エンドポイント: 脅威対策

脅威対策機能は、マルウェア、危険な種類のファイル/Web サイト、および悪質なトラフィックからユーザーを守ります。

SophosLabs は検索を実行するファイルを独自に制御できます。最適な保護機能環境を提供するために、特定のファイルタイプの検索を追加したり、削除したりすることがあります。

推奨設定を使用する

ソフォスが推奨する設定を使用する場合は、「推奨設定を使用する」をクリックします。選択すると、複雑な管理設定なしで最適な保護対策が設定されます。

今後ソフォスで推奨設定を変更する場合は、お使いの設定が自動的に新しい設定内容で更新されます。

推奨設定の内容は次のとおりです。

  • 既知マルウェアの検出。
  • ソフォスのクラウドデータベースを参照して、ソフォスが把握している最新のマルウェアを検出。
  • 脅威の定義が特定されていない新規のマルウェアをプロアクティブに検出。
  • マルウェアの自動クリーンアップ。

ディープラーニング

ディープラーニングは高度な機械学習を利用して脅威を検出します。既知および未知のマルウェアや、業務上不要と思われるアプリケーションを、シグネチャを使用することなく識別することが可能です。

ディープラーニングは Sophos Intercept X でのみ利用できます。

Live Protection

SophosLabs のデータベースに登録されている最新のマルウェアデータを照会して、疑わしいファイルをチェックします。

選択できるオプションは次のとおりです。

Sophos Live Protection で SophosLabs のオンラインデータベースを照会して最新の脅威情報をチェックする: リアルタイム検索時にファイルをチェックします。

リアルタイム検索 - ローカルファイルおよびネットワーク共有フォルダ

リアルタイム検索は、ユーザーがファイルにアクセスしようとするとマルウェア検索を実行し、ファイルが感染していない場合にアクセスを許可します。

ローカルファイルはデフォルトで検索が実行されます。「リモートファイル」を選択して、ネットワーク共有内のファイルを検索することもできます。

リアルタイム検索 - インターネット

リアルタイム検索では、ユーザーがインターネットのリソースにアクセスしようとするとスキャンが実行されます。選択できるオプションは次のとおりです。

進行中のダウンロードをスキャンする

悪意のある Web サイトへのアクセスをブロックする: マルウェアをホストしていることが確認されている Web サイトへのアクセスを拒否します。

レピュテーションの低いファイルを検出する: レピュテーションの低いファイルをダウンロードした場合に警告が表示されます。レピュテーションは、ファイルのソース、ダウンロードの頻度、およびその他の要因を基に構築されます。

指定できるオプションは次のとおりです。

  • レピュテーションの低いダウンロードに対して実行する処理: 「ユーザーに通知」を選択した場合、ユーザーがレピュテーションの低いファイルをダウンロードすると警告が表示されます。ユーザーはファイルを信頼または削除できます。このオプションはデフォルトで選択されています。
  • レピュテーション レベル: 「高レベル」を選択すると、レピュテーションが低いファイルに加えて、中程度のファイルも検出されます。デフォルトの設定は、「推奨」です。

修復

修復のオプションは次のとおりです。

  • マルウェアを自動的にクリーンアップする: Sophos Central で検出されたマルウェアのクリーンアップが自動的に実行されます。

    クリーンアップに成功すると、マルウェアが検出されたという警告は警告のリストから削除されます。検出とクリーンアップは、イベントリストに表示されます。

    自動クリーンアップは、アプリケーション、ライブラリ、システムファイルなどの PE (Portable Executable) ファイルには適用されません。PE ファイルは隔離され、復元することが可能です。

  • 脅威ケースの作成を有効にする: 脅威ケースでは、マルウェア攻撃に関連する一連のイベントを調査したり、セキュリティの改善余地のある領域を見つけ出すことができます。
  • コンピュータが疑わしいファイルやネットワークのイベント、管理ツールのアクティビティに関するデータを Sophos Central に送信することを許可する: このオプションを有効にすると、脅威の可能性がある項目の詳細がソフォスに送信されます。脅威検索を実行するコンピュータに適用しているすべてのポリシーで、このオプションをオンにするようにしてください。
    このオプションは、Intercept X Advanced with EDR を導入している場合に使用できます。
    制約事項 Intercept X Advanced with EDR を使用するには、エンドポイントプロテクションとサーバープロテクションの両方で、このオプションをオンにする必要があります。

ランタイム保護

ランタイム保護は、疑わしい動作や、悪意のある動作・トラフィックを検出することにより、脅威から防御する機能です。選択できるオプションは次のとおりです。

ランサムウェアから文書ファイルを保護する (CryptoGuard): ファイルへのアクセスを制限したうえで、アクセスを復旧するための支払いを強請するマルウェアから文書ファイルを保護します。また、リモートから実行されるランサムウェアから、64ビット版のコンピュータを保護することもできます。

MBR を上書きするランサムウェアから保護する: マスターブートレコードを暗号化してコンピュータの起動を妨げようとするランサムウェアや、ハードディスクのデータを消去する攻撃からコンピュータを保護します。

Web ブラウザの重要な機能を保護する (セーフブラウジング): マルウェアが Web ブラウザによって悪用されることを阻止します。

脆弱なアプリケーションにおけるエクスプロイトを防止する: 特にマルウェアに悪用されやすいアプリケーションを保護します。保護するアプリケーションの種類を選択できます。

