脅威対策ポリシー

脅威対策機能は、マルウェア、危険な種類のファイル/Web サイト、および悪質なトラフィックからユーザーを守ります。

制約事項 このページでは、エンドポイントユーザーに対するポリシー設定について説明します。サーバーには別のポリシー設定が適用されます。

エンドポイントプロテクション > ポリシー」を参照して、脅威対策を設定します。

ポリシーを設定するには、次の手順を実行します。

  • 脅威対策」ポリシーを作成します。詳細は、ポリシーの作成/編集を参照してください。
  • ポリシーの「設定」タブを開き、以下の説明に従って設定します。ポリシーがオンになっていることを確認してください。

推奨設定をそのまま使用することも、変更して使用することもできます。脅威対策ポリシーの設定方法の詳細は、脅威対策の設定にある動画を参照してください。

このポリシーのいずれかの設定を変更後、デフォルト設定を参照する場合は、新しいポリシーを作成してください。保存する必要はありませんが、デフォルトを確認することができます。

SophosLabs は検索を実行するファイルを独自に制御できます。最適な保護機能環境を提供するために、特定のファイルタイプの検索を追加したり、削除したりすることがあります。
パートナーやエンタープライズ管理者によってグローバル設定が適用されたオプションは、ロックされています。イベントのリストで、アプリケーション、エクスプロイト、およびランサムウェアの検出を停止することはできます。

推奨設定を使用する

警告 ただし、セキュリティ低下を招く恐れがあるため、推奨設定を変更する前に慎重に検討してください。

ソフォスが推奨する設定を使用する場合は、「推奨設定を使用する」をクリックします。選択すると、複雑な管理設定なしで最適な保護対策が設定されます。

今後ソフォスで推奨設定を変更する場合は、お使いの設定が自動的に新しい設定内容で更新されます。

推奨設定の内容は次のとおりです。

  • 既知マルウェアの検出。
  • ソフォスのクラウドデータベースを参照して、ソフォスが把握している最新のマルウェアを検出。
  • 脅威の定義が特定されていない新規のマルウェアをプロアクティブに検出。
  • マルウェアの自動クリーンアップ。

脅威対策の設定

脅威対策ポリシーの設定方法、およびベストプラクティスの推奨事項の説明は、以下の動画を参照してください。

Live Protection

SophosLabs のデータベースに登録されている最新のマルウェアデータを照会して、疑わしいファイルをチェックします。詳細は、ソフォスの脅威解析センターを参照してください。

選択できるオプションは次のとおりです。

  • Sophos Live Protection で SophosLabs のオンラインデータベースを照会して最新の脅威情報をチェックする。リアルタイム検索時にファイルをチェックします。
  • スケジュール検索で Live Protection を使用する

ディープラーニング

ディープラーニングは高度な機械学習を利用して脅威を検出します。既知および未知のマルウェアや、業務上不要と思われるアプリケーションを、シグネチャを使用することなく識別することが可能です。

ディープラーニングは Sophos Intercept X でのみ利用できます。

リアルタイム検索 - ローカルファイルおよびネットワーク共有フォルダ

リアルタイム検索では、ユーザーがファイルにアクセスしようとするとスキャンが実行されます。ファイルが感染していない場合のみにアクセスが許可されます。

ローカルファイルはデフォルトで検索が実行されます。また次のオプションも選択できます。

  • リモートファイル: ネットワーク共有上のファイルに対して検索が実行されます。

リアルタイム検索 - インターネット

リアルタイム検索では、ユーザーがインターネットのリソースにアクセスしようとするとスキャンが実行されます。詳細は、ダウンロードレピュテーションを参照してください。選択できるオプションは次のとおりです。

  • 進行中のダウンロードをスキャンする
  • 悪意のある Web サイトへのアクセスをブロックする: マルウェアをホストしていることが確認されている Web サイトへのアクセスを拒否します。
  • レピュテーションの低いファイルを検出する: レピュテーションの低いファイルをダウンロードした場合に警告が表示されます。レピュテーションは、ファイルのソース、ダウンロードの頻度、およびその他の要因を基に構築されます。指定できるオプションは次のとおりです。
    • レピュテーションの低いダウンロードに対して実行する処理: 「ユーザーに通知」を選択した場合、ユーザーがレピュテーションの低いファイルをダウンロードすると警告が表示されます。ユーザーはファイルを信頼または削除できます。このオプションはデフォルトで選択されています。
    • レピュテーション レベル: 「高レベル」を選択すると、レピュテーションが低いファイルに加えて、中程度のファイルも検出されます。デフォルトの設定は、「推奨」です。

