エンドポイント保護の設定

この記事では、エンドポイントを保護するためにCatoのエンドポイント保護（EPP）ソリューションを設定する方法を説明します。

概要

Cato の EPP ソリューションには、ファイルプロテクション、エンジン: ファイルプロテクションが含まれています。これはエンドポイント上のファイルをスキャンします。; プロセススキャンはプロセスをスキャンし、エンドポイントで実行されているプロセスをスキャンします。ソフトウェアの脆弱性。エンドポイント保護設定はCato管理画面で設定され、攻撃サーフェス全体のセキュリティを集中管理する方法を提供します。 エンドポイント保護プロファイルでは、各エンジンの保護レベルを設定し、潜在的な脅威への対応方法を定義できます。 エンドポイント保護ポリシーを使って、エンドポイント保護プロファイルをエンドユーザーまたはエンドポイントに適用します。

正当なファイルまたはプロセスが悪意のあるものと識別されるのを防ぐために、許可リストにファイルまたはプロセスを追加できます。追加の保護のために、特定のエンドポイントでオンデマンドスキャンを実行できます。

注記

注：中国にあるデバイスは、地域の制限により、Cato に EPP を登録することができません。

EPPエンジン

既知および未知のマルウェアからエンドポイントを保護するために、カトのエンドポイント保護ソリューションは完全なセキュリティソリューションのための三層の保護を提供します。各層は異なる検出技術を利用して、さまざまなタイプの攻撃を識別し防止します。

アンチマルウェア（ファイル保護）

ファイルプロテクションエンジンは、アーカイブファイル、ZIPファイルおよびRARを含む、300以上のファイルタイプのスキャンをサポートしています。ファイルはダウンロードまたはエンドポイントにコピーされた際、さらにエンドユーザーがアクセスしようとしたときにスキャンされます。オンデマンドスキャンを使用して、いつでもエンドポイント上のすべてのファイルをスキャンすることもできます。

動作解析

振る舞い分析エンジンは、ヒューリスティックな方法を使用して未知およびゼロデイの脅威に対抗します。アプリケーションとプロセスは、その振る舞いに基づいて悪意のある活動の兆候を検出するために継続的にモニタリングされます。悪意のある行動の例としては以下のようなものがあります：

他のプロセスの領域でコードを実行または注入し、より高い特権で実行する
権限が昇格されているレジストリの場所での違法な操作のアクセスまたは実行
システムまたはWindowsフォルダ内のファイルのコピーまたは移動

アンチエクスプロイト

注記

注記: EPP v1.1以降でサポートされています

アンチエクスプロイトエンジンは、ソフトウェアの脆弱性を利用する既知および未知の脅威に対抗するために機械学習を使用します。システムプロセス、ブラウザー、Microsoft Office、およびAdobe Readerは、ソフトウェアの脆弱性を悪用する技術を検出するために継続的に監視されます。検出された技術の例には以下が含まれます：

権限昇格: プロセスが無許可の特権を取得しリソースにアクセスしようとする
プロセスの内省: 実行中のプロセス、システムリソース、メモリ使用量、その他の重要なデータについて詳細情報を収集しようとする試み
LSASSクレデンシャルダンピング: LSASSプロセスのメモリにアクセスして機密認証情報を抽出しようとする試み

脅威への対応

EPPエンジンが潜在的に悪意のあるアクティビティを識別すると、保護設定がEPPが取るアクションを定義します。さらに、行動分析エンジンのために、未知の脅威を識別する際の感度を定義できます。

以下のテーブルは、各保護レベルとその使用例を説明しています。

保護	説明	サンプル使用ケース
オフ	EPPスキャンは実行されず、イベントは作成されません。	このEPPエンジンを使用しないことを選択しています。
モニター	悪意のある活動が識別された場合にイベントが作成されますが、それ以上のアクションは取られません。	悪意のあるファイルやプロセスに対するデータを収集したいが、実行は防ぎたくない場合です。
ブロック	悪意のあるファイルまたはプロセスは実行できません。ファイルは変更されず、元の場所から移動されません。これは行動分析およびアンチエクスプロイトエンジンのデフォルト設定です。	悪意のあるファイルまたはプロセスを識別し、ブロックしたい場合です。
ブロックと是正措置	悪意のあるファイルまたはプロセスを実行できません。ファイルは暗号化されて隔離されるか、可能でない場合は削除されます。これはアンチマルウェアのデフォルト設定です。	悪意のあるファイルまたはプロセスを識別し、ブロックし、隔離したい場合です。
終了	感染したアプリケーションプロセスを終了します。	悪意のあるプロセスを終了して、実行を続けないようにします。
終了して改善	感染したプロセスを終了し、成功した場合はマルウェアの痕跡を削除します。これには、ファイルの変更を元に戻したり、レジストリキーを削除したり、サービスをアンインストールしたりすることが含まれる場合があります。	プロセスを終了し、持続性を取り除くことを保証します。
プロセスの終了	エクスプロイトされたアプリケーションプロセスおよびリンクされている可能性のあるすべてのプロセスを終了します	エクスプロイトされたプロセスにコードを注入したプロセスを終了します。

