コンテンツにスキップ

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/central/customer/help/ja-jp/index.html?contextId=server-protection-group-threat

サーバーの脅威対策ポリシー

脅威対策機能は、マルウェア、危険な種類のファイル/Web サイト、および悪質なトラフィックからユーザーを守ります。

マイプロダクト > Server > ポリシー」を参照して、脅威対策を設定します。

ポリシーを設定するには、次の手順を実行します。

  • 脅威対策」ポリシーを作成します。詳細は、ポリシーの作成/編集を参照してください。
  • ポリシーの「設定」タブを開き、以下の説明に従って設定します。ポリシーがオンになっていることを確認してください。

デフォルト設定をそのまま使用することも、変更して使用することもできます。

このポリシーのいずれかの設定を変更後、デフォルト設定を参照する場合は、新しいポリシーを作成してください。保存する必要はありませんが、デフォルトを確認することができます。

SophosLabs は検索を実行するファイルを独自に制御できます。最適な保護機能を提供するために、特定のファイルタイプの検索が追加されたり、削除されたりすることがあります。

推奨設定

デフォルトでは、ポリシーは推奨設定を使用します。

選択すると、複雑な管理設定なしで最適な保護対策が設定されます。次の機能を提供します。

  • 既知マルウェアの検出。
  • ソフォスのクラウドデータベースを参照して、ソフォスが把握している最新のマルウェアを検出。
  • 脅威の定義が特定されていない新規のマルウェアをプロアクティブに検出。
  • 既知のアプリケーションの動作を検索から自動的に除外。

推奨されていない設定を使用している場合は、ポリシー設定ページに警告が表示されます。

ただし、セキュリティ低下を招く恐れがあるため、推奨設定を変更する前に慎重に検討してください。

制限事項

Windows サーバーでは、一部のオプションのみ使用できます。

Live Protection

SophosLabs の脅威データベースを照会して、疑わしいファイルをチェックします。これにより、最新の脅威を検出し、誤検知を回避できます。次のように使用できます。

  • Sophos Live Protection で SophosLabs のオンラインデータベースを照会して最新の脅威情報をチェックする。リアルタイム検索時にファイルをチェックします。

  • スケジュール検索で Live Protection を使用する

    ここでの設定に関わらず、Linux 環境のスケジュール検索では、常に Live Protection が使用されます

Live Protection をオフにすると、保護機能が低下し、誤検出が増加する可能性があります。

脅威データベースを確認するには、ソフォスの脅威解析センターにアクセスしてください。

ディープラーニング

ディープラーニングは、脅威の中でも特にこれまでに見たことのない新しい未知の脅威を自動的に検出できます。ディープラーニングは機械学習を使用し、シグネチャに依存しません。

ディープラーニングをオフにすると、保護機能が大幅に低下します。

リアルタイム検索 - ローカルファイルとネットワーク共有

リアルタイム検索は、ファイルがアクセスされ、更新されると、既知のマルウェアがないかどうかをチェックします。既知の悪意のあるプログラムが実行され、感染したファイルが正規のアプリケーションによって開かれるのを防ぎます。

スキャン」は 、デフォルトでローカルファイルとリモートファイル (ネットワークからアクセスされたファイル) のリアルタイムスキャンを提供します。デバイス上のファイルのみをスキャンする場合は、「ローカル」を選択します。

  • ファイルを読み込んだとき: ファイルを開く際に検索が実行されます。
  • ファイルに書き込んだとき: ファイルを保存する際に検索が実行されます。

Server Protection for Linux Agent のスキャンを有効化する」は、Linux デバイスでのリアルタイム検索機能を提供します。

リアルタイムの脅威検出に関連する悪意のあるプロセスを終了します」を使用すると、Sophos Protection for Linux エージェントはリアルタイム検出にリンクされたプロセスを終了できます。

これらのオプションをオフにすると、既知のマルウェアが実行またはアクセスされる可能性があります。

リアルタイム検索 - インターネット

リアルタイム検索では、ユーザーがインターネットのリソースにアクセスしようとするとスキャンが実行されます。

進行中のダウンロードをスキャンする

この設定では、ダウンロードとページ要素がブラウザに到達する前にスキャンするかどうかを制御します。

  • HTTP 接続: すべての要素とダウンロードをスキャンします。
  • HTTPS 接続: 「SSL/TLS を使用した HTTPS Web サイトの復号化」をオンにしない限り、要素はスキャンされません。

