皆様、こんにちは。カスペルスキー製品担当SEの小池です。
このブログは今まで設計・構築に役立つ (かもしれない) 情報を記載してまいりましたが、今回は初めて運用に関するナレッジを記載致します。
今回は初回なので、タスクの概要と Kaspresky Security Center (※) 単体で利用できるタスクについてご紹介します。
KSCのタスクは、カスペルスキー製品の運用を自動化するためには必須です。
カスペルスキー製品を社内で運用する方の助けになれば幸いにございます。
※…以降KSCと記載します。
今回の内容は以下の通りです。
今回の記事は以下のバージョンにて検証し、画面ショットを取得しております。
●管理サーバー
OS:Windows Server 2019
DB:Microsof SQL Server 2017 Express
Kaspersky Security Center:13.0.0.111247
Kaspersky Security Center Web Console:13.0.10285
●保護製品
なし
●利用ライセンス
Kaspersky Endpoint Security for Business Advanced
なお、KSC13からはWebコンソールの利用が推奨されているので、今回の画面ショットはすべてWebコンソールのものを使用します。
タスクって何ぞ?
KSCにおけるタスクとは、指定したデバイスに対して、指定した処理を、指定した時間に実施するための仕組みです。
Webコンソールの[デバイス]>[タスク]から確認できます。
対象とするデバイスは、KSCで管理しているデバイスはもちろん、処理によってはKSCで管理していないデバイスも対象とすることができます。
具体的には以下のような括りで対象に指定することができます。
- 管理対象デバイスの場合:個別デバイス指定、グループ指定、全デバイス指定、特定の抽出条件に合致するデバイスを自動的に指定 等。
- 管理対象デバイスではない場合:IPアドレス個別指定 もしくは 範囲指定、NetBIOS名、KSCのポーリング機能で存在を検知したデバイス 等。
処理は主に以下のようなものが挙げられます。
- 最新の定義データベースや製品のアップデートのダウンロード
- 定期的なフルスキャン
- ライセンスの配付
- メンテナンス (バックアップ、整合性チェック、ロールバック、コンポーネントの変更 等)
- カスペルスキー製品のインストール/アンインストール
- 3rdパーティ製品の管理 (パッチ適用、脆弱性チェック)
タスク実行のスケジュールは処理内容や対象製品によって設定可能な値が異なりますが、基本的には以下のいずれかを指定できます。
- 手動
- 1回のみ指定日時に実行
- 指定した間隔で定期的に実行
- 指定した曜日で定期的に実行
- 他のタスクの完了後に実行
- リポジトリに更新が発生したら実行
KSCはこのように対象デバイス、処理内容、実行タイミングが指定されたタスクを自動で実行することで、定義データベースを最新に維持したり、定期的にフルスキャンしたり、端末の脆弱性情報を取得したりしています。
要するにできるだけカスペルスキー製品を自動運用するには、タスクを使いこなさなければなりません。
タスク設計に絶対必要な前提知識
おそらくこの仕様が運用者様の誤解を招いているんだろうな…と思う仕様があるので、それだけ先に説明いたします。
KSCのタスクは、処理内容が同じか否かにかかわらず、KSCで利用している各保護製品ごとにタスクを作成する必要がある、という仕様があります。
定期的なフルスキャンをする場合を例にして説明します。
例えばKSCで以下の製品を管理しているとします。
- Kaspersky Endpoint Security for Windows ×20台
- Kaspersky Endpoint Security for Linux × 20台
- Kaspersky Security for Windows Server × 10台
この環境で「管理対象の全デバイス (50台) で 毎日10:00からフルスキャンをする」というご要件があったとします。
一見するとスキャンタスク1個でいいじゃん…と思われるかもしれませんが、前述の通りKSCのタスクは処理内容にかかわらず製品ごとに作成する必要があります。
よって、このご要件を実現する場合、KSCに作成しなければいけないスキャンタスクは以下の3つとなります。
- スキャンタスク (Kaspersky Endpoint Security for Windows)、対象20台、毎日10:00にスケジューリング済。
- スキャンタスク (Kaspersky Endpoint Security for Linux)、対象20台、毎日10:00にスケジューリング済。
- スキャンタスク (Kaspersky Security for Windows Server)、対象10台、毎日10:00にスケジューリング済。
実際に上記を実現した状態がこちらです。
このように、タスクは対象製品が1つに限られていて、複数の製品が対象のタスクを作ることはできません。
