Endpoint Detection and Response (KATA)
Kaspersky Endpoint Security for Windows は、Kaspersky Anti Targeted Attack Platform (EDR (KATA))ソリューションの一部である Kaspersky Endpoint Detection and Response コンポーネントとの連携をサポートします。Kaspersky Anti Targeted Attack Platform は、標的型攻撃、高度な持続的脅威(APT)、ゼロデイ攻撃などの高度な脅威をタイムリーに検知するために設計されたソリューションです。Kaspersky Anti Targeted Attack Platform には、次の 3 つの機能ユニットが含まれています:
すべての機能ユニットまたは個別の機能ユニットを別々に購入できます。ソリューションについて詳しくは、Kaspersky Anti Targeted Attack Platform のヘルプを参照してください。
Kaspersky Endpoint Security は、企業の IT インフラストラクチャにある個別のコンピューターにインストールされ、プロセス、開かれているネットワーク接続や編集されているファイルを継続的に監視します。コンピューターのイベントに関する情報(テレメトリデータ)は Kaspersky Anti Targeted Attack Platform サーバーに送信されます。この場合、Kaspersky Endpoint Security は、本製品が検出した脅威に関する情報およびその脅威の処理結果についての情報を Kaspersky Anti Targeted Attack Platform サーバーに 送信します。
EDR (KATA) および NDR (KATA) 連携は Kaspersky Security Center コンソールで設定します。タスクの実行、隔離されたオブジェクトの管理、レポートの表示やその他の処理を含む組み込みエージェントは、Kaspersky Anti Targeted Attack Platform コンソールを使用して管理されるようになります。
Endpoint Detection and Response Expert(オンプレミス)
Kaspersky Endpoint Security と Kaspersky Endpoint Detection and Response Expert(オンプレミス)ソリューションの統合は、まもなく使用可能になります。Kaspersky Endpoint Detection and Response Expert(オンプレミス)は、組織がほとんどの種別のサイバーリスクを防ぎ、最も重要な脅威の拡散シナリオに対応できるようにするカスペルスキー製品を含むエンタープライズ向けのサイバーセキュリティソリューションです。EDR Expert(オンプレミス)コンポーネントは、Open Single Management Platform (OSMP) に配備されます。この機能は 2025 年末までにサポートされる予定です。アプリケーションのアップグレードと新機能について知るには、リリースノートを確認してください。
Endpoint Detection and Response Expert(オンプレミス)の設定
パラメータ |
説明 |
|---|---|
KATA サーバーへの接続設定 / KUMA サーバーへの接続設定 |
KATA サーバー接続用に以下を設定します:
暗号化コンテナーはパスワードで保護されている必要があります。パスワードを空白にして暗号化コンテナーを追加することはできません。 |
KATA サーバー / テレメトリ収集サーバー |
Kaspersky Anti Targeted Attack Platform サーバーの接続設定。IP アドレス(IPv4 または IPv6)を入力できます。 複数の Central Node サーバーアドレスを追加できます。Kaspersky Endpoint Security は、最初の IP アドレスでサーバーに接続しようとします。接続を確立できない場合、リストの 2 番目の IP アドレスで接続しようとします。それでも接続を確立できない場合は、以降同様に次の IP アドレスで接続を試行します。 |
KATA サーバーに同期リクエストを送信する間隔(分) |
サーバーに送信される同期リクエストの頻度。同期中に、Kaspersky Endpoint Security は変更した製品設定とタスクに関する情報を送信します。 |
KATA にテレメトリを送信する / KUMA にテレメトリを送信する |
この機能を使用して KATA サーバーへのテレメトリの送信を完全にオフにすることができます。例えば、テレメトリを使用する別のソリューションとあわせて Kaspersky Anti Targeted Attack Platform を使用している場合は、KATA (EDR) 向けのテレメトリをオフにすることができます。これにより、これらのソリューションのサーバー負荷を最適化することができます。Managed Detection and Response ソリューションと KATA (EDR) を導入している場合、MDR テレメトリを使用して KATA (EDR) で脅威応答タスクを作成することができます。 |
IOA のあるテレメトリのみ送信する (Endpoint Detection and Response (KATA) でのみ使用可能) |
これにより、テレメトリを最適化し、IOA のあるテレメトリのみを送信できるようになります。攻撃の痕跡(IOA)は、標的型攻撃を示す可能性のあるシステム内の疑わしい動作の説明を含むルールです。本製品は、システム内で進行中の動作をこれらのルールと比較し、標的型攻撃を示唆するイベントをログに記録します。本製品は、このようなイベントをリアルタイムで追跡できるストリーミングスキャンの技術を採用しています。 |
最大イベント転送遅延時間(秒) |
指定した同期間隔の期間が過ぎると、本製品はイベント送信のためサーバーと同期します。既定値は 30 秒です。 |
調整を有効にする |
これは、サーバーの負荷の最適化に役立ちます。このチェックボックスがオンになっていると、本製品はイベントの転送を制限します。イベント数が設定した制限値を超えると、Kaspersky Endpoint Security はイベントの送信を停止します。 |
1 時間ごとのイベントの最大数 |
本製品はテレメトリデータストリームを分析し、イベントストリームが設定した時間当たりのイベント数を超えた場合は、イベントの送信を制限します。1 時間後にイベントの送信は再開されます。1 時間あたりの既定値は 3000 イベントです。本製品がサーバーにインストールされている場合、テレメトリデータストリームの値は高くなります。サーバーの場合、値を 1 時間あたり 60,000 イベントに増やすことを推奨します。 |
イベントの制限超過のパーセンテージ |
本製品は種別ごと(「レジストリの変更」イベントなど)にイベントを並べ替えます。全体のイベント合計数に対して同じ種別のイベントが占める比率が設定された割合を超えると、本製品はイベントの転送を制限します。その他のイベントが占める全体のイベントの割合がまた大きくなった場合はイベントの送信を再開します。既定値は 15 % です。 |