Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

Dell Threat Defenseポリシーの推奨事項

Summary: Dell Threat Defenseの推奨ポリシーとポリシー定義について説明します。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

注:

Dell Threat Defenseは、ポリシーを使用して次のことを行います。

  • 脅威の対処方法を定義する
  • 検疫済みファイルの実行内容の確認
  • スクリプト制御の設定

対象製品:

  • Dell Threat Defense

詳細については、推奨されるポリシーまたはポリシー定義をクリックしてください。

Threat Defenseポリシーの定義:

ファイル アクション

安全でない場合の実行制御による自動検疫

このポリシーは、実行時に検出されたファイルの動作を決定します。デフォルトでは、安全でないファイルが実行中であることが検出された場合でも、脅威はブロックされます。安全でないものは、評価された脅威インジケーターに基づくAdvanced Threat Preventionのスコア システム内で60を超えるポータブル実行可能ファイルの累積スコアによって特徴付けられます。

異常の場合の実行制御による自動検疫

このポリシーは、実行時に検出されたファイルの動作を決定します。デフォルトでは、異常なファイルが実行中であることが検出された場合でも、脅威はブロックされます。異常は、Advanced Threat Preventionのスコア システム内で0を超えているが60を超えないポータブル実行可能ファイルの累積スコアによって特徴付けられます。スコアリング システムは、評価された脅威インジケーターに基づいています。

検疫済みファイルの自動削除の有効化

デバイス レベルの検疫、グローバル検疫リスト、または自動検疫ポリシーに基づいて、安全でないファイルまたは異常なファイルを検疫すると、これらのファイルがローカル デバイス上のローカル サンドボックスの検疫キャッシュ内に保持されます。検疫済みファイルの自動削除を有効にすると、ファイルを完全に削除する前に、ファイルをローカル デバイスに保存する日数(最小14日、最大365日)が示されます。これが有効化されていると、日数を変更する機能が使用可能になります。

自動アップロード

より詳細な分析を行うために、Threat Defense SaaS(Software as a Service)環境によって認識されていない脅威をマークします。ローカル モデルによってファイルに潜在的な脅威としてマークが付けられている場合、SHA256ハッシュはポータブル実行可能ファイルから取得され、SaaSに送信されます。送信されたSHA256ハッシュが脅威と一致せず、自動アップロードが有効化されている場合、評価のためにSaaSへの脅威の安全なアップロードが可能になります。このデータは安全に保存され、デルまたはパートナーがアクセスすることはできません。

ポリシー セーフ リスト

ポリシー セーフ リストは、環境内で安全であると判断されたファイルのリストであり、そのSHA256ハッシュや追加情報をこのリストに送信することで、手動で除外されます。SHA256ハッシュがこのリストに含まれている場合、ファイルを実行すると、ローカルまたはクラウドの脅威モデルによって評価されません。これらは「絶対」ファイル パスです。

除外の例:
Correct (Windows): C:\Program Files\Dell
Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell
Incorrect: C:\Program Files\Dell\Executable.exe
Incorrect: \Program Files\Dell\

保護設定

安全でない実行中のプロセスとそのサブ プロセスの強制終了

[安全でない実行中のプロセスとそのサブ プロセスの強制終了] が有効になっている場合、脅威が子プロセスを生成しているかどうか、またはアプリケーションが現在メモリ内で実行されている他のプロセスを引き継いでいるかどうかを判断します。プロセスが脅威によって引き継がれたと考えられる場合、主な脅威と、それが生成した、または現在所有しているプロセスは直ちに終了します。

