コンテンツにスキップ

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/central/enterprise/help/ja-jp/index.html?contextId=server-threat-protection

サーバー脅威対策

脅威対策機能は、マルウェア、危険な種類のファイル/Web サイト、および悪質なトラフィックからユーザーを守ります。

一部のオプションは、Windows Server のみで指定できます。ページの右側にあるカラムには、各オプションが適用されるサーバー OS が表示されます。

SophosLabs は検索を実行するファイルを独自に制御できます。最適な保護機能環境を提供するために、特定のファイルタイプの検索を追加したり、削除したりすることがあります。

推奨設定をそのまま使用することも、変更して使用することもできます。

脅威を評価する方法の詳細は、アドウェアと不要なアプリケーション (PUA) を参照してください。

Intercept X Advanced for Server

このライセンスをお持ちの場合は、脅威対策ポリシーで、ランサムウェア/エクスプロイト対策、シグネチャレス型の脅威検出、脅威イベントの根本原因解析を実施できます。

ここでの設定を使用してセキュリティを最大限に強化することを推奨します。

このような高度なセキュリティ機能を 1つでも有効にすると、このポリシーを適用しているサーバーで Intercept X Advanced for Server ライセンスが使用されます。

詳細は、Intercept X Advanced for Serverを参照してください。

サーバープロテクションのデフォルト設定

これらの設定は、オンにしたままにすることを推奨します。選択すると、複雑な管理設定なしで最適な保護対策が設定されます。詳細は、サーバーの脅威対策のデフォルトの設定を参照してください。

次の項目が実行されます。

  • 既知マルウェアの検出。
  • ソフォスのクラウドデータベースを参照して、ソフォスが把握している最新のマルウェアを検出。
  • 脅威の定義が特定されていない新規のマルウェアをプロアクティブに検出。
  • マルウェアの自動クリーンアップ。
  • 既知のアプリケーションの動作を検索から自動的に除外。

Linux デバイスでは、デフォルトで リアルタイム検索はオンになっていません。リアルタイム検索を参照してください。

Live Protection

SophosLabs の脅威データベースを照会して、疑わしいファイルをチェックします。これにより、最新の脅威を検出し、誤検知を回避できます。

Sophos Live Protection で SophosLabs のオンラインデータベースを照会して最新の脅威情報をチェックする: リアルタイム検索時にファイルをチェックします。

Live Protection をオフにすると、保護機能が低下し、誤検出が増加する可能性があります。

脅威データベースを参照するには、アドウェアと不要なアプリケーション (PUA) に移動してください。

ディープラーニング

ディープラーニングは、脅威の中でも特にこれまでに見たことのない新しい未知の脅威を自動的に検出できます。ディープラーニングは機械学習を使用し、シグネチャに依存しません。

ディープラーニングをオフにすると、保護機能が大幅に低下します。

リアルタイム検索 - ローカルファイルとネットワーク共有

リアルタイム検索は、ファイルがアクセスされ、更新されると、既知のマルウェアがないかどうかをチェックします。既知の悪意のあるプログラムが実行され、感染したファイルが正規のアプリケーションによって開かれるのを防ぎます。

スキャン」は 、デフォルトでローカルファイルとリモートファイル (ネットワークからアクセスされたファイル) のリアルタイムスキャンを提供します。

デバイス上のファイルのみをスキャンする場合は、「ローカル」を選択します。

  • ファイルを読み込んだとき: ファイルを開く際に検索が実行されます。
  • ファイルに書き込んだとき: ファイルを保存する際に検索が実行されます。

Server Protection for Linux Agent のスキャンを有効化する: これは Linux デバイスでのリアルタイム検索を提供します。

これらのオプションをオフにすると、既知のマルウェアが実行またはアクセスされる可能性があります。

リアルタイム検索 - インターネット

リアルタイム検索では、ユーザーがインターネットのリソースにアクセスしようとするとスキャンが実行されます。

進行中のダウンロードをスキャンする

この設定では、ダウンロードとページ要素がブラウザに到達する前にスキャンするかどうかを制御します。

  • HTTP 接続: すべての要素とダウンロードをスキャンします。
  • HTTPS 接続: 「SSL/TLS を使用した HTTPS Web サイトの復号」をオンにしない限り、要素はスキャンされません。

