コンテンツにスキップ

脅威対策ポリシー

脅威対策機能は、マルウェア、危険な種類のファイル/Web サイト、および悪質なトラフィックからユーザーを守ります。

このページでは、エンドポイントコンピュータに対するポリシー設定について説明します。サーバーには別のポリシー設定が適用されます。

マイプロダクト > Endpoint > ポリシー」を参照して、脅威対策を設定します。

ポリシーを設定するには、次の手順を実行します。

  • 脅威対策」ポリシーを作成します。詳細は、ポリシーの作成/編集を参照してください。
  • ポリシーの「設定」タブを開き、以下の説明に従って設定します。ポリシーがオンになっていることを確認してください。

デフォルト設定をそのまま使用することも、変更して使用することもできます。

このポリシーのいずれかの設定を変更後、デフォルト設定を参照する場合は、新しいポリシーを作成してください。保存する必要はありませんが、デフォルトを確認することができます。

SophosLabs は検索を実行するファイルを独自に制御できます。最適な保護機能を提供するために、特定のファイルタイプの検索が追加されたり、削除されたりすることがあります。

推奨設定

デフォルトでは、ポリシーは推奨設定を使用します。

選択すると、複雑な管理設定なしで最適な保護対策が設定されます。次の機能を提供します。

  • 既知マルウェアの検出。
  • ソフォスのクラウドデータベースを参照して、ソフォスが把握している最新のマルウェアを検出。
  • 脅威の定義が特定されていない新規のマルウェアをプロアクティブに検出。
  • マルウェアの自動クリーンアップ。

推奨されていない設定を使用している場合は、ポリシー設定ページに警告が表示されます。

ただし、セキュリティ低下を招く恐れがあるため、推奨設定を変更する前に慎重に検討してください。

Live Protection

SophosLabs の脅威データベースを照会して、疑わしいファイルをチェックします。これにより、最新の脅威を検出し、誤検知を回避できます。次のように使用できます。

  • Sophos Live Protection で SophosLabs のオンラインデータベースを照会して最新の脅威情報をチェックする。リアルタイム検索時にファイルをチェックします。
  • スケジュール検索で Live Protection を使用する

Live Protection をオフにすると、保護機能が低下し、誤検出が増加する可能性があります。

脅威データベースを確認するには、ソフォスの脅威解析センターにアクセスしてください。

ディープラーニング

ディープラーニングは、脅威の中でも特にこれまでに見たことのない新しい未知の脅威を自動的に検出できます。ディープラーニングは機械学習を使用し、シグネチャに依存しません。

ディープラーニングをオフにすると、保護機能が大幅に低下します。

リアルタイム検索 - ローカルファイル、ネットワーク共有、およびリムーバブルメディア

リアルタイム検索は、ファイルがアクセスされ、更新されると、既知のマルウェアがないかどうかをチェックします。既知の悪意のあるプログラムが実行され、感染したファイルが正規のアプリケーションによって開かれるのを防ぎます。

ローカルファイルとリモートファイル (ネットワーク経由でアクセス) と USB 接続メディアはデフォルトで検索されます。

リモートファイルではリモートファイルのスキャンのオン/オフを切り替えることができます。

これらのオプションをオフにすると、既知のマルウェアが実行またはアクセスされる可能性があります。

リアルタイム検索 - インターネット

リアルタイム検索では、ユーザーがインターネットのリソースにアクセスしようとするとスキャンが実行されます。

進行中のダウンロードをスキャンする

この設定では、ダウンロードとページ要素がブラウザに到達する前にスキャンするかどうかを制御します。

  • HTTP 接続: すべての要素とダウンロードをスキャンします。
  • HTTPS 接続: 「SSL/TLS を使用した HTTPS Web サイトの復号化」をオンにしない限り、要素はスキャンされません。

