グローバル除外

以下の説明に従って、ファイルや Web サイト、アプリケーションを脅威の検索から除外することができます。

除外された項目に対して、エクスプロイトの検出は実行されます。

ここで指定する除外は、すべてのユーザーとデバイス、およびサーバーに適用されます。特定のユーザーやサーバーのみに設定を適用する場合は、Sophos Central Admin のポリシーで除外を設定してください。

エンタープライズ管理者は、Sophos Central Enterprise からグローバル除外をプッシュできます。プッシュした項目は、Sophos Central Admin の「グローバル除外」リストに追加されます。

サブ管理サイトの管理者:

  • Sophos Central Admin のリストに直接除外を追加することはできません。
  • イベントリストから除外を追加することはできます。追加した項目は、Sophos Central Enterprise の「グローバル除外」リストには追加されません。
  1. グローバル設定」で、「グローバル除外」をクリックします。
  2. ページ右側の「除外の追加」をクリックします。
    除外の追加」ダイアログが表示されます。
  3. 除外の種類」ドロップダウンリストから、除外する項目の種類 (ファイルまたはフォルダ、プロセス、Web サイト、不要と思われるアプリケーション) を選択します。
  4. 除外する項目 (複数選択可) を指定します。適用されるルールは次のとおりです。
    • ファイルまたはフォルダ (Mac/Linux): フォルダまたはファイルを除外できます。ワイルドカード文字「?」、および「*」を使用できます。例: /Volumes/excluded (Mac)/mnt/hgfs/excluded (Linux)
    • ファイルまたはフォルダ (Sophos Security VM): Sophos Security VM で保護されている Windows 環境のゲスト VM では、ドライブ、フォルダ、またはファイルを、フルパスを指定して除外できます。ワイルドカード文字「*」と「?」を、ファイル名のみに対して使用できます。
    • プロセス (Windows)。アプリケーションで実行される、いずれのプロセスも除外できます。プロセスによって使用されるファイルも (プロセスによるアクセス時のみ) 除外の対象になります。「タスク マネージャ」に表示されるプロセス名だけでなく、可能な限り、アプリケーションのフルパスも入力してください。例: %PROGRAMFILES%\Microsoft Office\Office 14\Outlook.exeワイルドカード文字や拡張変数を使用できます。
      特定のアプリケーションから除外が必要なプロセスや他の項目の全容は、各アプリケーションのベンダーのドキュメントを参照してください。
    • Web サイト。Web サイトは、IP アドレス、IP アドレスの範囲 (CIDR 記法)、またはドメインで指定できます。例:
      • IP アドレス: 192.168.0.1
      • IP アドレスの範囲: 192.168.0.0/24
      • 最終部分の /24 は、この範囲のすべての IP アドレスに共通のプレフィックスにあるビット数です。このため、/24 はネットマスクの 11111111.11111111.11111111.00000000 を示しています。この例では、192.168.0. で始まるすべての IP アドレスが含まれることになります。
      • ドメイン: google.com
    • 不要と思われるアプリケーション: 通常はスパイウェアとして検出されるアプリケーションをここで除外できます。システムによって検出された名前を使用して除外を指定してください。
  5. [ファイルまたはフォルダ」を除外する場合のみ、「除外対象」ドロップダウンリストで、リアルタイム検索やスケジュール検索、またはその両方に対して除外を指定することを選択します。
  6. 追加」または「次を追加」をクリックします。除外の一覧に除外項目が追加されます。

検出されたエクスプロイトの検出の停止

アプリケーションでエクスプロイトが検出されたが、誤って検出されたことがわかっている場合は、すべてのサブ管理サイトで検出されないようにできます。

この設定は、すべてのユーザーとコンピュータに適用されます。

エクスプロイトの検出を停止するには、次の手順を実行してください。

  1. Sophos Central Admin で、アプリケーションの検出場所に応じて、「コンピュータ」または「サーバー」を参照します。
  2. 検知が発生したデバイスをクリックして詳細を表示します。
  3. イベント」タブで、該当する検出イベントの「詳細」をクリックします。
  4. 検出 ID をコピーします。

    検出 ID を示すイベントの詳細の例
  5. Sophos Central Enterprise で「グローバル設定」を開き、「グローバル除外」をクリックします。
  6. ページ右側の「除外の追加」をクリックします。
  7. 除外の種類」ドロップダウンリストで、「検出 ID」を選択して検出 ID を入力します。
    この特定の検出に関連付けられた検出 ID に対して除外が追加されます。同じ動作が管理サイトで再度発生しても、それは検出されません。ただし、動作が異なる場合 (パスやファイルが異なる場合など) は、検出 ID が異なるため、別の除外が必要になります。
  8. 追加」または「次を追加」をクリックします。除外の一覧に除外項目が追加されます。