Kaspersky Endpoint Security 10 for Linux (KES10Linux) とは? Kaspersky Endpoint Security 10 for Linux ( 以下 KES10Linux) は Linux OS ( サーバー / ワークステーション ) 向け

(1)

2017年12月12日

株式会社カスペルスキー

コーポレートビジネス本部

Kaspersky Endpoint Security 10 for Linux

スタンドアロン運用時の設定資料

(2)

Kaspersky Endpoint Security 10 for Linux (以下、KES10Linux)はLinux OS (サーバー/ワーク

ステーション)向けのカスペルスキーのアンチウイルス製品です。

製品には以下のような特長があります。



Kaspersky Security Network 対応



Kaspersky Security Centerによる集中管理



ブートセクタースキャン機能



実行中のプロセスメモリスキャン機能



Fanotify サポート



新しいコマンドの追加

システム要件については下記URLをご参照ください。

https://support.kaspersky.co.jp/kes10linux#requirements

(3)

本資料では、管理サーバー（Kaspersky Security Center）を使用せず、KES10Linuxを導入した

Linux OSを管理（スタンドアロン管理）する際の設定資料になります。

•

• コマンドリファレンス

• KES10Linuxステータス確認

• イベントDB参照

• Syslog設定

• タスク

• タスクスケジュール設定

• Tips

本資料の目的

(4)

• KES10Linux関連のディレクトリやファイルのリスト

用途

ディレクトリ/ファイル

インストールディレクトリ

/opt/kaspersky/kesl/

/var/opt/kaspersky/kesl/

イベントDBファイル

/var/opt/kaspersky/kesl/events.db

kesl-control --set-app-settings で

書き換えているファイル

/var/opt/kaspersky/kesl/appSettings.xml

(5)

コマンドリファレンス

コマンド実行方法 /opt/kaspersky/kesl/bin/kesl-control (option)

Command help:

[-B] --mass-remove delete files from backup --query <filter> objects filter

-B --query <filter> get information about objects in backup

--limit <number> maximum number of items --offset <number> starting item

[-B] --restore <object-ID> restore an object from backup

--file <path> target path to restore to -E get application events

--query <filter> events filter

--limit <number> maximum number of items --offset <number> starting item

--db <db-file> database file to use --file <file> save events to file [-L] --install-active-key <key/file> add active key

[-L] --install-additional-key <key/file> add additional key [-L] --revoke-active-key remove active key [-L] --revoke-additional-key remove additional key -L --query query key status [-T] --create-task <name> --type <type>

create a task <type> is one of:

ODS, Update, Retranslate, Rollback, BootScan, MemoryScan

--file <file> load settings from file [-S] --app-info get application info

[-T] --delete-task <ID/name> delete the task

[-T] --get-app-settings get general application settings [-T] --get-task-list get list of all tasks

[-T] --get-task-state <task ID/name> get state of the task

[-T] --get-settings <ID/name> get settings for the task

--file <file> save settings to file [-T] --set-settings <ID/name> set settings for the task

--file <file> load settings from file --add-path <path>

--del-path <path>

--add-exclusion <exclusion> --del-exclusion <exclusion> <key>=<value>...

[-T] --set-app-settings set general application settings --file <file> load setting from file <key>=<value>...

[-T] --start-task <ID/name> start the task

-W wait for the task events --progress display task progress [-T] --stop-task <ID/name> stop the task

-W wait for the task events [-T] --suspend-task <ID/name> suspend the task

[-T] --resume-task <ID/name> resume the task

-W wait for application events --query <filter> events filter [-T] --get-schedule <ID/name> get active schedule for the task --file <file> save schedule to file [-T] --set-schedule <ID/name> set active schedule for the task --file <file> load schedule from file <key>=<value>...

[-T] --scan-file <path>... scan specified files or folders

--action <action> action for threats <action> is one of:

(6)

• コマンド実行でステータスの確認が可能

• 下記コマンドでライセンスステータスの表示も可能

[root@localhost kesl]# /opt/kaspersky/kesl/bin/kesl-control -L --query

KES10Linux ステータス確認

[root@localhost kesl]# /opt/kaspersky/kesl/bin/kesl-control --app-info

Name

: Kaspersky Endpoint Security 10 for Linux

Version

: 10.0.0.3458

Key status

: Valid

License expiration date

: 2018-09-28

Backup state

: The oldest object will be deleted after 2018-02-20 17:02:40

Backup space usage

: Backup size is unlimited

Scan_My_Computer last run date : 2017-11-22 17:06:47

Anti-virus databases loaded

: Yes

Anti-virus databases date

: 2017-11-28 07:52:00

Anti-virus databases records

: 11122317

Protection status

: OAS enabled

KSN state

: On

(7)

