皆様、こんにちは。カスペルスキー製品担当SEの小池です。
カスペルスキー製品の統合管理サーバーにはKaspersky Security Centerというツールが存在します。
当然の機能ですが、この管理サーバーではカスペルスキー製品導入済の端末をグループで管理することができます。
そして、このグルーピングはIPアドレス、OS情報、AD情報 等、様々な判定基準で自動化することができます。
今回はKSCにおける移動ルールについて概要の紹介と設定例について述べます。
今回の内容は以下の通りです。
今回の記事は以下のバージョンにて検証し、画面ショットを取得しております。
●管理サーバー
OS:Windows Server 2019
DB:Microsof SQL Server 2017 Express (KSCと同居)
Kaspersky Security Center:13.1.0.8324
Kaspersky Security Center Web Console:13.1.918
●保護対象デバイス
Windows Server 2019
●保護製品
無し
●利用ライセンス
Kaspersky Endpoint Security for Business - Advanced Japanese Edition.
KSCにおける移動ルール概要
まず、カスペルスキー製品の統合管理サーバーであるKaspersky Security Centerでは、ネットワークエージェント導入済の端末をグルーピングすることができます。
グループ毎にポリシーやスキャンタスクの設定が可能で、例えば組織単位でスキャンタスクのスケジュールをずらしたい場合や、組織単位で除外設定を細かく設定したい場合はグループを分けると管理が容易になります。
デバイスを任意のグループに所属させるためには以下4つの方法があります。
- KSCのコンソールにて、手動で [未割り当てデバイス] から任意のグループへ移動させる。
- 移動ルールを設定し、条件に合致するデバイス (ネットワークエージェントインストール済) を特定のグループへ自動で移動させる。(今回のブログの内容)
- ネットワークエージェントのリモートインストールタスク作成時に、インストールと同時に特定のグループへ移動するように設定する。
- ネットワークエージェントのインストール用パッケージ作成時に、インストールと同時に任意のグループへ移動するように設定する。(次回のブログの内容)
本章では上の4つの方法のうち、2つめの移動ルールを用いる方法の概要を述べます。
移動ルールとは、OS情報、ネットワーク情報、インストール済のカスペルスキー保護製品、AD情報、個別付与したタグ等を用いて作成できる、デバイス (ネットワークエージェントインストール済) を特定のグループへ自動振り分けするためのルールです。
(移動ルールに関するオンラインヘルプはこちら。)
基本的な使用方法としては以下のような流れのケースが考えられます。
- グループを作成する。
- 事前にOS情報やネットワーク情報等を条件とした移動ルールを作成し、移動先には 1. で作成したグループを指定する。
- 対象デバイスにネットワークエージェント (※) を導入する。
- 3. のデバイスがKSCの "未割り当てデバイス" に入る。
- KSCの "未割り当てデバイス" に初登場したデバイスに対し移動ルールが実行され、ルールに合致する場合は設定されたグループへ自動で移動させる。
※ ネットワークエージェントと一緒にカスペルスキーの保護製品を導入してもOK。
上の流れを図にするとこんな感じです。
基本的に移動ルールは、 作成した時点で "未割り当てデバイス" に存在する 及び 作成以降に "未割り当てデバイス" に初回出現した、ネットワークエージェントインストール済のデバイスに対して1回実行するのがデフォルトですが、設定を変更することで、既に管理対象デバイス配下に存在するデバイスに対してルールを実行したり、ルールを1回だけでなく永続的に実行し続けたり、ネットワークエージェントを再インストールするたびに実行することも可能です。
ただし、こういった条件を設定すると場合によってはKSCに多大な負担がかかります。(こちらのオンラインヘルプをご参照ください。)
移動ルールを「 作成した時点で "未割り当てデバイス" に存在する 及び 作成以降に "未割り当てデバイス" に初回出現した、ネットワークエージェントインストール済のデバイスに対して1回実行する」以外の設定で実行したい場合は、上のオンラインヘルプをよくお読みのうえ、十分検証を行ってから実装なさることをお勧めいたします。
設定例
この章では具体的な例を用いて移動ルールの設定方法について述べます。
IPアドレスの範囲で移動ルールを作成する場合
IPアドレスの範囲で移動ルールを作成する場合の手順を説明します。
KSCのWebコンソールを開き、[デバイス]>[移動ルール]>[+追加]をクリックします。
[全般]を開きます。
[ルール名] に任意のルール名を指定します。
[管理グループ] でこの条件に一致したデバイスが移動するグループを指定します。
[ルールを有効にする]にチェックを入れます。
[ルールの条件]タブ>[ネットワーク]タブを開き、[IPアドレス範囲]にチェックを入れ、開始IPアドレスと終了IPアドレスを入力します。
[保存]をクリックします。
保存と同時に現在未割り当てデバイスにあるデバイス(NAインストール済)に対してこのルールが実行され、条件に合致すれば特定のグループへ移動します。
また今後、新しいデバイス(NAインストール済)が未割り当てデバイスに初登場した際には、移動ルールが実行されて条件に合致すれば特定のグループへ移動します。
