エンドポイント: 脅威対策

脅威対策機能は、マルウェア、危険な種類のファイル/Web サイト、および悪質なトラフィックからユーザーを守ります。

SophosLabs は検索を実行するファイルを独自に制御できます。最適な保護機能環境を提供するために、特定のファイルタイプの検索を追加したり、削除したりすることがあります。

推奨設定を使用する

今後ソフォスで推奨設定を変更する場合は、お使いの設定が自動的に新しい設定内容で更新されます。

推奨設定の内容は次のとおりです。

• 既知マルウェアの検出。
• ソフォスのクラウドデータベースを参照して、ソフォスが把握している最新のマルウェアを検出。
• 脅威の定義が特定されていない新規のマルウェアをプロアクティブに検出。
• マルウェアの自動クリーンアップ。

脅威を評価する方法の詳細は、ソフォスの脅威解析センターを参照してください。

ディープラーニング

ディープラーニングは高度な機械学習を利用して脅威を検出します。既知および未知のマルウェアや、業務上不要と思われるアプリケーションを、シグネチャを使用することなく識別することが可能です。

ディープラーニングは Sophos Intercept X でのみ利用できます。

Live Protection

SophosLabs のデータベースに登録されている最新のマルウェアデータを照会して、疑わしいファイルをチェックします。

選択できるオプションは次のとおりです。

Sophos Live Protection で SophosLabs のオンラインデータベースを照会して最新の脅威情報をチェックする: リアルタイム検索時にファイルをチェックします。

リアルタイム検索 - ローカルファイルおよびネットワーク共有フォルダ

リアルタイム検索は、ユーザーがファイルにアクセスしようとするとマルウェア検索を実行し、ファイルが感染していない場合にアクセスを許可します。

ローカルファイルはデフォルトで検索が実行されます。「リモートファイル」を選択して、ネットワーク共有内のファイルを検索することもできます。

リアルタイム検索 - インターネット

リアルタイム検索では、ユーザーがインターネットのリソースにアクセスしようとするとスキャンが実行されます。選択できるオプションは次のとおりです。

進行中のダウンロードをスキャンする: この設定では、ダウンロードとページ要素がブラウザに到達する前にスキャンするかどうかを制御します。

• HTTP 接続: すべての要素とダウンロードをスキャンします。
• HTTPS 接続: 「SSL/TLS を使用した HTTPS Web サイトの復号化」をオンにしない限り、要素はスキャンされません。

悪意のある Web サイトへのアクセスをブロックする: マルウェアをホストしていることが確認されている Web サイトへのアクセスを拒否します。

レピュテーションの低いファイルを検出する: この設定では、ファイルのダウンロード元、ダウンロード頻度などに基づいてダウンロードレピュテーションがチェックされます。ダウンロードの処理方法を決定するには、次のオプションを使用します。

指定できるオプションは次のとおりです。

• レピュテーションの低いダウンロードに対して実行する処理: 以下のいずれかの方法を設定してください。

  • ユーザーに通知: レピュテーションが不明または低いファイルがダウンロード対象として選択されると、ユーザーはそのファイルをブロックするか、信頼してダウンロードを許可するように求められます。このオプションはデフォルトで選択されています。
  • ログのみ: ダウンロードしたファイルの詳細はローカルログに記録されますが、ユーザーはメッセージを受け取りません。

• レピュテーション レベル: 以下のいずれかの方法を設定してください。

  • 推奨: 低いレピュテーションのファイルは自動的にブロックされます。このオプションはデフォルトで選択されています。
  • 高: 中程度および低いレピュテーションのダウンロードは自動的にブロックされ、Sophos Central に報告されます。

詳細は、ダウンロードレピュテーションを参照してください。

修復

修復のオプションは次のとおりです。

• マルウェアを自動的にクリーンアップする: Sophos Central は、検出されたマルウェアを自動的にクリーンアップし、クリーンアップをログに記録します。これは、「イベント」リストから参照できます。