• KES10LinuxではローカルログをイベントDBに保存している

• イベントDBを参照するためにはKES10Linuxのコマンドを実行する必要がある

イベントDB参照

参照内容

実行コマンド

すべてのログを参照

/opt/kaspersky/kesl/bin/kesl-control -E --query

すべてのログをファイル出力

/opt/kaspersky/kesl/bin/kesl-control -E --query --file TestLog.txt

アップデートログのみ表示

/opt/kaspersky/kesl/bin/kesl-control -E --query "Tasktype=='Update‘”

_{※「Update」部分は大文字小文字を一致させる}

指定したタスクIDのログのみ表示 /opt/kaspersky/kesl/bin/kesl-control -E --query "TaskId=='1'"

フィルタリングしたログの

ファイル出力

/opt/kaspersky/kesl/bin/kesl-control -E --query "TaskId=='1'" --file TestLog2.txt

指定したイベントID以降のログを

(8)

• 監視やログ保存のためにSyslogを設定することが可能

• Syslog設定を行うと /var/log/message にログを出力する

• スタンドアロン環境では出力するログの選択はできず、すべてのログを出力する

• ※管理サーバー（KSC）を利用することでログの選択が可能

Syslog設定

用途

実行コマンド

Syslog有効化

/opt/kaspersky/kesl/bin/kesl-control --set-app-setting UseSyslog=yes

Syslog設定確認

/opt/kaspersky/kesl/bin/kesl-control --get-app-setting

_{※エントリ内で UseSyslog=Yes となっていることを確認}

アプリケーションリスタート

(9)

• テストウイルスファイルである Eicar.comファイルを検知しイベントDB/Syslogに出力した内容のサンプル

ウイルス検知時のイベントDB/Syslogへの出力内容（サンプル）

[root@localhost ~]# tail -1 /var/log/messages

Nov 28 11:52:07 localhost kesl: {"EventType":

"ThreatDetected","EventId": "3793","DetectName":

"EICAR-Test-File","DetectType": "Virware","DetectCertainty":

"Sure","DetectSource": "Local","FileName":

"/root/eicar.com","ObjectName": "File","TaskId": "1","RuntimeTaskId":

"10","TaskName": "File_Monitoring","TaskType": "OAS","AccessUser":

"root","AccessUserId": "0","FileOwner": "root","FileOwnerId": "0"}

EventType=ThreatDetected

EventId=3793

Date=2017-11-28 11:52:07

DangerLevel=Critical

FileName=/root/eicar.com

ObjectName=File

TaskName=File_Monitoring

RuntimeTaskId=10

TaskId=1

DetectName=EICAR-Test-File

TaskType=OAS

FileOwner=root

FileOwnerId=0

DetectCertainty=Sure

DetectType=Virware

DetectSource=Local

ObjectId=2

AccessUser=root

AccessUserId=0

イベントDB

Syslog

(10)

• 管理サーバー（KSC）を利用した場合、Syslogへの出力内容を選択可能

• 設定可能なログは下記

(11)

• KES10Linuxではリアルタイムスキャンもアップデートもタスクで実行する

• 最低限必要なタスクはインストール時に作成される

タスク

/opt/kaspersky/kesl/bin/kesl-control --get-task-list

Number of tasks: 10

Name: File_Monitoring

ID : 1

Type : OAS

State : Started

Name: Scan_My_Computer

ID : 2

Type : ODS

State : Stopped

Name: Scan_File

ID : 3

Type : ODS

State : Stopped

Name: Boot_Scan

ID : 4

Type : BootScan

State : Stopped

Name: Memory_Scan

ID : 5

Type : MemoryScan

State : Stopped

Name: Update

ID : 6

Type : Update

State : Stopped

Name: Rollback

ID : 7

Type : Rollback

State : Stopped

Name: Retranslate

ID : 8

Type : Retranslate

State : Stopped

Name: License

ID : 9

Type : License

State : Started

Name: Backup

ID : 10

Type : Backup

State : Started

OAS ＝オンアクセススキャン（リアルタイムスキャン）

ODS ＝オンデマンドスキャン

BootScan ＝ブートセクタースキャン

MemoryScan ＝メモリースキャン

下記のタスクは追加設定が可能

• ODS(オンデマンドスキャン)

• Update

• Retranslate

• Rollback

• BootScan

• MemoryScan

(12)