バックグラウンド脅威検出

バックグラウンド脅威検出を有効にすると、ポータブル実行可能ファイルのデバイス全体がスキャンされ、その実行可能ファイルがローカル脅威モデルで評価され、実行可能ファイルの脅威インジケーターに基づいて、クラウドベースのSaaSで実行可能ファイルのスコアの確認が要求されます。バックグラウンド脅威検出では、次の2つのオプションを使用できます。1回実行 し、 繰り返し実行します。1回実行 は、Threat Defenseがインストールされアクティブ化された瞬間に、デバイスに接続されているすべての物理ドライブのバックグラウンド スキャンを実行します。繰り返し実行 は、Threat Defenseがインストールされアクティブ化された瞬間に、デバイスに接続されているすべてのデバイスのバックグラウンド スキャンを実行します。スキャンは9日ごとに繰り返されます(設定不可)。

新しいファイルの監視

新しいファイルの監視が有効になっている場合、デバイスに導入されたポータブル実行可能ファイルは、ローカル モデルを使用して表示される脅威インジケーターですぐに評価され、このスコアはクラウドホスト型SaaSに対して確認されます。

ファイル サンプルのコピー

ファイル サンプルのコピーを使用すると 、デバイス上で検出されたすべての脅威を、UNCパスに基づいて定義されたリポジトリーに自動的にエスクローできます。これは、内部の脅威調査、または環境内のパッケージ化された脅威の安全なリポジトリーを保持するためにのみ推奨されます。ファイル サンプルのコピーによって保存されるすべてのファイルは、次のパスワードで圧縮されます: infected間のデッドロックが原因で潜在的なHMONタイムアウトが発生する問題が解決されています。

エージェント設定

ログ ファイルの自動アップロードの有効化

ログ ファイルの自動アップロードを有効にする と、エンドポイントはDell Threat Defenseのログ ファイルを深夜0時に、またはファイルが100 MBに達したときにアップロードできます。ファイルのサイズに関係なく、ログは毎晩アップロードされます。転送されたすべてのログは、ネットワークから出力される前に圧縮されます。

デスクトップ通知を有効にする

デスクトップ通知を有効にする と、ファイルに異常または安全でないというマークが付けられている場合に、デバイス ユーザーがデバイスでプロンプトを表示できるようにする機能が有効になります。これは、このポリシーが有効化されているエンドポイントの[Dell Threat Defense]トレイ アイコンの右クリック メニュー内のオプションです。

スクリプト制御

スクリプト制御

スクリプト制御は 、メモリー フィルターベースのソリューションを使用して動作し、デバイスで実行されているスクリプトを識別し、そのスクリプト タイプに対してポリシーが[Block]に設定されている場合はそれらを回避します。これらのポリシーのアラート設定は、ログ内およびDell Threat Defenseコンソール上でブロックされている可能性のあるスクリプトのみを注意します。

1370以前

これらのポリシーは、1370より前のクライアントに適用されます。これらのクライアントは、2016年6月より前のバージョンで使用できました。これらのバージョンでは、アクティブ スクリプトとPowerShellベースのスクリプトのみが処理されます。

1380以降

これらのポリシーは、1370より後のクライアントに適用されます。これは、2016年6月以降のバージョンで使用できました。

アクティブ スクリプト

アクティブ スクリプトには、JavaScript、VBScript、バッチ ファイルなど、Windows Script Hostで解釈されるスクリプトがすべて含まれています。

PowerShell

PowerShellスクリプトには、1つのコマンドとして実行される複数行のスクリプトが含まれています。(デフォルト設定:[Alert])

Block PowerShell Console Usage:(PowerShellが[Alert]に設定されている場合は表示されません)

PowerShell v3(Windows 8.1で導入)以降では、ほとんどのPowerShellスクリプトは単一行コマンドとして実行されます。複数の行が含まれている場合もありますが、順番に実行されます。これにより、PowerShellスクリプト インタープリターをバイパスできます。PowerShellコンソールのブロックは、アプリケーションにPowerShellコンソールを起動させる機能を無効にすることで、この問題を回避します。Integrated Scripting Environment(ISE)は、このポリシーの影響を受けません。

マクロ

マクロの設定によって、Office文書とPDF内にあるマクロが解釈され、脅威のダウンロードを試みる悪意のあるマクロがブロックされます。

スクリプト制御を無効にする

これらのポリシーによって、各ポリシーに定義されているスクリプト タイプについてもアラートを通知する機能が完全に無効になります。これを無効にすると、ログは収集されません。潜在的な脅威の検出またはブロックは実行されません。