修復

修復のオプションは次のとおりです。

  • マルウェアを自動的にクリーンアップする: Sophos Central で検出されたマルウェアのクリーンアップが自動的に実行されます。

    クリーンアップに成功すると、マルウェアが検出されたという警告は警告のリストから削除されます。検出とクリーンアップは、イベントリストに表示されます。

    自動クリーンアップをオフにした場合でも、アプリケーション、ライブラリ、システムファイルなどの PE (Portable Executable) ファイルは常にクリーンアップされます。PE ファイルは隔離され、50MB 未満の場合はを復元できます。
  • 脅威ケースの作成を有効にする: 脅威ケースでは、マルウェア攻撃に関連する一連のイベントを調査したり、セキュリティの改善余地のある領域を見つけ出すことができます。

ランタイム保護

制約事項 一部のオプションを使用するには、アーリー アクセス プログラムに参加する必要があります。

ランタイム保護は、疑わしい動作や、悪意のある動作・トラフィックを検出することにより、脅威から防御する機能です。選択できるオプションは次のとおりです。

  • ランサムウェアから文書ファイルを保護する (CryptoGuard): ファイルへのアクセスを制限したうえで、アクセスを復旧するための支払いを強請するマルウェアから文書ファイルを保護します。また、リモートから実行されるランサムウェアから、64ビット版のコンピュータを保護することもできます。
  • EFS (暗号化ファイルシステム) 攻撃から保護する: ファイルシステムを暗号化するランサムウェアからコンピュータを保護します。ランサムウェアが検出された際に実行するアクションを選択できます。ランサムウェアプロセスを終了したり、ランサムウェアプロセスを隔離して、ファイルシステムへの書き込みを停止したりできます。
  • MBR を上書きするランサムウェアから保護する: マスターブートレコードを暗号化してコンピュータの起動を妨げようとするランサムウェアや、ハードディスクのデータを消去する攻撃からコンピュータを保護します。
  • Web ブラウザの重要な機能を保護する (セーフブラウジング): マルウェアが Web ブラウザによって悪用されることを阻止します。
  • 脆弱なアプリケーションにおけるエクスプロイトを防止する: 特にマルウェアに悪用されやすいアプリケーションを保護します。保護するアプリケーションの種類を選択できます。
  • プロセスを保護する: 正規のアプリケーションがマルウェアによってハイジャックされることを防止します。選択できるオプションは次のとおりです。
    • プロセス書き換え攻撃を防止する。プロセス書き換え攻撃から防御します。
    • 信頼できないフォルダからの DLL の読み込みを防止する。信頼できないフォルダから .DLL ファイルが読み込まれることを防止します。
    • 認証情報の窃取を防止する。パスワードやハッシュ情報をメモリ、レジストリ、ハードディスクから窃取しようとする行為を防止します。
    • Code Cave のエクスプロイトを防止する。正規アプリケーションに埋め込まれた悪意のあるコードを検出します。
    • APC の悪用を防止する。APC (Application Procedure Call) を悪用してコードを実行する攻撃を防ぎます。
    • 権限昇格を防止する。権限の低いプロセスを高い権限に昇格させ、システムにアクセスしようとする攻撃を防ぎます。
  • ネットワークトラフィックを保護する。選択できるオプションは次のとおりです。
    • C&C サーバーへの悪意のある接続を検出する。エンドポイントコンピュータとエンドポイントコンピュータを制御しようとしている兆候がみられるサーバーとの間のトラフィックを検知します。
    • パケットインスペクション (IPS) で、悪意のあるネットワークトラフィックを防止する。最下位のリスクレベルでトラフィックをスキャンして、OS またはアプリケーションに影響を与える前に脅威をブロックします。
  • 悪意のある動作を検知する (HIPS): 未知の脅威から防御します。既知の悪意のある動作や疑わしい動作を検出・ブロックします。
  • 悪意のある動作を検知する: 未知の脅威から防御します。既知の悪意のある動作や疑わしい動作を検出・ブロックします。
    制約事項 このオプションを使用するには、アーリー アクセス プログラムに参加する必要があります。
  • AMSI 保護 (スクリプトベースの脅威のスキャンを強化): AMSI (Microsoft Antimalware Scan Interface) を使用して、悪意のあるコード (例: PowerShell スクリプトなど) から保護します。AMSI を使用して転送されたコードは実行前にスキャンされ、コードの実行に使用されたアプリケーションに、Sophosから脅威に関して通知が送信されます。脅威が検出されると、ログにイベントが記録されます。コンピュータ上の AMSI 登録が削除されないようにすることができます。詳細は、Antimalware Scan Interface (AMSI)を参照してください。

詳細設定

ここにある設定は、テスト用のまたはトラブルシューティング用の設定です。デフォルトの状態にしたままにすることを推奨します。

デバイスの隔離

このオプションを選択すると、セキュリティ状態が赤のデバイスは、自動的に隔離されます。デバイスのセキュリティ状態が赤色になるのは、脅威が検出されたときや、最新版でないソフトウェアがあるとき、ポリシーに違反しているとき、適切に保護されていないときです。

