Kaspersky Security Center 10 Kaspersky Endpoint Security for Windows 実行ファイル情報収集 2018/5/8 株式会社カスペルスキー法人営業本部セールスエンジニアリング部 Ver 1.0 1
目次 1. はじめに... 3 1.1. 本資料の目的... 3 1.2. 実行ファイル収集の目的... 3 1.3. 前提... 4 2. 起動された実行ファイル情報の収集... 5 2.1. 設定手順... 6 3. 特定フォルダー配下の実行ファイル情報収集... 9 3.1. 設定手順... 9 4. 実行ファイル情報の確認方法...16 4.1. すべての実行ファイルを確認する方法...16 4.2. デバイス毎の実行ファイルを確認する方法...18 2
1. はじめに 1.1. 本資料の目的 本資料では Kaspersky Security Center( 以降 KSC) にて 管理下のデバイスから 実行ファイル 情 報を収集する方法についてご説明します 1.2. 実行ファイル収集の目的 実行ファイルとは デバイスがプログラムとして解釈し 実行することができる形式のファイルです KSC の機能の一つとして 管理下にあるWindows デバイスから実行ファイルの情報を収集し 管理することができます 収集した実行ファイル情報は Kaspersky Endpoint Security 10 for Windows の保護コンポーネントである アプリケーション起動コントロール や アプリケーション権限コントロール の設定に使用します また デバイス上でマルウェアに関連する実行ファイルが存在するかどうかを確認する際に使用することもできます KSC では以下形式の実行ファイルを収集することができます mz, com, pe, ne, sys, cmd, bat, ps1, js1, js, vbs, reg, msi, cpl, dll, jar, html 3
1.3. 前提 本設定を実施するためには 以下の前提条件を満たしている必要があります 管理サーバーとして KSC がインストールされていること クライアントデバイスが KSC の管理下として登録されていること クライアントデバイスに Kaspersky Endpoint Security for Windows がインストールされていること Kaspersky Endpoint Security for Business Select 以上のライセンスであること ( 2. 起動された実行ファイル情報の収集 手順を実施する場合 ) 用語説明 管理サーバー : Kaspersky Security Center がインストールされた Windows サーバーです Kaspersky Security Center( 以降 KSC): 管理サーバーにインストールされた Kaspersky 製品を管理するアプリケーションです Kaspersky Security Center 10 ネットワークエージェントがインストールされたデバイスの管理と 定義データベースの配信を行います Kaspersky Endpoint Security for Windows( 以降 KES): デバイスを保護するアンチウイルスアプリケーションです 管理サーバー及び管理下のデバイスにインストールされます Kaspersky Security Center 10 ネットワークエージェント ( 以降 NA): KSC とクライアントデバイスが通信をするために必要となるアプリケーションです 管理下のデバイスにインストールされます ( 管理サーバーは KSC に含まれているため不要です ) 4
2. 起動された実行ファイル情報の収集 本章では 起動された実行ファイル情報を収集する手順についてご説明します 本設定を実施すると デバイス上で起動された実行ファイル情報が自動的に KSC へ送信されます 起動されて いないファイルは実行形式であっても送信されません デバイス上の全フォルダーにある実行ファイルが対象となります 起動の有無にかかわらず 特定フォルダー配下にある実行ファイルの情報を収集する場合は 3. 特定フォルダ ー配下の実行ファイル情報収集 を参照してください 注意 1 本手順を実施するためには Kaspersky Endpoint Security for Business-Select 以上のライセンスが必要となります Kaspersky Endpoint Security for Business-Core のライセンスを使用されている場合 この手順を実施することはできません 注意 2 本手順を実施すると 実行ファイルの起動を常にチェックするため デバイスに負荷がかかる可能性があります 実行ファイル情報の収集が必要なタイミングのみ設定することをお勧めします 情報収集後は設定を元の状態へ戻すことで実行ファイルの収集は停止します 5
2.1. 設定手順 設定は KES ポリシーにて行います KES ポリシーが適用されたデバイスから 実行ファイル情報が通知されます 1 管理サーバー を選択した状態で 表示 - インターフェイスの書式設定 をクリックし ます 2 エンドポイントコントロール設定の表示 にチェックを入れ OK をクリックします KSC 管理コンソールを一旦閉じ 再度開きます (OS の再起動は不要です ) 3 管理対象デバイス を開き 右画面にて ポリシー タブを開きます KES のポリシーを右クリックし プロパティ を開きます 6