悪意のある Web サイトへのアクセスをブロックする

この設定はマルウェアをホストしていることが確認されている Web サイトへのアクセスを拒否します。

サイトが悪意のあるコンテンツをホストしているかどうかを確認するために、レピュテーションチェックを行います (SXL4ルックアップ)。Live Protection をオフにすると、このチェックもオフになります。

  • HTTP 接続: 完全な HTTP GET 要求を含め、すべての URL がチェックされます。
  • HTTPS 接続: ベース URL は SNI (Server Name Indication) でチェックされます。「SSL/TLS を使用した HTTPS Web サイトの復号」を有効にすると、完全な HTTP GET 要求を含むすべての URL がチェックされます。

レピュテーションの低いダウンロードを検出する

この設定では、ファイルのダウンロード元、ダウンロード頻度などに基づいてダウンロードレピュテーションがチェックされます。ダウンロードの処理方法を決定するには、次のオプションを使用します。

Action to take」(実行するアクション) を「Prompt User」(ユーザーにメッセージを表示する) に設定する: 低いレピュテーションのファイルがダウンロードされると、エンドユーザーに警告が表示されます。ユーザーはファイルを信頼または削除できます。このオプションはデフォルトで選択されています。

レピュテーション レベル」で、以下のいずれかに設定します。

  • 推奨: 低いレピュテーションのファイルは自動的にブロックされます。このオプションはデフォルトで選択されています。
  • : 中程度および低いレピュテーションのダウンロードは自動的にブロックされ、Sophos Central に報告されます。

レピュテーションレベルの詳細については、ダウンロードレピュテーションを参照してください。

リアルタイム検索 - オプション

既知のアプリケーションの動作を検索から自動的に除外: この設定では、一般に広く使用されているアプリケーションは除外されます。それらのアプリケーションのベンダーがこの設定を推奨しています。

詳細については、サードパーティ製品を自動的に除外するを参照してください。

修復

脅威グラフの作成を有効にする: これにより、マルウェア攻撃における一連のイベントを調査できます。検出して停止した攻撃を分析できるように、オンにすることをお勧めします。

Sophos Centralは、Windows コンピュータおよび Sophos Protection for Linux が動作する Linux デバイスにおいて、検出された項目を自動的にクリーンアップします。Sophos Central はファイルを現在の場所から削除し、SafeStore に隔離します。ファイルは、新しい検出のスペース確保のために許可または削除されるまで、SafeStoreに残ります。SafeStore に隔離されたファイルは、「許可されたアプリケーション」に追加することで復元できます。詳細は、許可されたアプリケーションを参照してください。

SafeStore には、次のデフォルトの制限があります。

  • 1つのファイルのサイズ上限は 100 GBです。
  • 隔離サイズの全般的な上限は 200 GBです。
  • 保存されるファイルの最大数は 2000 です。

ランタイム保護

ランタイム保護は、疑わしい動作や、悪意のある動作・トラフィックを検出することにより、脅威から防御する機能です。

ランサムウェアから文書ファイルを保護する (CryptoGuard): この設定によって、ファイルへのアクセスを制限したうえで、アクセスの復旧と引き換えに支払いを要求するマルウェアから防御します。この機能は、デフォルトでオンになっています。有効にしておくことを強く推奨します。

次のオプションも使用できます。

  • リモートで実行されているランサムウェアから防御する: これにより、ネットワーク全体が保護されます。この設定は、オンにしたままにすることを推奨します。
  • EFS (暗号化ファイルシステム) 攻撃から保護する: ファイルシステムを暗号化するランサムウェアから 64ビットデバイスを保護します。ランサムウェアが検出された際に実行するアクションを選択できます。ランサムウェアプロセスを終了したり、ランサムウェアプロセスを隔離して、ファイルシステムへの書き込みを停止したりできます。

MBR を上書きするランサムウェアから保護する: マスターブートレコードを暗号化してでデバイスの起動を妨げようとするランサムウェアや、ハードディスクのデータを消去する攻撃からコンピュータを保護します。

