- Cylance Endpoint Security の要件
- 管理コンソールへのログイン
- 新規 Cylance Endpoint Security テナントの設定
- BlackBerry Connectivity Node のインストール
- 会社のディレクトリへのリンク
- 管理者の設定
- ユーザーとデバイスの追加
- CylancePROTECT Mobile および CylanceGATEWAY ユーザーの登録
- CylancePROTECT Desktop および CylanceOPTICS を管理するためのゾーンの設定
- CylancePROTECT Desktop のセットアップ
- CylancePROTECT Desktop の展開のテスト
- デバイスポリシーを使用した CylancePROTECT Desktop デバイスの管理
- Windows 用 CylancePROTECT Desktop エージェントのインストール
- macOS 用の CylancePROTECT Desktop エージェントのインストール
- Linux 用の CylancePROTECT Desktop エージェントのインストール
- CylancePROTECT Desktop および CylanceOPTICS エージェントの削除時にユーザーにパスワードの入力を要求する
- CylancePROTECT Mobile のセットアップ
- CylanceOPTICS のセットアップ
- CylanceGATEWAY のセットアップ
- プライベートネットワークの定義
- CylanceGATEWAY Connector のセットアップ
- CylanceGATEWAY コネクタの vSphere 環境へのインストール
- ESXi 環境への CylanceGATEWAY Connector のインストール
- CylanceGATEWAY Connector を Microsoft Entra ID 環境にインストールするための前提条件
- CylanceGATEWAY Connector を Microsoft Entra ID 環境にインストールする
- CylanceGATEWAY Connector を Hyper-V 環境にインストールする
- AWS 環境への CylanceGATEWAY Connector のインストール
- VM 環境での CylanceGATEWAY Connector の設定
- OpenSSH を使用して CylanceGATEWAY Connector にアクセスする
- CylanceGATEWAY Connector 用ファイアウォールの設定
- BlackBerry Infrastructure への CylanceGATEWAY Connector の登録
- 登録されている CylanceGATEWAY Connector の詳細の表示
- CylanceGATEWAY Connector の設定
- CylanceGATEWAY Connectors の管理
- CylanceGATEWAY コネクタの管理
- CylanceGATEWAY Connector の更新
- UDP 接続テストの応答
- プライベートネットワークの指定
- プライベート DNS の指定
- DNS サフィックスの指定
- プライベート CylanceGATEWAY エージェントの IP 範囲の指定
- 自分の IP アドレスを使用する(BYOIP)
- CylanceGATEWAY Connector のセットアップ
- CylanceGATEWAY を使用したネットワークアドレス変換
- ネットワークサービスの定義
- ネットワークアクセスの制御
- ネットワーク保護の構成
- ACL ルールとネットワークサービスの検索
- ソース IP ピン設定の使用
- Gateway サービスのオプション設定
- Cylance Endpoint Security を MDM ソリューションに接続して、デバイスが管理されているかどうかを確認
- CylanceGATEWAY エージェントのインストール
- プライベートネットワークの定義
- CylanceAVERT のセットアップ
- CylancePROTECT Desktop および CylanceOPTICS エージェントの更新の管理
- 外部サービスへの Cylance Endpoint Security の接続
- 付録:Windows 仮想マシンに CylancePROTECT Desktop を展開するためのベストプラクティス
除外とそれを使用するタイミング
次の表では、各タイプの除外を説明し、それらを適切に使用するタイミングと方法に関して一般的なガイダンスを示します。
除外タイプ | 説明と例 |
|---|---|