• デフォルトで作成されるタスクについて下記のタスクはスケジュールが設定されていない（マニュアルで実行）

ODS(オンデマンドスキャン) / MemoryScan / BootScan / RollBack / Retranslate

• スケジュールを設定する場合はコマンドを実行する

タスクスケジュール設定１

RuleType=Hourly

下記から指定する

Once / Monthly / Weekly / Daily / Hourly / Minutely / Manual /

PS(アプリケーション起動時) / BR(定義DBアップデート後)

StartTime=2017/Nov/28 12:21:29;1 RuleTypeにより設定が変動する

_{「;」のあとは実行間隔を指定（左記の場合はRuleTypeがHourlyのため1hごと）}

ExecuteTimeLimit=0 タスクの実行時間のリミット設定。分単位での指定

(13)

• StartTimeを記載する場合、引数は以下の構文になっている

• この引数は設定値を“”で囲う必要がある。下記はサンプル



RuleTypeはHourly（６時間ごとの実行と指定）



2017/11/28 16:25:30 スタートと指定

• スケジュール設定でその他の値も含めたコマンドサンプルは下記

タスクスケジュール設定２時間の記載方法

StartTime=[year/month/month_day] [hh]:[mm]:[ss]; [|]; []

"StartTime=2017/Nov/28 16:25:30;6"

/opt/kaspersky/kesl/bin/kesl-control --set-schedule 2 "RuleType=Hourly"

"StartTime=2017/Nov/28 16:25:30;6“ "RandomInterval=0"

(14)

• タスクスケジュール設定はファイルにエクスポート/ファイルからインポートが可能

• ファイルのサンプルは下記

タスクスケジュール設定３設定エクスポートとインポート

エクスポート /opt/kaspersky/kesl/bin/kesl-control

--get-schedule

<TaskID> --file <File Name>

インポート

/opt/kaspersky/kesl/bin/kesl-control

--set-schedule

<TaskID> --file <File Name>

RuleType=Daily

StartTime=12:29:42;

1 RandomInterval=0

ExecuteTimeLimit=0

RunMissedStartRules=No

RuleType=Hourly

StartTime=2017/Nov/28 12:21:29;

N

RandomInterval=0

ExecuteTimeLimit=0

RunMissedStartRules=No

RuleType=Minutely

StartTime=12:21:29;

N

RandomInterval=0

ExecuteTimeLimit=0

RunMissedStartRules=No

RuleType=Weekly

StartTime=18:00:00;

Sun

RandomInterval=0

ExecuteTimeLimit=0

RunMissedStartRules=No

RuleType=Monthly

StartTime=12:25:08;

10 RandomInterval=0

ExecuteTimeLimit=0

RunMissedStartRules=No

Daily (毎日）

Hourly (N時間ごと）

Weekly (毎週） ※日曜指定

Monthly (毎月） ※10日指定

Minutely (N分ごと）

すでにKSCが管理しているKES10Linuxがある

場合、KSC上でタスクを作成しKESLに配信後、

KES10Linux上でタスク設定のエクスポートを

実行することで簡単にタスク設定ファイルが作

成できます

Tips

(15)

• スキャンの除外についてコマンドからパスを指定して除外設定することが可能

• 「/root/data/」のディレクトリを除外とする場合のコマンド（リアルタイムスキャンへの適用）

• 設定は下記にて確認が可能

除外

/opt/kaspersky/kesl/bin/kesl-control --set-settings 1 --add-exclusion /root/data/

/opt/kaspersky/kesl/bin/kesl-control --get-settings 1

コマンド実行後出力される内容（除外部分の抜粋）

[ExcludedFromScanScope.item_0000]

UseScanArea=Yes

Path=/root/data/

AreaDesc=

AreaMask.item_0000=*

(16)

• Kaspersky Update Utilityを利用することでインターネット上から定義データベースを取得可能

• インターネットに接続可能な端末上にてKaspersky Update Utilityを実行

• ダウンロードしたファイルをLinux OS上にコピーもしくはLinux OSから参照可能なHTTP/FTPサーバー上

にファイルを配置し、Updateタスクにてアップデートを実行

• Kaspersky Update Utilityは下記からダウンロード可能

https://support.kaspersky.co.jp/updater3#downloads

• 使用方法は下記を参照

https://support.kaspersky.co.jp/11705

※ KES10LinuxはKaspersky Update Utilityの最新バージョンであっても、アプリケーションのリストに

表示されません。 Kaspersky Update Utilityを起動後、設定をせずに「開始」ボタンから実行していた

だくことでアプリケーションリストにKES10Linuxが表示されます。

(17)