隔離されたデバイスは、引き続き Sophos Central から管理することができます。また、検索除外やグローバル除外を使用して、トラブルシューティングの目的で、隔離したコンピュータに制限付きでアクセスすることを許可することもできます。

このような隔離したデバイスを復元することはできません。セキュリティ状態が緑色になってから、再びネットワークと通信できるようになります。

スケジュール検索

スケジュール検索は、指定した日時に検索を実行します。

選択できるオプションは次のとおりです。

  • スケジュール検索を有効にする: スケジュール検索を実行する時刻と曜日 (複数可) を定義します。
    スケジュール検索が実行される時刻は、エンドポイントコンピュータの時刻で、UTC (協定世界時) ではありません。
  • 詳細検索を有効にする: このオプションを選択すると、スケジュール検索時に圧縮ファイル内が検索されます。この場合、システムへの負荷が増え、検索速度が著しく遅くなることもあります。
    圧縮ファイルの検索を行うと、システムへの負荷が増え、検索速度が著しく遅くなることがあります。

検索除外

以下の説明に従って、ファイル、フォルダ、Web サイト、またはアプリケーションを脅威の検索から除外することができます。

除外された項目に対して、エクスプロイトの検出は実行されます。しかし、検出されたエクスプロイトに対する検索を停止することもできます (「検出されたエクスプロイト」の除外オプションを使用します)。

ポリシー内で設定されている除外は、ポリシーが割り当てられているユーザーのみに適用されます。

すべてのユーザーとサーバーに対して除外を適用する場合は、「グローバル設定 > グローバル除外」ページでグローバル除外を設定してください。

ポリシー内で検索除外を作成する方法は次のとおりです。

  1. ページ右側の「除外の追加」をクリックします。

    除外の追加」ダイアログが表示されます。

  2. 除外の種類」ドロップダウンリストから、除外する項目の種類 (ファイルまたはフォルダ、Web サイト、不要と思われるアプリケーション、またはデバイスの隔離) を選択します。
  3. 除外する項目 (複数選択可) を指定します。
  4. ファイルまたはフォルダ」を除外する場合のみ、「除外対象」ドロップダウンリストで、リアルタイム検索やスケジュール検索、またはその両方に対して除外を指定することを選択します。
  5. 追加」または「次を追加」をクリックします。検索の除外の一覧に除外項目が追加されます。

後から除外を編集するには、除外の一覧で除外項目をクリックし、新しい設定内容を入力したら「更新」をクリックします。

使用可能な除外の詳細は、次を参照してください。

エクスプロイト防止の除外

このようなエクスプロイト対策の対象から特定のアプリケーションを除外することができます。たとえば、あるアプリケーションが誤って脅威と検出される場合、対応が終了するまで、そのアプリケーションを除外することもできます。

除外を追加すると、セキュリティが低下します。

グローバルオプション「概要 > グローバル設定 > グローバル除外」を使用して追加した除外は、すべてのユーザーとデバイスに適用されます。

したがって、ここで設定するオプションを使用して、除外が必要なユーザーとデバイスのみに、除外を含むポリシーを割り当てることを推奨します。

制約事項 除外は、Windows アプリケーションのみに対して作成できます。

エクスプロイト防止の除外をポリシーで作成するには、次の手順を実行します。

  1. ページ右側の「除外の追加」をクリックします。

    除外の追加」ダイアログが表示されます。

  2. 除外の種類」で、「エクスプロイト防止 (Windows)」を選択します。

    ネットワーク上の保護対象アプリケーションの一覧が表示されます。

  3. 除外するアプリケーションを選択します。
  4. 対象のアプリケーションが表示されない場合は、「アプリケーションが一覧に表示されていない場合」をクリックします。ここで、アプリケーションへのファイルパスを入力して、アプリケーションを保護から除外できます。または、任意でいずれかの変数を使用できます。
  5. 防止策」で、次のいずれかを実行します。
    • アプリケーションの保護」をオフにします。選択したアプリケーションに対して、エクスプロイト検出は実行されません。
    • アプリケーションの保護」をオンにした状態で、検出を実行する/しないエクスプロイトの種類を選択します。
  6. 追加」または「次を追加」をクリックします。「グローバル除外」ページにある一覧に、除外項目が追加されます。

    ここで設定した除外は、このポリシーを割り当てたユーザーやデバイスのみに適用されます。

後から除外を編集するには、除外の一覧で除外項目をクリックし、新しい設定内容を入力したら「更新」をクリックします。

デスクトップ通知

デスクトップ通知」を設定するには、「推奨設定を使用する」をオフにする必要があります。

標準の通知文の最後にメッセージを付け加えることができます。メッセージボックスに何も入力しない場合、標準の通知文のみが表示されます。

デスクトップ通知」は、デフォルトでオンになっています。

メッセージボックス内をクリックして、追加するテキストを入力します。