Article Number: 000126118
-
デフォルトで、Advanced Threat Prevention (ATP)は最初に学習モードで実行することをお勧めしています。すべての脅威情報が収集され、管理者は環境内で脅威と不審なプログラム(PUP)を柔軟に管理し、ミッション クリティカルなアプリケーションを許可リストに追加できます。
Dell Endpoint Security Suite Enterpriseでポリシーを変更する方法の詳細については、「 Dell Data Protection Serverのポリシーを変更する方法」を参照してください。
Dell Endpoint Security Suite Enterprise内で除外を作成する方法の詳細とルールについては、「 Dell Endpoint Security Suite Enterpriseで除外を追加する方法」を参照してください。
| ポリシー値 | 推奨値 | [Policy Description] |
|---|---|---|
| [Advanced Threat Prevention (Primary Switch)] |
点灯 |
このポリシー値は、クライアントがAdvanced Threat Preventionのポリシーを使用できるかどうかを決定します。 これにより、無効化できないファイル アクションと実行制御も有効になります。 実行制御には、バックグラウンド脅威検出とファイル監視が含まれます。ATP内のこのモジュールでは、目的のアクションと動作に基づいて、Portable Executable (PE)の意図を分析および解釈します。実行制御、バックグラウンド脅威検出、およびファイル監視によって検出されたすべてのファイルは、自動隔離に関連するポリシーに基づいて処理されます。これらのアクションは、Portable Executableの絶対パスの場所に基づいて実行されます。 |
| [File Actions]: |
|
|
| Unsafe Executable Auto Quarantine With Executable Control Enabled |
無効 | これにより、重大な脅威と見なされるファイルが自動的に隔離されるかどうかが決まります。 |
| Unsafe Executable Auto Upload Enabled |
Enabled |
重大な脅威をクラウドにアップロードして、これらの脅威に対してセカンド オピニオン チェックを実行するかどうかを設定します。 |
| Abnormal Executable Auto Quarantine With Executable Control Enabled |
無効 |
これにより、潜在的な脅威と見なされるファイルが自動的に隔離されるかどうかが決まります。 |
| Abnormal Executable Auto Upload Enabled |
Enabled |
潜在的な脅威をクラウドにアップロードして、これらの脅威に対してセカンド オピニオン チェックを実行するかどうかを設定します。 |
| Allow Execution of Files in Exclude Folders |
Enabled |
これは、[Protection Settings]ポリシー グループ内の[Exclude Specific Folders]ポリシーに適用されます。これにより、除外されたフォルダー内の実行可能ファイルは、自動的に隔離された場合でも実行できます。 |
| Auto Delete |
無効 |
これにより、Days until Deletedポリシーのタイマーが有効になります。これは検疫済みアイテムに適用され、このポリシーが有効になっている場合、[削除されるまでの日数] が経過すると、検疫フォルダー内の脅威は自動的に削除されます。 |
| [Days until Deleted] |
14 |
これにより、アイテムがローカル隔離フォルダーに残る日数が脅威ごとに決定されます。 |
| [Memory Actions]: |
||
| Memory Protection Enabled |
Enabled |
これにより、メモリー保護機能が有効になります。メモリー保護のモジュールは、メモリー内のアプリケーションとオペレーティング システム間の相互作用を監視することによって、アプリケーションを実行する意図を分析および解釈します。 |
| Enable Exclude executable files |
Enabled |
これにより、特定の実行可能ファイルをメモリー保護から除外できます。 |
| 実行可能ファイルの除外 |
空白 |
追加されるすべての除外は、その実行可能ファイルの相対パスを使用して指定する必要があります(パスからドライブ文字を除外します)。 Correct (OS X): /Users/application.app/executable Correct (Windows): \Application\SubFolder\application.exe Incorrect: C:\Application\SubFolder\application.exe Incorrect: \Application\SubFolder\ |
| Exploitation: スタック ピボット |
警告 |