IPアドレスのセグメントで移動ルールを作成する場合
IPセグメントで移動ルールを作る場合は、事前にIPアドレスのセグメントを登録して、移動ルールでその設定を参照する必要があります。
まずIPアドレスのセグメントを登録します。
KSCのWebコンソールで[検出と製品の導入]>[検出]>[IPアドレス範囲]を開き、[+追加]をクリックします。
なお、KSCが存在するIPセグメントについては自動で登録されています。
[IPアドレス範囲の名前]を任意に指定します。
[IPアドレス範囲をアドレスとサブネットマスクで指定する]を選択し、[サブネットアドレス]と[サブネットマスク]を入力します。
[保存]をクリックします。
これでIPアドレスのセグメントの登録が完了です。
次にこのセグメントを用いた移動ルールを作成します。
で、、、なぜかは不明ですがこの場合の移動ルールはKSCのMMCベースのコンソールでしか設定できないのでそちらから説明します。(これは本当に謎。Webコンソールでもできるようにしてほしいです…。)
KSCのMMCベースのコンソールで[未割り当てデバイス]を開き、[ルールの設定]をクリックします。
[追加]をクリックします。
セクション[全般]を開きます。
任意のルール名を指定します。
[管理グループ] でこの条件に一致したデバイスが移動するグループを指定します。
[ルールを有効にする]にチェックを入れます。
セクション[ネットワーク]を開きます。
[デバイスが配置されているIPアドレス範囲]にチェックを入れ、[参照]をクリックして事前に登録したIPアドレスのセグメントを選択します。
[OK]をクリックします。
[OK]をクリックします。
保存と同時に現在未割り当てデバイスにあるデバイス(NAインストール済)に対してこのルールが実行され、条件に合致すれば特定のグループへ移動します。
また今後、新しいデバイス(NAインストール済)が未割り当てデバイスに初登場した際には、移動ルールが実行されて条件に合致すれば特定のグループへ移動します。
ホスト名で移動ルールを作成する場合
ホスト名で移動ルールを作成する場合の手順を説明します。
なお、この設定はWindows OSのみが対象となります。
KSCのWebコンソールを開き、[デバイス]>[移動ルール]>[+追加]をクリックします。
[全般]を開きます。
[ルール名] に任意のルール名を指定します。
[管理グループ] でこの条件に一致したデバイスが移動するグループを指定します。
[ルールを有効にする]にチェックを入れます。
[ルールの条件]タブ>[ネットワーク]タブを開き、[Windowsネットワーク上のデバイス名]にこのルールで合致させたいコンピューター名を指定します。
[保存]をクリックします。
保存と同時に現在未割り当てデバイスにあるデバイス(NAインストール済)に対してこのルールが実行され、条件に合致すれば特定のグループへ移動します。
また今後、新しいデバイス(NAインストール済)が未割り当てデバイスに初登場した際には、移動ルールが実行されて条件に合致すれば特定のグループへ移動します。
ADの組織情報で移動ルールを作成する場合
対象デバイスがADのOU等の組織に属している場合は、その情報でルールを作成することも可能です。
KSCのWebコンソールを開き、[デバイス]>[移動ルール]>[+追加]をクリックします。
[全般]を開きます。
[ルール名] に任意のルール名を指定します。
[管理グループ] でこの条件に一致したデバイスが移動するグループを指定します。
[ルールを有効にする]にチェックを入れます。
[ルール条件]タブ>[Active Directory]タブでルールの条件を指定します。
今回はテスト用のOUを用意したので、[デバイスが配置されているActive Directory 組織単位]にチェックを入れて、対象のOUを指定しました。
(なお、グループでも指定が可能です。この場合は[デバイスが属しているActive Directory グループ]にチェックを入れて設定してください。)
[保存]をクリックします。
保存と同時に現在未割り当てデバイスにあるデバイス(NAインストール済)に対してこのルールが実行され、条件に合致すれば特定のグループへ移動します。
また今後、新しいデバイス(NAインストール済)が未割り当てデバイスに初登場した際には、移動ルールが実行されて条件に合致すれば特定のグループへ移動します。
今回はKaspersky保護製品導入後に自動でグループ分けする方法の第一弾として、移動ルールを使う場合の概要と設定方法を記載しました。
端末保護の製品は、管理者が必ずしも導入するわけではなく、利用者に手順を配付して自分で導入してもらうケースも多いかと存じます。
その際、グループの自動振り分けが可能な移動ルールを設定しておくだけで、ネットワークエージェントが導入されたデバイスは自動でルールに従ってグループ分けされていきます。
この機能は運用者様の工数を大きく減らせる機能かと存じますので、是非、初回の展開作業前に設定をご検討いただけますと幸いにございます。
次回はこの一環として、Kaspersky保護製品導入後に自動でグループ分けする方法の第二弾、スタンドアロンインストーラーを用いた方法の紹介を致しますので、そちらも併せてご参照いただければと存じます。
この度は最後まで記事をご覧いただき誠にありがとうございました。
記載事項へのご指摘、ご不明点、ご質問等ございましたら、以下からご連絡いただければと存じます。
https://www.networld.co.jp/product/kaspersky/
それでは次回の記事でお会いしましょう!