TDR の除外を構成する

ソフトウェアまたはファイルの TDR 例外を有効化して、TDR Host Sensor で無視されるように設定することができます。

場合によっては、TDR Host Sensor が endpoint にインストールされているウイルス対策 (AV) ソフトウェアと競合する可能性があります。この問題を解決するために、AV ソフトウェアおよび TDR の例外を追加する必要があります。一般的なサードパーティ製 AV ソフトウェアとの相互運用性を実現するため、TDR には事前定義された例外リストが含まれているので、操作が容易です。

Host Sensor で無視されるようにする他のファイルやプロセスがある場合は、カスタム例外を構成して、Host Sensors で監視されないファイルとプロセスのパスを特定することができます。

例外リストに含まれているファイルとプロセスについては、Host Sensor からイベントが Threat Detection and Response (TDR) に送信されません。

許可リストと例外リスト

許可リストと例外リストの違いを理解することが重要です。

許可リスト

許可リストでは、ユーザーが安全であるとみなす特定のファイルとプロセスが特定されます。許可リストのファイルまたはプロセスに変更があると、Host Sensor から TDR にイベントが送信されます。ThreatSync ヒューリスティックには、インシデントまたはインジケータとしての許可リストのファイルの変更が含まれていません。ThreatSync では、許可リストのイベントにスコア 0 が割り当てられます。

ファイルまたはプロセスを署名上書きとして許可リストに追加します。詳細については、Configure TDR Signature Overrides を参照してください。

例外

例外により、すべての Host Sensor で無視されるファイルとプロセス イベントのパスが特定されます。例外を追加すると、指定されているディレクトリから発生するファイルとプロセスにより作成されたイベンがすべて Host Sensor で無視されます。例外はベースライン スキャンにも適用されます。

事前定義された AV 例外を管理する

TDR には、最も一般的なサードパーティ製 AV ツールの AV 例外セットが事前定義されています。これらの例外セットには、AV で推奨される例外がすべて含まれています。

TDR で AV 例外を有効化したら、潜在的な競合を防ぐために、AV ソフトウェアに TDR 例外を追加する必要があります。

事前定義された AV 例外を管理するには、以下の手順を実行します。

  1. Log In to TDR in WatchGuard Cloud.
  2. 構成 > Threat Detection の順に選択します。
  3. Host Sensor セクションで、例外 を選択します。
    カスタム タブが選択された状態で 例外 ページが開きます。
  4. AV タブを選択します。
    事前定義された AV 例外セットのリストが含まれた 例外 ページが開きます。
  5. AV 例外セットを有効化するには、AV ソフトウェアの 有効化 チェックボックスを選択します。
    これにより、すべてのホストとホスト グループに例外が適用されます。
  6. AV 例外セットを特定のホストまたはホスト グループに適用するには、AV ソフトウェアの矢印をクリックします。ホスト/グループ テキスト ボックスに、ホストまたはホスト グループの名前を入力してから、ドロップダウン リストから適切な名前を選択します。
  7. 保存して閉じる をクリックします。

除外されたパスとプロセスを表示するには、以下の手順を実行します。

  1. Log In to TDR in WatchGuard Cloud.
  2. 構成 > Threat Detection の順に選択します。
  3. Host Sensor セクションで、例外 を選択します。
    カスタム タブが選択された状態で 例外 ページが開きます。
  4. AV タブを選択します。
    AV のリストが含まれた 例外 ページが開きます。
  5. AV ソフトウェアの矢印を選択します。
    下部に例外が表示された状態で、AV ダイアログ ボックスが開きます。

サブフォルダを除外するかどうか、除外するエンティティ、説明など、パスで例外をフィルタリングすることができます。例外セットを編集することはできません。例外をカスタマイズする必要がある場合は、手動で行う必要があります。

ホストとグループに適用されるすべての例外のリストを表示するには、以下の手順を実行します。

  1. Log In to TDR in WatchGuard Cloud.
  2. 構成 > Threat Detection の順に選択します。
  3. Host Sensor セクションで、例外 を選択します。
    カスタム タブが選択された状態で 例外 ページが開きます。
  4. 適用済み タブを選択します。
    ホスト タブが選択された状態で、適用済み ページが開きます。
  5. 表示するホストの横にある矢印を選択します。
    ホスト ダイアログ ボックスが開きます。
  6. グループ別にすべての例外リストを表示するには、グループ タブを選択します。
  7. 表示するグループの横にある矢印を選択します。
    グループ ダイアログ ボックスが開きます。

TDR Host Sensor を例外とするようにウイルス対策ソフトウェアを構成する

TDR とデスクトップ ウイルス対策ソフトウェアとの競合を回避するには、デスクトップ AV ソフトウェアで TDR ディレクトリの例外を構成する必要があります。

カスタム例外を管理する

除外する必要がある他のパスまたはプロセスがある場合は、カスタム例外を追加することができます。WatchGuard により、すでに多くの一般的な製品で TDR がテストされています。WatchGuard 統合ガイドに、TDR と他の製品が相互運用するように構成する方法が説明されています。多くの場合、TDR にカスタム例外を追加する必要があります。これらの統合の詳細については、Threat Detection and Response 統合ガイド を参照してください。

例外を追加すると、以下が可能となります。

TDR では、例外における Windows システム変数 ( %% ) がサポートされておらず、Windows、Mac、および Linux の例外においてシステム変数が拡張されません。たとえば、%userprofile%\appdata\roaming\ を追加してローミング プロファイルを除外するのではなく、アスタリスク (*) ワイルドカード文字 C:\Users*\appdata\roaming を使用します。