悪意のある Web サイトへのアクセスをブロックする

この設定はマルウェアをホストしていることが確認されている Web サイトへのアクセスを拒否します。

サイトが悪意のあるコンテンツをホストしているかどうかを確認するために、レピュテーションチェックを行います (SXL4ルックアップ)。Live Protection をオフにすると、このチェックもオフになります。

  • HTTP 接続: 完全な HTTP GET 要求を含め、すべての URL がチェックされます。
  • HTTPS 接続: ベース URL がチェックされます (SNI)。「SSL/TLS を使用した HTTPS Web サイトの復号化」を有効にすると、完全な HTTP GET 要求を含むすべての URL がチェックされます。

レピュテーションの低いダウンロードを検出する

この設定では、ファイルのダウンロード元、ダウンロード頻度などに基づいてダウンロードレピュテーションがチェックされます。ダウンロードの処理方法を決定するには、次のオプションを使用します。

Action to take」(実行するアクション) を「Prompt User」(ユーザーにメッセージを表示する) に設定する: 低いレピュテーションのファイルがダウンロードされると、エンドユーザーに警告が表示されます。ユーザーはファイルを信頼または削除できます。このオプションはデフォルトで選択されています。

レピュテーション レベル」で、以下のいずれかに設定します。

  • 推奨: 低いレピュテーションのファイルは自動的にブロックされます。このオプションはデフォルトで選択されています。
  • : 中程度および低いレピュテーションのダウンロードは自動的にブロックされ、Sophos Central に報告されます。

詳細はダウンロード レピュテーションを参照してください。

リアルタイム検索 - オプション

既知のアプリケーションの動作を検索から自動的に除外。この設定では、一般に広く使用されているアプリケーションは除外されます。それらのアプリケーションのベンダーがこの設定を推奨しています。

詳細については、Sophos Central Server: サードパーティ製品を自動的に除外するを参照してください。

修復

以下の修復オプションを選択できます:

脅威グラフの作成を有効にする: これにより、マルウェア攻撃における一連のイベントを調査できます。検出して停止した攻撃を分析できるように、オンにすることをお勧めします。

Sophos Central は、Sophos Protection for Linux を実行している Windows コンピュータおよび Linux デバイス上で検出されたアイテムを自動的にクリーンアップします。Sophos Central はファイルを現在の場所から削除し、SafeStore に隔離します。ファイルは、新しい検出のスペース確保のために許可または削除されるまで、SafeStoreに残ります。SafeStore に隔離されたファイルは、「許可されたアプリケーション」に追加することで復元できます。詳細は、許可されたアプリケーションを参照してください。

SafeStore には、次のデフォルトの制限があります。

  • 1つのファイルのサイズ上限は 100 GBです。
  • 隔離サイズの全般的な上限は 200 GBです。
  • 保存されるファイルの最大数は 2000 です。

ランタイム保護

ランタイム保護は、疑わしい動作や、悪意のある動作・トラフィックを検出することにより、脅威から防御する機能です。

ランサムウェアから文書ファイルを保護する (CryptoGuard)。この設定によって、ファイルへのアクセスを制限したうえで、アクセスの復旧と引き換えに支払いを要求するマルウェアから防御します。この機能は、デフォルトでオンになっています。有効にしておくことを強く推奨します。

次のオプションも使用できます。

  • リモートで実行されているランサムウェアから防御する。これにより、ネットワーク全体が保護されます。この設定は、オンにしたままにすることを推奨します。
  • EFS (暗号化ファイルシステム) 攻撃から保護する。ファイルシステムを暗号化するランサムウェアから 64ビットデバイスを保護します。ランサムウェアが検出された際に実行するアクションを選択できます。ランサムウェアプロセスを終了したり、ランサムウェアプロセスを隔離して、ファイルシステムへの書き込みを停止したりできます。
  • MBR を上書きするランサムウェアから保護する。マスターブートレコードを暗号化してでデバイスの起動を妨げようとするランサムウェアや、ハードディスクのデータを消去する攻撃からコンピュータを保護します。

