サーバー: 脅威対策
脅威対策機能は、マルウェア、危険な種類のファイル/Web サイト、および悪質なトラフィックからユーザーを守ります。
制限事項
一部のオプションは、Windows Server のみで指定できます。ページの右側にあるカラムには、各オプションが適用されるサーバー OS が表示されます。
SophosLabs は検索を実行するファイルを独自に制御できます。最適な保護機能環境を提供するために、特定のファイルタイプの検索を追加したり、削除したりすることがあります。
推奨設定をそのまま使用することも、変更して使用することもできます。
脅威を評価する方法の詳細は、ソフォスの脅威解析センターを参照してください。
Intercept X Advanced for Server
このライセンスをお持ちの場合は、脅威対策ポリシーで、ランサムウェア/エクスプロイト対策、シグネチャレス型の脅威検出、脅威イベントの根本原因解析を実施できます。
ここでの設定を使用してセキュリティを最大限に強化することを推奨します。
このような高度なセキュリティ機能を 1つでも有効にすると、このポリシーを適用しているサーバーで Intercept X Advanced for Server ライセンスが使用されます。
詳細は、サーバー脅威対策: Intercept X Advancedを参照してください。
サーバープロテクションのデフォルト設定
これらの設定は、オンにしたままにすることを推奨します。選択すると、複雑な管理設定なしで最適な保護対策が設定されます。
次の項目が実行されます。
- 既知マルウェアの検出。
- ソフォスのクラウドデータベースを参照して、ソフォスが把握している最新のマルウェアを検出。
- 脅威の定義が特定されていない新規のマルウェアをプロアクティブに検出。
- マルウェアの自動クリーンアップ。
- 既知のアプリケーションの動作を検索から自動的に除外。
詳細は、サーバー脅威対策: デフォルト設定を参照してください。
HTTPS Web サイトの SSL/TLS 復号化
「SSL/TLS を使用した HTTPS Web サイトの復号化」を選択すると、HTTPS Web サイトのコンテンツが復号化され、脅威が存在するかどうかがチェックされます。
復号化した Web サイトが危険な場合、それはブロックされます。ユーザーにメッセージが表示され、再評価のためにサイトを SophosLabs に送信するオプションが提供されます。
デフォルトで復号化はオフになっています。
注
デバイスに適用される脅威対策ポリシーで復号化がオンになっている場合、そのデバイスにおける Web コントロールチェックでもオンになります。
これを選択すると、顧客が変更を行うことはできなくなります。
スケジュール検索
スケジュール検索は、指定した日時に検索を実行します。
選択できるオプションは次のとおりです。
-
スケジュール検索を有効にする: スケジュール検索を実行する時刻と曜日 (複数可) を定義します。
注
スケジュール検索が実行される時刻は、エンドポイントコンピュータの時刻で、UTC (協定世界時) ではありません。
-
詳細検索を有効にする: このオプションを選択すると、スケジュール検索時に圧縮ファイル内が検索されます。この場合、システムへの負荷が増え、検索速度が著しく遅くなることもあります。
除外
以下の説明に従って、ファイル、フォルダ、Web サイト、またはアプリケーションを脅威の検索から除外することができます。
除外された項目に対して、エクスプロイトの検出は実行されます。しかし、検出されたエクスプロイトに対する検索を停止することもできます (「検出されたエクスプロイト」の除外オプションを使用します)。
ポリシー内で設定されている除外は、ポリシーが割り当てられているユーザーのみに適用されます。
注
すべてのユーザーとサーバーに対して除外を適用する場合は、「グローバル設定 > グローバル除外」ページでグローバル除外を設定してください。
詳細は、自動除外を参照してください。
ポリシー内で検索除外を作成する方法は次のとおりです。
-
ページ右側の「除外の追加」をクリックします。
「除外の追加」ダイアログが表示されます。
-
「除外の種類」ドロップダウンリストから、除外する項目の種類 (ファイルまたはフォルダ、Web サイト、不要と思われるアプリケーション、またはデバイスの隔離) を選択します。
- 除外する項目 (複数選択可) を指定します。
- 「ファイルまたはフォルダ」を除外する場合のみ、「除外対象」ドロップダウンリストで、リアルタイム検索やスケジュール検索、またはその両方に対して除外を指定することを選択します。
- 「追加」または「次を追加」をクリックします。検索の除外の一覧に除外項目が追加されます。
後から除外を編集するには、除外の一覧で除外項目をクリックし、新しい設定内容を入力して「更新」をクリックします。
エクスプロイト防止の除外
このようなエクスプロイト対策の対象から特定のアプリケーションを除外することができます。たとえば、あるアプリケーションが誤って脅威と検出される場合、対応が終了するまで、そのアプリケーションを除外することもできます。
除外を追加すると、セキュリティが低下します。
Sophos Central Admin のグローバル設定オプションを使用して追加したエクスプロイト防止の除外は、すべてのユーザーとデバイスに適用されます。
したがって、ここで設定するオプションを使用して、除外が必要なサーバーのみに、除外を含むポリシーを割り当てることを推奨します。
制限事項
除外は、Windows アプリケーションのみに対して作成できます。
エクスプロイト防止の除外をポリシーで作成するには、次の手順を実行します。
-
ページ右側の「除外の追加」をクリックします。
「除外の追加」ダイアログが表示されます。
-
「除外の種類」で、「エクスプロイト防止 (Windows)」を選択します。
ネットワーク上の保護対象アプリケーションの一覧が表示されます。
-
除外するアプリケーションを選択します。
- 対象のアプリケーションが表示されない場合は、「アプリケーションが一覧に表示されていない場合」をクリックします。ここで、アプリケーションへのファイルパスを入力して、アプリケーションを保護から除外できます。または、任意でいずれかの変数を使用できます。
-
「防止策」で、次のいずれかを実行します。
- 「アプリケーションの保護」をオフにします。選択したアプリケーションに対して、エクスプロイト検出は実行されません。
- 「アプリケーションの保護」をオンにした状態で、検出を実行する/しないエクスプロイトの種類を選択します。
-
「追加」または「次を追加」をクリックします。「グローバル除外」ページにある一覧に、除外項目が追加されます。
ここで設定した除外は、このポリシーを割り当てたサーバーのみに適用されます。
後から除外を編集するには、除外の一覧で除外項目をクリックし、新しい設定内容を入力したら「更新」をクリックします。
デスクトップ通知
標準の通知文の最後にメッセージを付け加えることができます。メッセージボックスに何も入力しない場合、標準の通知文のみが表示されます。
「脅威対策のデスクトップ通知を有効にする」は、デフォルトでオンになっています。オフにすると、脅威対策に関する通知メッセージは表示されなくなります。
追加するテキストを入力します。