プロセスを保護する: 正規のアプリケーションがマルウェアによってハイジャックされることを防止します。選択できるオプションは次のとおりです。

  • プロセス書き換え攻撃を防止する: プロセス書き換え攻撃を防止します。
  • 信頼できないフォルダからの DLL の読み込みを防止する: 信頼できないフォルダから .DLL ファイルが読み込まれることを防止します。
  • 認証情報の窃取を防止する: パスワードやハッシュ情報をメモリ、レジストリ、ハードディスクから窃取しようとする行為を防止します。
  • Code Cave のエクスプロイトを防止する: 正規アプリケーションに埋め込まれた悪意のあるコードを検出します。
  • APC の悪用を防止する: APC (Application Procedure Call) を悪用してコードを実行する攻撃を防ぎます。
  • 権限昇格を防止する: 権限の低いプロセスを高い権限に昇格させ、システムにアクセスしようとする攻撃を防ぎます。

ネットワークトラフィックを保護する: 選択できるオプションは次のとおりです。

  • C&C サーバーへの悪意のある接続を検出する: エンドポイントコンピュータとエンドポイントコンピュータを制御しようとしている兆候がみられるサーバーとの間のトラフィックを検知します。
  • パケットインスペクション (IPS) で、悪意のあるネットワークトラフィックを防止する: 最下位のリスクレベルでトラフィックをスキャンして、OS またはアプリケーションに影響を与える前に脅威をブロックします。

悪意のある動作を検知する (HIPS): 未知の脅威から防御します。既知の悪意のある動作や疑わしい動作を検出・ブロックします。

AMSI 保護 (スクリプトベースの脅威のスキャンを強化): AMSI (Microsoft Antimalware Scan Interface) を使用して、悪意のあるコード (例: PowerShell スクリプトなど) から保護します。AMSI 経由で転送されたコードは実行前にスキャンされ、コードの実行に使用されたアプリケーションに、ソフォスから脅威に関して通知が送信されます。脅威が検出されると、ログにイベントが記録されます。

詳細設定

ここにある設定は、テスト用のまたはトラブルシューティング用の設定です。デフォルトの状態にしたままにすることを推奨します。

デバイスの隔離

このオプションを選択すると、セキュリティ状態が赤のデバイスは、自動的に隔離されます。デバイスのセキュリティ状態が赤色になるのは、脅威が検出されたときや、最新版でないソフトウェアがあるとき、ポリシーに違反しているとき、適切に保護されていないときです。

隔離されたデバイスは、引き続き Sophos Central から管理することができます。また、検索除外やグローバル除外を使用して、トラブルシューティングの目的で、隔離したコンピュータに制限付きでアクセスすることを許可することもできます。

このような隔離したデバイスを復元することはできません。セキュリティ状態が緑色になってから、再びネットワークと通信できるようになります。

スケジュール検索

スケジュール検索は、指定した日時に検索を実行します。

選択できるオプションは次のとおりです。

  • スケジュール検索を有効にする: スケジュール検索を実行する時刻と曜日 (複数可) を定義します。
    スケジュール検索が実行される時刻は、エンドポイントコンピュータの時刻で、UTC (協定世界時) ではありません。
  • 詳細検索を有効にする: このオプションを選択すると、スケジュール検索時に圧縮ファイル内が検索されます。この場合、システムへの負荷が増え、検索速度が著しく遅くなることもあります。

除外

以下の説明に従って、ファイル、フォルダ、Web サイト、またはアプリケーションを脅威の検索から除外することができます。

除外された項目に対して、エクスプロイトの検出は実行されます。しかし、検出されたエクスプロイトに対する検索を停止することもできます (「検出されたエクスプロイト」の除外オプションを使用します)。

ポリシー内で設定されている除外は、ポリシーが割り当てられているユーザーのみに適用されます。

すべてのユーザーとサーバーに対して除外を適用する場合は、「グローバル設定 > グローバル除外」ページでグローバル除外を設定してください。

ポリシー内で検索除外を作成する方法は次のとおりです。

  1. ページ右側の「除外の追加」をクリックします。

    除外の追加」ダイアログが表示されます。

  2. 除外の種類」ドロップダウンリストから、除外する項目の種類 (ファイルまたはフォルダ、Web サイト、不要と思われるアプリケーション、またはデバイスの隔離) を選択します。
  3. 除外する項目 (複数選択可) を指定します。
  4. ファイルまたはフォルダ」を除外する場合のみ、「除外対象」ドロップダウンリストで、リアルタイム検索やスケジュール検索、またはその両方に対して除外を指定することを選択します。
  5. 追加」または「次を追加」をクリックします。検索の除外の一覧に除外項目が追加されます。

後から除外を編集するには、除外の一覧で除外項目をクリックし、新しい設定内容を入力して「更新」をクリックします。

デスクトップ通知

標準の通知文の最後にメッセージを付け加えることができます。メッセージボックスに何も入力しない場合、標準の通知文のみが表示されます。

脅威対策のデスクトップ通知を有効にする」は、デフォルトでオンになっています。オフにすると、脅威対策に関する通知メッセージは表示されなくなります。

追加するテキストを入力します。