Article Number: 000124588
Dell Threat Defenseは、ポリシーを使用して次のことを行います。
対象製品:
Dell Threat Defense
適用されません。
詳細については、「推奨されるポリシー」または「ポリシー定義」をクリックしてください。
ポリシーは、[学習モード]または[保護モード]で設定することをお勧めします。[学習モード]は、Dell Threat Defenseを環境内でテストすることを推奨する方法です。これは、Dell Threat Defenseが、標準の企業イメージを使用してエンドポイントに展開されている場合に最も効果的です。
ディスクI/Oが通常よりも多いため、アプリケーション サーバーに対してさらに変更が必要になる場合があります。
管理者がDell Threat Defense管理コンソールですべてのアラートに対応したら、保護モード ポリシーの推奨事項に切り替えることを推奨します。デルでは、保護モード ポリシーに切り替える前に、学習モードで数週間以上のテストを行うことを推奨します。
詳細については、「アプリケーション サーバーの推奨事項」、「学習モード」、または「保護モード」をクリックしてください。
[学習]モードと[保護]モードの両方で、アプリケーション サーバーはクライアント オペレーティング システムに対して、追加のオーバーヘッドおよび異なる種類の動作を表示する場合があります。自動検疫(AQT)は、まれに、スコアが計算されるまで一部のファイルの実行を妨げます。これは、アプリケーションがファイルのロックを改ざんとして検出した場合、または予想されたタイムフレームでプロセスが正常に完了できない場合に発生します。
[Watch For New Files]が有効になっている場合は、デバイスの操作が遅くなることがあります。新しいファイルが生成されると、分析されます。このプロセスは軽微ですが、一度に大量のファイルが処理されると、パフォーマンスに影響する可能性があります。
Windows Serverオペレーティング システムで推奨されるポリシー変更:
これらの推奨事項により、サーバーのオペレーティング システムを実行しているデバイスを個別の「ゾーン」に含めることが一般的に推奨されます。ゾーンの生成の詳細については、「Dell Threat Defenseでゾーンを管理する方法」を参照してください。
| ポリシー | 推奨設定 |
|---|---|
| ファイル アクション | |
| 安全でない場合の実行制御による自動検疫 | 無効 |
| 異常の場合の実行制御による自動検疫 | 無効 |
| 検疫済みファイルの自動削除の有効化 | 無効 |
| 自動アップロード | Enabled |
| ポリシー セーフ リスト | 環境に依存 |
| 保護設定 | |
| デバイスからのサービス シャットダウンの防止 | 無効 |
| 安全でない実行中のプロセスとそのサブ プロセスの強制終了 | 無効 |
| バックグラウンド脅威検出 | 無効 |
| 1回実行/繰り返し実行 | バックグラウンド脅威保護が無効に設定されている場合は該当なし |
| 新しいファイルの監視 | 無効 |
| ファイル サンプルのコピー | 環境に依存 |
| エージェント設定 | |
| ログ ファイルの自動アップロードの有効化 | 環境に依存 |
| デスクトップ通知を有効にする | 環境に依存 |
| スクリプト制御 | |
| スクリプト制御 | Enabled |
| 1370以前のアクティブ スクリプトとPowerShell | 警告 |
| 1380以降のアクティブ スクリプト | 警告 |
| 1380以降のPowerShell | 警告 |
| PowerShellコンソールの使用をブロックする | PowerShellがアラートに設定されている場合は該当なし |
| 1380以降のマクロ | 警告 |
| スクリプト制御アクティブ スクリプトの無効化 | 無効 |
| スクリプト制御PowerShellの無効化 | 無効 |
| スクリプト制御マクロの無効化 | 無効 |
| フォルダーの除外(サブフォルダーを含む) | 環境に依存 |
| ポリシー | 推奨設定 |
|---|---|
| ファイル アクション | |
| 安全でない場合の実行制御による自動検疫 | Enabled |
| 異常の場合の実行制御による自動検疫 | Enabled |
| 検疫済みファイルの自動削除の有効化 | 環境に依存 |
| 自動アップロード | 環境に依存 |
| ポリシー セーフ リスト | 環境に依存 |
| 保護設定 | |
| デバイスからのサービス シャットダウンの防止 | Enabled |
| 安全でない実行中のプロセスとそのサブ プロセスの強制終了 | Enabled |
| バックグラウンド脅威検出 | Enabled |
| 1回実行/繰り返し実行 | 1回実行 |
| 新しいファイルの監視 | Enabled |
| ファイル サンプルのコピー | 環境に依存 |
| エージェント設定 | |
| ログ ファイルの自動アップロードの有効化 | 環境に依存 |
| デスクトップ通知を有効にする | 環境に依存 |
| スクリプト制御 | |
| スクリプト制御 | Enabled |
| 1370以前のアクティブ スクリプトとPowerShell | ブロック |
| 1380以降のアクティブ スクリプト | ブロック |
| 1380以降のPowerShell | ブロック |
| PowerShellコンソールの使用をブロックする | ブロック |
| 1380以降のマクロ | ブロック |
