隔離の管理

隔離は、ウイルスに感染している可能性があるファイルや検知時に駆除できないファイルをデバイス上で保存する特別な場所です。隔離により、ファイルを孤立させた上で調査することができます。隔離されたファイルは暗号化された形式で保存され、デバイスのセキュリティを脅かすことはありません。隔離とは対照的に、バックアップは、悪意のあるコードが検知され、駆除中に削除または変更されたファイルのバックアップコピーを保存します。

本製品は、Detection and Response ソリューションと連携し、推奨される脅威対応処理を実行する場合にのみ、隔離を使用します。本製品が Kaspersky Endpoint Detection and Response Optimum または Kaspersky Managed Detection and Response と連携している場合は、デバイスにとって危険であると思われるファイルを手動で隔離することもできます。

既定では、ディレクトリ /var/opt/kaspersky/kesl/common/objects-backup/ が隔離されたファイルの保存に使用されます。このディレクトリには、バックアップオブジェクトも含まれています。コマンドラインを使用して、バックアップおよび隔離オブジェクトを保存するディレクトリを変更できます。

隔離ファイルには、個人データが含まれる場合があります。隔離されたファイルにアクセスするには、root 権限が必要です。

Web コンソールまたは管理コンソールのポリシーを使用するか、コマンドラインを使用して、デバイスの隔離設定を構成できます。次の隔離設定を行うことができます：

• 隔離の容量に達したことを示すイベントを生成するために必要な隔離の使用割合。既定では、隔離が 90% の容量に達するとイベントが生成されます。
• 隔離の最大サイズ（メガバイト単位）。保管領域の最大サイズに到達すると、古いオブジェクトから削除されます。アプリケーションが標準モードで使用されている場合の既定の隔離の最大サイズは 200 MB で、アプリケーションが Light Agent モードで使用されている場合の既定値は 100 MB です。
• バックアップおよび隔離オブジェクトが保存されるディレクトリへのパス（コマンドラインでのみ設定できます）。

ファイルの隔離

一部のファイルは、オペレーティングシステムとアプリケーションの動作にとって非常に重要になる場合があります。このようなファイルを隔離すると、システムの動作が中断される可能性があります。

システムクリティカルオブジェクト (SCO) を隔離することはできません。SCO には、オペレーティング システムと Kaspersky Endpoint Security アプリケーションの動作に必要なファイルが含まれています。

ファイルを隔離に置くことは、次のいずれかの条件が満たされた場合にのみ可能です。

• Kaspersky Endpoint Security と Kaspersky Endpoint Detection and Response Optimum の連携が有効であり、EDR Optimum コンポーネントがアクティベートされている場合。
• Kaspersky Endpoint Security と Kaspersky Endpoint Detection and Response (KATA) との整合性が有効であり、Kaspersky Anti Targeted Attack Platform ソリューションがアクティベートされている場合。
• Kaspersky Endpoint Security と Kaspersky Managed Detection and Response の連携が有効であり、MDR コンポーネントがアクティベートされている場合。

バックアップおよび隔離オブジェクトを保存するディレクトリは書き込み可能である必要があります。

Kaspersky Endpoint Detection and Response (KATA) と連携すると、Kaspersky Endpoint Detection and Response (KATA) 側で設定されたタスクを使用してファイルを隔離できます。詳細については、Kaspersky Anti Targeted Attack Platformヘルプを参照してください。

Kaspersky Managed Detection and Response と連携すると、ファイルは次のいずれかの方法で隔離されます：

• Kaspersky Managed Detection and Response 側で設定されたタスクの実行の結果として。
• デバイス上の隔離を管理するコマンドの実行の結果として。

Kaspersky Endpoint Detection and Response と連携した場合の隔離の扱い方の詳細については、Kaspersky Endpoint Detection and Response ヘルプを参照してください。

Kaspersky Endpoint Detection and Response と連携すると、ファイルは次のいずれかの方法で隔離されます：

• 侵害の兆候の検知の結果として自動的に。
• Web コンソールで作成できる隔離タスクの結果として。
• デバイス上の隔離を管理するコマンドの実行の結果として。
• アラートの詳細にある推奨事項に従った結果として。

Kaspersky Endpoint Detection and Response Optimum と連携した場合の隔離管理の詳細については、Kaspersky Endpoint Detection and Response Optimum ヘルプを参照してください。

隔離されたファイルの管理

隔離されたファイルを管理できます。

• Kaspersky Security Center では、 カスペルスキー製品によって隔離されたファイルの共通リストにあります。

  Kaspersky Security Center で隔離されたファイルを管理するには、隔離されたファイルに関するデータを管理サーバーに転送できるようにする必要があります。

• コマンドラインを使用してデバイス上でローカルに実行します。

隔離されたファイルに関する情報を表示したり、隔離されたファイルを削除したり復元したりできます。

Detection and Response との連携が有効になっているかどうか、またデバイスにポリシーが適用されているかどうかに関係なく、隔離からファイルを復元、削除、および取得できます。

クライアントデバイス上のカスペルスキーアプリケーションによって隔離されたファイルの一般的なリストは、Kaspersky Security Center に保存され、管理コンソール（［詳細設定］→［リポジトリ］→［隔離］）および Web コンソール（［操作］→［リポジトリ］→［隔離］）で利用できます。Kaspersky Security Center は、隔離ストレージから管理サーバーにファイルをコピーしません。すべてのファイルは、クライアントデバイスの隔離ストレージに保存されます。Kaspersky Security Center 隔離ファイルの管理については、Kaspersky Security Center のヘルプを参照してください。

隔離されたファイルは、指定された設定に従って元の場所に復元されます。復元プロセスが完了すると、アプリケーションは復元されたファイルの隔離されたコピーを削除します。

次の場合には、隔離からファイルを復元できません。

• 復元するファイルが隔離ストレージ内に見つかりませんでした。
• 復元するファイルの名前が間違って指定されているか、大文字と小文字が間違っています。
• ファイル ID が正しく指定されていません。
• 宛先フォルダが削除、移動、名前変更されたか、アクセス権がありません。

  この場合、アプリケーションはファイルを /var/opt/kaspersky/kesl/common/restored/ フォルダーに移動します。このフォルダーから目的のフォルダーにファイルを手動で移動できます。

• 指定されたパスに同じ名前のファイルが既に存在します。
• デバイスに十分なスペースがありません。

次の場合には、隔離からファイルを削除できません。

• 削除するファイルが隔離ストレージ内に見つかりませんでした。
• 削除するファイルの名前が間違って指定されているか、大文字と小文字が間違っています。
• ファイル ID が正しく指定されていません。

このセクションの内容 Web コンソールを使用したファイルの隔離 Web コンソールでの隔離設定の編集 管理コンソールでの隔離設定の編集 コマンドラインでの隔離設定の編集 コマンドラインでの隔離されたファイルの管理 隔離されたファイルに関する情報の Kaspersky Security Center への送信

ページのトップに戻る