行動分析ヒューリスティック感度レベル

行動分析エンジンは予測モデルと学習ヒューリスティクスに基づいて潜在的な脅威を検出します。エンジンの感度レベルは、潜在的脅威を識別するための信頼のレベルを決定します。例えば、攻撃的な設定は、そのプロセスが悪意のあるものであるという確信レベルが低いプロセスを識別します。この設定は、誤検知を増加させる可能性があります。

以下のオプション表では、感度レベルとその使用例を説明します。

感度レベル	説明	使用例
寛容	非常に高い確信を持って悪意のあると判断されたプロセスのみを検出します。これは感度が最も低い設定です。	確実に悪意があるプロセスのみを検出したい。
バランス	高い確信を持って悪意のあると判断されたプロセスを検出します。	おそらく悪意のあるプロセスを検出したい。
攻撃的	低い確信を持って悪意のあると判断されたプロセスを検出します。これは感度が最も高い設定です。	おそらく、しかし確実ではない悪意のあるプロセスを検出したい。

エンドポイント保護設定の構成

アカウントのエンドポイントをどのようにエンドポイント保護(EPP)が保護するか定義するには、各エンジンの保護レベルを定義するためにEPP プロファイルを使用します。その後、EPPポリシー内のルールを使用してプロファイルが適用されるエンドポイントのスコープを定義します。 プロファイルは、特定のエンドユーザー、特定のエンドポイント、またはその両方に適用できます。

エンドポイント保護ポリシーは、順序付けられたルールベースです。ポリシー内のルールは、一致するルールがあるかどうかを確認するために、ファイルとプロセスに順次適用されます。ルールベースの上にあるルールは優先順位が高く、ルールベースの下にあるルールよりも接続に適用されます。例えば、ルール#1がファイル保護ブロック対応を持ち、悪意のあるファイルが識別されたエンドポイントに適用される場合、そのファイルはブロックされます。ファイルに対してはそれ以上のルールは適用されません。最終デフォルトルールは、デフォルトプロファイルをすべてのエンドポイントに適用し、編集することはできません。

エンドポイント保護プロファイルの定義

EPP プロファイルは、ファイル保護と行動分析エンジンの保護設定を定義します。あなたのEPP ポリシーの要件に基づいて、異なるプロファイルを定義できます。

エンドポイント保護プロファイルを定義するには：

ナビゲーションメニューから、セキュリティ > エンドポイント保護 をクリックします。
プロファイル タブをクリックします。
新規をクリックします。

新しいエンドポイント保護プロファイルを作成パネルが開きます。
プロファイルの設定を定義します。
適用をクリックし、その後保存をクリックします。

エンドポイント保護ポリシーの作成

ソースとプロファイルでEPP ポリシーのルールを定義します。ソースは、エンドポイントIDに基づいたエンドユーザーのアイデンティティやエンドポイントデバイスになることができます。各エンドユーザーまたはエンドポイント（ソース）に適用される保護レベル（プロファイル）を設定することもできます。これにより、あなたの環境全体で各エンドポイントに対して各EPPエンジンがどのように使用されるかをカスタマイズできます。

エンドポイント保護ポリシーを作成するには：

ナビゲーションメニューから、セキュリティ > エンドポイント保護 をクリックします。
新規をクリックします。

新しいエンドポイント保護ポリシールールを作成パネルが開きます。
このルールの名前、説明、ソース、およびプロファイルを定義します。
（任意） トラッキングオプションを設定して、イベントを生成し、通知を送信

