適用対象: WatchGuard Advanced EPDR
ワークステーションとサーバーの設定プロファイルの高度な保護設定で高度なセキュリティ ポリシーを有効にし、高度な感染手法を用いる不審なスクリプトや不明なプログラムを検出してブロックします。
高度なセキュリティ ポリシーには以下が含まれます:
- 不審なパラメーターを持つ PowerShell — PowerShell インタープリターが、保護対象コンピュータで危険な操作が実行される可能性がある不審なパラメータを受信した回数を検出します。このオプションでは、エクスプロイト対策の保護を有効にする必要があります。
- ユーザーによる PowerShell の実行 — 保護対象コンピュータで危険な操作を実行できるインタラクティブ アカウントによる監視対象 PowerShell スクリプトの実行が試みられた回数を検出します。このオプションでは、エクスプロイト対策の保護を有効にする必要があります。
- 不明なスクリプト — WatchGuard セキュリティ インテリジェンス チームが分類していないスクリプトの実行が試みられた回数を検出します。このポリシーにより、ネットワークで実行されるスクリプトの可視性が高まり、プログラムの実行が制限されているサーバーを保護することができます。また、感染が疑われる場合に、ネットワークにマルウェアが拡散するのを防ぐことが可能となります。不明なスクリプトを許可する必要がある場合は、そのファイルをスキャンから除外することができます。詳細については、次を参照してください:スキャンからファイルとファイル パスを除外する。
- ローカルでコンパイルされたプログラム — ユーザーのコンピュータでコンパイルされたため、WatchGuard セキュリティ インテリジェンス チームに知られていないプログラムの実行が試みられた回数を検出します。
- マクロが含まれているドキュメント — マクロが含まれている Microsoft Office ドキュメントを開く試みがなされた回数を検出します。
- Windows 起動時に実行されるレジストリ変更 — プログラムがコンピュータ上で永続性を獲得し、システムが起動するたびにオペレーティング システムとともに読み込まれるようにする Windows レジストリ キーの追加が試みられた回数を検出します。
- 名前によるプログラム ブロック — Endpoint Security が名前ブロックリストに含まれるプログラムをブロックした回数を検出します。
- MD5 または SHA-256 値によるプログラムのブロック — MD5 または SHA-256 ブロックリストに含まれているプログラムが Endpoint Security によってブロックされた回数を検出します。
管理ユーザーのロールに応じて、WatchGuard Cloud で表示および実行できる内容が異なります。この機能を表示または構成するには、ワークステーションとサーバーのセキュリティの設定 を行う権限のあるロールを担っている必要があります。詳細については、次を参照してください:WatchGuard Cloud 管理ユーザーとロールを管理する。
高度なセキュリティ ポリシー設定を構成するには、以下の手順を実行します:
- WatchGuard Cloud で、構成 > Endpoint の順に選択します。
- 設定 を選択します。
- 左ペインで、ワークステーションとサーバー を選択します。
- 編集する既存のセキュリティ設定プロファイルを選択する、既存のプロファイルをコピーする、またはウィンドウの右上隅にある 追加 をクリックして新しいプロファイルを作成します。
設定の追加または設定の編集 ページが開きます。 - 必要に応じて、プロファイルの 名前 と 説明 を入力します。
- 高度な保護 を選択します。
- 高度な保護 トグルを選択して有効にします。
- 高度なポリシーを有効にする トグルを選択し、有効にします。
- ポリシーごとに脅威の 監査、ブロック または 検出しない の選択をします:
- 監査 — ポリシーを検出し、リストとダッシュボード タイルに管理者向けのフィードバックを生成します。
- ブロック — プログラムが実行されるのを防止します。
- 検出しない — ポリシーを検出したり、ユーザーや管理者向けのフィードバックを生成したりしません。
- プログラムのブロックを構成します。
詳細については、次を参照してください:不審なプログラムをブロックする。 - 保存 をクリックします。
- 必要に応じて、プロファイルを選択して、受信者を割り当てます。
詳細については、次を参照してください:設定プロファイルを割り当てる。
不審なプログラムをブロックする
ネットワークの Windows コンピュータのセキュリティを強化するために、危険または疑わしいと考えられるプログラムの使用を防止することができます。このプログラムには以下は含まれています。
- 実行される方法のために帯域幅を過剰に使用したり過剰に多い接続を確立したりするプログラムは、複数のユーザーが同時に実行すると企業の接続に悪影響を及ぼします。
- ユーザーがセキュリティ上の脅威を含む可能性のあるコンテンツにアクセスできるようにするプログラム。
- 企業活動に無関係でユーザーのパフォーマンスに影響を与える可能性のあるコンテンツにユーザーがアクセスできるようにするプログラム。
生産性やコンプライアンス上の理由により望ましくないソフトウェアをブロックするには、プログラム ブロック設定プロファイルでプログラムのブロックを構成することができます。詳細については、次を参照してください:プログラムのブロック セキュリティ設定を構成する (Windows コンピュータ)。
管理ユーザーのロールに応じて、WatchGuard Cloud で表示および実行できる内容が異なります。この機能を表示または構成するには、ワークステーションとサーバーのセキュリティの設定 を行う権限のあるロールを担っている必要があります。詳細については、次を参照してください:WatchGuard Cloud 管理ユーザーとロールを管理する。
プログラムのブロックを構成するには、以下の手順を実行します。
- WatchGuard Cloud で、構成 > Endpoint の順に選択します。
- 設定 を選択します。
- 左ペインで、ワークステーションとサーバー を選択します。
- 編集する既存のセキュリティ設定プロファイルを選択する、既存のプロファイルをコピーする、またはウィンドウの右上隅にある 追加 をクリックして新しいプロファイルを作成します。
設定の追加または設定の編集 ページが開きます。 - 必要に応じて、プロファイルの 名前 と 説明 を入力します。
- 高度な保護 を選択します。
- 高度な保護 トグルを選択して有効にします。
- 高度なポリシーを有効にする トグルを選択し、有効にします。
- プログラムのブロック セクションで、ブロックするプログラムのファイル名、MD5、または SHA-256 コードを入力します。ファイル名またはコードのリストを、改行で区切って貼り付けることができます。
- コンピュータのユーザーにブロックされたアプリケーションを通知する には、トグルを有効化します。
ユーザーがブロックされたアプリケーションを実行しようとすると、ポップアップ メッセージがユーザーのコンピュータに表示されます。 - (オプション) Advanced EPDR がプログラムをブロックしたときにユーザーに表示するカスタム メッセージをテキスト ボックスに入力します。
- 保存 をクリックします。
- 必要に応じて、プロファイルを選択して、受信者を割り当てます。
詳細については、次を参照してください:設定プロファイルを割り当てる。
Endpoint Security によってプログラムがブロックされると、そのプログラムはセキュリティ ダッシュボードの高度なセキュリティ ポリシーによる検出タイルに含められます。高度なセキュリティ ポリシーによる検出から リストを表示するには、タイルを選択します。リストからアイテムを選択し、高度なセキュリティ ポリシーによるブロックの詳細ページを開きます。詳細ページについては、次を参照してください:高度なセキュリティ ポリシーによる検出 - ブロックの詳細。