• KES10Linux上でUpdateタスクを新規に作成する

• タスクの設定はファイルインポートで設定できるため、設定ファイルを作成して適用する

• Kaspersky Update Utilityでダウンロードしたファイルをコピーしたあとの手順概要は下記

オフラインアップデート２

• 下記の設定ファイルを作成し、

LinuxOS上に配置

設定ファイル作成

SourceType=Custom

UseKLServersWhenUnavailable=No

IgnoreProxySettingsForKLServers=No

IgnoreProxySettingsForCustomSources=No

ConnectionTimeout=10

[CustomSources.item_0000]

URL=（コピーしたファイル）

Enabled=Yes

• 下記コマンドを実行し、Update

タスクの新規作成と設定適用

タスク設定

• 下記コマンドを実行し、Update

タスクを実行

タスクの実行

/opt/kaspersky/kesl/bin/kesl-control

--create-task LocalUpdate --type Update

→実行結果でタスクIDを確認

/opt/kaspersky/kesl/bin/kesl-control

--set-settings (タスクID) --file (作成したファイル

名)

/opt/kaspersky/kesl/bin/kesl-control

--start-task (タスクID)

(18)

• ブートセクタースキャンとプロセスメモリスキャン

- デフォルトでタスクは作成されていますがスケジュールは設定されていません。

利用する場合は別途スケジュールを指定してください。

• リアルタイムスキャンの実行

- リアルタイムスキャンは自動的に起動します。

- リアルタイムスキャンが実行されない場合は下記点をご確認ください。



インストール時にリアルタイムスキャンのモジュールがインストールされていたか？



インストール後に定義データベースのアップデートが行われているか？

Kaspersky Endpoint Security 10 for Linux (KES10Linux) とは? Kaspersky Endpoint Security 10 for Linux ( 以下 KES10Linux) は Linux OS ( サーバー / ワークステーション ) 向け

2017年12月12日

株式会社 カスペルスキー

コーポレートビジネス本部

Kaspersky Endpoint Security 10 for Linux

スタンドアロン運用時の設定資料

Kaspersky Endpoint Security 10 for Linux (以下、KES10Linux)はLinux OS (サーバー/ワーク

ステーション)向けのカスペルスキーのアンチウイルス製品です。

製品には以下のような特長があります。



Kaspersky Security Network 対応



Kaspersky Security Centerによる集中管理



ブートセクタースキャン機能



実行中のプロセスメモリスキャン機能



Fanotify サポート



新しいコマンドの追加

システム要件については下記URLをご参照ください。

https://support.kaspersky.co.jp/kes10linux#requirements

本資料では、管理サーバー（Kaspersky Security Center）を使用せず、KES10Linuxを導入した

Linux OSを管理（スタンドアロン管理）する際の設定資料になります。

•

関連ディレクトリ/ファイル

•

コマンドリファレンス

•

KES10Linuxステータス確認

•

イベントDB参照

•

Syslog設定

•

タスク

•

タスクスケジュール設定

•

Tips

本資料の目的

•

KES10Linux関連のディレクトリやファイルのリスト

関連ディレクトリ/ファイル

用途

ディレクトリ/ファイル

インストールディレクトリ

/opt/kaspersky/kesl/

関連ディレクトリ

/var/opt/kaspersky/kesl/

イベントDBファイル

/var/opt/kaspersky/kesl/events.db

kesl-control --set-app-settings で

書き換えているファイル

/var/opt/kaspersky/kesl/appSettings.xml

コマンドリファレンス

コマンド実行方法 /opt/kaspersky/kesl/bin/kesl-control (option)

•

コマンド実行でステータスの確認が可能

•

下記コマンドでライセンスステータスの表示も可能

[root@localhost kesl]# /opt/kaspersky/kesl/bin/kesl-control -L --query

KES10Linux ステータス確認

[root@localhost kesl]# /opt/kaspersky/kesl/bin/kesl-control --app-info

Name

: Kaspersky Endpoint Security 10 for Linux

Version

: 10.0.0.3458

Key status

: Valid

License expiration date

: 2018-09-28

Backup state

: The oldest object will be deleted after 2018-02-20 17:02:40

Backup space usage

: Backup size is unlimited

Scan_My_Computer last run date : 2017-11-22 17:06:47

Anti-virus databases loaded

: Yes

株式会社カスペルスキー

_{※「Update」部分は大文字小文字を一致させる}

_{※エントリ内で UseSyslog=Yes となっていることを確認}