株式会社ネットワールドのエンジニアがお届けする技術情報ブログです。
各製品のエキスパートたちが旬なトピックをご紹介します。

Kaspersky製品ナレッジ 第10回 ~KSCで特定のユーザーが過去ログインしたデバイスを特定する~

皆様、こんにちは。カスペルスキー製品担当SEの小池です。

 

普段通りパソコンで仕事をしていると、突然ウイルス対策ソフトの脅威検知のポップアップが上がりあたふたしたことがあるという経験をお持ちの方、いらっしゃるのではないでしょうか。

f:id:networld-blog-post:20201223141640p:plain

まあ、焦りますよね。

 

一方この時、情報システム部のご担当者にはきっとメールか何かで通知が来ていることでしょう。

そのアラートを見た情報システム部の方は、脅威が既に削除 or 駆除されていることや、ほかのパソコンやサーバーに問題が無いことなどを調査なさることと存じます。

 

そんな調査において、カスペルスキー製品の管理サーバーである Kaspersky Security Center (以降KSCと記載) の "デバイスの抽出" という機能がお役に立てる!かもしれません。

というわけで今回は例として、「KSCで特定のユーザーが過去ログインしたデバイスを特定する」方法をご紹介致します!!

なお、今回はKSCのMMCベースの管理コンソールからの操作をご紹介します。

(Webコンソールからでも同じことは実施できます。ただし、今回検証したKSC 12.2.0.4376、Webコンソール 12.2.265 では、ユーザーの検索機能がMMCベースの管理コンソール画面にしかないため、今回の手順に限ってはMMCベースの管理コンソールのほうがやりやすいです。)

 

では早速手順をご紹介いたします。

まずはKSCのMMCベースの管理コンソールを起動し、[デバイスの抽出] > [詳細] > [抽出の作成] をクリックします。

f:id:networld-blog-post:20201223142537p:plain

 

デバイスの抽出条件名を任意に指定します。

f:id:networld-blog-post:20201223142601p:plain

 

抽出条件の一覧に、先ほど作成した抽出条件が表示されているので、それを選択した状態で [抽出のプロパティ] をクリックします。

f:id:networld-blog-post:20201223142616p:plain

 

セクションから [条件] をクリックすると、条件一覧が表示されます。

デフォルトで1個、抽出条件名と同じ名前の条件が存在するので、これを選択した状態で [プロパティ] をクリックします。

f:id:networld-blog-post:20201223142639p:plain

 

抽出条件の設定画面が表示されるので、セクション [ユーザー] をクリックします。

すると以下のように [前回システムにログインしたユーザー] 及び [少なくとも1回システムにログインしたユーザー] で検索条件を指定できます。

両方 または 片方を指定して、[参照] をクリックしてください。

今回は例として [少なくとも1回システムズにログインしたユーザー] を選択します。

f:id:networld-blog-post:20201223142710p:plain

 

ユーザーの検索画面が表示されます。(このユーザー検索機能は、Webコンソール Ver 12.2.265には存在しません。)

画面上部の入力ボックスに任意文字列を入れ、虫眼鏡マークかEnterキーでユーザーを検索できます。

検索したユーザーを1つ選択し、[OK] をクリックします。(今回検証したKSCのバージョンでは、複数選択はできませんでした。)

f:id:networld-blog-post:20201223142804p:plain

 

先ほど選択したユーザーが表示されていることを確認し、[OK] をクリックします。

f:id:networld-blog-post:20201223142948p:plain

 

複数のユーザーを指定したい場合は、↓の画面で [追加] をクリックし、先ほどと同じ手順で条件を追加してください。

条件設定がこれ以上不要な場合は、[OK] をクリックします。

f:id:networld-blog-post:20201223143007p:plain

 

先ほど作成した抽出条件を選択した状態で、[抽出を実行] をクリックします。

f:id:networld-blog-post:20201223143024p:plain

 

実行すると、ちょっと地味ですが [抽出の結果 ”<抽出条件名">] というタブが出来ているのでここをクリックして開きます。

f:id:networld-blog-post:20201223143110p:plain

 

新しくできタブに、指定したユーザーが過去ログインしたことがあるデバイスが抽出されて表示されています!!

f:id:networld-blog-post:20201223143129p:plain

以上でKSCで特定のユーザーが過去ログインしたデバイスを特定する手順は終了です。

 

今回は特定のユーザーがログインしたデバイスを抽出しましたが、ほかにもデバイス名IPアドレスADのOU情報OS前回のスキャン日時定義データベースの公開日時 等、幅広い条件指定が可能です。

KSCには "デバイスの抽出" と似たような機能で "レポート" という機能も存在しますが、"デバイスの抽出" はあくまで条件に合致するデバイスを検索して表示する機能です。 

「今すぐ定義データベースが古い端末を調べて!」等、特定の条件に一致するデバイスを検索する必要がある場合は、ぜひ "デバイスの抽出" 機能をご利用いただければと存じます。

 

この度は最後まで記事をご覧いただき誠にありがとうございました。

記載事項へのご指摘、ご不明点、ご質問等ございましたら、以下からご連絡いただければと存じます。

https://www.networld.co.jp/product/kaspersky/

 

それではまた次回にお会いしましょう!