サーバーの脅威対策ポリシー
脅威対策機能は、マルウェア、危険な種類のファイル/Web サイト、および悪質なトラフィックからユーザーを守ります。
制限事項
Windows サーバーでは、一部のオプションのみ使用できます。
注
オプションがロックされている場合、パートナーやエンタープライズ管理者によってグローバル設定が適用されたことを意味します。なお、アプリケーション、エクスプロイト、およびランサムウェアの検出を停止するには、イベントのリストで変更できます。
「サーバープロテクション > ポリシー」を参照して、脅威対策を設定します。
ポリシーを設定するには、次の手順を実行します。
- 「脅威対策」ポリシーを作成します。詳細は、ポリシーの作成/編集を参照してください。
- ポリシーの「設定」タブを開き、以下の説明に従って設定します。ポリシーがオンになっていることを確認してください。
推奨設定をそのまま使用することも、変更して使用することもできます。
警告
ただし、セキュリティ低下を招く恐れがあるため、推奨設定を変更する前に慎重に検討してください。
注
SophosLabs は検索を実行するファイルを独自に制御できます。最適な保護機能を提供するために、特定のファイルタイプの検索が追加されたり、削除されたりすることがあります。
脅威を評価する方法の詳細は、ソフォスの脅威解析センターを参照してください。
Intercept X Advanced for Server
このライセンスをお持ちの場合は、脅威対策ポリシーで、ランサムウェア/エクスプロイト対策、シグネチャレス型の脅威検出、および脅威イベントを解析する脅威グラフの作成を実施できます。
ここでの設定を使用してセキュリティを最大限に強化することを推奨します。
注
このような機能を 1つでもオンにすると、このポリシーを適用しているサーバーで Intercept X Advanced for Server ライセンスが使用されます。
詳細は、サーバープロテクション: Intercept X Advancedを参照してください。
サーバープロテクションのデフォルト設定
これらの設定は、オンにしたままにすることを推奨します。選択すると、複雑な管理設定なしで最適な保護対策が設定されます。
次の項目が実行されます。
- 既知マルウェアの検出。
- ソフォスのクラウドデータベースを参照して、ソフォスが把握している最新のマルウェアを検出。
- 脅威の定義が特定されていない新規のマルウェアをプロアクティブに検出。
- マルウェアの自動クリーンアップ。
- 既知のアプリケーションの動作を検索から自動的に除外。
詳細は、サーバープロテクション: デフォルト設定を参照してください。
HTTPS Web サイトの SSL/TLS 復号化
「SSL/TLS を使用した HTTPS Web サイトの復号化」を選択すると、HTTPS Web サイトのコンテンツが復号化され、脅威が存在するかどうかがチェックされます。
復号化した Web サイトが危険な場合、それはブロックされます。ユーザーにメッセージが表示され、再評価のためにサイトを SophosLabs に送信するオプションが提供されます。
デフォルトで復号化はオフになっています。
注
デバイスに適用される脅威対策ポリシーで復号化がオンになっている場合、そのデバイスにおける Web コントロールチェックでもオンになります。
スケジュール検索
スケジュール検索は、指定した日時に検索を実行します。
この種の検索は、サーバーではデフォルトでオンに設定されています。
選択できるオプションは次のとおりです。
-
スケジュール検索を有効にする。スケジュール検索を実行する時刻と曜日 (複数可) を定義します。
注
スケジュール検索が実行される時刻は、エンドポイントコンピュータの時刻で、UTC (協定世界時) ではありません。
-
詳細検索を有効にする: このオプションを選択すると、スケジュール検索時に圧縮ファイル内が検索されます。この場合、システムへの負荷が増え、検索速度が著しく遅くなることもあります。
注
圧縮ファイルの検索を行うと、システムへの負荷が増え、検索速度が著しく遅くなることがあります。
検索除外
アプリケーションの中には、その動作が自動的にリアルタイム検索から除外されているものもあります。詳細は、自動除外を参照してください。
他のアプリケーションの項目や動作を検索から除外することもできます。これは、データベースアプリケーションが多数のファイルにアクセスし、これによって大量の検索が実行され、サーバーのパフォーマンスに影響を与える場合などに役立ちます。
ヒント
アプリケーションの除外を設定する際、そのアプリケーションで実行されるプロセスを除外するオプションを指定できます。これは、ファイルやフォルダの除外よりも確実です。
除外された項目に対して、エクスプロイトの検出は実行されます。しかし、検出されたエクスプロイトに対する検索を停止することもできます (「検出されたエクスプロイト」の除外オプションを使用します)。
ポリシー内で設定されている除外は、ポリシーが割り当てられているサーバーのみに適用されます。
注
すべてのユーザーとサーバーに対して除外を適用する場合は、「概要 > グローバル設定 > グローバル除外」ページでグローバル除外を設定してください。
ポリシー内で検索除外を作成する方法は次のとおりです。
-
ページ右側の「除外の追加」をクリックします。