Web ブラウザの重要な機能を保護する (セーフブラウジング)。この設定は、Web ブラウザを介したマルウェアによる攻撃から Web ブラウザを保護します。

脆弱なアプリケーションにおけるエクスプロイトを防止する。この設定はマルウェアに悪用されやすいアプリケーションを保護します。保護するアプリケーションの種類を選択できます。

プロセスを保護する。正規のアプリケーションがマルウェアによってハイジャックされることを防止します。次のオプションを選択することができます。

  • プロセス書き換え攻撃を防止する。“プロセス置換“ または DLL インジェクションとも呼ばれます。攻撃者は通常、この手法を使用して、悪意のあるコードを正規のアプリケーションにロードし、セキュリティソフトウェアを回避しようとします。

    この設定をオフにすると、攻撃者がセキュリティソフトウェアをバイパスしやすくなります。

  • 信頼できないフォルダからの DLL の読み込みを防止する。信頼できないフォルダから .DLL ファイルが読み込まれることを防止します。

  • 認証情報の窃取を防止する。パスワードやハッシュ情報をメモリ、レジストリ、ハードディスクから窃取しようとする行為を防止します。
  • Code Cave のエクスプロイトを防止する。正規アプリケーションに埋め込まれた悪意のあるコードを検出します。
  • APC の悪用を防止する。APC (Application Procedure Call) を悪用してコードを実行する攻撃を防ぎます。
  • 権限昇格を防止する。権限の低いプロセスを高い権限に昇格させ、システムにアクセスしようとする攻撃を防ぎます。

CPU のブランチトレースを有効にする: CPU の悪意のあるコードの検知は、プロセッサのアクティビティをトレースして検知を許可する、Intel プロセッサの機能です。ソフォスでは、次のようなアーキテクチャの Intel プロセッサでこの機能に対応しています。Nehalem、Westmere、Sandy Bridge、Ivy Bridge、Haswell、Broadwell、Goldmont、SkyLake、Kaby Lakeなお、コンピュータに (正規) のハイパーバイザーがある場合、この機能には対応していません。

ダイナミックシェルコード対策。隠れたリモートコマンドとコントロールエージェントの動作を検出し、攻撃者がネットワークを制御することを防止します。

CTF プロトコルの呼び出し元を検証する。この設定は、Windows のすべてのバージョンのコンポーネントである CTF の脆弱性を悪用しようとするアプリケーションをブロックします。この脆弱性により、管理者以外の攻撃者が、サンドボックスで実行されているアプリケーションを含む Windows プロセスをハイジャックする可能性があります。「CTF プロトコルの呼び出し元を検証する」をオンにすることを推奨します。

安全でないモジュールのサイドローディングを防止する。ApiSet スタブ DLL を装う悪意のある DLL を、アプリケーションがサイドローディングすることを防ぎます。ApiSet スタブ DLL は、古いアプリケーションと新しい OS バージョンとの互換性を維持するためのプロキシとして機能する DLL です。攻撃者は、悪意のある ApiSet スタブ DLL を使用してタンパープロテクションをバイパスしてマルウェア対策を終了させたりする可能性があります。

無効に設定した場合、セキュリティが低下します。

MFA サインインに使用されるブラウザの Cookie を保護する。多要素認証 (MFA) Cookie の暗号化に使用される AES キーが、不正なアプリケーションによって復号化されることを防ぎます。

Syscall 命令の悪用を防止する。この設定では、システム API への直接呼び出しの監視回避をブロックします。

ハードウェアブレークポイントの悪用を防止する。この設定は、ハードウェアブレークポイントの悪用を防止します。

ここでの設定は、Endpoint Protection の新機能のアーリー アクセス プログラムに追加済みのエンドポイントのみに適用されます。

ネットワークトラフィックを保護する

  • C&C サーバーへの悪意のある接続を検出する。エンドポイントコンピュータとエンドポイントコンピュータを制御しようとしている兆候がみられるサーバーとの間のトラフィックを検知します。
  • パケットインスペクション (IPS) で、悪意のあるネットワークトラフィックを防止する。最下位のリスクレベルでトラフィックをスキャンして、OS またはアプリケーションに影響を与える前に脅威をブロックします。このオプションはデフォルトでオフになっています。