フルスキャンや定義データベースのアップデート等、一見すると保護製品を横断的にカバーできそうな処理内容にも思えますが、各製品でそれらのタスクを作成する必要があります。
これをご理解いただいたうえで、タスクの作成に着手いただければと存じます。
KSC13に関するタスクをご紹介
では、ここからはデバイスを1台も管理していない状態のKSCで作成できるタスクについてご紹介いたします。
タスク一覧はWebコンソールの場合は[デバイス]>[タスク]から閲覧できます。
下の画像は、まだカスペルスキーの保護製品が導入された管理対象デバイスが1台もない状態のKSCのタスク一覧です。
前章で、KSCのタスクは処理内容にかかわらずアプリケーション毎に作成すると申し上げましたが、この法則はここでも適用されます。
保護製品を管理するためのプラグインがインストールされていない状態のKSCでは、Kaspersky Security Centerというアプリケーションのほか、ネットワークエージェントというアプリケーションがすでに存在します。
ネットワークエージェントはKSCで管理するデバイスに導入が必須のアプリケーションです。このネットワークエージェントとKSC が通信することで、デバイスをKSCで管理することができるようになります。
先ほどの画面を再度確認すると、確かにKSCのほかにネットワークエージェントのタスクが存在することがわかります。
ではまず、デフォルトで存在するこれらのタスクについて概要を紹介いたします。
脆弱性とアプリケーションのアップデートの検索
https://support.kaspersky.com/KSC/12/ja-JP/182643.htm
対象デバイスのOS、3rdパーティ製品の脆弱性のリスト、導入可能な全ソフトウェアのアップデートなどの情報を収集し、KSCに表示するタスクです。
このタスクで取得した情報は、KSCから確認できます。
たとえば、[操作]>[サードパーティ製品]>[アプリケーションレジストリ]から、対象デバイスのレジストリから取得してきた3rdパーティ製品の情報が確認できます。
[操作]>[パッチ管理]>[ソフトウェアの脆弱性]から確認できるソフトウェアの脆弱性一覧も、このタスクによって取得されてきた情報です。
[操作]>[パッチ管理]>[ソフトウェアのアップデート]から確認できるソフトウェア (およびOS) のソフトウェアアップデート一覧も、このタスクによって取得された情報です。
本タスクは2021/6/2時点でWindows OSのみが対象になります。
したがって、本タスクは以下をすべて満たすデバイスに対して実行し、情報を取得することが可能です。
- ネットワークエージェントがインストール済。
- OSがWindows。
- タスクのプロパティ>[設定]>[タスクを割り当てるデバイスの選択]に含まれていること。
他、本タスクはデフォルトで毎週火曜日 19:00~自動実行されます。
管理サーバーのメンテナンス
https://support.kaspersky.com/KSC/12/ja-JP/100999.htm
KSCが利用しているデータベースに対して、エラーのチェック、インデックスの再編成、統計情報の更新、必要に応じてDBを縮小してくれるタスクです。
このタスク実行中は、KSCは動作を停止します。
このタスクの対象はKSCのみです。
注意事項としては、このタスクはMySQLとMiriaDBはサポートしていません。
よって、もしKSCのDBにMySQLかMiriaDBを用いている場合は、このタスクは不要であり、かつメンテナンスはご自身で実施していただく必要があります。
本タスクはデフォルトで毎週土曜日 01:00~ 自動実行されます。
管理サーバーデータのバックアップ
https://support.kaspersky.com/KSC/12/ja-JP/95897.htm#o112591
KSCで利用しているDBのバックアップを取得、保管、世代管理してくれるタスクです。
このタスク実行中は、KSCは動作を停止します。
このタスクの対象はKSCのみです。
このタスクで取得したバックアップファイルは、デフォルトで以下のフォルダーに格納されます。
C:\ProgramData\KasperskySC\SC_Backup
取得済バックアップの世代管理も行えます。デフォルトでは直近3世代を保持するようになっています。
本タスクはデフォルトで 2日1回、02:00~ 実行されます。
管理サーバーのリポジトリへのアップデートとダウンロード
https://support.kaspersky.com/KSC/12/ja-JP/46875.htm
最新の定義データベースとソフトウェアモジュールをKaspersky Lab社の公開サーバー もしくは 指定した場所からダウンロードし、KSCのリポジトリに追加するタスクです。
このタスクは、KSCでカスペルスキー製品の定義データベースのアップデートを一元管理する場合は必須です。
(例えば、Kaspersky社の公開サーバー→KSC→各デバイスという流れで定義データベースを更新する場合は必須です。)
