コンテンツにスキップ

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/central/partner/help/ja-jp/index.html?contextId=endpoint-threat-protection

エンドポイント: 脅威対策

脅威対策機能は、マルウェア、危険な種類のファイル/Web サイト、および悪質なトラフィックからユーザーを守ります。

SophosLabs は検索を実行するファイルを独自に制御できます。最適な保護機能環境を提供するために、特定のファイルタイプの検索を追加したり、削除したりすることがあります。

脅威を評価する方法の詳細は、ソフォスの脅威解析センターを参照してください。

推奨設定を使用する

警告

ただし、セキュリティ低下を招く恐れがあるため、推奨設定を変更する前に慎重に検討してください。

ソフォスが推奨する設定を使用する場合は、「推奨設定を使用する」をクリックします。選択すると、複雑な管理設定なしで最適な保護対策が設定されます。

今後ソフォスで推奨設定を変更する場合は、お使いの設定が自動的に新しい設定内容で更新されます。

推奨設定の内容は次のとおりです。

  • 既知マルウェアの検出。
  • ソフォスのクラウドデータベースを参照して、ソフォスが把握している最新のマルウェアを検出。
  • 脅威の定義が特定されていない新規のマルウェアをプロアクティブに検出。
  • マルウェアの自動クリーンアップ。

脅威対策の設定

脅威対策ポリシーの設定方法、およびベストプラクティスの推奨事項の説明は、以下の動画を参照してください。

ディープラーニング

ディープラーニングは高度な機械学習を利用して脅威を検出します。既知および未知のマルウェアや、業務上不要と思われるアプリケーションを、シグネチャを使用することなく識別することが可能です。

ディープラーニングは Sophos Intercept X でのみ利用できます。

Live Protection

SophosLabs のデータベースに登録されている最新のマルウェアデータを照会して、疑わしいファイルをチェックします。

選択できるオプションは次のとおりです。

Sophos Live Protection で SophosLabs のオンラインデータベースを照会して最新の脅威情報をチェックする: リアルタイム検索時にファイルをチェックします。

リアルタイム検索 - ローカルファイルおよびネットワーク共有フォルダ

リアルタイム検索は、ユーザーがファイルにアクセスしようとするとマルウェア検索を実行し、ファイルが感染していない場合にアクセスを許可します。

ローカルファイルはデフォルトで検索が実行されます。「リモートファイル」を選択して、ネットワーク共有内のファイルを検索することもできます。

リアルタイム検索 - インターネット

リアルタイム検索では、ユーザーがインターネットのリソースにアクセスしようとするとスキャンが実行されます。選択できるオプションは次のとおりです。

進行中のダウンロードをスキャンする

悪意のある Web サイトへのアクセスをブロックする: マルウェアをホストしていることが確認されている Web サイトへのアクセスを拒否します。

レピュテーションの低いファイルを検出する: レピュテーションの低いファイルをダウンロードした場合に警告が表示されます。レピュテーションは、ファイルのソース、ダウンロードの頻度、およびその他の要因を基に構築されます。

指定できるオプションは次のとおりです。

  • レピュテーションの低いダウンロードに対して実行する処理: 「ユーザーに通知」を選択した場合、ユーザーがレピュテーションの低いファイルをダウンロードすると警告が表示されます。ユーザーはファイルを信頼または削除できます。このオプションはデフォルトで選択されています。

  • レピュテーション レベル: 「高レベル」を選択すると、レピュテーションが低いファイルに加えて、中程度のファイルも検出されます。デフォルトの設定は、「推奨」です。

詳細は、ダウンロードレピュテーションを参照してください。

修復

修復のオプションは次のとおりです。

  • マルウェアを自動的にクリーンアップする: Sophos Central で検出されたマルウェアのクリーンアップが自動的に実行されます。

    クリーンアップに成功すると、マルウェアが検出されたという警告は警告のリストから削除されます。検出とクリーンアップは、イベントリストに表示されます。

    自動クリーンアップをオフにした場合でも、アプリケーション、ライブラリ、システムファイルなどの PE (Portable Executable) ファイルは常にクリーンアップされます。PE ファイルは隔離され、復元することが可能です。

  • 脅威グラフの作成を有効にする: 脅威ケースでは、マルウェア攻撃に関連する一連のイベントを調査したり、セキュリティの改善余地のある領域を見つけ出すことができます。