悪意のある Web サイトへのアクセスをブロックする

この設定はマルウェアをホストしていることが確認されている Web サイトへのアクセスを拒否します。

サイトが悪意のあるコンテンツをホストしているかどうかを確認するために、レピュテーションチェックを行います (SXL4ルックアップ)。Live Protection をオフにすると、このチェックもオフになります。

  • HTTP 接続: 完全な HTTP GET 要求を含め、すべての URL がチェックされます。
  • HTTPS 接続: ベース URL がチェックされます (SNI)。「SSL/TLS を使用した HTTPS Web サイトの復号化」を有効にすると、完全な HTTP GET 要求を含むすべての URL がチェックされます。

レピュテーションの低いダウンロードを検出する

この設定では、ファイルのダウンロード元、ダウンロード頻度などに基づいてダウンロードレピュテーションがチェックされます。ダウンロードの処理方法を決定するには、次のオプションを使用します。

Action to take」(実行するアクション) を「Prompt User」(ユーザーにメッセージを表示する) に設定する: 低いレピュテーションのファイルがダウンロードされると、エンドユーザーに警告が表示されます。ユーザーはファイルを信頼または削除できます。このオプションはデフォルトで選択されています。

レピュテーション レベル」で、以下のいずれかに設定します。

  • 推奨: 低いレピュテーションのファイルは自動的にブロックされます。このオプションはデフォルトで選択されています。
  • : 中程度および低いレピュテーションのダウンロードは自動的にブロックされ、Sophos Central に報告されます。

詳細はダウンロード レピュテーションを参照してください。

修復

以下の修復オプションを選択できます:

マルウェアを自動的にクリーンアップする: Sophos Central は、検出されたマルウェアを自動的にクリーンアップし、クリーンアップをログに記録します。これは、「イベント」リストから参照できます。

制限事項

Windows コンピュータは、この設定に関係なく、検出されたアイテムを常にクリーンアップします。Mac では自動クリーンアップをオフにすることだけができます。

Sophos Central がファイルをクリーンアップすると、ファイルは現在の場所から削除され、SafeStore に隔離されます。ファイルは、新しい検出のスペース確保のために許可または削除されるまで、SafeStoreに残ります。SafeStore に隔離されたファイルは、「許可されたアプリケーション」に追加することで復元できます。詳細は、許可されたアプリケーションを参照してください。

SafeStore には、次のデフォルトの制限があります。

  • 1つのファイルのサイズ上限は 100 GBです。
  • 隔離サイズの全般的な上限は 200 GBです。
  • 保存されるファイルの最大数は 2000 です。

脅威グラフの作成を有効にする: これにより、マルウェア攻撃における一連のイベントを調査できます。検出して停止した攻撃を分析できるように、オンにすることをお勧めします。

ランタイム保護

ランタイム保護は、疑わしい動作や、悪意のある動作・トラフィックを検出することにより、脅威から防御する機能です。

ランサムウェアから文書ファイルを保護する (CryptoGuard)。この設定によって、ファイルへのアクセスを制限したうえで、アクセスの復旧と引き換えに支払いを要求するマルウェアから防御します。この機能は、デフォルトでオンになっています。有効にしておくことを強く推奨します。

次のオプションも使用できます。

  • リモートで実行されているランサムウェアから防御する。これにより、ネットワーク全体が保護されます。この設定は、オンにしたままにすることを推奨します。
  • EFS (暗号化ファイルシステム) 攻撃から保護する。ファイルシステムを暗号化するランサムウェアから 64ビットデバイスを保護します。ランサムウェアが検出された際に実行するアクションを選択できます。ランサムウェアプロセスを終了したり、ランサムウェアプロセスを隔離して、ファイルシステムへの書き込みを停止したりできます。
  • MBR を上書きするランサムウェアから保護する。マスターブートレコードを暗号化してでデバイスの起動を妨げようとするランサムウェアや、ハードディスクのデータを消去する攻撃からコンピュータを保護します。