ポリシーセーフリスト(ファイルアクション) | ポリシーセーフリストは、デバイスポリシーの [ファイルアクション] タブで指定します。デバイスにデバイスポリシーが割り当てられている場合、デバイスはポリシーセーフリストで指定されたファイルを実行できます。ポリシーセーフリストは特定のデバイスのポリシーレベルで適用されますが、グローバルセーフリストまたは隔離リストはすべてのデバイスのグローバルレベルで適用されます。ポリシーセーフリストは、グローバル隔離リストよりも優先されます。ポリシーセーフリストに追加されたファイルは、そのファイルがグローバル隔離リストに登録されている場合でも、ポリシーが割り当てられているすべてのデバイスで実行できます。グローバル隔離リストは、すべてのデバイスでファイルの実行をブロックします。 例:PSEXEC などの権限の昇格ツールを頻繁に使用して日常業務を行っているとします。他のユーザーに同じ権限を持たせず、自社の日常業務に影響を与えることなく、そのようなツールを使用できないようにしたいと考えています。これを行うには、グローバル隔離リストに PSEXEC を追加し、ポリシーセーフリストに同じファイルハッシュを追加します。次に、PSEXEC をセーフリストに追加した特定のデバイスポリシーに、ユーザーと他の許可ユーザーのみが割り当てられていることを確認します。結果的に、デバイスポリシーに割り当てられていないすべてのユーザーは PSEXEC を隔離していますが、デバイスポリシーに割り当てられているユーザーは使用できることになります。 |
実行可能ファイルまたはマクロファイルを除外(メモリ保護) | [メモリ保護] が有効になっている場合、メモリ保護ポリシーの除外は、デバイスポリシーの[メモリアクション] タブで指定します。メモリ保護の除外を指定すると、エージェントは特定アプリケーションからの特定タイプの違反を無視するようになります。言い換えると、アプリケーションが特定タイプの違反を引き起こすアクションを実行しても、アプリケーションのブロックまたは終了を回避できます。 メモリ保護が有効になっている場合、エージェントはアプリケーションプロセスを監視し、プロセスが実行する特定のアクションをチェックしています。エージェントが監視している特定のアクション(LSASS 読み取りなど)をプロセスが実行する場合、エージェントはデバイスポリシーに従ってそのアクションに応答します。偽陽性のイベントが発生し、メモリ保護によって、アプリケーションによるアクションがブロックされたり、アプリケーションが完全に終了されたりする場合もあります。このような状況では、メモリ保護の除外を指定できます。特定のアプリケーションを特定の違反タイプから除外すると、ブロックまたは終了せずに、意図したとおりにアプリケーションを実行できます。 例:デフォルトの場合、組織では、全アプリケーションの全メモリ保護違反がブロックされます。担当者は Test.exe を頻繁に使用しており、LSASS 読み取り違反にのみ、正当な理由があると理解しています。このような場合、エージェントが Test.exe からの LSASS 読み取り違反のみを無視するように除外を追加できます。他のタイプの違反が発生した場合、エージェントは Test.exe をブロックします。 メモリ保護の除外では、相対パス(ドライブ文字は不要)を使用し、実行可能ファイルのレベルまで指定できます。例:
実行可能ファイルのレベルでは、相対パスなしで除外を指定することは推奨されません。たとえば、 \Test.exe に対して除外が設定されている場合、同じ名前の悪意のあるファイルは、デバイス上の任意のフォルダから実行できます。 |
特定のフォルダを除外(保護設定) | [バックグラウンド脅威検出] が有効になっている場合、バックグラウンド脅威検出の除外は、デバイスポリシーの[保護設定] タブで指定します。これは、ディレクトリセーフリストと呼ばれます。ディレクトリを除外すると、スキャンの実行時に、そのディレクトリ内のすべてのファイル(サブフォルダを含む)が無視されます。[実行を許可] を選択すると、エージェントは除外ディレクトリから起動された実行可能ファイルをすべて無視します。例:組織内のアプリケーション開発者は、コンパイル時に生成される一時ファイルを格納するために、特定のディレクトリ( C:\DevFiles\Temp など)を使用します。エージェントは、これらのファイルをスキャンし、検出されたさまざまな特性により安全でないと判断した場合、それ以降、これらのファイルを隔離することになります。開発者は、一時ディレクトリを許可する要求を送信します。このような場合、C:\DevFiles\Temp ディレクトリを追加すると、一時ファイルは無視され、開発者は作業を実行できるようになります。 |
フォルダの除外(スクリプト制御) | [スクリプト制御] が有効になっている場合、スクリプト制御ポリシーの除外は、デバイスポリシーの[スクリプト制御] タブで指定します。指定したディレクトリでスクリプトを実行できるようにする場合は、除外を追加できます。スクリプト制御除外を追加する場合は、相対パスを指定します。サブフォルダも除外に含まれます。例:IT 管理者は、 C:\Scripts\Subfolder\Test にあるスクリプトを実行しようとしています。IT 管理者がスクリプトを実行しようとするたびに、スクリプトはスクリプト制御によってブロックされます。スクリプトを実行可能にするには、スクリプト制御ポリシーの除外として、次のいずれかの相対パスを追加できます。
|