Kaspersky Anti Targeted Attack Platform との連携
Kaspersky Endpoint Security は、組織の IT インフラを保護し、ゼロデイ攻撃、標的型攻撃、高度持続型脅威(APT)などの脅威をプロンプトリーに検知することを目的とした Kaspersky Anti Targeted Attack Platform ソリューションと互換性があります。詳細は、Kaspersky Anti Targeted Attack Platform のヘルプを参照してください。
Kaspersky Endpoint Security アプリケーションは、 Kaspersky Anti Targeted Attack Platform ソリューションの次のコンポーネントと連携できます。
- Kaspersky Endpoint Detection and Response (KATA) は、企業 LAN 上のデバイスを保護します。Kaspersky Endpoint Detection and Response (KATA) と対話する場合、Kaspersky Endpoint Security では次の操作が可能になります:
- デバイスの情報イベントに関する情報(テレメトリ) を、Kaspersky Endpoint Detection and Response (KATA) (以降「KATA サーバー」とも表記) との連携を提供する Central Node サーバーに送信します。Kaspersky Endpoint Security は、プロセス、オープンネットワーク接続、変更されたファイルに関する監視データを、KATA サーバーに送信するとともに、アプリケーションが検知した脅威のデータと脅威の処理結果のデータを送信します。
- Kaspersky Anti Targeted Attack Platform からコマンドを受信したときに、応答処理を実行してセキュリティを確保します。
- Kaspersky Endpoint Detection and Response (KATA) は、企業 LAN 上のデバイスを保護します。Kaspersky Network Detection and Response (KATA) と連携すると、Kaspersky Endpoint Security は、デバイス上のイベントに関する情報 (テレメトリ)を、Kaspersky Endpoint Detection and Response (KATA) との対話を提供するサーバー(以降 NDR サーバーとも表記)に送信できます。
- KATA Sandbox は、オペレーティングシステムの仮想イメージが導入された特別なサーバーを使用して、オブジェクトを分析およびスキャンし、企業の IT インフラストラクチャに対する悪意のあるアクティビティや標的型攻撃の兆候を検出します。KATA Sandbox と接続すると、Kaspersky Endpoint Security は、スキャンするファイルを、KATA Sandbox との対話を提供する Central Node サーバー(以降 Sandbox サーバーとも表記)に送信できます。
Kaspersky Endpoint Detection and Response (KATA) ソリューションのこれらのコンポーネントとの連携は、Kaspersky Endpoint Security アプリケーションの次のコンポーネントによって提供されます。
- Endpoint Detection and Response (KATA)(以降「EDR (KATA) 」とも表記)
- Network Detection and Response (KATA)(以降「NDR (KATA)」とも表記)
- Sandbox コンポーネント
Kaspersky Endpoint Security アプリケーションと Kaspersky Anti Targeted Attack Platform ソリューションのすべてのコンポーネントの連携、および各コンポーネントの連携を個別に設定できます。
Kaspersky Anti Targeted Attack Platform コンポーネントと連携するには、Kaspersky Anti Targeted Attack Platform ソリューションをアクティベートする必要があります(詳細については、ソリューションのヘルプを参照してください)。連携を提供する Kaspersky Endpoint Security コンポーネントをアクティベートする必要はありません。Kaspersky Endpoint Security の主なライセンスにはこの機能が含まれています。
Kaspersky Endpoint Security 製品を Kaspersky Anti Targeted Attack Platform と適切に接続するには、ふるまい検知コンポーネントを有効にする必要があります。ふるまい検知が無効になっている場合、必要なテレメトリは送信されません(同期要求と他の保護コンポーネントからの脅威検知データは例外)。
ふるまい検知が eBPF メカニズムを使用してシステムテレメトリを取得する場合(eBPF に対応するカーネルバージョン 5.3 以降の 64 ビットオペレーティングシステムで利用可能)、テレメトリデータはより包括的になります。
EDR (KATA) および NDR (KATA) コンポーネントは、次のコンポーネントのデータを使用できます。
Kaspersky Anti Targeted Attack Platform ソリューションと連携されている間、Kaspersky Endpoint Security を実行するデバイスは、HTTPS プロトコルを使用して KATA/NDR/Sandbox サーバーへの暗号化された接続を確立します。安全な接続を実現するため、KATA/NDR/Sandbox サーバーが発行する次の証明書を使用しています:
- KATA/NDR/Sandbox サーバー証明書。接続はサーバーの TLS 証明書を使用して暗号化されます。接続のセキュリティレベルは、Kaspersky Endpoint Security 側のサーバー証明書を検証することで上げられます。この操作には、Kaspersky Anti Targeted Attack Platform ソリューションとの連携を有効にする前に、KATA/NDR/Sandbox サーバー証明書を追加する必要があります。
- クライアント証明書。この証明書は、相互認証を使用した追加の接続保護に使用されます(つまり、KATA/NDR/Sandbox サーバーは Kaspersky Endpoint Security アプリケーションを使用してデバイスをチェックします)。同一のクライアント証明書を複数のデバイスで使用することができます。既定では、KATA/NDR/Sandbox サーバーはクライアント証明書をチェックしませんが、Kaspersky Anti Targeted Attack Platform 側で双方向認証を有効にすることができます。この場合、Kaspersky Managed Detection and Response (KATA)、Kaspersky Network Detection and Response (KATA)、KATA Sandbox との連携設定で双方向認証を有効にし、クライアント証明書(証明書と秘密鍵の入った暗号コンテナ)を追加する必要があります。
KATA/NDR/Sandbox サーバーとの接続を確保するための証明書は、Kaspersky Anti Targeted Attack Platform の管理者から提供されます。
Kaspersky Endpoint Security の製品全般設定で、プロキシサーバーの使用が設定されている場合、KATA/NDR/Sandbox サーバーへの接続にプロキシサーバーが使用されます。
既定では、Kaspersky Anti Targeted Attack Platform ソリューションコンポーネントとの連携は無効になっています。コマンドライン、Web コンソール、管理コンソールを使用して、連携を有効化、無効化、または設定できます。Kaspersky Anti Targeted Attack Platform コンポーネントと連携すると、次の操作が可能になります:
- KATA/NDR/Sandbox サーバー接続の全般設定を構成します。
- KATA/NDR/Sandbox サーバー証明書を追加または削除します。
- KATA/NDR/Sandbox サーバーに接続するときに双方向認証を設定し、クライアント証明書を追加します。
- イベントの転送を設定します。
Kaspersky Endpoint Detection and Response (KATA) と連携すると、次の操作も可能になります:
- テレメトリーの送信を有効または無効にします。
- オブジェクトの実行防止のための EDR (KATA) ルールを有効または無効にします。
ページのトップに戻る