| スクリプト制御アクティブ スクリプトの無効化 | 無効 |
| スクリプト制御PowerShellの無効化 | 無効 |
| スクリプト制御マクロの無効化 | 無効 |
| フォルダーの除外(サブフォルダーを含む) | 環境に依存 |
このポリシーは、実行時に検出されたファイルの動作を決定します。デフォルトでは、安全でないファイルが実行中であることが検出された場合でも、脅威はブロックされます。安全でないものは、評価された脅威インジケーターに基づくAdvanced Threat Preventionのスコア システム内で、60を超えるポータブル実行可能ファイルの累積スコアによって特徴付けられます。
このポリシーは、実行時に検出されたファイルの動作を決定します。デフォルトでは、異常なファイルが実行中であることが検出された場合でも、脅威はブロックされます。異常は、0を超えるポータブル実行可能ファイルの累積スコアによって特徴付けられていますが、評価された脅威インジケーターに基づくAdvanced Threat Preventionのスコア システム内で60を超えないものとします。
デバイス レベルの検疫、グローバル検疫リスト、または自動検疫ポリシーに基づいて、安全でないファイルまたは異常なファイルを検疫すると、これらのファイルがローカル デバイス上のローカル サンドボックスの検疫キャッシュ内に保持されます。検疫済みファイルの自動削除を有効にすると、ファイルを完全に削除する前に、ファイルをローカル デバイスに保存する日数(最小14日、最大365日)が示されます。これが有効化されていると、日数を変更する機能が使用可能になります。
より詳細な分析を行うために、Threat Defense SaaS(Software as a Service)環境によって認識されていない脅威をマークします。ローカル モデルによってファイルに潜在的な脅威としてマークが付けられている場合、SHA256ハッシュはポータブル実行可能ファイルから取得され、SaaSに送信されます。送信されたSHA256ハッシュが脅威と一致せず、自動アップロードが有効化されている場合、評価のためにSaaSへの脅威の安全なアップロードが可能になります。このデータは安全に保存され、デルまたはパートナーがアクセスすることはできません。
ポリシー セーフ リストは、環境内で安全であると判断されたファイルのリストであり、そのSHA256ハッシュや追加情報をこのリストに送信することで、手動で除外されます。SHA256ハッシュがこのリストに含まれている場合、ファイルを実行すると、ローカルまたはクラウドの脅威モデルによって評価されません。これらは「絶対」ファイル パスです。
Correct (Windows): C:\Program Files\Dell Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell Incorrect: C:\Program Files\Dell\Executable.exe Incorrect: \Program Files\Dell\
安全でない実行中のプロセスとそのサブ プロセスの強制終了を有効にすると、脅威が子プロセスを生成しているかどうか、またはアプリケーションが現在メモリー内で実行されている他のプロセスを引き継いだどうかが判断されます。プロセスが脅威によって引き継がれたと考えられる場合は、主な脅威と、それによって生成された、または現在所有されているプロセスはただちに終了します。
バックグラウンド脅威検出が有効になっている場合、ポータブル実行可能ファイルのデバイス全体がスキャンされ、その実行可能ファイルがローカル脅威モデルを使用して評価されます。その後、実行可能ファイルの脅威インジケーターに基づいて、クラウドベースのSaaSを使用して実行可能ファイルのスコアを確認することが要求されます。バックグラウンド脅威検出では、1回実行および繰り返し実行の2つのオプションが可能です。1回実行は、Threat Defenseがインストールされアクティブ化された瞬間にデバイスに接続されているすべての物理ドライブのバックグラウンド スキャンを実行します。繰り返し実行は、Threat Defenseがインストールされアクティブ化された瞬間にデバイスに接続されているすべてのデバイスのバックグラウンド スキャンを実行し、9日ごとにスキャンを繰り返します(設定はできません)。
新しいファイルの監視が有効になっている場合、デバイスに導入されているポータブル実行可能ファイルは、ローカル モデルを使用して表示された脅威インジケーターですぐに評価され、クラウドホスト型SaaSに対してこのスコアが確認されます。
ファイル サンプルのコピーを使用すると、デバイス上で検出されたすべての脅威を、UNCパスに基づいて定義されたリポジトリーに自動的にエスクローすることができます。これは、内部の脅威調査、または環境内のパッケージ化された脅威の安全なリポジトリーを保持するためにのみ推奨されます。ファイル サンプルのコピーによって保存されるすべてのファイルは、infectedというパスワードで圧縮されます。
ログ ファイルの自動アップロードの有効化を使用すると、エンドポイントはDell Threat Defenseのログ ファイルを深夜0時に、または100MBに到達した場合にアップロードすることができます。ファイルのサイズに関係なく、ログは毎晩アップロードされます。転送されたすべてのログは、ネットワークから出力される前に圧縮されます。