Web ブラウザの重要な機能を保護する (セーフブラウジング): この設定は、Web ブラウザを介したマルウェアによる攻撃から Web ブラウザを保護します。

脆弱なアプリケーションにおけるエクスプロイトを防止する: この設定はマルウェアに悪用されやすいアプリケーションを保護します。保護するアプリケーションの種類を選択できます。

プロセスを保護する: 正規のアプリケーションがマルウェアによってハイジャックされることを防止します。次のオプションを選択することができます。

  • プロセス書き換え攻撃を防止する: “プロセス置換“ または DLL インジェクションとも呼ばれます。攻撃者は通常、この手法を使用して、悪意のあるコードを正規のアプリケーションにロードし、セキュリティソフトウェアを回避しようとします。

    この設定をオフにすると、攻撃者がセキュリティソフトウェアをバイパスしやすくなります。

  • 信頼できないフォルダからの DLL の読み込みを防止する: 信頼できないフォルダから .DLL ファイルが読み込まれることを防止します。

  • 認証情報の窃取を防止する: パスワードやハッシュ情報をメモリ、レジストリ、ハードディスクから窃取しようとする行為を防止します。
  • Code Cave のエクスプロイトを防止する: 正規アプリケーションに埋め込まれた悪意のあるコードを検出します。
  • APC の悪用を防止する: APC (Application Procedure Call) を悪用してコードを実行する攻撃を防ぎます。
  • 権限昇格を防止する: 権限の低いプロセスを高い権限に昇格させ、システムにアクセスしようとする攻撃を防ぎます。

ダイナミックシェルコード対策: 隠れたリモートコマンドとコントロールエージェントの動作を検出し、攻撃者がネットワークを制御することを防止します。

CTF プロトコルの呼び出し元を検証する: この設定は、Windows のすべてのバージョンのコンポーネントである CTF の脆弱性を悪用しようとするアプリケーションをブロックします。この脆弱性により、管理者以外の攻撃者が、サンドボックスで実行されているアプリケーションを含む Windows プロセスをハイジャックする可能性があります。「CTF プロトコルの呼び出し元を検証する」をオンにすることを推奨します。

安全でないモジュールのサイドローディングを防止する: ApiSet スタブ DLL を装う悪意のある DLL を、アプリケーションがサイドローディングすることを防ぎます。ApiSet スタブ DLL は、古いアプリケーションと新しい OS バージョンとの互換性を維持するためのプロキシとして機能する DLL です。攻撃者は、悪意のある ApiSet スタブ DLL を使用してタンパープロテクションをバイパスしてマルウェア対策を終了させたりする可能性があります。

この設定をオフにすると、保護機能が大幅に低下します。

MFA サインインに使用されるブラウザの Cookie を保護する: この設定によって、多要素認証 (MFA) Cookie の暗号に使用される AES キーが、不正なアプリケーションによって復号されることを防ぎます。

Syscall 命令の悪用を防止する: この設定では、システム API への直接呼び出しの監視回避をブロックします。

ハードウェアブレークポイントの悪用を防止する: この設定は、ハードウェアブレークポイントの悪用を防止します。

ネットワークトラフィックを保護する

  • C&C サーバーへの悪意のある接続を検出する: エンドポイントコンピュータとエンドポイントコンピュータを制御しようとしている兆候がみられるサーバーとの間のトラフィックを検知します。
  • パケットインスペクション (IPS) で、悪意のあるネットワークトラフィックを防止する: 最下位のリスクレベルでトラフィックをスキャンして、OS またはアプリケーションに影響を与える前に脅威をブロックします。このオプションはデフォルトでオフになっています。

Linux のランタイム検知: この設定によって、Linux サーバーのワークロードとコンテナに対して、ランタイムの可視性と脅威検出機能を提供できます。このような警告は、脅威解析センターで管理できます。詳細は、検出を参照してください。

