Dell Endpoint Security Suite Enterprise Advanced Threat Prevention クイック スタート ガイ ド v3.0 2021 年 5 月 Rev.
メモ、注意、警告 メモ: 製品を使いやすくするための重要な情報を説明しています。 注意: ハードウェアの損傷やデータの損失の可能性を示し、その危険を回避するための方法を説明しています。 警告: 物的損害、けが、または死亡の原因となる可能性があることを示しています。 © 2012-2021 Dell Inc. All rights reserved. Registered trademarks and trademarks used in the Dell Encryption and Endpoint Security Suite Enterprise suite of documents: Dell™ and the Dell logo, Dell Precision™, OptiPlex™, ControlVault™, Latitude™, XPS®, and KACE™ are trademarks of Dell Inc.
目次 章 1: はじめに..................................................................................................................................4 Dell ProSupport へのお問い合わせ................................................................................................................................... 4 章 2: はじめに................................................................................................................................. 5 テナントのプロビジョニング........................................................
1 はじめに このガイドで説明するタスクを実行する前に、次のコンポーネントをインストールする必要があります。 ● Endpoint Security Suite Enterprise - 『Endpoint Security Suite Enterprise 詳細インストールガイド』または『Endpoint Security Suite Enterprise 基本インストールガイド』を参照 ● Security Management Server または Security Management Server Virtual サーバ -『Security Management Server インストールおよ び移行ガイド』または『Security Management Server Virtual サーバクイックスタートおよびインストールガイド』を参照 このガイドでは、Advanced Threat Prevention の基本管理について説明しています。管理コンソールに付属の AdminHelp とともに使 用してください。 Dell ProSupport へのお問い合わせ デル製品向けの 24 時間 36
2 はじめに この章では、Advanced Threat Prevention の管理を開始するための推奨手順について説明します。 Advanced Threat Prevention の管理を開始するための推奨手順は、次のとおりです。 ● Advanced Threat Prevention のためのテナントのプロビジョニング ○ Advanced Threat Prevention 導入の必要条件 ○ Advanced Threat Prevention のライセンスが Dell Server 内に存在している必要があります。 ● Advanced Threat Prevention エージェント自動アップデートの設定 ○ Advanced Threat Prevention の自動アップデートの登録(オプション) ○ アップデートは毎月リリース ● 管理者役割の割り当てと変更 ○ Advanced Threat Prevention サービスのプロビジョニングまたはリカバリ ○ 既存の Advanced Threat Prevention 証明書のバックアップとダウンロード ○ ポリシーの表示、修正、お
プロビジョニングとエージェント通信 次の図は Advanced Threat Prevention サービスのプロビジョニングプロセスを表しています。 6 はじめに
次の図は Advanced Threat Prevention のエージェント通信プロセスを表しています。 次の図は Dell サーバのアーキテクチャと通信を図示しています。 はじめに 7
BIOS イメージの整合性検証の有効化 Advanced Threat Prevention のマスタースイッチが有効であれば、BIOS イメージの整合性検証ポリシーはデフォルトで有効です。 BIOS イメージの整合性検証プロセスの概要については、「BIOS イメージの整合性検証プロセス」を参照してください。 検証プロセス 次の図は、BIOS イメージの整合性の検証プロセスを表しています。 8 はじめに
BIOS 保証の有効化 ポリシーが管理コンソールで選択されている場合は、Cylance のテナントが BIOS がデル工場出荷時のバージョ ンから変更されていないか(攻撃ベクターの 1 つ)を確認するために、エンドポイントコンピュータ上で BIOS ハッシュを検証し ます。脅威が検出された場合は、通知が Dell Server に渡され、IT 管理者はリモート管理コンソールでアラートを受けます。プロセ スの概要については、「BIOS イメージの整合性検証プロセス」を参照してください。 メモ: カスタマイズされた工場出荷時イメージは、BIOS が変更されているため、この機能では使用できません。 BIOS イメージの整合性検証でサポートされる Dell コンピュータモデル ● ● ● ● ● ● Latitude 3470 Latitude 3570 Latitude 7275 Latitude 7370 Latitude E5270 Latitude E5470 ● ● ● ● ● ● OptiPlex 5040 OptiPlex 7040 OptiPlex 7440 Precision Mobile W
BIOS イメージの整合性検証でサポートされる Dell コンピュータモデル ● ● ● ● ● ● ● ● Latitude E5570 Latitude E7270 Latitude E7470 Latitude Rugged 5414 Latitude Rugged 7214 Extreme Latitude Rugged 7414 OptiPlex 3040 OptiPlex 3240 ● ● ● ● ● ● ● ● VMware Workstation 7510 VMware Workstation 7710 Precision Workstation T3420 Venue 10 Pro 5056 Venue Pro 5855 Venue XPS 12 9250 XPS 13 9350 XPS 9550 Advanced Threat Prevention エージェント自動アップデ ートの設定 管理コンソールで、Advanced Threat Prevention エージェントの自動アップデートを受信するように登録できます。エージェントの 自動アップデートを受信するよう登録することにより、
1. 2. 3. 4. 左ペインで ポピュレーション > 管理者 の順にクリックします。 適切な管理者のユーザー名が表示されている行を検索または選択して、ユーザーの詳細を表示します。 右ペインで、管理者役割を表示または変更します。 保存 をクリックします。 メモ: 管理者役割は、ユーザーレベルではなくグループレベルで割り当てることをお勧めします。 管理者役割をグループレベルで表示、割り当て、変更するには、次の手順に従います。 1. 左ペインで ポピュレーション > ユーザーグループ の順にクリックします。 2. グループ名を検索または選択してから、管理者 タブをクリックします。ユーザーグループ詳細 ページが表示されます。 3. グループに割り当てられる管理者役割を選択または選択解除します。 4. 保存 をクリックします。 管理者権限を持つグループを削除した後、再び追加した場合、そのグループは管理者グループとしての立場を維持します。 管理者役割をユーザーレベルで表示、割り当て、または変更するには、次の手順に従います。 1. 左ペインで、ポピュレーション > ユーザー の順にクリックします。 2.
