サーバープロテクション: Intercept X Advanced

ランタイム保護

ランタイム保護は、エンドポイント上の疑わしい動作や、悪意のある動作・トラフィックを検出することにより、脅威から防御する機能です。

• ランサムウェアから文書ファイルを保護する (CryptoGuard): ファイルへのアクセスを制限したうえで、アクセスを復旧するための支払いを強請するマルウェアから文書ファイルを保護します。また、リモートから実行されるランサムウェアから、64ビット版のコンピュータを保護することもできます。ランサムウェアが検出された際に実行するアクションを選択できます。実行中のランサムウェアプロセスを終了したり、ランサムウェアプロセスを隔離することで、ファイルシステムへの書き込みを停止したりできます。
• MBR を上書きするランサムウェアから保護する: マスターブートレコードを暗号化してコンピュータの起動を妨げようとするランサムウェアや、ハードディスクのデータを消去する攻撃からコンピュータを保護します。
• Web ブラウザの重要な機能を保護する (セーフブラウジング): マルウェアが Web ブラウザによって悪用されることを阻止します。
• 脆弱なアプリケーションにおけるエクスプロイトを防止する: 特にマルウェアに悪用されやすいアプリケーションを保護します。保護するアプリケーションの種類を選択できます。
• 高度なエクスプロイト対策の設定:
  • 認証情報の窃取を防止する: パスワードやハッシュ情報をメモリ、レジストリ、ハードディスクから窃取しようとする行為を阻止します。
  • Code Cave のエクスプロイトを防止する: 正規アプリケーションに埋め込まれた悪意のあるコードを検出します。
  • APC の悪用を防止する: APC (Application Procedure Call) を悪用してコードを実行する攻撃を防ぎます。
  • 権限昇格を防止する: 権限の低いプロセスを高い権限に昇格させ、システムにアクセスしようとする攻撃を防ぎます。

  ポリシーをサーバーに適用する前に、これらの設定をテストすることを推奨します。

• プロセスを保護する: 正規のアプリケーションがマルウェアによってハイジャックされることを防止します。選択できるオプションは次のとおりです。
  • プロセス書き換え攻撃を阻止する。
  • 信頼できないフォルダから .DLL ファイルが読み込まれることを阻止する。
• CPU のブランチトレースを有効にする: CPU の悪意のあるコードの検知は、プロセッサのアクティビティをトレースして検知を許可する、Intel プロセッサの機能です。ソフォスでは、次のようなアーキテクチャの Intel プロセッサでこの機能に対応しています。Nehalem、Westmere、Sandy Bridge、Ivy Bridge、Haswell、Broadwell、Goldmont、SkyLake、Kaby Lake

  なお、コンピュータに (正規) のハイパーバイザーがある場合、この機能には対応していません。

ディープラーニング

ディープラーニングは高度な機械学習を利用して脅威を検出します。既知および未知のマルウェアや、業務上不要と思われるアプリケーションを、シグネチャを使用することなく識別することが可能です。

修復

• 脅威ケースの作成を有効にする: 脅威ケースでは、マルウェア攻撃に関連する一連のイベントを調査したり、セキュリティの改善余地のある領域を見つけ出すことができます。
• サーバーが疑わしいファイルやネットワークのイベント、管理ツールのアクティビティに関するデータを Sophos Central に送信することを許可する: 脅威の可能性がある項目の詳細がソフォスに送信されます。脅威検索を実行するサーバーに適用しているすべてのポリシーで、このオプションをオンにするようにしてください。
  注 このオプションを使用するには、Intercept X Advanced with EDR for Server が必要です。
  制約事項 Intercept X Advanced for Server with EDR を使用するには、エンドポイントプロテクションとサーバープロテクションの両方で、このオプションをオンにする必要があります。