このタスクの対象はKSCのみです。
KSCをLGWANに置きたい場合、このタスクのプロパティ>[アプリケーション設定]>[アップデート元]で設定を変えることで、最新の状態を維持できます。
LGWAN上にある[アップデート元]の設定値は公開されていません。代理店かメーカーに問い合わせていただくと設定値を教えてくれます。
また、このタスクはKSCで管理している製品を自動でに認識し、過不足ないようにデータをダウンロードする仕様です。
運用中に管理するカスペルスキー製品の種類が増えても、このタスクは自動でそれを認識し、増えた製品のデータもダウンロードします。
本タスクのスケジュールは若干特殊で、1時間に1回実行されますが、そのタイミングは本タスクを作成した時刻が基準です。
要するに、とある日の18:24に本タスクを作成した場合、18:24をスタート基準とし、次回は19:24、その次は20:24…となります。
KSC13の任意タスクをさらっとご紹介
ここからはKSCインストール後にデフォルトでは存在しないけれど作成可能なタスクをさらっとご紹介します。
まず、作成可能なタスクの一覧は、[デバイス]>[タスク]>[+追加]から確認することができます。
アプリケーション欄でKSCを選ぶことで、タスク種別欄にKSCに関するタスクの一覧が出ます。
前章で紹介済のタスクについてはグレーアウトしました。
上からご紹介します。
レポートの配信
https://support.kaspersky.com/KSC/13/ja-JP/176430.htm
KSCのレポート機能で作成したレポート作成条件を定期的に実行し、その結果を任意のメールアドレス等に送信したり、任意フォルダに格納することができるタスクです。
タスクの対象はKSCのみです。
このタスクの使用例を以前ブログでもご紹介しましたので、よろしければご覧ください。
Windows Update の同期の実行
https://support.kaspersky.com/KSC/13/ja-JP/201321.htm
KSCをWSUSサーバーとして利用する際に必要なタスクです。
KSCはWindowsの更新プログラムをダウンロードし、ネットワークエージェント導入済のデバイスに対してこれを配付します。
本タスクは以下いずれかのライセンスを保有している必要があります。(2021/6/3時点)
- Kaspersky Vulnerability and Patch Management
- Kaspersky Endpoint Security for Business Advanced
- Kaspersky Endpoint Detection and Response Optimum
アップデートのインストールと脆弱性の修正
https://support.kaspersky.com/KSC/13/ja-JP/182671.htm
ネットワークエージェントが導入されたデバイスに対し、 Microsoft 製品やその他の3rdパーティ製品の脆弱性をアップデートによって修正するタスクです。
インストールルールを定めることができ、このルールはKSCの[操作]>[パッチ管理]>[ソフトウェアのアップデート]一覧における 拒否/未定義/承認 と連動します。
本タスクは以下いずれかのライセンスを保有している必要があります。(2021/6/3時点)
- Kaspersky Vulnerability and Patch Management
- Kaspersky Endpoint Security for Business Advanced
- Kaspersky Endpoint Detection and Response Optimum
アプリケーションのリモートアンインストール
https://support.kaspersky.com/KSC/13/ja-JP/201980.htm
以下をリモートアンインストールできるタスクです。
- このKSCで管理しているカスペルスキーのアプリケーション
- カスペルスキー製品と競合するアプリケーション
- Webコンソールの[操作]>[サードパーティ製品]>[アプリケーションレジストリ]に存在するアプリケーション
- 他、任意のアプリケーションのアップデート、パッチ、3rdパーティ製品。
アプリケーションのリモートインストール
このKSCに存在する [インストールパッケージ] をリモートでインストールするタスクです。
[インストールパッケージ]はWebコンソールの[検出と製品の導入]>[導入と割り当て]>[インストールパッケージ]から確認できます。
セカンダリ管理サーバーへのアプリケーションのリモートインストール
https://support.kaspersky.com/KSC/13/ja-JP/6388.htm
セカンダリ管理サーバー または 仮想管理サーバー に対して、このKSCに存在する[インストールパッケージ] をリモートでインストールするタスクです。
