr/lib
- /usr/lib32
- /usr/lib64
- /usr/libx32
- ~/.config/autostart
- ~/.config/autostart-scripts
- ~/.config/plasma-workspace/env
- ~/.config/plasma-workspace/shutdown
- ~/.config/lxsession
- ~/.fluxbox/startup
- ~/.kde/Autostart
- /etc
コピーを隔離し、オブジェクトを削除する。
チェックボックスをオンにすると、侵害の兆候が検出されると、アプリケーションはオブジェクトのコピーを隔離し、元のオブジェクトを削除します。
デバイスをネットワークから分離する。
このチェックボックスをオンにすると、侵害の兆候が検知されると、アプリケーションはデバイスをネットワークから分離し、脅威の拡散を防ぎます。分離期間を設定できます。

ポリシーが分離されたデバイスに適用される場合、ポリシープロパティで指定された［指定された期間後に自動的に分離を無効化］および［ネットワーク分離の除外］設定が適用されます。ポリシーがデバイスに適用されない場合は、分離されたデバイスのプロパティで指定された設定が適用されます。

チェックボックスをオフにすると、侵害の兆候が検知されてもアプリケーションは応答処理を実行しません。検知された侵害の兆候に関する情報は、［アラートの詳細］ウィンドウとタスクのプロパティに表示されます。

IOC スキャン タスクの詳細設定は、タスクプロパティの［製品設定］タブ →［追加］で変更できます。

［IOC ファイルの再設定］パネルで IOC ファイルを読み込んだ場合は、［追加］セクションを編集できます。

［IOC スキャン］タスクの詳細設定

設定	説明
IOC スキャン中に解析するデータ種別（IOC ドキュメント）	［追加］セクションのチェックボックスには、IOC スキャン中の分析に次のデータタイプ（IOC ドキュメント）が含まれます：プロセス - ProcessItem。ファイル - FileItem。 IOC ドキュメント。［IOC ファイルの再設定］パネルで IOC ファイルを読み込んだ場合、［IOC ドキュメント］リンクが使用可能になります。このリンクをクリックすると、［ファイルのスキャン設定 - FileItem］ウィンドウに移動し、スキャン範囲を追加できます。 ARP テーブル - ArpEntryItem。 Network ポート - PortItem。ユーザーアカウント - UserItem。システムオブジェクト - SystemItem。
次の範囲で IOC を検索する	このチェックボックスでは、次の範囲をスキャンするかどうかを選択できます。デバイスのすべてのドライブのファイル。デバイスのシステムドライブのファイル。デバイスの重要な領域。既定では、このオプションがオンです。定義済みの領域をスキャンしない。
カスタム領域をスキャンします	チェックボックスをオンにすると、チェックボックスの下の表にリストされている範囲がスキャン範囲のリストに追加されます。［追加］ボタンをクリックすると、スキャンする範囲へのパスを追加できます。開いたウィンドウで、［範囲］へのパスフィールドに範囲へのパスを入力し、変更を保存します。削除する範囲の横にあるチェックボックスをオンにして、[削除] ボタンをクリックすると、表から範囲を削除できます。［次の範囲で IOC を検索する］リストで［定義済みの領域をスキャンしない］オプションが選択されている場合は、このチェックボックスをオフにすることはできません。

設定

説明

IOC スキャン中に解析するデータ種別（IOC ドキュメント）

［追加］セクションのチェックボックスには、IOC スキャン中の分析に次のデータタイプ（IOC ドキュメント）が含まれます：

プロセス - ProcessItem。
ファイル - FileItem。
- IOC ドキュメント。
［IOC ファイルの再設定］パネルで IOC ファイルを読み込んだ場合、［IOC ドキュメント］リンクが使用可能になります。このリンクをクリックすると、［ファイルのスキャン設定 - FileItem］ウィンドウに移動し、スキャン範囲を追加できます。
ARP テーブル - ArpEntryItem。
Network ポート - PortItem。
ユーザーアカウント - UserItem。
システムオブジェクト - SystemItem。

次の範囲で IOC を検索する

このチェックボックスでは、次の範囲をスキャンするかどうかを選択できます。

デバイスのすべてのドライブのファイル。
デバイスのシステムドライブのファイル。
デバイスの重要な領域。既定では、このオプションがオンです。
定義済みの領域をスキャンしない。

カスタム領域をスキャンします

チェックボックスをオンにすると、チェックボックスの下の表にリストされている範囲がスキャン範囲のリストに追加されます。

［追加］ボタンをクリックすると、スキャンする範囲へのパスを追加できます。開いたウィンドウで、［範囲］へのパスフィールドに範囲へのパスを入力し、変更を保存します。

削除する範囲の横にあるチェックボックスをオンにして、[削除] ボタンをクリックすると、表から範囲を削除できます。

［次の範囲で IOC を検索する］リストで［定義済みの領域をスキャンしない］オプションが選択されている場合は、このチェックボックスをオフにすることはできません。

このタスクを開始した後は、IOC ファイルを追加または削除しないことは推奨します。これにより、以前に実行したタスクの IOC スキャンの結果が正しく表示されない可能性があります。新しい IOC ファイルに基づいて IOC スキャンを実行するための新しいタスクを作成することを推奨します。

［IOC スキャン］タスクの結果は、Web コンソールのタスクプロパティの［アプリケーション設定］→［IOC スキャンの結果］で確認できます。表には、［IOC スキャン］タスクが実行されたデバイスのリストと、タスクの結果が表示されます。［デバイス］ドロップダウンリストでは、タスクが実行されたすべての管理対象デバイスのタスク結果を表示するか、特定のデバイスのタスク結果を表示するかを選択できます。

表には次の情報が含まれます：

ステータス – 侵害の兆候の検知のステータスがアイコンとして表示されます。
デバイス – タスクが開始されたデバイスの名前
日時 – タスクが実行された日付と時刻
結果 –［IOC スキャン］タスクの結果に関する情報。次のいずれかのステータスが表示されます：
- IOC の検出 – このステータスはリンクとして表示され、リンクをクリックするとアラートの詳細を示すウィンドウが開きます。
- IOC は検出されませんでした。

IOC スキャンの結果は 30 日間保存されます。この時間が経過すると、Kaspersky Endpoint Security は古いエントリを自動的に削除します。

ページのトップに戻る