CylancePROTECT Desktop テストポリシーの作成
CylancePROTECT Desktop
テストポリシーの作成段階的なアプローチで
CylancePROTECT Desktop
のポリシー機能を実装し、パフォーマンスと運用に影響を与えないようにする必要があります。デフォルトでは、デバイスポリシーを作成しても、ポリシー機能は有効にならないため、手動で有効にする必要があります。各自の環境に記録される脅威の種類と CylancePROTECT Desktop
エージェントの動作を理解すると、徐々に多くのポリシー機能を有効にすることができます。組織で使用されているアプリケーションを搭載したデバイスで、デバイスポリシーをテストすることをお勧めします。デバイスポリシーのテストに使用するデバイスは、クリーンなマシンではなく、実稼働環境のデバイスを正確に表していることが重要です。これは、
CylancePROTECT Desktop
エージェントを介してポリシーが適用されたときに、アプリケーションが正しく実行できることを保証するためです。たとえば、実稼働環境で使用しているデバイスのうち、ユーザーが日常業務に必要とするすべてのアプリケーション(独自仕様およびカスタム)を含むサブセットを選択します。エージェントは実行制御とプロセス監視を使用して、実行中のプロセスのみを分析します。これには、起動時に実行され、自動実行に設定され、ユーザーが手動で実行するすべてのファイルが含まれます。エージェントは、管理コンソールにのみアラートを送信します。デフォルトでは、ブロックまたは隔離されたファイルはありません。
- 管理コンソールで、[ポリシー] > [デバイスポリシー] > [新しいポリシーを追加]をクリックします。
- [ポリシー名]フィールドに、テストポリシーの名前を入力します。
- [自動アップロード]を有効にすると、疑わしいファイルを分析してCylancePROTECTクラウドサービスに送信し、詳細に分析できます。
- [ファイルアクション]タブの[自動アップロード]セクションで、使用可能なすべてのファイルタイプを選択します。
- [作成]をクリックして、初期テストポリシーを作成します。
- テストに使用するCylancePROTECT Desktopエンドポイントに初期テストポリシーを割り当てます。
- テストポリシーを割り当てたデバイスは 1 日以上稼働させ、デバイスで通常使用されるアプリケーションとプロセスが実行され、分析されるようにします。このテストの実行以外で監視する必要があるデバイスで定期的(週 1 回など)に実行する必須のアプリケーションを検討することをお勧めします。
- ポリシーのテスト中にコンソールの[保護] > [脅威]画面に移動して、CylancePROTECTが脅威(異常または危険)と見なすアプリケーションとプロセスのリストを確認し、エンドポイントで実行を許可するアプリケーションとプロセスを特定します。脅威をクリックすると、その脅威の詳細が表示され、悪意のあるファイルをダウンロードして脅威を独自に調査できます。悪意のあるファイルは変更されませんが、ファイル拡張子なしで SHA256 ハッシュを使用して名前が変更されるため、誤ってそのファイルが検出されることはありません。元のファイル拡張子を含むように名前を変更すると、悪意のあるファイルが実行されるおそれがあります。個人情報は、コンソールやその他のテナントまたは組織と共有されません。
- [ポリシー] > [デバイスポリシー]に移動し、デバイスポリシーを編集して、このポリシーが割り当てられているエンドポイントで特定のアプリケーションやプロセスを実行できるようにします。[ファイルアクション]タブの[ポリシーセーフリスト]]セクションにファイルを追加できます。また、特定のデバイスまたは組織内のすべてのデバイスにあるファイルを隔離または放棄することもできます。詳細については、「CylancePROTECT Desktop のセーフリストと危険リストの管理」を参照してください。
- デバイスポリシーを編集して、バックグラウンド脅威検出スキャンを有効にし、ディスクにある、休止中の脅威と思われる実行可能ファイルを分析します。
- [保護設定]タブで、[バックグラウンド脅威検出]設定を有効にし、[1 回実行]オプションを選択します。ソリューションの予測機能のために定期にスキャン行う必要はありませんが、コンプライアンス目的などで[定期的に実行]を選択して有効にすることもできます。
- [新しいファイルを監視]設定を有効にします。この設定は、デバイスのパフォーマンスに悪影響を及ぼすおそれがあります。フォルダの除外を追加すると、影響が軽減される場合があります。
- 特定のフォルダをバックグラウンド脅威検出から除外するには、[特定のフォルダを除外(サブフォルダを含む)]を選択し、除外するフォルダを指定します。指定したフォルダ内のファイルの実行を許可するには、[実行を許可]を選択します。こうしたフィールドの詳細については、「保護設定」を参照してください。
- [保存]をクリックしてポリシーを保存します。
