保護設定
CylancePROTECT Desktop
は、悪意のあるプロセスの実行を常に監視し、危険または異常なものの実行が試行されたときにコンソールに通知します。CylancePROTECT Desktop
エージェントを設定するには、デバイスポリシーの[保護設定]
タブにある下記設定から行います。オプション | 説明 |
---|---|
デバイスからのサービスシャットダウンを防止 | このオプションを選択すると、デバイスユーザーは CylancePROTECT Desktop エージェントのサービスまたは次のバージョンの CylanceOPTICS エージェントのサービスを停止できなくなります。
この設定を有効にすると、 macOS ユーザーは、デバイスプロパティの自己保護レベルが[ローカル管理者]に設定されている場合にのみ、サービスを停止できるようになります([アセット] > [デバイス] > デバイスをクリック)。この設定が有効になっている限り、Windows ユーザーはエージェントサービスを停止できません。バージョン 3.1 以降の CylancePROTECT Desktop エージェントは、Microsoft の Antimalware Protected Process Light(AM-PPL)テクノロジを使用した信頼できるサービスとして実行され、エージェントのシャットダウンを防止することもできます。この機能を使用するには、デバイスが Windows 10 1709 以降、または Windows Server 2019 以降を実行している必要があります。 |
実行中の危険なプロセスとそのサブプロセスを強制終了 | この設定を選択すると、脅威が検出されたときの状態に関係なく、エージェントはプロセスと子プロセス(.exe や .dll)を終了します。これにより、デバイス上で実行されている可能性のある悪意のあるプロセスを詳細に制御できます。 ファイルは、自動隔離、手動隔離、またはグローバル隔離リストを使用して隔離する必要があります。この機能は、ファイルを隔離する前に有効にする必要があります。この機能が有効になっていても、ファイルが隔離または自動隔離されていない場合、プロセスは引き続き実行されます。 例: あるファイルの実行が許可されていたときに、それを隔離することにしたとします。この設定を有効にすると、ファイルが隔離され、子プロセスとともにプロセスが終了します。この設定を無効にすると、ファイルは隔離されますが、ファイルの実行が許可されているため、ファイルによって開始されたプロセスは引き続き実行される可能性があります。 |
バックグラウンド脅威検出 | ディスク全体のスキャンを実行して、ディスク上に潜伏している脅威を検出して分析します。フルディスクスキャンは、システムリソースの使用を少なくすることで、エンドユーザーへの影響を最小限に抑えるように設計されています。バックグラウンド脅威検出スキャンには、システムの使用状況と分析が必要なシステム上のファイルの数に応じて、最大 1 週間かかることがあります。最新のバックグラウンドスキャンが完了した日時がコンソールに記録されます。 スキャンは、インストール時にのみ 1 回実行するか、指定した繰り返し間隔で実行するかを選択できます。デフォルトのスキャン間隔は 10 日です。検出モデルへの大幅なアップグレード(新しいオペレーティングシステムの追加など)も、フルディスクスキャンをトリガーします。スキャンの実行頻度を増やすと、デバイスのパフォーマンスに影響を与える可能性があることに注意してください。 [バックグラウンド脅威検出] 設定を[1 回実行] に設定し、[新しいファイルの監視] を有効にして、ディスク上の新しいファイルや更新ファイルを監視することをお勧めします。新しいファイルや更新ファイルを監視する場合、既存ファイルを一度すべてスキャンする必要があります。予測的な性質を備えた技術のため、ディスク全体を定期的にスキャンする必要はありませんが、コンプライアンスの理由で実装していても問題ありません(PCI コンプライアンスなど)。同じ VM ホストの複数の VM デバイスでバックグラウンド脅威検出スキャンを同時に実行すると、デバイスのパフォーマンスに影響します。この機能を VM デバイスに対して段階的に有効にして、同時に実行されるスキャンの数を制限することを検討してください。 スキャンを手動で実行するには、次のいずれかのコマンドを使用します。
|