  制限事項

  Windows コンピュータは、この設定に関係なく、検出されたアイテムを常にクリーンアップします。Windows 上でクリーンアップされた項目を復元できます。Mac ではこれらの項目を復元できませんが、Mac では自動クリーンアップをオンにすることをお勧めします。

  Sophos Central がファイルをクリーンアップすると、ファイルは現在の場所から削除され、SafeStore に隔離されます。ファイルは、新しい検出のスペース確保のために許可または削除されるまで、SafeStoreに残ります。SafeStore に隔離されたファイルは、「許可されたアプリケーション」に追加することで復元できます。詳細は、許可されたアプリケーションを参照してください。

  SafeStore には、次のデフォルトの制限があります。

  • 1つのファイルのサイズ上限は 100 GBです。
  • 隔離サイズの全般的な上限は 200 GBです。
  • 保存されるファイルの最大数は 2000 です。

• 脅威グラフの作成を有効にする: 脅威ケースでは、マルウェア攻撃に関連する一連のイベントを調査したり、セキュリティの改善余地のある領域を見つけ出すことができます。

ランタイム保護

ランタイム保護は、疑わしい動作や、悪意のある動作・トラフィックを検出することにより、脅威から防御する機能です。選択できるオプションは次のとおりです。

ランサムウェアから文書ファイルを保護する (CryptoGuard): ファイルへのアクセスを制限したうえで、アクセスを復旧するための支払いを強請するマルウェアから文書ファイルを保護します。また、リモートから実行されるランサムウェアから、64ビット版のコンピュータを保護することもできます。

次のオプションも使用できます。

• リモートで実行されているランサムウェアから防御する: これにより、ネットワーク全体が保護されます。この設定は、オンにしたままにすることを推奨します。
• EFS (暗号化ファイルシステム) 攻撃から保護する: ファイルシステムを暗号化するランサムウェアからコンピュータを保護します。ランサムウェアが検出された際に実行するアクションを選択できます。ランサムウェアプロセスを終了したり、ランサムウェアプロセスを隔離して、システムへの書き込みを停止したりできます。

MBR を上書きするランサムウェアから保護する: マスターブートレコードを暗号化してコンピュータの起動を妨げようとするランサムウェアや、ハードディスクのデータを消去する攻撃からコンピュータを保護します。

Web ブラウザの重要な機能を保護する (セーフブラウジング): マルウェアによる Web ブラウザの悪用を防止します。

脆弱なアプリケーションにおけるエクスプロイトを防止する: 特にマルウェアに悪用されやすいアプリケーションを保護します。保護するアプリケーションの種類を選択できます。

プロセスを保護する: 正規のアプリケーションがマルウェアによってハイジャックされることを防止します。次のオプションから選択できます。

• プロセス書き換え攻撃を防止する: プロセス書き換え攻撃から防御します。

  この設定をオフにすると、攻撃者がセキュリティソフトウェアをバイパスしやすくなります。

• 信頼できないフォルダからの DLL の読み込みを防止する: 信頼できないフォルダから .DLL ファイルが読み込まれることを防止します。

• 認証情報の窃取を防止する: パスワードやハッシュ情報をメモリ、レジストリ、ハードディスクから窃取しようとする行為を防止します。
• Code Cave のエクスプロイトを防止する: 正規アプリケーションに埋め込まれた悪意のあるコードを検出します。
• APC の悪用を防止する: APC (Application Procedure Call) を悪用してコードを実行する攻撃を防ぎます。
• 権限昇格を防止する: 権限の低いプロセスを高い権限に昇格させ、システムにアクセスしようとする攻撃を防ぎます。

ダイナミックシェルコード対策: 隠れたリモートアクセスエージェントの動作を検出し、攻撃者がネットワークを制御することを防止します。

CTF プロトコルの呼び出し元を検証する: CTF を悪用しようとするアプリケーションに割り込み、ブロックします。

Windows コンポーネントにあり、単に「CTF」と呼ばれている脆弱性は、Windows XP までさかのぼるすべての Windows バージョンに存在し、管理者権限のない不正な攻撃者が、サンドボックス内で実行されているアプリケーションを含む、あらゆる Windows プロセスを乗っ取ることを可能にします。