Linux のランタイム検知。この設定によって、Linux サーバーのワークロードとコンテナに対して、ランタイムの可視性と脅威検出機能を提供できます。このような警告は、脅威解析センターで管理できます。詳細は、検出を参照してください。

制限事項

Linux ランタイム検知を使用するには、適切なライセンスが必要です。「 Server Linux ランタイム検出ポリシーを参照してください。

悪意のあるビーコンの C&C サーバーへの接続を防止する。この設定は、暗号化されたまま検出を回避しようとするビーコンを識別し、ブロックします。

ドライバ API の使用を監視。この設定は、カーネルモードコードと対話するために、プリンタや仮想ネットワークアダプタなどの正規のアプリケーションによって通常使用される API の悪用の試みを検出します。

悪意のある動作を検知する。未知の脅威から防御します。既知の悪意のある動作や疑わしい動作を検出・ブロックします。

AMSI 保護。AMSI (Microsoft Antimalware Scan Interface) を使用して、悪意のあるコード (例: PowerShell スクリプトなど) から保護します。

AMSI を使用して転送されたコードは実行前にスキャンされ、コードの実行に使用されたアプリケーションに、エンドポイントから脅威に関して通知が送信されます。脅威が検出されると、ログにイベントが記録されます。

AMSI 登録の削除を防止する。この設定により、AMSI をコンピュータから削除できなくなります。

Sophos Security Heartbeat を有効にする: この設定は、サーバーの「セキュリティステータス」を表す信号を Sophos Central アカウントに登録されている各 Sophos Firewall に送信します。複数のファイアウォールを登録している場合、最も近いところにあるアクセス可能なファイアウォールに信号を送信します。この信号から、感染の可能性があるとみなされた場合、問題のあるサーバーのアクセスをファイアウォールで制限することができます。

適応型攻撃防御

デバイスが攻撃を受けている場合、追加の保護を自動的に有効にします。この設定により、攻撃が検出された場合に、より積極的な保護機能のセットが有効になります。これらの追加の保護は、攻撃者の行動を妨害するように設計されています。

また、適応型攻撃防御の機能を永続的に有効にすることもできます。

  • セーフモードで保護を有効にする。この設定は、デバイスがセーフモードで実行されているときにソフォス保護機能を有効にします。メッセージリレーやアップデートキャッシュなどの一部のコンポーネントと機能は、セーフモードでは使用できません。
  • セーフモードの不正使用をブロック。この設定は、攻撃者がデバイスをセーフモードにしようとするアクティビティを検出してブロックします。

詳細設定

ここにある設定は、テスト用のまたはトラブルシューティング用の設定です。デフォルトの状態にしたままにすることを推奨します。

QUIC ブラウザ接続のブロック

QUIC (Quick UDP Internet Connections) ブラウザによる Web サイトへのアクセスをブロックする」を選択して、このような接続を防止します。

QUIC 対応ブラウザは、一部のサイトで、ソフォスによる Web サイトのチェックを回避できます。QUIC をブロックすることで、このようなサイトに確実に SSL/TLS 復号化とチェックを適用することができます。

デフォルトでは、この設定はオフになっています。

HTTPS Web サイトの SSL/TLS 復号化

SSL/TLS を使用して HTTPS Web サイトを復号化する」を選択すると、HTTPS Web サイトのコンテンツが復号化され、脅威が存在するかどうかがチェックされます。

復号化した Web サイトが危険な場合、それはブロックされます。ユーザーにメッセージが表示され、再評価のためにサイトを SophosLabs に送信するオプションが提供されます。

デフォルトで復号化はオフになっています。

デバイスに適用されるポリシーで HTTPS 復号化が有効になっている場合は、次の手順を実行します。

  • HTTPS 復号化は、そのデバイスの Web コントロールチェックでもオンになっています。
  • リアルタイム検索 - インターネット」の保護機能では、サイトのコンテンツ、ダウンロード、ページ URL のすべてのコンテンツを確認することもできます