「除外の追加」ダイアログが表示されます。
-
「除外の種類」ドロップダウンリストから、除外する項目の種類 (ファイルまたはフォルダ、プロセス、Web サイト、不要と思われるアプリケーション) を選択します。
-
除外する項目 (複数選択可) を指定します。適用されるルールは次のとおりです。
- ファイルまたはフォルダ (Windows)。Windows 環境では、ドライブ、フォルダ、またはファイルを、フルパスを指定して除外できます。ワイルドカード文字や拡張変数を使用できます。例:
- フォルダ:
C:\programdata\adobe\photoshop\
(末尾にバックスラッシュを指定してください) - ドライブ全体:
D:
- ファイル:
C:\program files\program\*.vmg
- フォルダ:
- ファイルまたはフォルダ (Linux)。Linux 環境では、フォルダやファイルを除外できます。ワイルドカード文字「?」、および「*」を使用できます。例:
/mnt/hgfs/excluded
。 -
ファイルまたはフォルダ (Sophos Security VM)。Sophos Security VM で保護されている Windows 環境のゲスト VM では、他の Windows コンピュータと同様、ドライブ、フォルダ、またはファイルをフルパスを指定して除外できます。ワイルドカード文字「*」は、ファイル名のみに対して使用できます。
注
デフォルトで除外は、Sophos Security VM によって保護されているゲスト VM すべてに対して適用されます。1台または複数の特定の VM に対する除外の設定。
-
プロセス (Windows)。アプリケーションで実行される、いずれのプロセスも除外できます。プロセスが使用するファイルは、そのプロセスによってアクセスされる場合のみに除外されます。「タスク マネージャ」に表示されるプロセス名だけでなく、可能な限り、アプリケーションのフルパスも入力してください。例:
%PROGRAMFILES%\Microsoft Office\Office 14\Outlook.exe
注
特定のアプリケーションから除外が必要なプロセスや他の項目の全容は、各アプリケーションのベンダーのドキュメントを参照してください。
注
ワイルドカード文字や拡張変数を使用できます。
-
Web サイト (Windows)。Web サイトは、IP アドレス、IP アドレスの範囲 (CIDR 記法)、またはドメインで指定できます。例:
- IP アドレス: 192.168.0.1
- IP アドレスの範囲: 192.168.0.0/24 など。最終部分の /24 は、この範囲のすべての IP アドレスに共通のプレフィックスにあるビット数です。このため、/24 はネットマスクの 11111111.11111111.11111111.00000000 を示しています。この例では、192.168.0. で始まるすべての IP アドレスが含まれることになります。
- ドメイン:
google.com
- 不要と思われるアプリケーション (Windows)。通常はスパイウェアとして検出されるアプリケーションを除外できます。システムによって検出された名前を使用して除外を指定してください。不要と思われるアプリケーションの詳細は、「脅威解析」ページを参照してください。
-
検出されたエクスプロイト (Windows/Mac)。既に検出されたエクスプロイトすべてを除外できます。対象のアプリケーションに対して、そのエクスプロイトは検出されなくなり、アプリケーションはブロックされなくなります。
注
これによって、このエクスプロイトに対する CryptoGuard のランサムウェア対策が、エクスプロイト対策で検出された Windows サーバー上のアプリケーションでオフに設定されます。
-
AMSI 保護 (Windows)。Windows 環境では、ドライブ、フォルダ、またはファイルを、そのフルパスを指定して除外できます。この場所にあるコードは検索されません。ファイル名や拡張子にワイルドカード文字「*」 を使用できます。詳細は、Antimalware Scan Interface (AMSI) を参照してください。
-
サーバーの隔離 (Windows)。サーバーのデバイス隔離機能 (管理者によるもの) は、Intercept X Advanced for Server with XDR のアーリー アクセス プログラムに参加している場合に利用できます。
隔離したデバイスに対して、制限付きで他のデバイスとの通信を許可できます。
隔離したデバイスに、送信、受信、またはその両方の通信を許可するかどうかを指定します。
いずれの通信も、次の 1つまたは複数の設定で制限します。
- ローカルポート: すべてのデバイスは、ここで指定する隔離したデバイス上のポートを使用できます。
- リモートポート: 隔離したデバイスは、ここで指定するすべてのデバイス上のポートを使用できます。
-
リモートアドレス: 隔離したデバイスは、ここで指定する IP アドレスを持つデバイスのみと通信できます。例 1: 隔離したデバイスにリモートデスクトップで接続して、トラブルシューティングを行う場合。
-
「受信接続」を選択します。
-
「ローカルポート」で、ポート番号を入力します。例 2: 隔離したデバイスからサーバーにアクセスして、クリーンアップツールをダウンロードする場合。