安全でないモジュールのサイドローディングを防止する: ApiSet スタブ DLL を装う悪意のある DLL を、アプリケーションがサイドローディングすることを防ぎます。

ApiSet スタブ DLL は、古いアプリケーションと新しい OS バージョンとの互換性を維持するためのプロキシとして機能する DLL です。攻撃者は、悪意のある ApiSet スタブ DLL を配置してこの機能を悪用したり、タンパープロテクションをバイパスしてマルウェア対策を停止させたりする可能性があります。

MFA サインインに使用されるブラウザの Cookie を保護する。多要素認証 (MFA) Cookie の暗号化に使用される AES キーが、不正なアプリケーションによって復号化されることを防ぎます。

悪意のあるビーコンの C&C サーバーへの接続を防止する: この設定は、暗号化されたまま検出を回避しようとするビーコンを識別し、ブロックします。

ドライバ API の使用を監視: この設定は、カーネルモードコードと対話するために、プリンタや仮想ネットワークアダプタなどの正規のアプリケーションによって通常使用される API の悪用の試みを検出します。

Syscall 命令の悪用を防止する: この設定では、システム API への直接呼び出しの監視回避をブロックします。

ハードウェアブレークポイントの悪用を防止する: この設定は、ハードウェアブレークポイントの悪用を防止します。

ネットワークトラフィックを保護する

• C&C サーバーへの悪意のある接続を検出する。エンドポイントコンピュータとエンドポイントコンピュータを制御しようとしている兆候がみられるサーバーとの間のトラフィックを検知します。
• パケットインスペクション (IPS) で、悪意のあるネットワークトラフィックを防止する。最下位のリスクレベルでトラフィックをスキャンして、OS またはアプリケーションに影響を与える前に脅威をブロックします。

悪意のある動作を検知する: 未知の脅威から防御します。既知の悪意のある動作や疑わしい動作を検出・ブロックします。

AMSI 保護 (スクリプトベースの脅威のスキャンを強化): AMSI (Microsoft Antimalware Scan Interface) を使用して、悪意のあるコード (例: PowerShell スクリプトなど) から保護します。AMSI を使用して転送されたコードは実行前にスキャンされ、コードの実行に使用されたアプリケーションに、Sophosから脅威に関して通知が送信されます。脅威が検出されると、ログにイベントが記録されます。コンピュータ上の AMSI 登録が削除されないようにすることができます。詳細は、Antimalware Scan Interface (AMSI) を参照してください。

AMSI 登録の削除を防止する: この設定により、AMSI をコンピュータから削除できなくなります。

適応型攻撃防御

デバイスが攻撃を受けている場合、追加の保護を自動的に有効にします: これにより、攻撃が検出された場合に、より積極的な保護機能のセットが有効になります。これらの追加の保護は、攻撃者の行動を妨害するように設計されています。

また、適応型攻撃防御の機能を永続的に有効にすることもできます。

• セーフモードで保護を有効にする: この設定は、デバイスがセーフモードで実行されているときにソフォス保護機能を有効にします。メッセージリレーやアップデートキャッシュなどの一部のコンポーネントと機能は、セーフモードでは使用できません。

• セーフモードの不正使用をブロック: この設定は、攻撃者がデバイスをセーフモードにしようとするアクティビティを検出してブロックします。

詳細設定

ここにある設定は、テスト用のまたはトラブルシューティング用の設定です。デフォルトの状態にしたままにすることを推奨します。

QUIC ブラウザ接続のブロック

「QUIC (Quick UDP Internet Connections) ブラウザによる Web サイトへのアクセスをブロックする」を選択して、このような接続を防止します。

QUIC 対応ブラウザは、一部のサイトで、ソフォスによる Web サイトのチェックを回避できます。QUIC をブロックすることで、このようなサイトに確実に SSL/TLS 復号化とチェックを適用することができます。