制限事項

Linux ランタイム検知を使用するには、適切なライセンスが必要です。Server Linux ランタイム検出ポリシーを参照してください。

悪意のあるビーコンの C&C サーバーへの接続を防止する: この設定は、暗号化されたまま検出を回避しようとするビーコンを識別し、ブロックします。

ドライバ API の使用を監視: この設定は、カーネルモードコードと対話するために、プリンタや仮想ネットワークアダプタなどの正規のアプリケーションによって通常使用される API の悪用の試みを検出します。

悪意のある動作を検知する: 未知の脅威から防御します。既知の悪意のある動作や疑わしい動作を検出・ブロックします。

AMSI 保護: AMSI (Microsoft Antimalware Scan Interface) を使用して、悪意のあるコード (例: PowerShell スクリプトなど) から保護します。

AMSI を使用して転送されたコードは実行前にスキャンされ、コードの実行に使用されたアプリケーションに、エンドポイントから脅威に関して通知が送信されます。脅威が検出されると、ログにイベントが記録されます。

AMSI 登録の削除を防止する: この設定により、AMSI をコンピュータから削除できなくなります。

ドメインコントローラのイベントを監視: この設定は、PetitPotam などのドメインコントローラを標的とする攻撃からの追加の可視性と保護を提供します。この設定はデフォルトではオンになっています。

Sophos Security Heartbeat を有効にする: この設定は、サーバーの「セキュリティステータス」を表す信号を Sophos Central アカウントに登録されている各 Sophos Firewall に送信します。複数のファイアウォールを登録している場合、最も近いところにあるアクセス可能なファイアウォールに信号を送信します。この信号から、感染の可能性があるとみなされた場合、問題のあるサーバーのアクセスをファイアウォールで制限することができます。

適応型攻撃防御

デバイスが攻撃を受けている場合、追加の保護を自動的に有効にします: この設定により、攻撃が検出された場合に、より積極的な保護機能のセットが有効になります。これらの追加の保護は、攻撃者の行動を妨害するように設計されています。

また、適応型攻撃防御の機能を永続的に有効にすることもできます。

  • セーフモードで保護を有効にする: この設定は、デバイスがセーフモードで実行されているときにソフォス保護機能を有効にします。メッセージリレーやアップデートキャッシュなどの一部のコンポーネントと機能は、セーフモードでは使用できません。
  • セーフモードの不正使用をブロック: この設定は、攻撃者がデバイスをセーフモードにしようとするアクティビティを検出してブロックします。

詳細設定

ここにある設定は、テスト用のまたはトラブルシューティング用の設定です。デフォルトの状態にしたままにすることを推奨します。

QUIC ブラウザ接続のブロック

QUIC (Quick UDP Internet Connections) ブラウザによる Web サイトへのアクセスをブロックする」を選択して、このような接続を防止します。

QUIC 対応ブラウザは、一部のサイトで、ソフォスによる Web サイトのチェックを回避できます。QUIC をブロックすることで、このようなサイトに確実に SSL/TLS 復号とチェックを適用することができます。

デフォルトでは、この設定はオフになっています。

HTTPS Web サイトの SSL/TLS 復号

SSL/TLS を使用して HTTPS Web サイトを復号する」を選択すると、HTTPS Web サイトのコンテンツが復号され、脅威が存在するかどうかがチェックされます。

復号した Web サイトが危険な場合、それはブロックされます。ユーザーにメッセージが表示され、再評価のためにサイトを SophosLabs に送信するオプションが提供されます。

デフォルトで復号はオフになっています。

デバイスに適用されるポリシーで HTTPS 復号が有効になっている場合は、次のように適用されます。

  • HTTPS 復号は、そのデバイスの Web コントロールチェックでもオンになっています。
  • リアルタイム検索 - インターネット」の保護機能では、サイトのコンテンツ、ダウンロード、ページ URL のすべてのコンテンツを確認することもできます