ランタイム保護

一部のオプションを使用するには、アーリー アクセス プログラムに参加する必要があります。

ランタイム保護は、疑わしい動作や、悪意のある動作・トラフィックを検出することにより、脅威から防御する機能です。選択できるオプションは次のとおりです。

  • ランサムウェアから文書ファイルを保護する (CryptoGuard): ファイルへのアクセスを制限したうえで、アクセスを復旧するための支払いを強請するマルウェアから文書ファイルを保護します。また、リモートから実行されるランサムウェアから、64ビット版のコンピュータを保護することもできます。

    • EFS (暗号化ファイルシステム) 攻撃から保護する: ファイルシステムを暗号化するランサムウェアからコンピュータを保護します。ランサムウェアが検出された際に実行するアクションを選択できます。ランサムウェアプロセスを終了したり、ランサムウェアプロセスを隔離して、ファイルシステムへの書き込みを停止したりできます。

  • MBR を上書きするランサムウェアから保護する: マスターブートレコードを暗号化してコンピュータの起動を妨げようとするランサムウェアや、ハードディスクのデータを消去する攻撃からコンピュータを保護します。

  • Web ブラウザの重要な機能を保護する (セーフブラウジング): マルウェアによる Web ブラウザの悪用を防止します。
  • 脆弱なアプリケーションにおけるエクスプロイトを防止する: 特にマルウェアに悪用されやすいアプリケーションを保護します。保護するアプリケーションの種類を選択できます。

  • プロセスを保護する: 正規のアプリケーションがマルウェアによってハイジャックされることを防止します。選択できるオプションは次のとおりです。

    • プロセス書き換え攻撃を防止する。プロセス書き換え攻撃から防御します。
    • 信頼できないフォルダからの DLL の読み込みを防止する。信頼できないフォルダから .DLL ファイルが読み込まれることを防止します。
    • 認証情報の窃取を防止する。パスワードやハッシュ情報をメモリ、レジストリ、ハードディスクから窃取しようとする行為を防止します。
    • Code Cave のエクスプロイトを防止する。正規アプリケーションに埋め込まれた悪意のあるコードを検出します。
    • APC の悪用を防止する。APC (Application Procedure Call) を悪用してコードを実行する攻撃を防ぎます。
    • 権限昇格を防止する。権限の低いプロセスを高い権限に昇格させ、システムにアクセスしようとする攻撃を防ぎます。

  • ダイナミックシェルコード対策。隠れたリモートアクセスエージェントの動作を検出し、攻撃者がネットワークを制御することを防止します。

  • CTF プロトコルの呼び出し元を検証する。CTF を悪用しようとするアプリケーションに割り込み、ブロックします。

    Windows コンポーネントにあり、単に「CTF」と呼ばれている脆弱性は、Windows XP までさかのぼるすべての Windows バージョンに存在し、管理者権限のない不正な攻撃者が、サンドボックス内で実行されているアプリケーションを含む、あらゆる Windows プロセスを乗っ取ることを可能にします。

  • 安全でないモジュールのサイドローディングを防止する。ApiSet スタブ DLL を装う悪意のある DLL を、アプリケーションがサイドローディングすることを防ぎます。

    ApiSet スタブ DLL は、古いアプリケーションと新しい OS バージョンとの互換性を維持するためのプロキシとして機能する DLL です。攻撃者は、悪意のある ApiSet スタブ DLL を配置してこの機能を悪用したり、タンパープロテクションをバイパスしてマルウェア対策を終了させたりする可能性があります。

  • MFA サインインに使用されるブラウザの Cookie を保護する。多要素認証 (MFA) Cookie の暗号化に使用される AES キーが、不正なアプリケーションによって復号化されることを防ぎます。

  • ネットワークトラフィックを保護する。選択できるオプションは次のとおりです。

    • C&C サーバーへの悪意のある接続を検出する。エンドポイントコンピュータとエンドポイントコンピュータを制御しようとしている兆候がみられるサーバーとの間のトラフィックを検知します。
    • パケットインスペクション (IPS) で、悪意のあるネットワークトラフィックを防止する。最下位のリスクレベルでトラフィックをスキャンして、OS またはアプリケーションに影響を与える前に脅威をブロックします。