デフォルトでは、この設定はオフになっています。

HTTPS Web サイトの SSL/TLS 復号化

「SSL/TLS を使用した HTTPS Web サイトの復号化」を選択すると、顧客のコンピュータで HTTPS Web サイトのコンテンツが復号化され、脅威が存在するかどうかがチェックされます。

復号化した Web サイトが危険な場合、それはブロックされます。ユーザーにメッセージが表示され、再評価のためにサイトを SophosLabs に送信するオプションが提供されます。

デフォルトで復号化はオフになっています。

この設定をオンにすると、顧客は変更を加えることができなくなります。

デバイスの隔離

このオプションを選択すると、セキュリティ状態が赤のデバイスは、自動的に隔離されます。デバイスのセキュリティ状態が赤になるのは、脅威が検出されたときや、最新版でないソフトウェアがあるとき、ポリシーに違反しているとき、適切に保護されていないときです。

隔離されたデバイスは、引き続き Sophos Central から管理することができます。また、検索除外やグローバル除外を使用して、トラブルシューティングの目的で、隔離したコンピュータに制限付きでアクセスすることを許可することもできます。

このような隔離したデバイスを復元することはできません。セキュリティ状態が緑色になってから、再びネットワークと通信できるようになります。

このオプションを適用する前に、ネットワークへに与える影響を考慮することを推奨します。これを行うには、ポリシー内でオプションをオンにし、典型的な一部のサンプルのデバイスにポリシーを適用します。

スケジュール検索

スケジュール検索は、指定した日時に検索を実行します。

スケジュール検索は、マルウェアを検出するための従来からの手法です。バックグラウンド検索がある今はほとんと必要ありません。システムの負荷が増加し、検索が大幅に遅くなる可能性があります。必要がない限り、スケジュール検索を使用しないことをお勧めします。

選択できるオプションは次のとおりです。

• スケジュール検索を有効にする: スケジュール検索を実行する時刻と曜日 (複数可) を定義します。

  注

  スケジュール検索が実行される時刻は、エンドポイントコンピュータの時刻で、UTC (協定世界時) ではありません。

• 詳細検索を有効にする: このオプションを選択すると、スケジュール検索時に圧縮ファイル内が検索されます。この場合、システムへの負荷が増え、検索速度が著しく遅くなることもあります。

スケジュール検索は、コンピュータがオンラインの場合にのみ実行されます。スケジュール検索の実行時間中にコンピュータがオフラインの場合、検索は実行されません。システムは次にスケジュールされた時間に検索を開始します (コンピュータがオンラインである場合)。

除外

以下の説明に従って、ファイル、フォルダ、Web サイト、またはアプリケーションを脅威の検索から除外することができます。

除外された項目に対して、エクスプロイトの検出は実行されます。しかし、検出されたエクスプロイトに対する検索を停止することもできます。「検出されたエクスプロイト」の除外オプションを使用します。

ポリシー内で設定されている除外は、ポリシーが割り当てられているユーザーのみに適用されます。

ポリシー検索の除外を作成するには、次の手順を実行します。

1. 「ポリシーの除外」で、「除外の追加」をクリックします。

2. 「除外の追加」で、次の手順を実行します。

   1. 「除外の種類」で、除外する項目の種類を選択します。たとえば、ファイルやフォルダ、Web サイト、不要と思われるアプリケーション、デバイスの隔離などです。

   2. 「値」で、除外する項目を指定します。除外に関する詳細については、除外の安全な使用をご覧ください。

      除外の種類に応じて、追加の詳細を入力する必要があります。

   3. 「追加」をクリックします。検索の除外の一覧に除外項目が追加されます。

   4. (任意)「次を追加」をクリックし て、別の除外を追加します。

後から除外を編集するには、除外の一覧で除外項目をクリックし、新しい設定内容を入力して「更新」をクリックします。

デスクトップ通知

「デスクトップ通知」は 、脅威保護イベントに関する通知を送信します。これはデフォルトでオンになっています。

独自のメッセージを入力して、標準の通知文の最後に追加できます。