スレッドのスタックが別のスタックに置き換えられました。一般的に、コンピューターはスレッドに1つのスタックを割り当てます。攻撃者は、別のスタックを使用して、データ実行防止(DEP)がブロックできない方法で実行を制御します。 適用先: Windows、Mac |
| Exploitation: スタック保護 |
警告 |
スレッドのスタックのメモリー保護が変更され、実行権限が有効になりました。スタック メモリーを実行可能にすることはできません。したがって、これは通常、攻撃者が、データ実行防止(DEP)によりブロックされない方法で、スタック メモリーに格納されている悪意のあるコードを実行する準備をしていることを意味します。 適用先: Windows、Mac |
| Exploitation: コードを上書き |
警告 |
プロセスのメモリーに存在するコードが、データ実行防止(DEP)をバイパスする可能性のある手法を使用して変更されました。 適用先: Windows |
| Exploitation: Scanner Memory Search |
警告 |
プロセスが別のプロセスから有効な磁気ストライプ トラック データを読み取ろうとしています。通常、POS(販売時点管理)コンピューターに関連 適用先: Windows |
| Exploitation: 悪意のあるペイロード |
警告 |
プロセスが別のプロセスから有効な磁気ストライプ トラック データを読み取ろうとしています。通常、POS(販売時点管理)コンピューターに関連 適用先: Windows |
| Exploitation: 悪意のあるペイロード |
警告 |
エクスプロイトに関連する汎用シェルコードとペイロードが検出されました。 適用先: Windows |
| Process Injection: メモリーのリモート割り当て |
警告 |
プロセスが別のプロセスでメモリーを割り当てました。ほとんどの割り当ては、同じプロセス内でのみ行われます。これは通常、コードまたはデータを別のプロセスに注入しようとする試みを示しています。これは、コンピューター上に存在する悪意のあるものを補強するための最初のステップである可能性があります。 適用先: Windows、Mac |
| Process Injection: メモリーのリモート マッピング |
警告 |
プロセスがコードまたはデータを別のプロセスに導入しました。これは、別のプロセスでコードの実行を開始し、悪意のあるものを補強しようとしている可能性があります。 適用先: Windows、Mac |
| Process Injection: メモリーへのリモート書き込み |
警告 |
プロセスが別のプロセスでメモリーを変更しました。これは通常、以前に割り当てられたメモリーにコードまたはデータを保存する試みですが(OutofProcessAllocationを参照)、攻撃者が悪意のある目的で実行を転用するために既存のメモリーを上書きしようとしている可能性があります。 適用先: Windows、Mac |
| Process Injection: メモリーへのリモート書き込みPE |
警告 |
実行可能イメージを含めるために、プロセスによって別のプロセスのメモリーが変更されました。一般的にこれは、攻撃者が最初にそのコードをディスクに書き込まずにコードを実行しようとしていることを示しています。 適用先: Windows、Mac |
| Process Injection: リモート上書きコード |
警告 |
プロセスが別のプロセスで実行可能メモリーを変更しました。通常の条件下では、実行可能メモリーは、特に別のプロセスによって変更されません。これは通常、別のプロセスで実行を転用しようとする試みを示しています。 適用先: Windows、Mac |
| Process Injection: メモリーのリモート マッピング解除 |
警告 |
プロセスによって、別のプロセスのメモリーからWindows実行可能ファイルが削除されました。これは、実行を転用するために、実行可能イメージを変更されたコピーに置き換える意図を示している可能性があります。 適用先: Windows、Mac |
| Process Injection: リモート スレッドの作成 |
警告 |
プロセスが別のプロセスでスレッドを作成しました。攻撃者はこれを使用して、別のプロセスに注入された悪意のあるスレッドをアクティブ化します。 適用先: Windows、Mac |
| Process Injection: スケジュールされたリモートAPC |
警告 |
プロセスが別のプロセスのスレッドの実行を転用しました。攻撃者はこれを使用して、別のプロセスに注入された悪意のあるスレッドをアクティブ化します。 適用先: Windows |
| Process Injection: DYLD Injection(Mac OS Xのみ) |
警告 |
開始されたプロセスに共有ライブラリーが挿入される環境変数が設定されました。攻撃者は、Safariなどのアプリケーションのplistを変更したり、アプリケーションをbashスクリプトに置き換えたりして、アプリケーションの起動時にモジュールが自動的にロードされる可能性があります。 適用先: Mac |
| エスカレーション: LSASS読み取り |
警告 |
Windows Local Security Authorityプロセスに属するメモリーに、ユーザー パスワードの取得試行を示す方法でアクセスされました。 適用先: Windows |