ダッシュボードの通知領域または電子メール通知の一覧に含める通知の優先度レベルは、選択可能です。選択しなかった優先度レ ベルの通知は、ダッシュボードまたは電子メール通知のリストに含まれることはありません。 選択した項目のクリア を選択して、このリストの選択内容をリセットします。すべての通知が表示されます(別の場所でフィルタ リングされた場合を除く)。 12 はじめに
3 ポリシー この章では、Advanced Threat Prevention のポリシー管理について詳しく説明します。 ● Advanced Threat Prevention の有効化 ● 推奨するポリシー設定 ● ポリシー変更のコミット Advanced Threat Prevention のポリシーとその説明の完全なリストについては、リモート管理コンソールからアクセスできる AdminHelp を参照してください。 Advanced Threat Prevention の有効化 Advanced Threat Prevention ポリシーは、デフォルトでは オフ です。Advanced Threat Prevention ポリシーを有効にするには、オン に切り替える必要があります。Advanced Threat Prevention ポリシーは、エンタープライズ、エンドポイントグループ、およびエン ドポイントの各レベルで強制することができます。 Advanced Threat Prevention をエンタープライズのレベルで有効にするには、次の手順を実行します。 1.
4 脅威 この章では、Advanced Threat Prevention をインストールした後に、企業環境で発生した脅威の特定と管理を行う方法についての詳 細を記載します。 ● 脅威の特定 ○ 脅威イベントの表示 ○ Cylance スコアと脅威モデルの更新 ○ 詳細な脅威データの表示 ● 脅威の管理 ○ 脅威データを CSV にエクスポート ○ グローバル隔離リストの管理 脅威の特定 電子メールおよびダッシュボードの通知 脅威保護および高度な脅威イベントに対して電子メール通知をセットアップした場合、Advanced Threat Prevention の電子メールで イベントと脅威が管理者に通知されます。 管理コンソールのダッシュボード通知の概要には、Advanced Threat Prevention の脅威とイベントが脅威保護と高度な脅威イベント の通知タイプで表示されます。 ● 脅威保護タイプ - Advanced Threat Prevention からの脅威アラート。 ● 高度な脅威イベントタイプ - Advanced Threat Prevention で検出されたイベント。イベントは必ずし
名前 重大度 詳細 実行は強制終了されました。これは通常、対応するメモリー保護また はスクリプト制御ポリシーで、終了するように設定されているためで す。 MemoryViolation 警告 実行可能ファイルまたはスクリプトが、メモリー保護またはスクリプ ト制御ポリシーに違反していることが判明しました。実行可能ファ イルまたはスクリプトは、ポリシーに違反する操作を行っていませ ん。ポリシーが許可に設定されている可能性があります。 ThreatRemoved 情報 以前にフラグが設定された Portable Executable(PE)であり、脅威と 見なされたため、エンドポイントから削除されました。この PE は、 隔離先の場所または最初に存在した場所のどちらかから削除されま した。リムーバブル メディア(USB、CD-ROM など)で最初に検出 された場合によくあるケースです。 ThreatQuarantined 情報 Portable Executable(PE)は潜在的な脅威であると判断され、隔離が 完了しました。異常(Cylance Score 0~60)または危険(Cylanc
● 証明書 - 証明書をアップロードできます。証明書のアップロード後には、グローバルリストに表示され、安全リストに掲載さ れます。 タブに表示される表は、次の方法で整理統合できます。 ● 表に対して列を追加または削除 - 列ヘッダー横の矢印をクリックし、列 を選択して表示する列を選択します。非表示にする列 のボックスのチェックを外します。 ● データの並べ替え - 列ヘッダをクリックします。 ● 列ごとのグループ化 - 列ヘッダーを、緑色になるまで上方向にドラッグします。 高度な脅威イベントタブ 高度な脅威イベント タブには、Dell Server 内にある情報に基づいた、企業全体についての情報が表示されます。 Advanced Threat Prevention サービスがプロビジョニングされて、ライセンスを利用可能かどうかがタブに表示されます。 高度な脅威イベント タブからデータをエクスポートするには、エクスポート をクリックして、Excel または CSV ファイル形式を 選択します。 メモ: Excel ファイルは 65,000 行に制限されます。CSV にはサイズ制限はありません。 Cylance