Web ブラウザの重要な機能を保護する (セーフブラウジング)。この設定は、Web ブラウザを介したマルウェアによる攻撃から Web ブラウザを保護します。

脆弱なアプリケーションにおけるエクスプロイトを防止する。この設定はマルウェアに悪用されやすいアプリケーションを保護します。保護するアプリケーションの種類を選択できます。

プロセスを保護する。正規のアプリケーションがマルウェアによってハイジャックされることを防止します。次のオプションを選択することができます。

  • プロセス書き換え攻撃を防止する。“プロセス置換“ または DLL インジェクションとも呼ばれます。攻撃者は通常、この手法を使用して、悪意のあるコードを正規のアプリケーションにロードし、セキュリティソフトウェアを回避しようとします。

    この設定をオフにすると、攻撃者がセキュリティソフトウェアをバイパスしやすくなります。

  • 信頼できないフォルダからの DLL の読み込みを防止する。信頼できないフォルダから .DLL ファイルが読み込まれることを防止します。

  • 認証情報の窃取を防止する。パスワードやハッシュ情報をメモリ、レジストリ、ハードディスクから窃取しようとする行為を防止します。
  • Code Cave のエクスプロイトを防止する。正規アプリケーションに埋め込まれた悪意のあるコードを検出します。
  • APC の悪用を防止する。APC (Application Procedure Call) を悪用してコードを実行する攻撃を防ぎます。
  • 権限昇格を防止する。権限の低いプロセスを高い権限に昇格させ、システムにアクセスしようとする攻撃を防ぎます。

ダイナミックシェルコード対策。隠れたリモートコマンドとコントロールエージェントの動作を検出し、攻撃者がネットワークを制御することを防止します。

CTF プロトコルの呼び出し元を検証する。この設定は、Windows のすべてのバージョンのコンポーネントである CTF の脆弱性を悪用しようとするアプリケーションをブロックします。この脆弱性により、管理者以外の攻撃者が、サンドボックスで実行されているアプリケーションを含む Windows プロセスをハイジャックする可能性があります。「CTF プロトコルの呼び出し元を検証する」をオンにすることを推奨します。

安全でないモジュールのサイドローディングを防止する。ApiSet スタブ DLL を装う悪意のある DLL を、アプリケーションがサイドローディングすることを防ぎます。ApiSet スタブ DLL は、古いアプリケーションと新しい OS バージョンとの互換性を維持するためのプロキシとして機能する DLL です。攻撃者は、悪意のある ApiSet スタブ DLL を使用してタンパープロテクションをバイパスしてマルウェア対策を終了させたりする可能性があります。

無効に設定した場合、セキュリティが低下します。

MFA サインインに使用されるブラウザの Cookie を保護する。多要素認証 (MFA) Cookie の暗号化に使用される AES キーが、不正なアプリケーションによって復号化されることを防ぎます。

悪意のあるビーコンの C&C サーバーへの接続を防止する。この設定は、暗号化されたまま検出を回避しようとするビーコンを識別し、ブロックします。

ドライバ API の使用を監視。この設定は、カーネルモードコードと対話するために、プリンタや仮想ネットワークアダプタなどの正規のアプリケーションによって通常使用される API の悪用の試みを検出します。

Syscall 命令の悪用を防止する。この設定では、システム API への直接呼び出しの監視回避をブロックします。

ハードウェアブレークポイントの悪用を防止する。この設定は、ハードウェアブレークポイントの悪用を防止します。

ここでの設定は、Endpoint Protection の新機能のアーリー アクセス プログラムに追加済みのエンドポイントのみに適用されます。

ネットワークトラフィックを保護する

  • C&C サーバーへの悪意のある接続を検出する。エンドポイントコンピュータとエンドポイントコンピュータを制御しようとしている兆候がみられるサーバーとの間のトラフィックを検知します。
  • パケットインスペクション (IPS) で、悪意のあるネットワークトラフィックを防止する。最下位のリスクレベルでトラフィックをスキャンして、OS またはアプリケーションに影響を与える前に脅威をブロックします。このオプションはデフォルトでオフになっています。