この機能をオンにすると、すべての HTTPS トラフィックが復号化され、Web 閲覧が遅くなる可能性があります。

HTTPS 復号化の除外

デフォルトでは、バンキングや Web メールなど、一部のサイトカテゴリは復号化から除外されます。これは、これらのカテゴリのサイトに個人情報が含まれているためです。

全般設定で除外を変更できます。「マイプロダクト > 全般設定 > 全般 > HTTPS Web サイトの SSL/TLS 復号化」を参照します。

Linux のリアルタイムスキャン

Server Protection for Linux Agent のスキャンを有効化する」を選択すると、ユーザーがファイルにアクセスしようとする際に、ファイルがスキャンされます。ファイルが感染していない場合のみにアクセスが許可されます。

デフォルトで Linux のリアルタイムスキャンはオフになっています。

スケジュール検索

スケジュール検索は、指定した日時に検索を実行します。

スケジュール検索は、マルウェアを検出するための従来からの手法です。バックグラウンド検索がある今はほとんと必要ありません。システムの負荷が増加し、検索が大幅に遅くなる可能性があります。必要がない限り、スケジュール検索を使用しないことをお勧めします。

選択できるオプションは次のとおりです。

  • スケジュール検索を有効にする。スケジュール検索を実行する時刻と曜日 (複数可) を定義します。

    スケジュール検索が実行される時刻は、エンドポイントコンピュータの時刻で、UTC (協定世界時) ではありません。

  • 詳細検索を有効にする: このオプションを選択すると、スケジュール検索時に圧縮ファイル内が検索されます。この場合、システムへの負荷が増え、検索速度が著しく遅くなることもあります。

検索除外

アプリケーションの中には、その動作が自動的にリアルタイム検索から除外されているものもあります。詳細は、自動除外を参照してください。

他のアプリケーションの項目や動作を検索から除外することもできます。これは、データベースアプリケーションが多数のファイルにアクセスし、これによって大量の検索が実行され、サーバーのパフォーマンスに影響を与える場合などに役立ちます。

アプリケーションの除外を設定する際、そのアプリケーションで実行されるプロセスを除外するオプションを指定できます。これは、ファイルやフォルダの除外よりも確実です。

除外された項目に対して、エクスプロイトの検出は実行されます。しかし、検出されたエクスプロイトに対する検索を停止することもできます (「検出されたエクスプロイト」の除外オプションを使用します)。

ポリシー内で設定されている除外は、ポリシーが割り当てられているサーバーのみに適用されます。

すべてのユーザーとサーバーに対して除外を適用する場合は、「マイプロダクト > 全般設定 > グローバル除外」ページでグローバル除外を設定してください。

除外の使用方法の詳細は、除外の安全な使用を参照してください。

ポリシー内で検索除外を作成する方法は次のとおりです。

  1. ページ右側の「除外の追加」をクリックします。

    除外の追加」ダイアログが表示されます。

  2. 除外の種類」ドロップダウンリストから、除外する項目の種類 (ファイルまたはフォルダ、プロセス、Web サイト、不要と思われるアプリケーション) を選択します。

  3. 除外する項目 (複数選択可) を指定します。適用されるルールは次のとおりです。

    • ファイルまたはフォルダ (Windows)。Windows 環境では、ドライブ、フォルダ、またはファイルを、フルパスを指定して除外できます。ワイルドカード文字や拡張変数を使用できます。例:

      • フォルダ: C:\programdata\adobe\photoshop\ (末尾にバックスラッシュを指定してください)
      • ドライブ全体: D:
      • ファイル: C:\program files\program\*.vmg

    • ファイルまたはフォルダ (Linux)。Linux 環境では、フォルダやファイルを除外できます。ワイルドカード文字「?」および「*」を使用できます。例: /mnt/hgfs/excluded

    • プロセス (Windows)。アプリケーションで実行される、いずれのプロセスも除外できます。プロセスが使用するファイルは、そのプロセスによってアクセスされる場合のみに除外されます。「タスク マネージャ」に表示されるプロセス名だけでなく、可能な限り、アプリケーションのフルパスも入力してください。例: %PROGRAMFILES%\Microsoft Office\Office 14\Outlook.exe

