サーバープロテクション: デフォルト設定

サーバーの脅威対策のデフォルトポリシーには、以下の標準オプションが含まれます。

これらの設定は、オンにしたままにすることを推奨します。選択すると、複雑な管理設定なしで最適な保護対策が設定されます。

警告 ただし、セキュリティ低下を招く恐れがあるため、推奨設定を変更する前に慎重に検討してください。
制約事項 Windows サーバーでは、一部のオプションのみ使用できます。
制約事項 一部のオプションを使用するには、アーリー アクセス プログラムに参加する必要があります。

ランタイム保護

ランタイム保護は、疑わしい動作や、悪意のある動作・トラフィックを検出することにより、脅威から防御する機能です。

ネットワークトラフィックを保護する

  • C&C サーバーへの悪意のある接続を検出する: エンドポイントコンピュータとエンドポイントコンピュータを制御しようとしている兆候がみられるサーバーとの間のトラフィック (C & C 攻撃 (コマンドアンドコントロール攻撃)) を検知します。
  • パケットインスペクション (IPS) で、悪意のあるネットワークトラフィックを防止する: ネットワーク通信をスキャンして、OS またはアプリケーションに影響を与える前に脅威を検出してブロックします。

Sophos Security Heartbeat を有効にする: これは、サーバーの「セキュリティステータス」を表す信号を Sophos Central アカウントに登録されている各 Sophos XG Firewall に送信します。複数のファイアウォールを登録している場合、最も近いところにあるアクセス可能なファイアウォールに信号を送信します。この信号から、感染の可能性があるとみなされた場合、問題のあるサーバーのアクセスをファイアウォールで制限することができます。

AMSI 保護 (スクリプトベースの脅威のスキャンを強化): AMSI (Microsoft Antimalware Scan Interface) を使用して、悪意のあるコード (例: PowerShell スクリプトなど) から保護します。AMSI 経由で転送されたコードは実行前にスキャンされ、コードの実行に使用されたアプリケーションに、脅威に関して通知が送信されます。脅威が検出されると、ログにイベントが記録されます。サーバー上の AMSI 登録が削除されないようにすることができます。

Live Protection

SophosLabs のデータベースに登録されている最新のマルウェアデータを照会して、疑わしいファイルをチェックします。

Sophos Live Protection で SophosLabs のオンラインデータベースを照会して最新の脅威情報をチェックする: リアルタイム検索時にファイルをチェックします。

  • スケジュール検索で Live Protection を使用する

リアルタイム検索 - ローカルファイルおよびネットワーク共有フォルダ

リアルタイム検索は、ユーザーがファイルにアクセスしようとするとマルウェア検索を実行し、ファイルが感染していない場合にアクセスを許可します。

ローカルおよびリモート: 代わりに「ローカル」を選択した場合、ネットワーク共有内のファイルは検索されません。

ファイルを読み込んだとき: ファイルを開く際に検索が実行されます。

ファイルに書き込んだとき: ファイルを保存する際に検索が実行されます。

リアルタイム検索 - インターネット

リアルタイム検索では、ユーザーがインターネットのリソースにアクセスしようとするとスキャンが実行されます。

進行中のダウンロードをスキャンする

悪意のある Web サイトへのアクセスをブロックする: マルウェアをホストしていることが確認されている Web サイトへのアクセスを拒否します。

レピュテーションの低いファイルを検出する: レピュテーションの低いファイルをダウンロードした場合に警告が表示されます。レピュテーションは、ファイルのソース、ダウンロードの頻度、およびその他の要因を基に構築されます。指定できるオプションは次のとおりです。

  • レピュテーションの低いダウンロードに対して実行する処理: 「ユーザーに通知」を選択すると、ユーザーがレピュテーションの低いファイルをダウンロードしようとすると、警告が表示されます。このオプションはデフォルトで選択されています。
  • レピュテーション レベル: 「高レベル」を選択すると、レピュテーションが低いファイルに加えて、中程度のファイルも検出されます。デフォルトの設定は、「推奨」です。

修復

マルウェアを自動クリーンアップする: 検出された脅威に対して自動クリーンアップを実行します。このオプションは、Windows Server、および Sophos Security VM で保護されているゲスト VM (Sophos Guest VM Agent がインストールされている場合のみ) でサポートされます。

自動クリーンアップをオフにしても、アプリケーション、ライブラリ、システムファイルなどの PE (Portable Executable) ファイルは常にクリーンアップされます。PE ファイルは隔離され、復元することが可能です。

リアルタイム検索 - オプション

既知のアプリケーションの動作を検索から自動的に除外: 一般に広く使用されているアプリケーションの一部で使用されるファイルを Sophos Central で行われる検索から除外します。該当するアプリケーションの一覧は、ダウンロードレピュテーションを参照してください。「除外」オプションを使用して、他のアプリケーションによる動作を手動で除外できます。

悪意のある動作を検知する (HIPS): 未知の脅威から防御します。既知の悪意のある動作や疑わしい動作を検出・ブロックします。このオプションは段階的に終了される予定で、次のオプションによって置き換えられます。

悪意のある動作を検知する: 未知の脅威から防御します。既知の悪意のある動作や疑わしい動作を検出・ブロックします。

制約事項 このオプションを使用するには、アーリー アクセス プログラムに参加する必要があります。

詳細設定

ここにある設定は、テスト用のまたはトラブルシューティング用の設定です。デフォルトの状態にしたままにすることを推奨します。