悪意のある動作を検知する。未知の脅威から防御します。既知の悪意のある動作や疑わしい動作を検出・ブロックします。

AMSI 保護。AMSI (Microsoft Antimalware Scan Interface) を使用して、悪意のあるコード (例: PowerShell スクリプトなど) から保護します。

AMSI を使用して転送されたコードは実行前にスキャンされ、コードの実行に使用されたアプリケーションに、エンドポイントから脅威に関して通知が送信されます。脅威が検出されると、ログにイベントが記録されます。

AMSI 登録の削除を防止する。この設定により、AMSI をコンピュータから削除できなくなります。

適応型攻撃防御

デバイスが攻撃を受けている場合、追加の保護を自動的に有効にします。この設定により、攻撃が検出された場合に、より積極的な保護機能のセットが有効になります。これらの追加の保護は、攻撃者の行動を妨害するように設計されています。

また、適応型攻撃防御の機能を永続的に有効にすることもできます。

  • セーフモードで保護を有効にする。この設定は、デバイスがセーフモードで実行されているときにソフォス保護機能を有効にします。メッセージリレーやアップデートキャッシュなどの一部のコンポーネントと機能は、セーフモードでは使用できません。
  • セーフモードの不正使用をブロック。この設定は、攻撃者がデバイスをセーフモードにしようとするアクティビティを検出してブロックします。

詳細設定

ここにある設定は、テスト用のまたはトラブルシューティング用の設定です。デフォルトの状態にしたままにすることを推奨します。

QUIC ブラウザ接続のブロック

QUIC (Quick UDP Internet Connections) ブラウザによる Web サイトへのアクセスをブロックする」を選択して、このような接続を防止します。

QUIC 対応ブラウザは、一部のサイトで、ソフォスによる Web サイトのチェックを回避できます。QUIC をブロックすることで、このようなサイトに確実に SSL/TLS 復号化とチェックを適用することができます。

デフォルトでは、この設定はオフになっています。

HTTPS Web サイトの SSL/TLS 復号化

SSL/TLS を使用して HTTPS Web サイトを復号化する。この設定により、デバイスは HTTPS Web サイトのコンテンツを復号化できます。

復号化した Web サイトが危険な場合、それはブロックされます。ユーザーにメッセージが表示され、再評価のためにサイトを SophosLabs に送信するオプションが提供されます。

デフォルトで復号化はオフになっています。

デバイスに適用されるポリシーで HTTPS 復号化が有効になっている場合は、次の手順を実行します。

  • HTTPS 復号化は、そのデバイスの Web コントロールチェックでもオンになっています。
  • リアルタイム検索 - インターネット」の保護機能では、サイトのコンテンツ、ダウンロード、ページ URL のすべてのコンテンツを確認することもできます

この機能をオンにすると、すべての HTTPS トラフィックが復号化され、Web 閲覧が遅くなる可能性があります。

HTTPS 復号化の除外

デフォルトでは、特定のサイトカテゴリを復号化から除外します。これらは、銀行関連や Web メールサイトなどの個人情報を含むカテゴリです。

全般設定で除外を変更できます。「マイプロダクト > 全般設定 > 全般 > HTTPS Web サイトの SSL/TLS 復号化」を参照します。

デバイスの隔離

このオプションを選択すると、セキュリティ状態が赤と報告されたデバイスは、ネットワークから隔離されます。デバイスのセキュリティ状態が赤になるのは、脅威が検出されたときや、最新版でないソフトウェアがあるとき、ポリシーに違反しているとき、適切に保護されていないときです。

Sophos Central では、より幅広い要因に基づいてセキュリティ状態を判断しています。これは、デバイス自体のセキュリティ状態とは異なるセキュリティ状態をデバイスに対して報告することを意味します。なお、これは隔離には影響を与えません。デバイスによって表示される赤いセキュリティ状態は、デバイスを隔離するためのみに使用されます。