4 アプリケーション起動コントロール セクションを開きます 右画面にて アプリケーション起動コントロール にチェックを入れます 5 詳細設定 - レポートと保管領域 セクションを開きます 右画面にて 管理サーバーへの通知 の 設定 ボタンをクリックします 6 通知 ダイアログにて 起動されたアプリケ ーションの情報 にチェックを入れ OK を クリックします 7
7 ポリシー設定画面に戻ったら OK をクリ ックしてポリシー設定を保存します 設定は以上になります デバイスにポリシーが適用後 起動された実行ファイル情報が KSC へ通知されます 8
3. 特定フォルダー配下の実行ファイル情報収集 本章では 特定のフォルダー配下にある実行ファイル情報を収集する方法についてご説明します この手順はすべてのライセンスにて実施することができます 起動の有無にかかわらず 指定したフォルダー配下にある実行ファイル情報を収集する際に実施します 3.1. 設定手順 実行ファイルを収集するタスクを作成し タスクが実行されたデバイス上から実行ファイル情報を収集します 本手順では 特定のデバイスに対してタスクを実行する手順についてご説明します 1 管理対象デバイス を開き 右画面にて ポリシー タブを開きます KES のポリシーを右クリックし プロパティ を開きます 9
2 詳細設定 - レポートと保管領域 セクションを開きます 右画面にて 管理サーバーへの通知 の 設定 ボタンをクリックします 3 通知 ダイアログにて 起動されたアプリケ ーションの情報 にチェックを入れ OK を クリックします 4 ポリシー設定画面に戻ったら OK をクリ ックしてポリシー設定を保存します 10
5 タスク を選択します 右画面にて タスクの作成 をクリックしま す 6 インベントリ を選択し 次へ をクリックし ます 11
7 実行ファイル情報を取得するフォルダーを選択します 既定では以下のフォルダーが選択されています %SystemRoot% %ProgramFiles% %ProgramFiles(x86)% スキャン対象フォルダーを追加する場合は 追加 ボタンにてパスを追加します 設定後 次へ をクリックします 8 タスクを実行する対象となるデバイスを選択します ここでは ネットワークの管理サーバーによって検出されたデバイスを選択する をクリックします 12
9 管理対象デバイス を展開し タスクを実 行するデバイスにチェックを入れ 次へ を クリックします 10 タスクを実行するアカウントの選択画面に て 次へ をクリックします 13
11 タスクのスケジュール設定を行います ここでは 手動 に設定し 次へ をクリック します 12 タスク名を入力し 次へ をクリックします 14
13 タスクが正常に作成されたことを確認し 完了 をクリックします 14 タスクを実行します 作成したインベントリタスクを右クリックし 開始 を選択します 15 タスクが正常に終了するまで待ちます 設定は以上になります ポリシー適用後 タスクが実行されたデバイスから実行ファイル情報が KSC へ通知されます 15
4. 実行ファイル情報の確認方法 本章では 実行ファイルの情報を確認する方法についてご説明します デバイスから収集した実行ファイルの情報は KSC 上で確認することができます 4.1. すべての実行ファイルを確認する方法 KSC で収集したすべての実行ファイルを確認するには以下の手順を実施します 1 詳細 - アプリケーションの管理 - 実行ファイル を選択します 右画面に実行ファイル情報の一覧が表示されます 2 任意の実行ファイルをクリックすると 詳細情報が表示されます 全般 セクションでは ファイル種別や製造元などが表示されます 16
3 詳細 セクションでは MD5 ハッシュや SHA-256 証明書情報が表示されま す 4 デバイス セクションでは その実行ファイル が存在するデバイス情報が表示されます 以上になります 17
4.2. デバイス毎の実行ファイルを確認する方法 デバイス毎の実行ファイル情報を確認するには以下の手順を実施します 1 管理対象デバイス 配下にて 確認した いデバイスを右クリックし プロパティ を選 択します 2 システム情報 - 実行ファイル セクションを開きます 右画面に実行ファイルの一覧が表示されます 実行ファイルのプロパティを開くと詳細を確認することができます 以上になります 18
19
株式会社カスペルスキー 101-0021 東京都千代田区外神田 3-12-8 住友不動産秋葉原ビル 7F http://www.kaspersky.co.jp/ kasperskylabs.jp/biz/ threats.kaspersky.com/ja 2018 Kaspersky Labs Japan. Kaspersky Anti-Virus および Kaspersky Security は AO Kaspersky Lab の登録商標です その他記載された会社名または製品名などは 各社の登録商標または商標です なお 本文中では TM マークは明記していません 記載内容は 2018 年 5 現在のものです 記載された内容は 改良の為に予告なく変更されることがあります 20