皆様、こんにちは。カスペルスキー製品担当SEの小池です。
以前、Kaspersky Endpoint Security fot Windowsによって削除または駆除されたファイルの復元方法をご紹介いたしましたので、今回はKaspersky Endpoint Security for Linuxによって削除または駆除されたファイルの復元方法をご紹介いたします。
今回のブログの内容は以下の通りです。
- 脅威を発見した際のKESLのアクション
- KSC (MMCベースコンソール) から操作して復元する方法
- KSC (Webコンソール) から操作して復元する方法
- KESLのCUIから操作して復元する方法
- KESLのGUIから操作して復元する方法
今回のブログは以下の環境の画面を用いて手順を紹介しております。
【管理サーバー】
Kaspersky Security Center:12.2.0.4376
Kaspersky Security Center 12 Web コンソール:12.2.265
OS:Windows Server 2016
DB:SQL Server 2017 Express
【保護対象のLinux】
Kaspersky Endpoint Security for Linux:11.1.0.3013
OS:CentOS Linux 7
今回のブログで検知/復元するファイルはEicarファイルを用いています。
https://www.eicar.org/?page_id=3950
脅威を発見した際のKESLのアクション
まず、そもそもKaspersky Endpint Security for Linuxはファイルの脅威を発見した際にどのようなアクションをとるのか、ご説明いたします。
KSCで一元管理している場合はポリシーで、KSCを利用していない場合はファイル脅威対策機能の設定でこのアクションを指定しています。
KESL11.1の場合、デフォルトでは最初の処理が "推奨される処理を実行"、次の処理が "ブロック" となっています。
"推奨される処理" の内容については以下をご参照ください。
https://support.kaspersky.com/KES4Linux/11.1.0/ja-JP/193807.htm
KSCで統合管理している場合は、Kaspersky Endpoint Security for Linuxのポリシーの [アプリケーション設定]>[脅威対策]>[ファイル脅威対策] で設定できます。
KSCで統合管理していない場合は、CUIで確認/変更できます。
■確認コマンド
$ kesl-control --get-setting File_Threat_Protection
出力結果の "FirstAction" が最初の処理、”SecondAction" が次の処理です。
■変更コマンド (KESLの変更が可能な権限を持つユーザーで実行してください。)
# kesl-control --set-setting File_Threat_Protection <FirstAction | SecondAction>=<Disinfect | Remove | Recommended | Block>
各種設定可能なアクションの詳細についてはこちらのオンラインヘルプをご参照ください。
例) 最初の処理を"駆除"にしたいとき
KESLは脅威として認識したファイルを処理をする前に、/var/opt/kaspersky/kesl/common/objects-backup/に特別な形式のバックアップを取得して、それから処理します。
参考:https://support.kaspersky.com/KES4Linux/11.1.0/ja-JP/193955.htm
後続の章で紹介する手順はこのバックアップされたファイルを復元する手順となります。
KSC (MMCベースコンソール) から操作して復元する方法
ではここから実際に削除されてしまったファイルを復元する手順を紹介いたします。
まずこの章ではMMCベースの管理コンソールから操作して復元する方法をご紹介いたします。
この方法で実施するメリットとしては、ファイルの復元先をKSCのローカル上 (※) か、ファイルが元々存在したデバイス上にするかを選択できる点です。
※ネットワークアクセスが可能な領域を含む。
まず、ファイルを復元する前に、そのファイルを除外設定に追加します。
(除外設定をせずにそのまま復元すると、復元先でまた検知→削除されてしまうからです。)
MMCベースのKSCコンソールから、ファイルを復元したいデバイスに適用されているポリシーのプロパティを開きます。
セクション[脅威対策]>[除外範囲]をクリックします。
3通りの除外設定が可能なので、いずれかの種別で除外設定をしてください。
この記事ではEicarテストファイルを用いているので、ここでは例としてパスによる除外設定をします。
[+追加]をクリックします。
除外範囲名に任意の文字列を指定します。
[スキャンタスクでこの範囲を使用する]にチェックを入れます。
任意の除外設定とマスク設定をし、[OK]をクリックします。
[OK]をクリックします。
[OK]をクリックします。
除外設定ができたら、ファイルを復元します。
[操作]>[リポジトリ]>[バックアップ]をクリックします。
復元したいファイルを選択し、右クリックします。
いくつかのメニューが表示されますが、この中で[復元]もしくは[ディスクに保存]で復元が可能です。
[復元]を選択した場合は、このファイルがもともと存在したデバイス上にファイルが復元されます。
[ディスクに保存]を選択した場合は、復元先を指定するポップパップが表示され、KSCのローカル (もしくはKSCからアクセスできるストレージなど) の任意の場所にファイルを復元できます。
