ナビゲーションをスキップする
  1. BlackBerry Docs
  2. Cylance Endpoint Security
  3. セットアップ
  4. Cylance Endpoint Security セットアップガイド
  5. CylancePROTECT Desktop のセットアップ
  6. デバイスポリシーを使用した CylancePROTECT Desktop デバイスの管理
  7. スクリプト制御

スクリプト制御

スクリプト制御は、悪意のあるスクリプトの実行をブロックすることで
Windows
 デバイスを保護します。スクリプトの実行を許可する場合は、ワイルドカードを使用していくつかの方法で除外を追加できます。たとえば、スクリプトの実行をブロックし、除外リストに追加されたスクリプトのみを実行できるようにポリシーを設定することができます。
項目
説明
アクション
スクリプトのタイプごとに、次のいずれかのアクションを選択できます。
  • 無効
    :このアクションでは、すべてのスクリプトを実行できますが、コンソールにはレポートしません。この設定は推奨されません。
  • アラート
    :このアクションでは、すべてのスクリプトを実行してコンソールにレポートできます。環境内で実行されているスクリプトをすべて監視する場合に使用する設定です。この設定は、許可またはブロックするスクリプトを決定する初期展開で推奨されます。
  • ブロック
    :このアクションでは、すべてのスクリプトの実行をブロックし、コンソールにレポートします。除外リストに追加されたファイルのみを実行できます。アラートモードでの脅威の検証および監視後に使用する設定です。
Active Script および PowerShell スクリプトの設定では、次の設定を使用できます。
  • 危険なスクリプトをブロック
    :スクリプトがまだ除外リストにない場合、
    CylancePROTECT
    Cylance
     クラウドサービスからスクリプトの脅威スコアを取得し、危険な脅威スコアを受け取った場合、スクリプトの実行がブロックされます。危険なファイルはマルウェアに非常に類似しています。スコアのない異常なスクリプトはコンソールに通知されますが、ブロックされません。
  • 異常なスクリプトと危険なスクリプトをブロック
    :スクリプトが除外リストにない場合、
    CylancePROTECT
    Cylance
     クラウドサービスからスクリプトの脅威スコアを取得し、異常または危険な脅威スコアを受け取った場合、スクリプトの実行がブロックされます。危険なファイルはマルウェアに非常に類似しています。異常なファイルにはマルウェアに類似した属性がありますが、危険なファイルよりマルウェアである可能性は低くなります。スコアのないスクリプトはコンソールに通知されますが、ブロックされません。
[保護] > [スクリプト制御]
の画面で、スクリプト制御アラートを検索したり、イベントをブロックしたりすることができます。
アクティブスクリプト
この設定では、Active Scripts の実行またはブロックを制御します。Active Script には、VBScript や Jscript が含まれます
スクリプト制御を強化するには、
[危険なスクリプトをブロック]
または
[異常なスクリプトと危険なスクリプトをブロック]
のいずれかの設定を使用します。これらの設定には、
CylancePROTECT Desktop
 エージェントのバージョン 3.2 以降が必要です。デバイスがそれ以前のエージェントを実行している場合、スクリプトはデフォルトでブロックされます。
PowerShell スクリプト
この設定では、PowerShell スクリプトの実行またはブロックを制御します。
スクリプト制御を強化するには、
[危険なスクリプトをブロック]
または
[異常なスクリプトと危険なスクリプトをブロック]
のいずれかの設定を使用します。これらの設定には、
CylancePROTECT Desktop
 エージェントのバージョン 3.2 以降が必要です。デバイスがそれ以前のエージェントを実行している場合、スクリプトはデフォルトでブロックされます。
PowerShellコンソール
この設定では、PowerShell コンソールの実行または起動のブロックを制御します。PowerShell コンソールをブロックすると、PowerShell コンソールの対話モードでの使用を防止することで、セキュリティが強化されます。
PowerShell コンソールのアラートモードには、
CylancePROTECT Desktop
 エージェントのバージョン 3.2 以降が必要です。スクリプトを実行し、検出されたイベントを管理コンソールにレポートできます。アラートモードをサポートしていないエージェントの場合、PowerShell コンソールの使用はデフォルトで許可され、アラートは生成されません。
PowerShell コンソールを起動するスクリプトを使用していて、PowerShell コンソールがブロックされている場合、スクリプトは失敗します。可能であれば、PowerShell コンソールではなく PowerShell スクリプトを呼び出すようにスクリプトを変更することをお勧めします。これは、
-file
 スイッチを使用して実行できます。コンソールを起動せずに PowerShell スクリプトを実行するための基本的なコマンド:
Powershell.exe -file [script name]
マクロ
(2.1.1578 以前)
この設定では、
Microsoft Office
 のマクロに対してアラートを出すかブロックするかを制御します。マクロは Visual Basic for Applications(VBA)を使用して、
Microsoft Office
 ドキュメント(通常、
Microsoft Office
Excel
PowerPoint
)内にコードを埋め込むことができます。マクロの主な目的は、スプレッドシート内のデータの操作や文書内のテキストの書式設定など、ルーチン操作を簡略化することです。ただし、マルウェア作成者はマクロを使用してコマンドを実行し、システムを攻撃できます。マクロでシステムを操作しようとすると、悪意のあるアクションが実行されていると見なされます。エージェントは、