- ポリシーを再度テストし、ユーザーが使用する必要があるアプリケーションが実行を許可されていることを確認します。バックグラウンド脅威検出スキャンには、システムの使用状況と分析が必要なファイルの数に応じて、最大 1 週間かかることがあります。必要に応じて、ポリシーセーフリスト、グローバルセーフリストにファイルを追加するか、個々のデバイスについてファイルを放棄します。保護設定でファイルを含むフォルダを除外することもできます。
- デバイスポリシーを編集して、システムで実行されている危険なプロセスは強制終了させます。たとえば、実行可能ファイル(.exe または .msi)で脅威が検出され、危険と見なされた場合は、この設定により、実行中のプロセスおよびそのサブプロセスが強制終了されます。
- [保護設定]タブで、[実行中の危険なプロセスとそのサブプロセスを強制終了]設定を有効にします。
- ポリシーを編集して、危険なファイルや異常なファイルの自動隔離設定を有効にします。
- [ファイルアクション]タブの[危険]テーブル列で、[実行可能ファイル]の横にある[自動隔離]設定を有効にして、危険なファイルをデバイスの隔離フォルダに自動的に移動します。危険なファイルにはマルウェア属性が設定されており、マルウェアである可能性があります。
- [異常]で、[自動隔離]を有効にして、異常なファイルをデバイスの隔離フォルダに自動的に移動します。異常なファイルにはマルウェア属性がいくつか設定されていますが、危険なファイルよりは少ないため、マルウェアである可能性は低くなります。
- ポリシーを編集してメモリ保護設定を有効にし、メモリエクスプロイト、プロセスの注入、エスカレーションを処理します。
- デバイスポリシーの[メモリアクション]タブで[メモリ保護]を有効にし、違反タイプを[アラート]に設定します。違反タイプがアラートに設定されているときにそのタイプの脅威が検出された場合、エージェントはコンソールに情報を送信しますが、デバイスメモリで実行されているプロセスをブロックしたり終了したりすることはありません。
- ポリシーのテスト中にコンソールの[保護] > [メモリ保護]画面に移動して、脅威である可能性のあるプロセスのメモリ保護アラートのリストを確認します。
- 日常的な業務に使用しても安全であると判断したプロセスがある場合は、実行を許可するプロセスに対して除外を追加します。デバイスポリシーの[メモリアクション]タブで[除外を追加]をクリックし、ファイルへの相対パスを指定します。
- 実行を許可するプロセスの除外を指定した後、すべての違反タイプについてアクションを[ブロック]に設定します。違反タイプがブロックされると、エージェントはコンソールに情報を送信し、悪意のあるプロセスがメモリ内で実行されないようにブロックします。悪意のあるプロセスを呼び出したアプリケーションは、引き続き実行できます。
- ポリシーを編集して、デバイス制御設定を有効にします。この例では、すべてのデバイスタイプへのアクセスをブロックし、例外を許可する方法を示しますが、逆にすべてのデバイスタイプへのフルアクセスを許可し、例外をブロックすることも可能です。
- デバイスポリシーの[デバイス制御]タブで、[デバイス制御]ポリシーを有効にします。
- 各 USB デバイスタイプのアクセスレベルを[フルアクセス]に設定します。
- ポリシーを保存します。
- テストデバイスに USB デバイスを挿入します。
- 管理コンソールで[保護] > [外部デバイス]の順に選択し、許可するデバイスのベンダー ID、製品 ID、およびシリアル番号を確認します。メーカーによっては、製品に固有のシリアル番号を使用しません。複数の製品に同じシリアル番号を使用しているメーカーもあります。
- デバイスポリシーの[デバイス制御]タブの[外部ストレージの除外リスト]セクションで、[デバイスを追加]をクリックして、許可するデバイスを追加します。
- テストが完了した後で、各デバイスタイプのアクセスレベルを[ブロック]に設定します。必要に応じて除外を追加できます。
- ポリシーを編集して、スクリプト制御設定を有効にします。推奨されるテスト期間は 1~3 週間です。
- デバイスポリシーの[スクリプト制御]タブで、[スクリプト制御]ポリシーを有効にします。
- 各スクリプトタイプのポリシーを[アラート]に設定します。スクリプト制御で警告が設定されている時間が長いほど、組織で使用されている実行頻度の低いスクリプトを検索する可能性が高くなります。Active Directory設定をスクリプトで管理している場合は、スクリプト制御設定を有効にすると大量のイベントが発生する可能性があります。
- [保護] > [スクリプト制御]に移動し、許可するデバイスで実行されたスクリプトを識別します。
- デバイスポリシーの[スクリプト制御]タブの[ファイル、スクリプト、またはプロセスを除外]セクションで、[除外を追加]をクリックし、許可するスクリプトの相対プロセスパスを指定します(例:\Cases\AllowedScripts)。
- 実行を許可するスクリプトの除外を追加した後で、各スクリプトタイプのポリシーを[ブロック]に設定します。