コンテンツにスキップ

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/central/customer/help/ja-jp/index.html?contextId=unauthorized-file-protection

不正なファイルからの保護ポリシー

!!! info "ロックダウンの名前を Sophos Unauthorized File Protection (SUFP) に変更します。また、SUFP を管理するための新しいコントロールも追加されています。この変更は、既存のロックダウンポリシーで作成した許可またはブロックされたファイルやフォルダには影響しません。サーバーロックダウンの既存のお客様は、機能改善のメリットを活用するために、不正なファイルからの保護 (Unauthorized File Protection) への移行を計画することをお勧めします。」

不正なファイルからの保護ポリシーを使用する前に、ロックされたサーバーのロックを解除する必要があります。サーバのロック解除の詳細は、サーバーのサマリーを参照してください。

Sophos Unauthorized File Protection (SUFP) は、PE (Portable Executable) ファイルを作成、変更、または移動する権限を持たないプロセスによって実行されるファイル操作を追跡します。また、ファイルのハードリンクの作成とフォルダの名前の変更も追跡します。 

レピュテーションチェック

SUFP は、SophosLabs によって割り当てられたレピュテーションを活用します。レピュテーションスコアは、ファイルの信頼性を示します。SUFP はレピュテーションスコアを次のように使用します。

  • レピュテーションの高いローカルファイルは、ポリシーのブロックリストの項目と一致しない限り、実行が許可されます。

    管理者は、アプリケーション コントロール ポリシーを使用して、広く使用されている正規のアプリケーションからのファイル実行をブロックできます。詳細は、 サーバーのアプリケーション管理ポリシーを参照してください 。

  • レピュテーションが「低」から「中」のローカルファイルは、変更がないかどうか追跡されます。SUFP は、不正なプロセスによってファイルが変更された場合、ファイル実行をブロックします。

  • ソフォスのファイルおよびシステムファイルを除く、レピュテーションのあるローカルファイルは、SUFP ポリシーのブロックリストに一致するとブロックされます。

    ファイルのレピュテーションスコアは、Sophos Endpoint Self Help (ESH) ツールを使用して確認できます。詳細については、[ファイル情報] (https://support.sophos.com/support/s/article/KBA-000005115?language=ja) を参照してください。

レピュテーションスコアの詳細については、最新の解析情報を要求を参照してください。

不正なファイルからの保護ポリシーの設定

マイプロダクト > Server > ポリシー」の順に選択します。

ポリシーを設定するには、次の手順を実行します。

  1. マイプロダクト > Server > ポリシー」の順に選択します。
  2. 不正なファイルからの保護ポリシーを作成します。詳細は、 ポリシーの作成/編集を参照してください 。
  3. ポリシーの「設定」タブを開き、必要に応じて設定します。

不正なファイル変更の追跡を有効にする

不正なファイル変更の追跡を有効にする」をオンにします。

選択できるオプションは次のとおりです。

  • ブロックせずに不正なファイルの実行を監視する:オンにすると、Sophos Endpoint は未承認のファイルの実行をブロックせずに Sophos Central に報告するようになります。

    これらの詳細を使用して、必要なファイルを許可リストに追加してから、「不正なファイルの実行をブロックする」オプションをオンにできます。

  • 不正なファイルの実行をブロックする:オンにすると、Sophos Endpoint は不正なファイルの実行をブロックします。

    実行がブロックされると、Sophos Endpoint Agent からポップアップメッセージが表示され、ファイルがブロックされたことが表示されます。管理者は、「サーバー」の「イベント」タブで詳細を表示できます。サーバーのイベントを参照してください。

ブロックされたファイルの最新のイベントは、サーバーの「サマリー」タブまたは「イベント」タブで確認できます。特定の期間のイベントのレポートを表示するには、「レポート > 一般ログ > イベント」に移動します。

Sophos EDR または XDR のお客様は、カスタム Live Discover クエリを使用して、sophos_unauthorized_actions_journal テーブルから使用可能なすべてのイベントの詳細を取得することもできます。

カスタムクエリを作成または編集するには、クエリの編集または作成を参照してください。

カスタムクエリを実行するには、Live Discoverを参照してください。

許可するファイルやフォルダ

特定のフォルダまたはそのサブフォルダからの特定のファイルまたはすべてのファイルの実行を許可できます。このリストのエントリに一致するファイルに権限が付与されます。

ヒント

ファイルのフルパスを指定することを推奨します。

ファイルやフォルダを許可するには、以下の手順に従います。

  1. 許可するファイルやフォルダの追加」をクリックします。
  2. ファイル」または「フォルダ」を選択します。
  3. 指定するファイルやフォルダのパスを入力します。ワイルドカード文字や変数を使用できます。詳細は、 Windows での検索除外を参照してください 。
  4. 保存」をクリックします。

ブロックするファイルやフォルダ

特定のフォルダまたはそのサブフォルダからの特定のファイルまたはすべてのファイルの実行をブロックできます。

ファイルまたはフォルダをブロックするには、次の手順に従います。

  1. ブロックするファイルやフォルダの追加」をクリックします。
  2. ファイル」または「フォルダ」を選択します。
  3. 指定するファイルやフォルダのパスを入力します。ワイルドカード文字や変数を使用できます。詳細は、 Windows での検索除外を参照してください 。
  4. 保存」をクリックします。

MSI ファイルのインストール

MSI ファイルは、Windows デバイスにソフトウェアをインストールするために一般的に使用されるインストールパッケージです。これらは PE ファイルではなく、SUFP は特別なロジックを適用して処理します。

MSI ファイルはブロックされませんが、インストール時に解凍さて、実行される PE ファイルが含まれている場合があります。これらの PE ファイルのレピュテーションスコアが高くない場合、SUFP はそれらをブロックし、インストールは失敗します。インストールが完了した場合でも、レピュテーションスコアが高くなく、ポリシーの許可リストと一致しない場合、SUFP はインストール済みの PE ファイルをブロックします。

MSI ファイルパスまたは MSI ファイルを含むフォルダは、ポリシーの許可リストおよびブロックリストに追加できます。SUFP は、インストールをブロックするか、インストール済みの PE ファイルまたはインストール中に抽出された PE ファイルの実行を許可するかを決定する際に、MSI ファイルがこれらのリストに一致するかどうかを確認します。