デスクトップ通知を有効にすると、ファイルに異常または安全でないというマークが付けられている場合に、デバイス ユーザーがデバイスでプロンプトを表示できるようにできます。これは、このポリシーが有効化されているエンドポイントの[Dell Threat Defense]トレイ アイコンの右クリック メニュー内のオプションです。
スクリプト制御は、メモリー フィルターベースのソリューションを使用して機能し、デバイスで実行されているスクリプトを識別し、ポリシーがそのスクリプト タイプに対して[Block]に設定されている場合はそれらを回避します。これらのポリシーのアラート設定は、ログ内およびDell Threat Defenseコンソール上でブロックされている可能性のあるスクリプトのみを注意します。
これらのポリシーは、1370より前のクライアントに適用されます。これらのクライアントは、2016年6月より前のバージョンで使用できました。これらのバージョンでは、アクティブ スクリプトとPowerShellベースのスクリプトのみが処理されます。
これらのポリシーは、1370より後のクライアントに適用されます。これは、2016年6月以降のバージョンで使用できました。
アクティブ スクリプトには、JavaScript、VBScript、バッチ ファイルなど、Windows Script Hostで解釈されるスクリプトがすべて含まれています。
PowerShellスクリプトには、1つのコマンドとして実行される複数行のスクリプトが含まれています。(デフォルト設定:[Alert])
PowerShell v3(Windows 8.1で導入)以降では、ほとんどのPowerShellスクリプトは単一行コマンドとして実行されます。複数の行が含まれている場合もありますが、順番に実行されます。これにより、PowerShellスクリプト インタープリターをバイパスできます。PowerShellコンソールのブロックは、アプリケーションにPowerShellコンソールを起動させる機能を無効にすることで、この問題を回避します。Integrated Scripting Environment(ISE)は、このポリシーの影響を受けません。
マクロの設定によって、Office文書とPDF内にあるマクロが解釈され、脅威のダウンロードを試みる悪意のあるマクロがブロックされます。
これらのポリシーによって、各ポリシーに定義されているスクリプト タイプについてもアラートを通知する機能が完全に無効になります。これを無効にすると、ログは収集されません。潜在的な脅威の検出またはブロックは実行されません。
オンにすると、ログの収集が防止され、アクティブ スクリプト ベースの潜在的な脅威がブロックされます。アクティブ スクリプトには、JavaScript、VBScript、バッチ ファイルなど、Windows Script Hostで解釈されるスクリプトがすべて含まれています。
オンにすると、ログの収集が防止され、PowerShellベースの潜在的な脅威がブロックされます。PowerShellスクリプトには、1つのコマンドとして実行される複数行のスクリプトが含まれています。
オンにすると、ログの収集が防止され、マクロベースの潜在的な脅威がブロックされます。マクロの設定によって、Office文書とPDF内にあるマクロが解釈され、脅威のダウンロードを試みる悪意のあるマクロがブロックされます。
フォルダーの除外を使用すると、スクリプトが実行される可能性があるフォルダーを除外することができるフォルダーを定義することができます。このセクションでは、相対パスの形式で除外を要求します。
/windows/system*/の表示が試行されます。/windows/system32/*//windows/system32/*/folder/*/script.vbsは\folder\test\script.vbsまたは\folder\exclude\script.vbsと一致しますが、\folder\test\001\script.vbsでは機能しません。これには、/folder/*/*/script.vbsまたは/folder/*/001/script.vbsが必要です。/folder/*/script.vbs/folder/test*/script.vbs//*/login/application//abc*/logon/applicationCorrect (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Correct (Windows): \Cases\ScriptsAllowed
不適切:C:\Application\SubFolder\application.vbs
不適切:\Program Files\Dell\application.vbs
ワイルドカードの例:
/users/*/tempとした場合、次のようなものが候補になります。
\users\john\temp\users\jane\temp/program files*/app/script*.vbsとした場合、次のようなものが候補になります。
\program files(x86)\app\script1.vbs\program files(x64)\app\script2.vbsprogram files(x64)\app\script3.vbsサポートに問い合わせるには、「Dell Data Securityのインターナショナル サポート電話番号」を参照してください。
TechDirectにアクセスして、テクニカル サポート リクエストをオンラインで生成します。
さらに詳しい情報やリソースについては、「デル セキュリティ コミュニティー フォーラム」に参加してください。
Dell Threat Defense
20 Dec 2022
11
Solution