隔離されたデバイスは、引き続き Sophos Central から管理することができます。また、検索除外やグローバル除外を使用して、トラブルシューティングの目的で、隔離したコンピュータに制限付きでアクセスすることを許可することもできます。

このような隔離したデバイスを復元することはできません。デバイスの問題を修正し、隔離から削除できるように緑色のセキュリティ状態に戻す必要があります。

このオプションを適用する前に、ネットワークへに与える影響を考慮することを推奨します。これを行うには、ポリシー内でオプションをオンにし、典型的な一部のサンプルのデバイスにポリシーを適用します。

ユーザーのデバイスが隔離されても、ユーザーはネットワークファイルにアクセスできるように見える場合があります。これは、ネットワークから切断中にユーザーがアクセスできるようにマッピングされたネットワークドライブのローカルコピーを作成する「常にオフラインで使用する」の Windows機能によるものです。この動作は、デバイスの隔離には影響しません。

スケジュール検索

スケジュール検索は、指定した日時に検索を実行します。

スケジュール検索は、マルウェアを検出するための従来からの手法です。バックグラウンド検索がある今はほとんと必要ありません。システムの負荷が増加し、検索が大幅に遅くなる可能性があります。必要がない限り、スケジュール検索を使用しないことをお勧めします。

選択できるオプションは次のとおりです。

  • スケジュール検索を有効にする: スケジュール検索を実行する時刻と曜日 (複数可) を定義します。

    スケジュール検索が実行される時刻は、エンドポイントコンピュータの時刻で、UTC (協定世界時) ではありません。

  • 詳細検索を有効にする: このオプションを選択すると、スケジュール検索時に圧縮ファイル内が検索されます。この場合、システムへの負荷が増え、検索速度が著しく遅くなることもあります。

検索の除外

ファイル、フォルダ、Web サイト、アプリケーションを、検索対象から除外することができます。

ポリシー内で設定されている除外は、ポリシーが割り当てられているユーザーとデバイスのみに適用されます。すべてのユーザーとデバイスに対して除外を適用する場合は、グローバル除外を設定してください。これを行うには、「マイプロダクト > 全般設定 > グローバル除外」の順に選択します。

除外を追加すると、セキュリティが低下します。使用する場合は慎重に使用してください。

除外の使用方法の詳細は、除外の安全な使用を参照してください。

ポリシー内で検索除外を作成する方法は次のとおりです。

  1. ページ右側の「除外の追加」をクリックします。

    除外の追加」ダイアログが表示されます。

  2. 除外の種類」ドロップダウンリストから、除外する項目の種類 (ファイルまたはフォルダ、Web サイト、不要と思われるアプリケーション、またはデバイスの隔離) を選択します。

  3. 除外する項目 (複数選択可) を指定します。適用されるルールは次のとおりです。

    • 不要と思われるアプリケーション (Windows/Mac/Linux)。通常はスパイウェアとして検出されるアプリケーションを除外できます。システムが検出したのと同じ名前 ("PsExec" や "Cain n Abel" など) を使用して除外を指定します。不要と思われるアプリケーションの詳細は、「脅威解析」ページを参照してください。

      セキュリティ低下を招く恐れがあるため、PUA 除外を追加する前に慎重に検討してください。

    • ファイルまたはフォルダ。「除外対象」ドロップダウンリストで、リアルタイム検索やスケジュール検索、またはその両方に対して除外を指定することを選択します。

    • 検出されたエクスプロイト (Windows/Mac)。検出 ID を使用して、検出されたエクスプロイトを除外できます。このオプションは、ソフォスサポートと協力して誤検知を解決する場合に使用できます。ソフォスサポートでは、検出 ID を提供し、誤検知を除外することができます。これを行うには、「エクスプロイトが表示されていない場合」をクリックし、ID を入力します。
  4. 追加」または「次を追加」をクリックします。検索の除外の一覧に除外項目が追加されます。

