グローバル除外
以下の説明に従って、ファイルや Web サイト、アプリケーションを脅威の検索から除外することができます。検出 ID で除外することもできます。
除外された項目に対して、エクスプロイトの検出は実行されます。
注
ここで指定する除外は、すべてのユーザーとデバイス、およびサーバーに適用されます。特定のユーザーやサーバーのみに設定を適用する場合は、Sophos Central Admin のポリシーで除外を設定してください。
警告
ただし、セキュリティが低下するので、除外を追加する前に慎重に検討してください。
顧客は、「グローバル設定」から「グローバル除外」リストに項目を追加できません。イベントリストからグローバル除外を追加することはできます。これらの項目は、Sophos Central Partner で表示・編集できるグローバル除外リストには追加されません。
Sophos Central Partner からプッシュされたグローバル除外は、Sophos Central Admin のリストにマージされます。
- 「グローバル設定」で、「グローバル除外」をクリックします。
- ページ右側の「除外の追加」をクリックします。「除外の追加」ダイアログが表示されます。
- 「除外の種類」ドロップダウンリストから、除外する項目の種類 (ファイルまたはフォルダ、Web サイト、不要と思われるアプリケーション) を選択します。
-
除外する項目 (複数選択可) を指定します。適用されるルールは次のとおりです。
- ファイルまたはフォルダ (Mac/Linux): フォルダまたはファイルを除外できます。ワイルドカード文字「?」、および「*」を使用できます。例:
/Volumes/excluded (Mac)``/mnt/hgfs/excluded (Linux)
- ファイルまたはフォルダ (Sophos Security VM): Sophos Security VM で保護されている Windows 環境のゲスト VM では、ドライブ、フォルダ、またはファイルを、フルパスを指定して除外できます。ワイルドカード文字「*」と「?」を、ファイル名のみに対して使用できます。
-
プロセス (Windows): アプリケーションで実行される、いずれのプロセスも除外できます。プロセスによって使用されるファイルも (プロセスによるアクセス時のみ) 除外の対象になります。「タスク マネージャ」に表示されるプロセス名だけでなく、可能な限り、アプリケーションのフルパスも入力してください。例:
%PROGRAMFILES%\Microsoft Office\Office 14\Outlook.exe
。ワイルドカード文字や変数を使用できます。注
特定のアプリケーションから除外が必要なプロセスや他の項目の全容は、各アプリケーションのベンダーのドキュメントを参照してください。
-
Web サイト: Web サイトは、IP アドレス、IP アドレスの範囲 (CIDR 記法)、またはドメインで指定できます。例:
- IP アドレス: 192.168.0.1
- IP アドレスの範囲: 192.168.0.0/24
- 最終部分の /24 は、この範囲のすべての IP アドレスに共通のプレフィックスにあるビット数です。このため、/24 はネットマスクの 11111111.11111111.11111111.00000000 を示しています。この例では、192.168.0. で始まるすべての IP アドレスが含まれることになります。
- ドメイン: google.com
-
不要と思われるアプリケーション: 通常はスパイウェアとして検出されるアプリケーションをここで除外できます。システムによって検出された名前を使用して除外を指定してください。
- デバイスの隔離 (Windows): 隔離したデバイスに対して、制限付きで他のデバイスとの通信を許可できます。隔離したデバイスに、送信、受信、またはその両方の通信を許可するかどうかを指定します。このようにして通信を制限できます。
- ファイルまたはフォルダ (Mac/Linux): フォルダまたはファイルを除外できます。ワイルドカード文字「?」、および「*」を使用できます。例:
-
[ファイルまたはフォルダ」を除外する場合のみ、「除外対象」ドロップダウンリストで、リアルタイム検索やスケジュール検索、またはその両方に対して除外を指定することを選択します。
- 「追加」または「次を追加」をクリックします。除外の一覧に除外項目が追加されます。
検出 ID
検出 ID は、Sophos Central Admin の検出イベントからコピーできます。その後、ユーザーのデバイスに適用する除外を Sophos Central Partner で作成できます。
除外を追加すると、このアプリケーションで、このような検出が阻止されます。この特定の検出に関連付けられた検出 ID に対して除外が追加されます。同じ動作がユーザーのデバイスで再度発生しても、それは検出されません。ただし、動作が異なる場合 (パスやファイルが異なる場合など) は、検出 ID が異なるため、別の除外が必要になります。
除外を作成するには、次の手順を実行します。
- Sophos Central Admin で、「概要 > デバイス > コンピュータ」を参照し、詳細を表示するコンピュータをクリックします。
- 「イベント」をクリックすると、コンピュータで検出されたイベントが表示されます。
- 除外する検出イベントから、検出 ID をコピーします。
- Sophos Central Partner で、「グローバル設定」を参照します。
- 「グローバル除外」をクリックします。
-
ページ右側の「除外の追加」をクリックします。
「除外の追加」ダイアログが表示されます。
-
「除外の種類」のドロップダウンリストで、「検出 ID」を選択します。
- Sophos Central Admin でコピーした検出 ID を貼り付けます。
-
「追加」または「次を追加」をクリックします。
除外の一覧に除外項目が追加されます。