コンテンツにスキップ

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/central/customer/help/ja-jp/index.html?contextId=endpoint-data-collection-policy

データの収集と調査ポリシー

データ収集と調査ポリシーにより、コンピュータからデータをソフォスの Data Lake にアップロードできます。Live Response を使用してコンピュータにアクセスして調査することもできます。

ポリシーを参照または編集するには、次の手順を実行します。

  1. マイプロダクト > エンドポイント」に移動します。
  2. Policies」をクリックします。

  3. データ収集と調査」に移動し、ポリシーをクリックして詳細を開いてください。

    基本ポリシーはデフォルトですべてのデバイスに適用されます。特定のデバイスグループ用に指定したカスタムポリシーも適用可能です。詳細は、ポリシーについてを参照してください。

  4. 設定」タブをクリックします。

次に、以下の内容を設定します。

Live Response

Live Response の設定を変更するには、スーパー管理者であるか、または「サーバーのデータ収集と調査の設定を管理する」を含むカスタムロールが割り当てられている必要があります。詳細は、管理者への Live Response へのアクセスの許可を参照してください 。

コンピュータへの Live Response 接続を許可する:この設定によって、コンピュータと直接接続して、セキュリティ問題の可能性のある事象を調査して修復できます。'

Live Response を使用して、疑わしいプロセスを停止したり、アップデートが保留中のコンピュータを再起動したり、フォルダを参照したり、ファイルを削除したりできます。

Live Response は、Sophos MDR を使用している場合、デフォルトでオンになっています。それ以外の場合、デフォルトではオフになっています。

Live Response の使用方法については、Live Response のセットアップと開始を参照してください。

Live Response を有効にする場合でも、機密コンピュータへのアクセスを防止する必要がある場合は、それらをグループに入れて Live Response をオフにしたポリシーを適用します。

レガシー Live Response の除外

Live Response 除外を設定する前に、Data Collection および調査のポリシーが導入されていない場合は、除外されたコンピューターが自動的に、Live Response を無効にしたカスタムポリシーに移動されます。

Data Lake へのアップロード

データアップロードの設定を変更するには、スーパー管理者であるか、または「コンピュータの Live Response 設定を管理する」を含むカスタムロールが割り当てられている必要があります。詳細は、カスタムロールの追加を参照してください 。

Data Lake へのアップロード:この設定は、コンピューターがセキュリティデータを Sophos Data Lake にアップロードできるようにします。このデータは、Live Discover またはソフォスの AI アシスタントを使用してクエリできます。

Data Lake へのアップロードはデフォルトで有効になっています。

特定のデバイスがデータのアップロードを行わないようにする必要がある場合は、それらをグループに入れ、Data Lake のアップロードを無効にしたポリシーを適用してください。

レガシーアップロードの除外

Data Lake へのアップロードの除外を設定する前に、Data Collection および調査のポリシーが導入されていない場合は、除外されたコンピューターが自動的に、Data Lake へのアップロードを無効にしたカスタムポリシーに移動されます。

Note

大規模な環境を運用している場合、Data Lake のアップロードがオンになるとネットワークトラフィックが急増することがあります。

Note

他のソフォス製品やサードパーティ製品からデータをソフォスの Data Lake に追加することができます。リストについては、製品を参照してください。

除外

イベント収集の除外を追加できます。これによって Sophos ジャーナルおよび Data Lake のイベント収集が停止されるので、パフォーマンスに影響を与える可能性があります。

In-product workflow

この除外の種類は、ソフォスサポートから指示があった場合のみに使用してください。

Warning

除外項目を追加すると、エクスプロイトに対するセキュリティが低下します

除外機能の使用方法については、 除外の安全な使用を参照してください。

制限事項

グローバル除外ではイベント収集は利用できません。

イベント収集の検索除外を作成するには、次の手順を実行します。

  1. 除外の追加」をクリックします

  2. 除外の追加」ダイアログで、次の手順を実行します。

    1. 除外する項目の種類を選択してください。

      • ファイル/フォルダ:ファイルまたはフォルダを除外できます。ワイルドカード文字を使用できます。ワイルドカードの使用例については、ワイルドカード文字の例を参照してください。
      • プロセス:アプリケーションで実行される、いずれのプロセスも除外できます。プロセス除外に関する詳細については、プロセスの除外 (Windows)を参照してください。

    2. 」には、除外する項目を指定します。

    3. 除外項目を追加するには、「追加」または「次を追加」をクリックします。

  3. Save」をクリックします。