この機能をオンにすると、すべての HTTPS トラフィックが復号され、Web 閲覧が遅くなる可能性があります。

HTTPS 復号の除外

デフォルトでは、バンキングや Web メールなど、一部のサイトカテゴリは復号から除外されます。これは、これらのカテゴリのサイトに個人情報が含まれているためです。

全般設定で除外を変更できます。「マイプロダクト > 全般設定 > 全般 > HTTPS Web サイトの SSL/TLS 復号」を参照します。

Linux のリアルタイムスキャン

Server Protection for Linux Agent のスキャンを有効化する」を選択すると、ユーザーがファイルにアクセスしようとする際に、ファイルがスキャンされます。ファイルが感染していない場合のみにアクセスが許可されます。

デフォルトで Linux のリアルタイムスキャンはオフになっています。

スケジュール検索

スケジュール検索は、指定した日時に検索を実行します。

リアルタイム検索が有効になっている場合は、スケジュール検索は必要ない場合があります。ただし、これは古いファイルをチェックしたり、セキュリティ調査を支援するなど、異なるユースケースで依然として役立ちます。システム負荷への潜在的な影響を最小限に抑えるため、オフピーク時にスケジュール検索を実行することを推奨します。リアルタイム検索の使用もお勧めします。これにより、ファイルがアクセスまたは変更される際に検索を実行し、スケジュール検索の頻度のみに頼ることを回避できます。詳細は、リアルタイム検索 - ローカルファイルとネットワーク共有を参照してください。

次のオプションを選択できます。

  • スケジュール検索を有効にする: スケジュール検索を実行する時刻と曜日 (複数可) を定義します。

    スケジュール検索が実行される時刻は、エンドポイントコンピュータの時刻で、UTC (協定世界時) ではありません。

  • 詳細検索を有効にする: このオプションを選択すると、スケジュール検索時に圧縮ファイル内が検索されます。この場合、システムへの負荷が増え、検索速度が著しく遅くなることもあります。

除外

以下の説明に従って、ファイル、フォルダ、Web サイト、またはアプリケーションを脅威の検索から除外することができます。

制限事項

グローバルテンプレート」ページでは「エクスプロイト防止とアクティビティの監視 (Windows)」除外を作成できません。

除外された項目に対して、エクスプロイトの検出は実行されます。しかし、検出されたエクスプロイトに対する検索を停止することもできます。「検出されたエクスプロイト」の除外オプションを使用します。

ポリシー内で設定されている除外は、ポリシーが割り当てられているユーザーのみに適用されます。

すべてのユーザーとサーバーに対して除外を適用する場合は、「全般設定 > グローバル除外」ページでグローバル除外を設定してください。

ポリシー内で検索除外を作成する方法は次のとおりです。

  1. ページ右側の「除外の追加」をクリックします。

    除外の追加」ダイアログが表示されます。

  2. 除外の種類」ドロップダウンリストから、除外する項目の種類 (ファイルまたはフォルダ、Web サイト、不要と思われるアプリケーション、またはデバイスの隔離) を選択します。

  3. 除外する項目 (複数選択可) を指定します。
  4. ファイルまたはフォルダ」を除外する場合のみ、「除外対象」ドロップダウンリストで、リアルタイム検索やスケジュール検索、またはその両方に対して除外を指定することを選択します。
  5. 追加」または「次を追加」をクリックします。検索の除外の一覧に除外項目が追加されます。

後から除外を編集するには、除外の一覧で除外項目をクリックし、新しい設定内容を入力して「更新」をクリックします。

検索除外

ファイル、フォルダ、Web サイト、アプリケーションを、検索対象から除外することができます。

ポリシー内で設定されている除外は、ポリシーが割り当てられているサーバーのみに適用されます。

警告

除外を指定すると、セキュリティが大幅に低下する恐れがあります。そのリスクを理解した上で使用してください。

除外の使用方法に関するヘルプについては、除外の安全な使用を参照してください。

検索除外を作成するには、次の手順を実行します。

  1. 除外」で、「除外の追加」をクリックします。
  2. 除外の追加」ダイアログボックスで、「除外の種類」を選択し、除外する項目の種類 (ファイルまたはフォルダ、Web サイト、不要なアプリケーション (PUA)、またはデバイス隔離) を選択します。

  3. 除外する項目 (複数選択可) を指定します。適用されるルールは次のとおりです。

    • ファイルまたはフォルダ (Windows): Windows 環境では、ドライブ、フォルダ、またはファイルを、そのフルパスを指定して除外できます。ワイルドカード文字や変数を使用できます。以下に例を示します。