カスタム例外の例

例 1 — アスタリスク (*) ワイルドカード文字

アスタリスク (*) ワイルドカード文字は、任意の数の文字と一致します。たとえば、C:\Program Files (x86)\Folder\Subfolder\example.exe は、以下の実行可能ファイルの両方に一致します。

  • C:\Program Files (x86)\Folder\Subfolder\x86\example.exe
  • C:\Program Files (x86)\Folder\Subfolder\x64\example.exe

文字「*」は、 \ またはディレクトリ境界とは一致せず、そのフォルダまたはファイル名にのみ適用されます。

たとえば、C:*.exe は、C: のルートにある実行可能ファイルと一致します。これは、C:\notepad.exe など、C: のルートにある .exe ファイルと一致しますが、C:\windows\notepad.exe とは一致しません。

 例 2 — 複数のワイルドカード文字

複数のワイルドカード文字を使用できます。これを使用して、部分的なファイル名を照合することができます。たとえば、C:\Program Files\Microsoft SQL Server*\mssql\data*.ldf は、すべてのデータベースで、Microsoft Azure SQL (MSSQL) データベース ディレクトリ内の任意の .ldf ファイルと一致します。

 例 3 — 疑問符 (?) ワイルドカード文字

? 文字は、任意の 1 文字に一致します。たとえば、C:\Windows\Temp\tmp???????? は、C:\Windows\Temp\tmp00006f2e など、冒頭が tmp で、かつ長さが正確に 11 文字の Windows 一時ディレクトリにある tmp ファイルと一致します。

例外を手動で追加するには、以下の手順を実行します。

  1. Log In to TDR in WatchGuard Cloud.
  2. 構成 > Threat Detection の順に選択します。
  3. Host Sensor セクションで、例外 を選択します。
    カスタム タブが選択された状態で 例外 ページが開きます。
  4. +例外を追加する をクリックします。
    例外を追加する ダイアログ ボックスが開きます。

Screen shot of the Add Exclusion dialog box

  1. パス テキスト ボックスに、例外とするパスを入力します。
  2. 指定されているディレクトリのフォルダを例外とするには、サブフォルダも除外 チェックボックスを選択します。
  3. 除外するエンティティ ドロップダウン リストから、ファイルおよびプロセスファイルのみ、または プロセスのみ のいずれを除外するかを選択します。
  4. (任意) 説明 テキスト ボックスに、この例外の説明を入力します。
  5. 除外を適用するホストとグループを選択します。
    1. ホスト名またはホスト グループ テキスト ボックスに、追加するホストまたはホスト グループの名前の少なくとも 3 文字を入力します。ヒント!すべてのホストを指定するには、「すべてのホスト」と入力します。これは組み込みの既定グループで、Host Sensor がインストールされているすべてのホストが含まれています。
      これらの文字が含まれているホスト名とグループ名が表示されます。
    2. 追加するホストまたはグループの名前を選択します。
    3. 他のホストまたはグループを追加するには、前述の 2 つの手順を繰り返します。
  6. 保存して閉じる をクリックします。
    例外が例外リストに追加されます。

カスタム例外を編集するには、以下の手順を実行します。

  1. Log In to TDR in WatchGuard Cloud.
  2. 構成 > Threat Detection の順に選択します。
  3. Host Sensor セクションで、例外 を選択します。
    カスタム タブが選択された状態で 例外 ページが開きます。
  4. 例外 リストで、編集する例外の左側にある をクリックします。
    例外を編集する ダイアログ ボックスが開きます。
  5. 前の手順で説明されている通り、設定を編集します。
  6. 保存して閉じる をクリックします。

カスタム例外を削除するには、以下の手順を実行します。

  1. Log In to TDR in WatchGuard Cloud.
  2. 構成 > Threat Detection の順に選択します。
  3. Host Sensor セクションで、例外 を選択します。
    カスタム タブが選択された状態で 例外 ページが開きます。
  4. 例外 リストで、削除する例外の右側にある をクリックします。
  5. 除外を削除する を選択します。
    確認メッセージが表示されます。
  6. 削除 をクリックします。

カスタム例外をバックアップまたはインポートする

カスタム例外のバックアップは .XML ファイルに保存することができます。例外を TDR アカウントに追加するには、保存されている .XML ファイルをインポートします。これにより、TDR Service Provider は、1 つの管理対象カスタマー アカウントで構成された例外を別の管理対象アカウントにコピーすることができます。例外の重複が発生しないように、インポートされた例外は、既存の例外リストにマージされます。

カスタム例外をバックアップに保存するには、以下の手順を実行します。

  1. 構成 > Threat Detection の順に選択します。
  2. Host Sensor セクションで、例外 を選択します。
    カスタム タブが選択された状態で 例外 ページが開きます。
  3. バックアップ をクリックします。
    .XML バックアップ ファイルは、ダウンロード フォルダに保存されます。

例外のバックアップ ファイル名には、現在の日付と時刻が含まれます。例:

WatchGuardTDR_SensorExclusions_2017-01-25_22-39-43.xml

保存されている例外 .XML ファイルからカスタム例外をインポートするには、以下の手順を実行します。

  1. インポート をクリックします。
  2. 保存されているバックアップ ファイルを選択して開きます。
    確認 ダイアログ ボックスが開きます。
  3. インポート をクリックします。
    ファイルの例外が例外リストに追加されます。

関連情報:

TDR Deployment Best Practices

TDR Integration GuidesTDR Integration Guides