      特定のアプリケーションから除外が必要なプロセスや他の項目の全容は、各アプリケーションのベンダーのドキュメントを参照してください。

      ワイルドカード文字や拡張変数を使用できます。

    • Web サイト (Windows)。Web サイトは、IP アドレス、IP アドレスの範囲 (CIDR 記法)、またはドメインで指定できます。例:

      • IP アドレス: 192.168.0.1
      • IP アドレスの範囲: 192.168.0.0/24 など。最終部分の /24 は、この範囲のすべての IP アドレスに共通のプレフィックスにあるビット数です。このため、/24 はネットマスクの 11111111.11111111.11111111.00000000 を示しています。この例では、192.168.0 で始まるすべての IP アドレスが含まれることになります。
      • ドメイン: google.com

      Web サイトを除外した場合、Web サイトのカテゴリはチェックされず、Web コントロールによる保護から除外されます。詳細は、サーバーの Web コントロールポリシーを参照してください。

    • 不要と思われるアプリケーション (Windows/Mac/Linux)。通常はスパイウェアとして検出されるアプリケーションを除外できます。システムが検出したのと同じ名前 ("PsExec" や "Cain n Abel" など) を使用して除外を指定します。不要と思われるアプリケーションの詳細は、「脅威解析」ページを参照してください。

      セキュリティ低下を招く恐れがあるため、PUA 除外を追加する前に慎重に検討してください。

    • 検出されたエクスプロイト (Windows/Mac)。既に検出されたエクスプロイトすべてを除外できます。対象のアプリケーションに対して、そのエクスプロイトは検出されなくなり、アプリケーションはブロックされなくなります。

      検出 ID を使用して、検出されたエクスプロイトを除外することもできます。このオプションは、ソフォスサポートと協力して誤検知を解決する場合に使用できます。ソフォスサポートでは、検出 ID を提供し、誤検知を除外することができます。これを行うには、「エクスプロイトが表示されていない場合」をクリックし、ID を入力します。

      これによって、このエクスプロイトに対する CryptoGuard のランサムウェア対策が、エクスプロイト対策で検出された Windows サーバー上のアプリケーションでオフに設定されます。

    • AMSI 保護 (Windows)。Windows 環境では、ドライブ、フォルダ、またはファイルを、そのフルパスを指定して除外できます。この場所にあるコードは検索されません。ファイル名や拡張子にワイルドカード文字「*」 を使用できます。詳細は、Antimalware Scan Interface (AMSI) を参照してください。

    • サーバーの隔離 (Windows)。サーバーのデバイス隔離機能 (管理者によるもの) は、Intercept X Advanced for Server with XDR のアーリー アクセス プログラムに参加している場合に利用できます。

      隔離したデバイスに対して、制限付きで他のデバイスとの通信を許可できます。

      隔離したデバイスに、送信、受信、またはその両方の通信を許可するかどうかを指定します。

      いずれの通信も、次の 1つまたは複数の設定で制限します。

      • ローカルポート: すべてのデバイスは、ここで指定する隔離したデバイス上のポートを使用できます。
      • リモートポート: 隔離したデバイスは、ここで指定するすべてのデバイス上のポートを使用できます。
      • リモートアドレス: 隔離したデバイスは、ここで指定する IP アドレスを持つデバイスのみと通信できます。

      例 1: 隔離したデバイスにリモートデスクトップで接続して、トラブルシューティングを行う場合。

      • 受信接続」を選択します。
      • ローカルポート」で、ポート番号を入力します。

      例 2: 隔離したデバイスからサーバーにアクセスして、クリーンアップツールをダウンロードする場合。

      • 送信接続」を選択します。
      • リモートアドレス」で、サーバーのアドレスを入力します。

  4. ファイルまたはフォルダ」を除外する場合のみ、「除外対象」ドロップダウンリストで、リアルタイム検索やスケジュール検索、またはその両方に対して除外を指定することを選択します。

  5. 追加」または「次を追加」をクリックします。検索の除外の一覧に除外項目が追加されます。

後から除外を編集するには、除外の一覧で除外項目をクリックし、新しい設定内容を入力したら「更新」をクリックします。

使用可能な除外の詳細は、次を参照してください。

エクスプロイト防止の除外

このようなエクスプロイト対策の対象から特定のアプリケーションを除外することができます。たとえば、あるアプリケーションが誤って脅威と検出される場合、対応が終了するまで、そのアプリケーションを除外することもできます。