セカンダリ管理サーバー または 仮想管理サーバーを構築していない場合は利用することはありません。
インストールパッケージの配布
https://support.kaspersky.com/KSC/13/ja-JP/6383.htm
セカンダリ管理サーバー または 仮想管理サーバー に対して、このKSCに存在する [インストールパッケージ] をコピーするタスクです。
セカンダリ管理サーバー または 仮想管理サーバーを構築していない場合は利用することはありません。
なお、コピー先のセカンダリ管理サーバー または 仮想管理サーバーのライセンスでサポートしていない製品はコピーすることができません。
ディストリビューションポイントのリポジトリにアップデートをインストール
https://support.kaspersky.com/KSC/13/ja-JP/137601.htm
このKSCで管理しているディストリビューションポイントに対して、アップデートのデータをコピーするタスクです。
ディストリビューションポイントとは、簡単に説明すると中間アップデートを担うデバイスです。
以下は雑なイメージ図です。このタスクは下図の赤い矢印部分を実施するタスクです。
ディストリビューションポイントの詳細についてはまた別の機会にご紹介したいと存じます。
本タスクはディストリビューションポイントを利用していない環境では不要なタスクです。
アップデートの検証
https://support.kaspersky.com/KSC/13/ja-JP/5251.htm
KSCがKaspresky Lab社の公開サーバーからダウンロードしてきたアップデートに対して、そのアップデートの内容に問題がないかを確認するタスクです。
このタスクを利用した場合、KSCがダウンロードしたアップデートを配信するまでの流れは以下の通りです。
- KSCはKaspersky Lab社の公開サーバーからアップデートをダウンロードし、一時リポジトリに格納する。
- このタスクで指定されたテストデバイスにて、1.のアップデート内容が問題ないか、スキャンタスクを利用してチェックする。
- テストデバイスはKSCに結果を返す。問題がなければKSCは共有フォルダにそのアップデートデータをコピーする。問題があればKSCはそのアップデートは共有フォルダに格納しない。
- 前のステップで問題がなければ、該当の製品を利用するデバイスはKSCの共有フォルダからアップデートデータを取得する。
このタスクは上記の 2 と 3 を担当します。
なお、このタスクは単体では稼働せず、以下のタスクが必須となります。
- KSCの "管理サーバーのリポジトリへのアップデートとダウンロード" タスク。
- アップデートをチェックしたいカスペルスキー製品の "スキャン" タスク。
- アップデートをチェックしたいカスペルスキー製品の "アップデート" タスク。
デバイスの管理
https://support.kaspersky.com/KSC/13/ja-JP/10304.htm
ネットワークエージェントが導入済のデバイスに対して、電源のオン、オフ、再起動をするタスクです。
(ちなみに筆者はためしたことがないタスクです。今度ためしてみます。)
管理サーバーの変更
https://support.kaspersky.com/KSC/13/ja-JP/3910.htm
ネットワークエージェントが導入済のデバイスを、別のKSC管理下に移動させるためのタスクです。
KSCのリプレース等で利用すると便利なタスクです。
ユーザーにメッセージを送信
https://support.kaspersky.com/KSC/13/ja-JP/10379.htm
ネットワークエージェントが導入済のデバイスに対して、以下のようなメッセージを表示させるタスクです。
アプリケーションの開始または停止
カスペルスキー製品 (ネットワークエージェントを除く) をリモートで起動/停止させるタスクです。
利用シーンとしては製品不具合が疑われるとき、どうしても一時的にカスペルスキー製品を停止したいときなどが考えられます。
あくまでアプリケーションの起動/停止をするだけで、OSの停止や再起動をするわけではありません。
これって必須タスク?任意タスク?
必須となるタスクは構成次第なので "これは絶対に必要だ!!" とは申し上げにくいのですが、あくまで筆者の独断と偏見による判断ポイントをまとめてみました。
参考程度にしていただければと存じます。
今回はKSCのタスクに関する概要と要否判定ポイントをご紹介いたしました。
KSCの様々な機能を自動化するためのタスクは、カスペルスキー製品をKSCで管理するには不可欠です。
タスク名からは何の処理をするのかわかりにくいものもありますが、この記事が運用ご担当者様の役に立てれば幸いにございます。
この度は最後まで記事をご覧いただき誠にありがとうございました。
記載事項へのご指摘、ご不明点、ご質問等ございましたら、以下からご連絡いただければと存じます。
https://www.networld.co.jp/product/kaspersky/
それでは次回の記事でお会いしましょう!