株式会社ネットワールドのエンジニアがお届けする技術情報ブログです。
各製品のエキスパートたちが旬なトピックをご紹介します。

Kaspersky製品ナレッジ 第23回 ~KSCでデバイスのステータスが "警告" もしくは ”緊急" になる条件~

皆様、こんにちは。カスペルスキー製品担当SEの小池です。

 

今までのブログでもほぼ毎回出てきているカスペルスキー製品の管理サーバー "KSC" では、ポリシーやタスクの管理のほか、管理対象のデバイスのステータスも確認できます。

そんなKSCでカスペルスキー製品を運用している方の中には、「カスペルスキーの保護製品は正常に稼働しているのに、ステータスが "警告" または "緊急" になってしまう。」という事象に遭遇した方も少なくないと思われます。

(私が前職で初めてKSCをつかったときは、思いっきりこれに遭遇しました。)

 

今回はこの事象に関連して、KSCにおいてデバイスのステータスが "警告" または "緊急" になる条件の設定方法とよくあるケースを記載します。

今回の記事の内容は以下の通りです。

 

今回の記事では以下のバージョンを利用しています。

  • Kaspersky Security Center:12.2.0.4376

デバイスステータスの変更条件

冒頭で触れた、「カスペルスキーの保護製品は正常に稼働しているのにステータスが "警告" または "緊急" になってしまう」事象の理由は、そのデバイスの状態がKSCで設定されているデバイスのステータス変更条件に当てはまってしまっているからです。

このステータスを変更する条件設定は、KSCの "管理対象デバイス" および 各グループで設定できます。

各グループはデフォルトでは "管理対象デバイス" の設定を引き継ぎますが、グループ個別での設定も可能です。

 

"管理対象デバイス" もしくは設定したいグループを選択した状態で、右クリック>[プロパティ]を開きます。

f:id:networld-blog-post:20210325114628p:plain

 

セクション[デバイスのステータス]から、デバイスのステータスが "緊急" になる条件、"警告"になる条件を指定できます。

前述の通り、個別のグループはデフォルトで "管理対象デバイス" の設定を引き継いでいます。グループ個別の設定をしたい場合は[継承]のチェックを外すことでグループ個別の設定が可能です。

f:id:networld-blog-post:20210325115802p:plain

上の図はKSC 12.2.0.4376でのデフォルト設定ですが、利用方法に沿って変更すると運用しやすいと思います。

 

よくあるケース①

よくあるケースとして、KSCにて各デバイスに対して定期的にスキャンタスクを実行していない場合、"長期間スキャンされていません" というメッセージが出てステータスが"緊急" および "警告" になってしまうケースがあります。

この場合、下図赤枠部分のチェックを外すことで解消できます。

f:id:networld-blog-post:20210325115036p:plain

 

また、スキャンタスクを定期実行しているがその間隔が長い場合も "長期間スキャンされていません" というメッセージが出てステータスが"緊急" および "警告" になってしまうケースがあります。

この場合は "長期間スキャンされていません" のチェックは入れたまま、条件を変更することが最適な対応と考えられます。

"長期間スキャンされていません" をダブルクリックすることで、条件の値を変更できます。

f:id:networld-blog-post:20210325115057p:plain

 

よくあるケース②

もう1つよくあるケースとして、"Windows Update 更新プログラムの検索が長期間事項されていません。" というメッセージで "警告” または ”緊急" ステータスになってしまう場合です。

この場合も[デバイスのステータス]の条件一覧、下図赤枠部分の条件が関連しています。

f:id:networld-blog-post:20210325115135p:plain

 

このケースの解消方法の前に、そもそもKSCにおける"Windows Update 更新プログラムの検索" が一体何なのかについて記載します。

KSCにおける"Windows Update 更新プログラムの検索" とは、KSCにデフォルトで存在する "脆弱性とアプリケーションのアップデートの検索" というタスクを実行することを指しています。

f:id:networld-blog-post:20210325115155p:plain

 

よって、"Windows Update 更新プログラムの検索が長期間事項されていません。" というメッセージで "警告” または ”緊急" ステータスになってしまう場合の対処方は以下のいずれかとなります。

  • KSCにてWindows Updateの検索状況を気にしない場合:"デバイスのステータス" で該当の条件のチェックを外す (無効にする) 。
  • KSCにてWindows Updateの検索状況を確認したい場合:タスク "脆弱性とアプリケーションのアップデートの検索" の実行頻度を確認し、その実行頻度以上の期間を"デバイスのステータス">"Windows Update 更新プログラムの検索が長期間事項されていません。"の条件に指定する。

以上、デバイスステータスの変更条件とよくあるケースでした。

 

今回は、KSCでデバイスのステータスが "警告" もしくは ”緊急" になる条件を変更する方法とよくある例をご紹介致しました。

KSCはデバイスの状況を自動で判定してステータスを "警告" や "緊急" に変更してくれますが、その条件を適切に設定しないと、運用の御担当者様が「定義データベースは最新なのになんでステータスが緊急になっているのだろう・・・??」と心配してしまいますので、導入時には当該設定値の設計もお忘れなく。

この記事がKSC導入検討中の方や、KSCでデバイスを管理、運用なさっている方のお役に立てたのであれば、幸いにございます。

 

この度は最後まで記事をご覧いただき誠にありがとうございました。


記載事項へのご指摘、ご不明点、ご質問等ございましたら、以下からご連絡いただければと存じます。

https://www.networld.co.jp/product/kaspersky/

 

それでは次回の記事でお会いしましょう!