-
「送信接続」を選択します。
- 「リモートアドレス」で、サーバーのアドレスを入力します。
- 「ファイルまたはフォルダ」を除外する場合のみ、「除外対象」ドロップダウンリストで、リアルタイム検索やスケジュール検索、またはその両方に対して除外を指定することを選択します。
- 「追加」または「次を追加」をクリックします。検索の除外の一覧に除外項目が追加されます。
- ファイルまたはフォルダ (Windows)。Windows 環境では、ドライブ、フォルダ、またはファイルを、フルパスを指定して除外できます。ワイルドカード文字や拡張変数を使用できます。例:
後から除外を編集するには、除外の一覧で除外項目をクリックし、新しい設定内容を入力したら「更新」をクリックします。
使用可能な除外の詳細は、次を参照してください。
エクスプロイト防止の除外
このようなエクスプロイト対策の対象から特定のアプリケーションを除外することができます。たとえば、あるアプリケーションが誤って脅威と検出される場合、対応が終了するまで、そのアプリケーションを除外することもできます。
除外を追加すると、セキュリティが低下します。
グローバルオプション「概要 > グローバル設定 > グローバル除外」を使用して追加した除外は、すべてのユーザーとデバイスに適用されます。
したがって、ここで設定するオプションを使用して、除外が必要なサーバーのみに、除外を含むポリシーを割り当てることを推奨します。
注
除外は、Windows アプリケーションのみに対して作成できます。
エクスプロイト防止の除外をポリシーで作成するには、次の手順を実行します。
-
ページ右側の「除外の追加」をクリックします。
「除外の追加」ダイアログが表示されます。
-
「除外の種類」で、「エクスプロイト防止 (Windows)」を選択します。
ネットワーク上の保護対象アプリケーションの一覧が表示されます。
-
除外するアプリケーションを選択します。
- 対象のアプリケーションが表示されない場合は、「アプリケーションが一覧に表示されていない場合」をクリックします。ここで、アプリケーションへのファイルパスを入力して、アプリケーションを保護から除外できます。または、任意でいずれかの変数を使用できます。
- 「防止策」で、次のいずれかを実行します。
- 「アプリケーションの保護」をオフにします。選択したアプリケーションに対して、エクスプロイト検出は実行されません。
- 「アプリケーションの保護」をオンにした状態で、検出を実行する/しないエクスプロイトの種類を選択します。
-
「追加」または「次を追加」をクリックします。「グローバル除外」ページにある一覧に、除外項目が追加されます。
ここで設定した除外は、このポリシーを割り当てたサーバーのみに適用されます。
後から除外を編集するには、除外の一覧で除外項目をクリックし、新しい設定内容を入力したら「更新」をクリックします。
ランサムウェア対策の除外
ランサムウェア対策から、アプリケーションで使用されるアプリケーションやフォルダを除外できます。
誤って脅威として検出されたアプリケーションや、ランサムウェア対策の機能と競合するアプリケーションを除外することができます。たとえば、データを暗号化するアプリケーションがある場合は、それを除外することができます。これによって、そのアプリケーションはランサムウェアとして検出されなくなります。
また、特定のアプリケーションで使用されるフォルダで、ランサムウェア対策による監視が原因でパフォーマンスで問題が発生する場合、そのフォルダを除外できます。たとえば、バックアップアプリケーションで使用されるフォルダを除外できます。
除外を追加すると、セキュリティが低下します。
グローバルオプション「概要 > グローバル設定 > グローバル除外」を使用して追加した除外は、すべてのサーバーに適用されます。
したがって、ここで設定するオプションを使用して、除外が必要なサーバーのみに、除外を含むポリシーを割り当てることを推奨します。
ランサムウェア対策の除外をポリシーで作成するには、次の手順を実行します。
-
ページ右側の「除外の追加」をクリックします。
「除外の追加」ダイアログが表示されます。
-
「除外の種類」で、「ランサムウェア対策 (Windows)」を選択します。
- プロセスとフォルダのどちらを除外するかを選択します。
-
「値」に、除外するプロセスやフォルダのパスを入力します。
ここでは変数を使用できます。詳細は、エクスプロイト防止またはランサムウェア対策の除外: ワイルドカード文字と拡張変数を参照してください。
-
「追加」または「次を追加」をクリックします。「グローバル除外」ページにある一覧に、除外項目が追加されます。
ここで設定した除外は、このポリシーを割り当てたサーバーのみに適用されます。
後から除外を編集するには、除外の一覧で除外項目をクリックし、新しい設定内容を入力したら「更新」をクリックします。
注
除外は、Windows アプリケーションのみに対して作成できます。
デスクトップ通知
標準の通知文の最後にメッセージを付け加えることができます。メッセージボックスに何も入力しない場合、標準の通知文のみが表示されます。
「デスクトップ通知」は、デフォルトでオンになっています。
メッセージボックス内をクリックして、追加するテキストを入力します。