Microsoft Office
 製品外に影響を与えるマクロから発生する悪意のあるアクションを探します。
次の点に留意してください。
  • スクリプト制御のマクロ機能は、2.1.1578 以前のバージョンのエージェントで動作します。これより新しいエージェントの場合は、メモリ保護ポリシーの
    危険な VBA マクロ
    違反タイプを使用します。
  • スクリプト制御用に作成されたマクロ除外は、
    危険な VBA マクロ
    違反タイプのメモリ保護除外に追加する必要があります。
  • Microsoft Office
     2013 以降、マクロはデフォルトで無効になっています。ほとんどの場合、
    Microsoft Office
    ドキュメントのコンテンツを表示するのにマクロを有効にする必要はありません。マクロは、信頼するユーザーから受け取ったドキュメントで、有効にする正当な理由がある場合のみ有効にします。それ以外の場合は、マクロは常に無効にする必要があります。
Python
この設定では、Python スクリプト(バージョン 2.7 および 3.0~3.8)の実行またはブロックを制御します。この設定は、2.1.1580 以降のエージェントで有効です。
.NET DLR
この設定では、NET DLR スクリプトの実行またはブロックを制御します。この設定は、2.1.1580 以降のエージェントで有効です。
XLM マクロ
(プレビュー)
XLM マクロ機能は現在、プレビューモードで提供されているため、予想外の動作が発生する可能性があります。
この設定では、
CylancePROTECT Desktop
 での
Excel
 4.0(XLM)マクロの実行またはブロックを制御します。マクロが有効化され実行されると、
Microsoft
 AMSI インターフェイスがエージェントと連携して、デバイスポリシーに従ってマクロの実行を許可するかブロックするかを判断します。
この機能の使用条件は次のとおりです。
  • Microsoft Windows
     10 以降
  • CylancePROTECT Desktop
     エージェントバージョン 3.1
  • VBA マクロは
    Excel
    [ファイル] > [トラストセンター] > [Excel トラストセンター] > [マクロ設定]
     のメニューで無効にする必要があります。
詳細設定
次の詳細設定はスクリプトのスコアリングを促進し、スクリプト制御に役立ちます。
  • すべてのスクリプトをスコアリング
    :この設定では、スクリプト制御の設定に関係なく、すべてのスクリプトがスコアリングされます。デフォルトでは、スクリプト制御の設定が[アラート]または[ブロック]に設定されている場合、スクリプトはスコアなしのままになります。
  • スクリプトをクラウドにアップロード
    :この設定では、スクリプトのコピーを
    CylancePROTECT
     クラウドサービスにアップロードして脅威の分析とスコアリングを行うかどうかを指定します。このオプションが選択されていない場合、
    CylancePROTECT
     はハッシュの詳細を使用してスクリプトのスコア取得を試行します。
  • 疑わしいスクリプト実行についてのみアラート
    :スクリプトがスコアリングされ、脅威が検出されなかった場合、この設定では、スクリプトの実行を管理コンソールにレポートしないことを指定します。このオプションが選択されていない場合、脅威を検出できなくても、すべてのスクリプトの実行を管理コンソールにレポートします。
ファイル、スクリプト、プロセスの除外
スクリプト制御が「プロック」になっている場合でも、フォルダを指定しておくことで、アラートを生成することなく、当該のフォルダ(およびサブフォルダ)内のスクリプトを実行できるようにすることができます。また、プロセスの除外を追加することで、特定のアプリケーションのスクリプトを適切に実行して、それ以外のものをブロックするようにすることもできます。たとえば、IT 部門が特定のツールを使用して常にスクリプトを実行する場合は、当該ツールでのプロセスを除外として追加することで、特定のツールによるスクリプトの実行が可能になります。
フォルダまたはサブフォルダの相対パスを指定します。フォルダパスは、ローカルドライブ、マッピングされたネットワークドライブ、または UNC(Universal Naming Convention)パスとして使用できます。
フォルダとスクリプトの除外
  • フォルダの除外には、スクリプトやマクロのファイル名を含めることはできません。これらのエントリは無効となり、エージェントでは無視されます。
  • 特定のスクリプトを除外する場合は、ワイルドカードを使用する必要があります。ワイルドカードで特定のスクリプトを除外する方法について、詳しくは スクリプト制御の除外におけるワイルドカード を参照してください。
  • 「everyone」のグループに書き込み権限が付与されると、組織内外の誰もがスクリプトをフォルダやサブフォルダにドロップして、書き込むことができるようになります。
    CylancePROTECT Desktop
     では、継続的にスクリプトに関するアラートを送信したりブロックしたりすることになります。書き込み権限は、直接の親フォルダだけでなく、あらゆるすべての親フォルダに適用されます。
プロセスの除外
  • プロセスの除外を使用するには、エージェントのバージョンが 2.1.1580 以降である必要があります。
  • プロセス除外の実行可能ファイルは、実行制御により隔離されるため、実行がブロックされる可能性があります。実行可能ファイルが隔離されている場合は、ファイルを
    [ファイルアクション]
    タブの
    [ポリシーセーフリスト]
    に追加する必要があります。
  • プロセス除外では、引き続きスクリプトの実行が許可され、指定したフォルダからの実行が制限されなくなります。