新しいファイルを監視 | この設定では、エージェントが新しいファイルや変更ファイルをスキャンおよび分析して、潜伏している脅威を確認することができます。脅威が検出された場合、ファイルは実行の有無問わず隔離されます。この設定は、バックグラウンド脅威検出(1 回実行)と併せて有効にすることをお勧めします。 自動隔離(実行制御)モードでは、実行時に危険なファイルや異常なファイルをブロックします。したがって、スキャン中にエージェントが脅威を検出したときに悪意のあるファイルを隔離する場合を除き、[自動隔離]モードが有効になっている場合は、[新しいファイルの監視]を有効にする必要はありません。 この設定は、パフォーマンスに影響する可能性があります。ディスク処理やメッセージ処理を監視して、パフォーマンスに変化がないか確認することをお勧めします。特定のフォルダを除外すると、パフォーマンスが向上する場合があります。また、エージェントが特定のフォルダやファイルをスキャンまたは分析する対象から外すことができます。 |
スキャンする最大アーカイブファイルサイズを設定 | エージェントがスキャンするアーカイブファイルの最大サイズを指定します。この設定は、 [バックグラウンド脅威検出] と[新しいファイルの監視] の設定に適用されます。アーカイブファイルをスキャンしない場合は、ファイルサイズを 0 MB にします。 |
特定のフォルダを除外 | この設定では、フォルダやサブフォルダを指定して、 [バックグラウンド脅威検出] や[新しいファイルの監視] の機能によるスキャン対象から除外することができます。Windows では、絶対パス(ドライブ文字を使用)を使用します。(例:C:\Test )。macOS の場合は、ルートからの絶対パスを使用します。ドライブ文字は使用しません。(例:/Applications/SampleApplication.app )。Linux の場合は、ルートからの絶対パスを使用します。ドライブ文字は使用しません。(例:/opt/application )。Windows の例 : C:\Test macOS の例(スペースなし ): /Applications/SampleApplication.app macOS の例(スペースあり ): /Applications/Sample\ Application.app Linux の例 : /opt/application/ ワイルドカード * は、フォルダの除外にも対応しています。詳細については、「保護設定のフォルダの除外におけるワイルドカード」を参照してください。 除外は以前の設定には影響しません。エージェントの初回インストール後、[バックグラウンド脅威検出]および[新しいファイルの監視]の機能では、設定された除外リストに従ってファイルを無視します。最初の検出または有害判定の後に除外を追加しても、既に検出または有害判定を受けたファイルが改めて除外されることはありません。以前に検出または有害判定を受けたファイルは、ローカルで撤回されるかグローバルセーフリストに追加されるまで、この状態のままになります。 たとえば、新しいファイルの監視で C:\Windows\ccmcache\test.exe という名前のファイルが有害判定された後で、C:\Windows\ccmcache\ が[保護設定]タブに追加された場合、有害判定されたファイルは、そのフォルダが除外として追加されても、有害のままになります。この場合、ローカルで有害判定を解除するか、ファイルをグローバルセーフリストに追加するまで、ファイルは有害と見なされます。 |
実行を許可 | ファイルは、[特定のフォルダを除外]で指定されている場合も含め、どのフォルダから実行されようと、実行制御/自動隔離の対象になります。[実行を許可]設定を有効にすると、[特定のフォルダを除外]リストで指定したフォルダからファイルを実行できます。この設定は、最初や最後の入力項目だけでなく、リスト内のすべてのフォルダに適用されます。 これらのフォルダにドロップされたファイルや脅威は実行が許可されるので、デバイスや組織が侵害されるおそれがあります。不正なファイルを除外フォルダに追加しないように十分に注意してください。 |
ファイルサンプルのコピー(マルウェア) | 共有ネットワークドライブを指定して、バックグラウンド脅威検出で検出されたファイルサンプルのコピーを保存したり、新しいファイルを監視したり、実行制御を実施したりします。これにより、 CylancePROTECT Desktop が危険または異常と見なしたファイルを独自に分析できます。
|