通知に関する詳細情報は、サブスクリプショングループ、メーリングリスト、アラート統合に関する関連記事をアラートセクションでご参照ください。
適用をクリックします。
エンドポイントポリシーの各ルールに対して手順2〜5を繰り返します。
エンドポイントポリシーを有効にして、保存をクリックします。

スライダー ( ) は、EPPが有効な場合は緑色、無効な場合は灰色になります。

エンドポイントのためのファイルとパスの許可

時々、エンドポイントエンジンは正当なビジネスプロセスを悪意のあるものと見なすことがあります。正当なビジネスプロセスへのエンドポイント保護の妨害を防ぐために、エンドユーザーまたはエンドポイント(ソース)にオブジェクトを許可することができます。これは、ファイルがスキャンされず、ブロックされず、移動されないことを意味します。オンデマンドスキャンの場合、軽減アクション「無視」でイベントがトリガーされる場合があります。ファイルスキャンでは、イベントは作成されません。

以下のオブジェクトは、エンドユーザー、エンドポイント、または両方に対して許可できます：

注意

注意: ファイルパスは、マルウェア対策エンジンと行動分析エンジンの両方により許可されています。他のオブジェクトはマルウェア対策エンジンによってのみ許可されています。

ファイルパス
フォルダパス
ファイルタイプ
SHA256のハッシュ値

許可リストのためのオブジェクトを定義するには：

ナビゲーションメニューから、セキュリティ > エンドポイント保護 をクリックします。
許可リストタブをクリックします。
新規をクリックします。

新しい許可リストパネルが開きます。
許可する名前、説明、オブジェクト、ソースを定義します。
適用をクリックします。
許可している各オブジェクトに対して手順3〜5を繰り返します。
保存をクリックしてください。

オンデマンドファイル保護スキャン

ファイル保護スキャンは、エンドユーザーがアクセスしようとする際、ファイルがエンドポイントにダウンロードまたはコピーされたときに実行されます。さらに、いつでもエンドポイントでオンデマンドファイル保護スキャンを実行できます。オンデマンドファイル保護スキャンを実行することで、エンドユーザーがアクセスを試みる前に、エンドポイント上の既存のマルウェアを特定できます。

オンデマンドスキャンは、エンドポイントに保存されたすべてのファイルのSHA256のハッシュ値を既知のマルウェアの署名リストと比較します。悪意のあるファイルが検出された場合、EPPはポリシーで定義されたアクションに従います。

オンデマンドファイル保護スキャンの実行

いつでもエンドポイントで悪意のあるファイルを識別するには、オンデマンドスキャンを実行します。これらのスキャンは、エージェントがインストールされた後に実行されず、Cato管理アプリケーションからトリガーされた後にのみ実行されます。

オンデマンドファイル保護スキャンを実行するには

ナビゲーションメニューから、アクセス > 保護されたエンドポイントをクリックします。

保護されたエンドポイント画面が表示されます。
スキャンしたいエンドポイントの三つの点 ( ) をクリックします。
エンドポイントの完全システムスキャンを開始しますか?をクリックします。

エンドポイントでファイル保護スキャンが実行されます。

EPPソリューションのテスト

エンドポイントにEPPエージェントをインストールした後、ポリシー構成に基づいて悪意のある活動を防止することを確認するためにソリューションをテストできます。

エンドポイントソリューションをテストするには：

エージェントがインストールされたエンドポイントで、EICARテストファイルをダウンロードして実行してみてください。
ファイルを開いて実行してみてください。

注意: ファイルのダウンロードがネットワークのセキュリティソリューションやブラウザによってブロックされる場合、EICARファイルのテキストをコピーして新しい.txtファイルに貼り付け、保存してください。
EPPソリューションが正しくインストールおよび有効になっている場合、ファイルの動作は構成済みポリシーに従い、イベントが作成されます。

データベース更新の頻度を理解する

EPPエンジンがファイルまたはプロセスをスキャンすると、既知の悪意ある活動のデータベースと比較されます。これらのデータベースは定期的に自動で更新され、エンドポイントエンジンが最新の脅威から保護されるようにしています。

データベース更新の状態はエンドポイントエージェントのステータスタブで表示されます。

データベース更新の頻度は以下の通りです：

マルウェアDB: 毎1時間
CTC DB: 毎24時間 (このデータベースはクロスエンジン補正に使用されます)
振る舞いDB: 毎2時間
Exploit DB: 毎2時間

スキャンが不要な既知の正当なファイルのリストを含むデータベースは、毎4時間更新されます。