      • フォルダ: C:\programdata\adobe\photoshop\
      • ドライブ全体: D:
      • ファイル: C:\program files\program\*.vmg

    • ファイルまたはフォルダ (Linux): Linux 環境では、フォルダやファイルを除外できます。ワイルドカード文字「?」および「*」を使用できます。例: /mnt/hgfs/excluded

    • プロセス (Windows): アプリケーションで実行される、いずれのプロセスも除外できます。プロセスが使用するファイルは、そのプロセスによってアクセスされる場合のみに除外されます。「タスク マネージャ」に表示されるプロセス名だけでなく、可能な限り、アプリケーションのフルパスも入力してください。例: %PROGRAMFILES%\Microsoft Office\Office 14\Outlook.exe

      特定のアプリケーションから除外が必要なプロセスや他の項目の全容は、各アプリケーションのベンダーのドキュメントを参照してください。

    • Web サイト (Windows): Web サイトは、IP アドレス、IP アドレスの範囲 (CIDR 記法)、またはドメインで指定できます。例:

      • IP アドレス: 192.168.0.1
      • IP アドレスの範囲: 192.168.0.0/24 最終部分の /24 は、この範囲のすべての IP アドレスに共通のプレフィックスにあるビット数です。このため、/24 はネットマスク 11111111.11111111.11111111.00000000 に等しく、または、10進数表示では 255.255.255.0 となります。この例では、範囲には 192.168.0.0 から 192.168.0.255 までのすべての IP アドレスが含まれます。
      • ドメイン: google.com

      Web サイトを除外した場合、Web サイトのカテゴリはチェックされず、Web コントロールによる保護から除外されます。詳細は、サーバー - Web コントロールを参照してください。

    • 不要と思われるアプリケーション (Windows/Mac/Linux): 通常はスパイウェアとして検出されるアプリケーションを除外できます。システムが検出したのと同じ名前 ("PsExec" や "Cain n Abel" など) を使用して除外を指定します。PUA に関する詳細情報については、アドウェアと不要なアプリケーション (PUA) を参照してください。

    • 検出されたエクスプロイト (Windows/Mac)。検出 ID を使用して、検出されたエクスプロイトを除外できます。このオプションは、ソフォスサポートと協力して誤検知を解決する場合に使用できます。ソフォスサポートでは、検出 ID を提供し、誤検知を除外することができます。これを行うには、「エクスプロイトが表示されていない場合」をクリックし、ID を入力します。

  4. 追加」または「次を追加」をクリックします。検索の除外の一覧に除外項目が追加されます。

後から除外を編集するには、除外の一覧で除外項目をクリックし、新しい設定内容を入力して「更新」をクリックします。

ハッシュの除外

警告

このハッシュの除外は、ソフォスサポートから指示があった場合のみに使用してください。

ハッシュの除外によって Sophos ジャーナルおよび Data Lake のファイルのハッシュが停止されるので、パフォーマンスに影響を与える可能性があります。

ハッシュの除外を追加するには、次の手順を実行します。

  1. 除外」で、「除外の追加」をクリックします。

  2. 除外の追加」ダイアログで、次の手順を実行します。

    1. 除外の種類」で、「ハッシュの除外 (Windows)」を選択します。
    2. ファイル/フォルダまたはプロセス」でファイル、フォルダ、またはプロセスを選択します。
    3. 」を入力して、除外パスを入力します。ドライブ、フォルダ、またはファイルを除外できます。ワイルドカードも使用できます。詳細は、Windows での検索除外を参照してください。
    4. 追加」をクリックします。

  3. 脅威対策」ページで、 保存」をクリックします。

デスクトップ通知

標準の通知文の最後にメッセージを付け加えることができます。メッセージボックスに何も入力しない場合、標準の通知文のみが表示されます。

脅威対策のデスクトップ通知を有効にする」は、デフォルトでオンになっています。オフにすると、脅威対策に関する通知メッセージは表示されなくなります。

追加するテキストを入力します。