アクティブ スクリプト

オンにすると、ログの収集が防止され、アクティブ スクリプト ベースの潜在的な脅威がブロックされます。アクティブ スクリプトには、JavaScript、VBScript、バッチ ファイルなど、Windows Script Hostで解釈されるスクリプトがすべて含まれています。

PowerShell

オンにすると、ログの収集が防止され、PowerShellベースの潜在的な脅威がブロックされます。PowerShellスクリプトには、1つのコマンドとして実行される複数行のスクリプトが含まれています。

マクロ

オンにすると、ログの収集が防止され、マクロベースの潜在的な脅威がブロックされます。マクロの設定によって、Office文書とPDF内にあるマクロが解釈され、脅威のダウンロードを試みる悪意のあるマクロがブロックされます。

フォルダーの除外(サブフォルダーを含む)

フォルダーの除外を使用すると、スクリプトが実行される可能性があるフォルダーを除外することができるフォルダーを定義することができます。このセクションでは、相対パスの形式で除外を要求します。

  • フォルダー パスは、ローカル ドライブ、マッピングされたネットワーク ドライブ、またはUNC(汎用命名規則)パスにすることができます。
  • スクリプト フォルダーの除外では、フォルダーまたはサブフォルダーの相対パスを指定する必要があります。
  • 指定されたフォルダー パスには、サブフォルダーも含まれます。
  • ワイルドカードの除外では、WindowsコンピューターのUNIXスタイルでスラッシュを使用する必要があります。Example: /windows/system*/間のデッドロックが原因で潜在的なHMONタイムアウトが発生する問題が解決されています。
  • ワイルドカードでサポートされている文字は*のみです。
  • ワイルドカードを使用したフォルダーの除外では、フォルダーとファイルを区別するためにパスの最後にスラッシュを付ける必要があります。
    • フォルダーの除外: /windows/system32/*/
    • ファイルの除外: /windows/system32/*
  • フォルダーの深さのレベルごとにワイルドカードを追加する必要があります。例 /folder/*/script.vbs 一致 \folder\test\script.vbs または \folder\exclude\script.vbs しかし、では機能しません \folder\test\001\script.vbs間のデッドロックが原因で潜在的なHMONタイムアウトが発生する問題が解決されています。これには、次のいずれかが必要です。 /folder/*/001/script.vbs または /folder/*/*/script.vbs間のデッドロックが原因で潜在的なHMONタイムアウトが発生する問題が解決されています。
  • ワイルドカードは、完全な除外と部分的な除外をサポートします。
    • 完全なワイルドカードの例: /folder/*/script.vbs
    • 部分的なワイルドカードの例: /folder/test*/script.vbs
  • ネットワーク パスはワイルドカードでもサポートされています。
    • //*/login/application
    • //abc*/logon/application

Correct (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Correct (Windows): \Cases\ScriptsAllowed
誤: C:\Application\SubFolder\application.vbs
誤: \Program Files\Dell\application.vbs

ワイルドカードの例:

/users/*/temp 以下をカバーします。

  • \users\john\temp
  • \users\jane\temp

/program files*/app/script*.vbs 以下をカバーします。

  • \program files(x86)\app\script1.vbs
  • \program files(x64)\app\script2.vbs
  • \program files(x64)\app\script3.vbs

サポートに問い合わせるには、「Dell Data Securityのインターナショナル サポート電話番号」を参照してください。
TechDirectにアクセスして、テクニカル サポート リクエストをオンラインで生成します。
さらに詳しい情報やリソースについては、「デル セキュリティ コミュニティー フォーラム」に参加してください。

Additional Information

 

Videos

 

Affected Products

Dell Threat Defense
Article Properties
Article Number: 000124588
Article Type: How To
Last Modified: 07 Nov 2024
Version:  13
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.