信頼済み - ローカルファイルが Cylance によって分析され、安全であることがわかりました。レビュー後、これらのアイテムは安 全リストに掲載されます。フィルタされたリストに多数のファイルがある場合、より多くの属性を使用して優先順位を決定する必 要があります。たとえば、検知元 列にフィルタを追加して、実行制御が検出した脅威を見直します。これらの脅威はユーザーがア プリケーションを実行しようとしたときに検出され、Background Threat Detection や File Watcher によって検出された休止ファイ ルよりも緊急の注意が必要です。 モデルの比較情報は、デバイスからではなく、データベースから取得されます。そのため、モデル比較に関して、再分析は実行さ れません。ただし、新しいモデルが使用可能で、適切なエージェントがインストールされている場合、組織内で再分析が実行さ れ、モデル変更が適用されます。 詳細については、AdminHelp を参照してください。 Web Protection およびファイアウォールイベントの表示 脅威は、マルウェア / 悪用、ウェブフィルタ、ファイアウォール、ま
メモ: ただし、「良い」ファイルが安全でないと報告される場合があります(これは、そのファイルの特徴が悪意のあるフ ァイルの特徴と非常によく似ている場合に発生します)。このような場合、そのファイルを免除するか、または安全リスト に加えると便利です。 ● グローバルリストの編集 - グローバル隔離リストに対して、ファイルを追加または削除します。 ● 放棄 - コンピュータ上の放棄されるリストにファイルを追加します。このファイルは、コンピュータ上で実行することを許可 されます。 エンドポイントの高度な脅威の管理 個別のコンピュータ上で識別された脅威を管理します。 1. 左ペインで ポピュレーション、Enterprise の順にクリックします。 2. 脅威の詳細 タブを選択します。 3. エージェントを選択します。 4.
5 接続切断モード 接続切断モードを使用すると、Dell Server は、インターネットまたは外部ネットワークへの接続がなくても Advanced Threat Prevention エンドポイントを管理できます。また、接続切断モードでは、インターネット接続や、プロビジョニングおよびホステ ィングされた Advanced Threat Prevention がなくても、Dell Server はクライアントを管理できます。Dell Server はすべてのイベント と脅威のデータを接続切断モードでキャプチャします。 Dell Server が接続切断モードで動作しているかを調べるには、リモート管理コンソールの右上にあるギアのアイコンをクリックし て、情報 を選択します。バージョン情報 画面で、Dell Server のバージョン情報の下に Dell Server が接続切断モードであることが表 示されます。 接続切断モードは次の点で Dell Server の標準的な接続インストールとは異なります。 クライアントのアクティブ化 インストールトークンは、管理者が Advanced Threat Prevent
これらのポリシーは、Dell Server が切断モードのインストールトークン(接頭語「DELLAG」があります)を検出する場合に限り、 Advanced Threat Prevention クライアントに送信されます。 これらのポリシーの例については、AdminHelp を参照してください。 Advanced Threat Prevention が潜在的な脅威として識別するファイルを表示するには、Enterprise > 高度な脅威イベント タブに移 動します。このタブには、ブロックされた、または終了したなど、企業全体に行った操作のイベント情報のリストが含まれます。 20 接続切断モード
6 トラブルシューティング Advanced Threat Prevention のリカバリ リカバリサービス Advanced Threat Prevention サービスのリカバリには、バックアップの証明書が必要です。 1. 管理コンソールの左ペインで、管理 > サービス管理を順にクリックします。 2. Advanced Threat Prevention サービスのリカバリをリカバリします。 3. サービスリカバリのガイドに従って、プロンプトが表示されたら、Advanced Threat Prevention 証明書をアップロードします。 Windows Powershell を使用した製品コードの検索 ● この方法を使用すれば、将来製品コードに変更があった場合に、製品コードを容易に見つけることができます。 Get-WmiObject Win32_Product | Where-Object {$_.Name -like '*Cylance*'} | FT IdentifyingNumber, Name, LocalPackage 出力結果は、フルパスと .
このレジストリ設定は、Encryption および Encryption Management Agent を含むその他のコンポーネントのログ冗長性を制御す るため、テストまたはデバッグ用途にのみ使用してください。 ● 互換性モードは、メモリ保護ポリシーまたはメモリー保護ポリシーとスクリプト制御ポリシーの両方が有効になっている際に、 クライアントコンピュータでアプリケーションを実行することを可能にします。互換性モードを有効にするには、クライアン トコンピュータ上でレジストリ値を追加する必要があります。 互換性モードを有効にするには、次の手順に従います。 1. 管理コンソールで、メモリ保護の有効化ポリシーを無効にします。スクリプト制御ポリシーが有効になっている場合は、無 効にします。 2. CompatibilityMode レジストリ値を追加します。 a. クライアントコンピュータのレジストリエディタを使用して、 HKEY_LOCAL_MACHINE\SOFTWARE\Cylance\Desktop に移動します。 b.