除外を追加すると、セキュリティが低下します。

グローバルオプション「全般設定 > グローバル除外」を使用して追加した除外は、すべてのユーザーとデバイスに適用されます。

したがって、ここで設定するオプションを使用して、除外が必要なサーバーのみに、除外を含むポリシーを割り当てることを推奨します。

除外は、Windows アプリケーションのみに対して作成できます。

エクスプロイト防止の除外をポリシーで作成するには、次の手順を実行します。

  1. ページ右側の「除外の追加」をクリックします。

    除外の追加」ダイアログが表示されます。

  2. 除外の種類」で、「エクスプロイト防止とアクティビティの監視 (Windows)」を選択します。

    ネットワーク上の保護対象アプリケーションの一覧が表示されます。

  3. 除外するアプリケーションを選択します。

  4. 対象のアプリケーションが表示されない場合は、「アプリケーションが一覧に表示されていない場合」をクリックします。ここで、アプリケーションへのファイルパスを入力して、アプリケーションを保護から除外できます。または、任意でいずれかの変数を使用できます。

  5. 防止策」で、次のいずれかを実行します。

    • アプリケーションの保護」をオフにします。選択したアプリケーションに対して、エクスプロイト検出は実行されません。
    • アプリケーションの保護」をオンにした状態で、検出を実行する/しないエクスプロイトの種類を選択します。

  6. 追加」または「次を追加」をクリックします。ここで設定した除外は、このポリシーを割り当てたサーバーのみに適用されます。

    ダウンロードレピュテーション

後から除外を編集するには、除外の一覧で除外項目をクリックし、新しい設定内容を入力したら「更新」をクリックします。

Web サイトを除外した場合、Web サイトのカテゴリはチェックされず、Web コントロールによる保護から除外されます。詳細は、サーバーの Web コントロールポリシーを参照してください。

エクスプロイト防止の除外の詳細は、次を参照してください。

ランサムウェア対策の除外

ランサムウェア対策から、アプリケーションで使用されるアプリケーションやフォルダを除外できます。

誤って脅威として検出されたアプリケーションや、ランサムウェア対策の機能と競合するアプリケーションを除外することができます。たとえば、データを暗号化するアプリケーションがある場合は、それを除外することができます。これによって、そのアプリケーションはランサムウェアとして検出されなくなります。

また、特定のアプリケーションで使用されるフォルダで、ランサムウェア対策による監視が原因でパフォーマンスで問題が発生する場合、そのフォルダを除外できます。たとえば、バックアップアプリケーションで使用されるフォルダを除外できます。

除外を追加すると、セキュリティが低下します。

グローバルオプション「全般設定 > グローバル除外」を使用して追加した除外は、すべてのサーバーに適用されます。

したがって、ポリシーに除外を追加し、除外が必要なユーザーとデバイスのみにそのポリシーを割り当てることを推奨します。

ランサムウェア対策の除外をポリシーで作成するには、次の手順を実行します。

  1. ページ右側の「除外の追加」をクリックします。

    除外の追加」ダイアログが表示されます。

  2. 除外の種類」で、「ランサムウェア対策 (Windows)」を選択します。

  3. プロセスとフォルダのどちらを除外するかを選択します。

    アプリケーションを除外するには、「プロセス」を選択します。

  4. 」に、除外するプロセスやフォルダのパスを入力します。

    ローカルパスを指定してフォルダのみを除外できます。UNC 形式 (例: \\servername\shared-folder) のリモートパスで除外することはできません。

    プロセスまたはフォルダを除外する場合は、変数を使用できます。詳細は、エクスプロイト防止またはランサムウェア対策のワイルドカード文字と変数を参照してください。

  5. 追加」または「次を追加」をクリックします。ここで設定した除外は、このポリシーを割り当てたサーバーのみに適用されます。

後から除外を編集するには、除外の一覧で除外項目をクリックし、新しい設定内容を入力したら「更新」をクリックします。

デスクトップ通知

デスクトップ通知」は 、脅威保護イベントに関する通知を送信します。これはデフォルトでオンになっています。

独自のメッセージを入力して、標準の通知文の最後に追加できます。