後から除外を編集するには、除外の一覧で除外項目をクリックし、新しい設定内容を入力したら「更新」をクリックします。

Web サイトを除外した場合、Web サイトのカテゴリはチェックされず、Web コントロールによる保護から除外されます。詳細は、Web コントロールポリシーを参照してください。

使用可能な除外の詳細は、次を参照してください。

エクスプロイト防止の除外

このようなエクスプロイト対策の対象から特定のアプリケーションを除外することができます。たとえば、あるアプリケーションが誤って脅威と検出される場合、対応が終了するまで、そのアプリケーションを除外することもできます。

除外を追加すると、セキュリティが低下します。

したがって、除外が必要なユーザーとデバイスのみに、除外を含むポリシーを割り当てることを推奨します。

除外は、Windows アプリケーションのみに対して作成できます。

エクスプロイト防止の除外をポリシーで作成するには、次の手順を実行します。

  1. ページ右側の「除外の追加」をクリックします。

    除外の追加」ダイアログが表示されます。

  2. 除外の種類」で、「エクスプロイト防止とアクティビティの監視 (Windows)」を選択します。

    ネットワーク上の保護対象アプリケーションの一覧が表示されます。

  3. 除外するアプリケーションを選択します。

  4. 対象のアプリケーションが表示されない場合は、「アプリケーションが一覧に表示されていない場合」をクリックします。ここで、アプリケーションへのファイルパスを入力して、アプリケーションを保護から除外できます。または、任意でいずれかの変数を使用できます。
  5. 防止策」で、次のいずれかを実行します。

    • アプリケーションの保護」をオフにします。選択したアプリケーションに対して、エクスプロイト検出は実行されません。
    • アプリケーションの保護」をオンにした状態で、検出を実行する/しないエクスプロイトの種類を選択します。
  6. 追加」または「次を追加」をクリックします。

後から除外を編集するには、除外の一覧で除外項目をクリックし、新しい設定内容を入力したら「更新」をクリックします。

エクスプロイト防止の除外の詳細は、次を参照してください。

ランサムウェア対策の除外

ランサムウェア対策から、アプリケーションで使用されるアプリケーションやフォルダを除外できます。

誤って脅威として検出されたアプリケーションや、ランサムウェア対策の機能と競合するアプリケーションを除外することができます。たとえば、データを暗号化するアプリケーションがある場合は、それを除外することができます。これによって、そのアプリケーションはランサムウェアとして検出されなくなります。

また、アプリケーションで使用されるフォルダで、ランサムウェア対策による監視が原因でパフォーマンスで問題が発生する場合、そのフォルダを除外できます。たとえば、バックアップアプリケーションで使用されるフォルダを除外できます。

除外を追加すると、セキュリティが低下します。

したがって、ポリシーに除外を追加し、除外が必要なユーザーとデバイスのみにそのポリシーを割り当てることを推奨します。

ランサムウェア対策の除外をポリシーで作成するには、次の手順を実行します。

  1. ページ右側の「除外の追加」をクリックします。

    除外の追加」ダイアログが表示されます。

  2. 除外の種類」で、「ランサムウェア対策 (Windows)」または「ランサムウェア対策 (Mac)」を選択します。

  3. プロセスとフォルダのどちらを除外するかを選択します。

    アプリケーションを除外するには、「プロセス」を選択します。

  4. 」に、除外するプロセスやフォルダのパスを入力します。

    ローカルパスを指定してフォルダのみを除外できます。UNC 形式 (例: \\servername\shared-folder) のリモートパスで除外することはできません。

    プロセスまたはフォルダを除外する場合は、変数を使用できます。

  5. 追加」または「次を追加」をクリックします。

後から除外を編集するには、除外の一覧で除外項目をクリックし、新しい設定内容を入力したら「更新」をクリックします。

ランサムウェア対策の除外の詳細は、ランサムウェア対策の除外を参照してください。

デスクトップ通知

デスクトップ通知」は 、脅威保護イベントに関する通知を送信します。これはデフォルトでオンになっています。

独自のメッセージを入力して、標準の通知文の最後に追加できます。