コンテンツにスキップ

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/central/customer/help/ja-jp/index.html?contextId=unauthorized-file-protection

不正なファイルからの保護ポリシー

サーバーロックダウンの名前を「不正なファイル保護」に変更しました。不正なファイル保護を管理するための新しいコントロールが追加されました。これらの変更は、既存のサーバーロックダウンポリシーで作成した許可またはブロックされたファイルやフォルダには影響しません。サーバーロックダウンの既存のお客様は、機能改善のメリットを活用するために、不正なファイルからの保護 (Unauthorized File Protection) への移行を計画することをお勧めします。

不正なファイルからの保護ポリシーを使用する前に、ロックされたサーバーのロックを解除する必要があります。サーバのロック解除の詳細は、サーバーのサマリーを参照してください。

不正なファイルからの保護は、PE (Portable Executable) ファイルを作成、変更、または移動する権限を持たないプロセスによって実行されるファイル操作を追跡します。また、ファイルのハードリンクの作成とフォルダの名前の変更も追跡します。 

レピュテーションチェック

SophosLabs が割り当てるレピュテーションを活用します。レピュテーションスコアは、ファイルの信頼性を示します。不正なファイルからの保護では、次のようにレピュテーションスコアが使用されます。

  • レピュテーションの高いローカルファイルは、ポリシーのブロックリストの項目と一致しない限り、実行が許可されます。

    管理者は、アプリケーション コントロール ポリシーを使用して、広く使用されている正規のアプリケーションからのファイル実行をブロックできます。詳細は、サーバーのアプリケーション管理ポリシーを参照してください。

  • レピュテーションが「低」から「中」のローカルファイルは、変更がないかどうか追跡されます。不正なプロセスによってファイルが変更された場合、ファイル実行をブロックします。

  • ソフォスのファイルおよびシステムファイルを除く、レピュテーションのあるローカルファイルは、不正なファイルからの保護ポリシーのブロックリストに一致するとブロックされます。

    ファイルのレピュテーションスコアは、Sophos Endpoint Self Help (ESH) ツールを使用して確認できます。詳細については、[ファイル情報] (https://support.sophos.com/support/s/article/KBA-000005115?language=ja) を参照してください。

レピュテーションスコアの詳細については、最新の解析情報を要求を参照してください。

不正なファイルからの保護ポリシーの設定

マイプロダクト > Server > ポリシー」の順に選択します。

ポリシーを設定するには、次の手順を実行します。

  1. マイプロダクト > Server > ポリシー」の順に選択します。
  2. 不正なファイルからの保護ポリシーを作成します。詳細は、ポリシーの作成/編集を参照してください。
  3. ポリシーの「設定」タブを開き、必要に応じて設定します。

不正なファイル変更の追跡を有効にする

不正なファイル変更の追跡を有効にする」をオンにします。

選択できるオプションは次のとおりです。

  • ブロックせずに不正なファイルの実行を監視する:オンにすると、Sophos Endpoint は未承認のファイルの実行をブロックせずに Sophos Central に報告するようになります。

    これらの詳細を使用して、必要なファイルを許可リストに追加してから、「不正なファイルの実行をブロックする」オプションをオンにできます。

  • 不正なファイルの実行をブロックする:オンにすると、Sophos Endpoint は不正なファイルの実行をブロックします。

    実行がブロックされると、Sophos Endpoint Agent からポップアップメッセージが表示され、ファイルがブロックされたことが表示されます。管理者は、「サーバー」の「イベント」タブで詳細を表示できます。詳細は、サーバーのイベントを参照してください。

ブロックされたファイルの最新のイベントは、サーバーの「サマリー」タブまたは「イベント」タブで確認できます。特定の期間のイベントのレポートを表示するには、「レポート > 一般ログ > イベント」に移動します。

Sophos EDR または XDR のお客様は、カスタム Live Discover クエリを使用して、sophos_unauthorized_actions_journal テーブルから使用可能なすべてのイベントの詳細を取得することもできます。

カスタムクエリを作成または編集するには、クエリの編集または作成を参照してください。

カスタムクエリを実行するには、Live Discoverを参照してください。

許可された項目

特定のフォルダまたはそのサブフォルダからの特定のファイルまたはすべてのファイルの実行を許可できます。このリストのエントリに一致する項目に権限が付与されます。

ヒント

ファイルのフルパスを指定することを推奨します。

項目を許可するには、次の手順を実行します。

  1. 許可された項目の追加」をクリックします。

  2. 新しい許可された項目の追加」ダイアログで、次の手順を実行します。

    1. ファイル」、「フォルダ」、または「SHA256」を選択します。

    2. ファイルやフォルダのパスまたは SHA-256 の値を入力します。

      ワイルドカード文字や変数は、ファイルやフォルダのみに使用できます。詳細は、Windows での検索除外を参照してください。

    3. 保存」をクリックします。

  3. サーバープロテクション」ページで、「保存」をクリックします。

ブロックリスト

特定のフォルダまたはそのサブフォルダからの特定のファイルまたはすべてのファイルの実行をブロックできます。

ファイルまたはフォルダをブロックするには、次の手順に従います。

  1. ブロックされた項目の追加」をクリックします。

  2. ブロックされた項目の追加」ダイアログで、次の手順を実行します。

    1. ファイル」、「フォルダ」、または「SHA256」を選択します。

    2. ファイルやフォルダのパスまたは SHA-256 の値を入力します。

      ワイルドカード文字や変数は、ファイルやフォルダのみに使用できます。詳細は、Windows での検索除外を参照してください。

    3. 保存」をクリックします。

  3. サーバープロテクション」ページで、「保存」をクリックします。

MSI ファイルのインストール

MSI ファイルは、Windows デバイスにソフトウェアをインストールするために一般的に使用されるインストールパッケージです。これらは PE ファイルではなく、不正なファイルからの保護は特別なロジックを適用して処理します。

MSI ファイルはブロックされませんが、インストール時に解凍さて、実行される PE ファイルが含まれている場合があります。これらの PE ファイルのレピュテーションスコアが高くない場合、不正ファイルからの保護はそれらをブロックし、インストールは失敗します。インストールが完了した場合でも、レピュテーションスコアが高くなく、ポリシーの許可リストと一致しない場合、不正なファイルからの保護はインストール済みの PE ファイルをブロックします。

MSI ファイルパスまたは MSI ファイルを含むフォルダは、ポリシーの許可リストおよびブロックリストに追加できます。不正ファイル保護は、インストールをブロックするか、インストール済みの PE ファイルまたはインストール中に抽出された PE ファイルの実行を許可するかを決定する際に、MSI ファイルがこれらのリストに一致するかどうかを確認します。