復元が完了すると、バックアップの一覧からファイル名が消えます。
実際に復元先に先ほどのファイルが復元されていることを確認します。
また、そのファイルを開いても検知されない状態になっていることを確認します。
以上がKSC (MMCベースコンソール) から操作して復元する方法でした。
KSC (Webコンソール) から操作して復元する方法
この章ではKSCのWebコンソールから操作して復元する方法を紹介します。
この方法で実施するメリットとしては、ファイルの復元先をWebコンソールを操作している端末上かファイルが元々存在したデバイス上にするかを選択できる点です。
まず、ファイルを復元する前に、そのファイルを除外設定に追加します。
KSCのWebコンソールから、ファイルを復元したいデバイスに適用されているポリシーのプロパティを開きます。
セクション[アプリケーション設定]>[脅威対策]>[スキャンの除外]をクリックします。
任意の方法で除外設定をしてください。
この記事ではEicarテストファイルを用いているので、例として[除外リストを設定する]で進めます。
[+追加]をクリックします。
除外範囲名に任意の文字列を指定します。
[スキャンタスクでこの範囲を使用する]にチェックを入れます。
任意の除外するパスとマスクを指定し、[OK]をクリックします。
[OK]をクリックします。
[OK]をクリックします。
[保存]をクリックします。
除外設定ができたら、ファイルを復元します。
[操作]>[リポジトリ]>[バックアップ]をクリックします。
復元したいファイルにチェックを入れ、[復元]もしくは[ダウンロード]で復元します。
[復元]をクリックした場合は、このファイルがもともとあったデバイス上に復元されます。
[ダウンロード]をクリックした場合は、このWebコンソールを操作している端末にダウンロードすることができます。
復元が完了すると、バックアップの一覧からファイル名が消えます。 (Webコンソールの場合、しばらくしても画面が処理中のままになることがありますが、この場合は画面をF5などでリフレッシュしてください。)
実際に復元先に先ほどのファイルが復元されていることを確認します。
また、そのファイルを開いても検知されない状態になっていることを確認します。
以上がKSCのWebコンソールから操作して復元する方法でした。
KESLのCUIから操作して復元する方法
この章ではKSCで統合管理していない場合において、KESLのCUIから操作して復元する方法を紹介します。
まず、コマンドで復元したいファイルの除外設定をします
具体的な除外設定の方法とコマンドは、第27回Kaspersky製品ナレッジブログの「3. 【KSC無】 「ファイル脅威対策」機能の除外範囲の設定」をご参照ください。
上記の記事のコマンドで除外設定ができたら、復元するファイルの詳細を確認します。
LinuxにKESLの設定変更が可能なユーザーで以下のコマンドを実行します。
# kesl-control -B --query
このコマンドで保管領域に存在するファイルを一覧で確認できるので、復元したいフィルの "ObjectId" と "FileName" を確認しておきます。
上のコマンドで確認したファイルを以下のコマンドで復元します。
元々そのファイルがあったパスに復元する場合はこちら。
# kesl-control --restore <ObjectId>
復元するパスを変更したい場合はこちら。
# kesl-control --restore <ObjectId> --file <復元先のファイルパス>
例) ↑の画面のObjectID: 3のファイルをそのままのパスで復元したい場合。
# kesl-control --restore 3
実際に復元先に先ほどのファイルが復元されていることを確認します。
また、そのファイルを開いても検知されない状態になっていることを確認します。
以上がCUIから操作して復元する方法でした。
KESLのGUIから操作して復元する方法
この章ではKSCで統合管理していない場合において、KESLのGUIから操作して復元する方法を紹介します。
ただし、除外設定はGUIではできません。除外設定はCUIで設定する必要があります。コマンドによる除外設定の手順は第27回Kaspersky製品ナレッジブログをご参照ください。
ここではCUIで除外設定が済んだと仮定し、その後にGUIで復元する手順をご紹介いたします。
KESLのGUIを表示し、[保管領域]をクリックします。
保管領域にあるファイル一覧が表示されるので、その中から復元したいファイルを選択し、[復元]をクリックします。
実際に復元先に先ほどのファイルが復元されていることを確認します。
また、そのファイルを開いても検知されない状態になっていることを確認します。
以上がGUIから操作して復元する方法でした。
今回はKESLによって駆除または削除されたファイルの復元方法をご紹介いたしました。
KSCで統合管理している場合はGUIでポチポチ処理できますが、そうでない場合は kesl-control コマンドのお世話になる必要があります。
この記事が、業務に必要なファイルが削除されて困っている方や、運用に向けてオペレーションマニュアルを整理中の方の参考になれば幸いです。
この度は最後まで記事をご覧いただき誠にありがとうございました。
記載事項へのご指摘、ご不明点、ご質問等ございましたら、以下からご連絡いただければと存じます。
https://www.networld.co.jp/product/kaspersky/
それでは次回の記事でお会いしましょう!