  • 悪意のある動作を検知する: 未知の脅威から防御します。既知の悪意のある動作や疑わしい動作を検出・ブロックします。

  • AMSI 保護 (スクリプトベースの脅威のスキャンを強化): AMSI (Microsoft Antimalware Scan Interface) を使用して、悪意のあるコード (例: PowerShell スクリプトなど) から保護します。AMSI を使用して転送されたコードは実行前にスキャンされ、コードの実行に使用されたアプリケーションに、Sophosから脅威に関して通知が送信されます。脅威が検出されると、ログにイベントが記録されます。コンピュータ上の AMSI 登録が削除されないようにすることができます。詳細は、Antimalware Scan Interface (AMSI) を参照してください。

詳細設定

ここにある設定は、テスト用のまたはトラブルシューティング用の設定です。デフォルトの状態にしたままにすることを推奨します。

HTTPS Web サイトの SSL/TLS 復号化

SSL/TLS を使用した HTTPS Web サイトの復号化」を選択すると、顧客のコンピュータで HTTPS Web サイトのコンテンツが復号化され、脅威が存在するかどうかがチェックされます。

復号化した Web サイトが危険な場合、それはブロックされます。ユーザーにメッセージが表示され、再評価のためにサイトを SophosLabs に送信するオプションが提供されます。

デフォルトで復号化はオフになっています。

デバイスに適用される脅威対策ポリシーで復号化がオンになっている場合、そのデバイスにおける Web コントロールチェックでもオンになります。

これを選択すると、顧客が変更を行うことはできなくなります。

「Endpoint Protection の新機能」EAP に参加している顧客は、HTTPS Web サイトの復号化をオンまたはオフにできます。顧客は、ここで選択された設定を変更できます。

デバイスの隔離

このオプションを選択すると、セキュリティ状態が赤のデバイスは、自動的に隔離されます。デバイスのセキュリティ状態が赤色になるのは、脅威が検出されたときや、最新版でないソフトウェアがあるとき、ポリシーに違反しているとき、適切に保護されていないときです。

隔離されたデバイスは、引き続き Sophos Central から管理することができます。また、検索除外やグローバル除外を使用して、トラブルシューティングの目的で、隔離したコンピュータに制限付きでアクセスすることを許可することもできます。

このような隔離したデバイスを復元することはできません。セキュリティ状態が緑色になってから、再びネットワークと通信できるようになります。

スケジュール検索

スケジュール検索は、指定した日時に検索を実行します。

選択できるオプションは次のとおりです。

  • スケジュール検索を有効にする: スケジュール検索を実行する時刻と曜日 (複数可) を定義します。

    スケジュール検索が実行される時刻は、エンドポイントコンピュータの時刻で、UTC (協定世界時) ではありません。

  • 詳細検索を有効にする: このオプションを選択すると、スケジュール検索時に圧縮ファイル内が検索されます。この場合、システムへの負荷が増え、検索速度が著しく遅くなることもあります。

除外

以下の説明に従って、ファイル、フォルダ、Web サイト、またはアプリケーションを脅威の検索から除外することができます。

除外された項目に対して、エクスプロイトの検出は実行されます。しかし、検出されたエクスプロイトに対する検索を停止することもできます (「検出されたエクスプロイト」の除外オプションを使用します)。

ポリシー内で設定されている除外は、ポリシーが割り当てられているユーザーのみに適用されます。

すべてのユーザーとサーバーに対して除外を適用する場合は、「グローバル設定 > グローバル除外」ページでグローバル除外を設定してください。

ポリシー内で検索除外を作成する方法は次のとおりです。

  1. ページ右側の「除外の追加」をクリックします。

    除外の追加」ダイアログが表示されます。

  2. 除外の種類」ドロップダウンリストから、除外する項目の種類 (ファイルまたはフォルダ、Web サイト、不要と思われるアプリケーション、またはデバイスの隔離) を選択します。

  3. 除外する項目 (複数選択可) を指定します。
  4. ファイルまたはフォルダ」を除外する場合のみ、「除外対象」ドロップダウンリストで、リアルタイム検索やスケジュール検索、またはその両方に対して除外を指定することを選択します。
  5. 追加」または「次を追加」をクリックします。検索の除外の一覧に除外項目が追加されます。

後から除外を編集するには、除外の一覧で除外項目をクリックし、新しい設定内容を入力して「更新」をクリックします。

デスクトップ通知

標準の通知文の最後にメッセージを付け加えることができます。メッセージボックスに何も入力しない場合、標準の通知文のみが表示されます。

脅威対策のデスクトップ通知を有効にする」は、デフォルトでオンになっています。オフにすると、脅威対策に関する通知メッセージは表示されなくなります。

追加するテキストを入力します。