グローバル除外

ファイルや Web サイト、アプリケーションをセキュリティ脅威の検索から除外することができます。

除外は、Sophos Central の検出機能を調整するために使用します。脅威の検出方法の詳細は、ソフォスの脅威解析センターを参照してください。

除外

グローバル除外は、すべてのユーザーとデバイス、およびサーバーに適用されます。

特定のユーザーやサーバーのみに除外を適用する場合は、代わりにポリシーの除外を使用してください。

次の種類の除外を設定できます。

  • ファイルやフォルダを検索の対象から除外する。

    検索の対象から除外されている場合でも、除外された項目に対して、エクスプロイトの検出は実行されます。

  • アプリケーションで実行されるプロセスすべてを除外する。
  • Web サイトを検索の対象から除外する。
  • エクスプロイト対策の対象からアプリケーションを除外する。
  • 通常、スパイウェアとして検出されるアプリケーションや既に検出されたエクスプロイトを、検索・検出の対象から除外する。
  • 既に検出された悪意のある動作を含むエクスプロイトを除外する。これは、アーリー アクセス プログラムに登録している場合のみに利用できます。

また、グローバル除外を使用して、隔離したデバイスが、制限付きで他のデバイスと通信することを許可できます。この機能は、Intercept X Advanced with XDR がある場合に使用できます。

警告 セキュリティ低下を招く恐れがあるため、グローバル除外を追加する前に慎重に検討してください。

除外を編集できない場合

パートナーまたはエンタープライズ管理者によってグローバル設定が適用されているオプションは、ロックされています。イベントのリストで、アプリケーション、エクスプロイト、およびランサムウェアの検出を停止することはできます。

エクスプロイトの除外

検索の対象から除外されている場合でも、除外された項目に対して、エクスプロイトの検出は実行されます。エクスプロイト対策の対象からも除外する場合は、次の手順を実行してください。

  • 検出されたエクスプロイトに対する検索を停止するには、「検出されたエクスプロイト」の除外を使用します。
  • エクスプロイト対策の対象から特定のアプリケーションを除外するには、エクスプロイト防止の除外を使用します。詳細は、エクスプロイト防止の除外を参照してください。
  • 検出された悪意のある動作を含むエクスプロイトの検索を停止するには、動作保護の除外を使用します。

除外の設定

ファイルや Web サイト、アプリケーションをセキュリティ脅威の検索から除外することができます。

除外を設定する方法は次のとおりです。

  1. 概要 > グローバル設定 > グローバル除外」を参照します。
  2. 除外の追加」をクリックします。
    除外の追加」ダイアログが表示されます。
  3. 除外の種類」ドロップダウンリストから除外する項目を選択します。
  4. 除外する項目 (複数選択可) を指定します。
    オプション説明

    ファイルまたはフォルダ (Windows)

    ドライブ、フォルダ、またはファイルを、フルパスを指定して除外できます。ファイル名や拡張子にワイルドカード文字「*」 を使用できますが、「*.*」という形式では使用できません。

    ファイルまたはフォルダ (Mac/Linux)

    フォルダまたはファイルを除外できます。ワイルドカード文字「?」、および「*」を使用できます。

    ファイルまたはフォルダ (Sophos Security VM)

    Sophos Security VM で保護されている Windows 環境のゲスト VM では、ドライブ、フォルダ、またはファイルを、フルパスを指定して除外できます。ワイルドカード文字「*」と「?」を、ファイル名のみに対して使用できます。

    プロセス (Windows)

    アプリケーションで実行される、いずれのプロセスも除外できます。プロセスによって使用されるファイルも (プロセスによるアクセス時のみ) 除外の対象になります。可能な限り、アプリケーションのフルパスを入力してください。

    Web サイト (Windows/Mac)

    除外する Web サイトは、IP アドレス、IP アドレスの範囲 (CIDR 記法)、またはドメインで指定できます。

    不要と思われるアプリケーション (Windows/Mac)

    通常はスパイウェアとして検出されるアプリケーションを除外できます。

    システムによって検出された名前を使用して除外を指定してください。

    不要と思われるアプリケーションの詳細は、「脅威解析」ページを参照してください。

    検出されたエクスプロイト (Windows/Mac)

    既に検出されたエクスプロイトすべてを除外できます。対象のアプリケーションに対して、そのエクスプロイトは検出されなくなり、アプリケーションはブロックされなくなります。

    デバイスの隔離 (Windows)

    隔離したデバイスに対して、制限付きで他のデバイスとの通信を許可できます。

    隔離したデバイスに、送信、受信、またはその両方の通信を許可するかどうかを指定します。このようにして通信を制限できます。

    悪意のあるネットワークトラフィックの防止 (IPS) (Windows)

    特定のネットワークトラフィックをインスペクションから除外することができます。

    送信トラフィックと受信トラフィックのどちらを除外するかを選択します。そして、トラフィックが使用するアドレスまたはポートを指定します。

    エクスプロイト防止 (Windows)

    このようなエクスプロイト対策の対象から特定のアプリケーションを除外することができます。

    たとえば、あるアプリケーションが誤って脅威と検出される場合、対応が終了するまで、そのアプリケーションを除外することもできます。

    AMSI 保護 (Windows)

    ドライブ、フォルダ、またはファイルを、フルパスを指定して除外できます。この場所にあるコードは検索されません。ファイル名や拡張子にワイルドカード文字「*」 を使用できます。

    動作保護 (Windows)

    動作保護の対象から特定のアプリケーションを除外することができます。

    たとえば、誤って悪意のある動作が検出されたアプリケーションを除外することができます。

    作成後、このような除外を編集することはできません。

    このオプションは、アーリー アクセス プログラムに登録している場合のみに利用できます。

  5. [ファイルまたはフォルダ」を除外する場合のみ、「除外対象」ドロップダウンリストで、リアルタイム検索やスケジュール検索、またはその両方に対して除外を指定することを選択します。
  6. 追加」または「次を追加」をクリックします。検索の除外の一覧に除外項目が追加されます。

後から除外を編集するには、除外の一覧で除外項目をクリックし、新しい設定内容を入力したら「更新」をクリックします。