| エスカレーション: ゼロ割り当て |
警告 |
Nullページが割り当てられました。メモリー領域は通常予約されますが、特定の状況では割り当て可能です。攻撃者はこれを利用して、一般的にはカーネルで既知のNull De-reference攻撃を悪用して、権限のエスカレーションをセットアップできます。 適用先: Windows、Mac |
| 実行制御 |
||
| デバイスからのサービス シャットダウンの防止 |
無効 |
有効にすると、ATPサービスを停止できなくなります。これにより、アプリケーションのアンインストールもできなくなります。 |
| Kill Unsafe Running Process and Sub-Processes |
無効 |
この機能を有効にすると、サブプロセスを生成するメモリー ベースの脅威を検出および終了できます。 |
| バックグラウンド脅威検出 |
1回実行 |
これにより、デバイス上で既存ファイルのスキャンを実行するかどうかを決定します。これは、[無効]、[1回だけ実行]、または[繰り返し実行]に設定できます。 [Watch For New Files]が有効になっている場合は、[Background Threat Detection]を[Run Once]に設定することをお勧めします。新規および更新されたファイルも監視している場合は、既存のファイルを1回だけチェックする必要があります。 |
| Watch For New Files |
Enabled |
これを[Enabled]に設定すると、デバイスに新しく書き込まれたファイルや変更されたファイルの検出と分析が可能になります。
注:トラフィックの多いデバイス(ファイルやアプリケーション サーバーなど)では、各ファイルをディスクに書き込むときに分析する必要があるため、予期せずディスク レイテンシーが増加する可能性があるため、[Watch For New Files]を無効にすることをお勧めします。この問題は、Portable Executableが実行を試みると分析されるため、デフォルトで緩和されています。[Background Threat Detection]を有効にして、[Run Recurring]に設定すると、この問題をさらに緩和できます。
|
| Set Maximum Archive File Size to Scan |
150 |
分析可能な解凍アーカイブの最大サイズを設定します サイズはメガバイト単位です。 |
| 保護設定 | ||
| Enable Exclude Specific Folders (includes subfolders) | Enabled | これにより、ポリシーに基づいて ファイル監視 と 実行制御 でフォルダーを定義し、監視対象でないフォルダーを除外するファイルの実行を許可する ことができます。 |
| Exclude Specific Folders (includes subfolders) | 空白 | 監視されていないファイル監視フォルダーのリストを定義します。除外フォルダー内のファイルの実行を許可するポリシーは、これらのディレクトリーから実行されるすべてのファイルの隔離を防ぎます。このポリシーは、[Watch For New Files]または[Background Threat Detection]によるこれらのディレクトリーのスキャンを防止します。 追加されるすべての除外は、その実行可能ファイルの絶対パスを使用して指定する必要があります(パスからドライブ レターを含めます)。 Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| アプリケーション制御 | ||
| アプリケーション制御 | 無効 | これにより、デバイス上でのアプリケーション ベースの変更を制限することができます。新しいアプリケーションの追加、アプリケーションの削除、アプリケーションの変更または更新はできません。 |
| アプリケーション制御で許可されるフォルダー | 空白 | これにより、監視対象外のアプリケーション制御内のフォルダーのリストが定義されます。 追加されるすべての除外は、その実行可能ファイルの絶対パスを使用して指定する必要があります(パスからドライブ レターを含めます)。 Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| Enable Change Window | 無効 | 有効にすると、アプリケーション制御が一時的に無効になり、環境内で変更を行うことができます。 |
| スクリプト制御 | ||
| スクリプト制御 | Enabled | スクリプト制御の使用を有効にします スクリプト制御は、オペレーティング システム内でアクションを実行できるアプリケーションとサービスを監視します。これらのアプリケーションは、一般的にインタープリターと呼ばれます。ATPは、これらのアプリケーションとサービスで実行を試みるスクリプトを監視し、ポリシーに基づいて、実行されたアクションを通知するか、アクションの実行をブロックします。これらの決定は、スクリプト名とスクリプトが実行された相対パスに基づいて行われます。 |
| Script Control Mode | 警告 | [Block]に設定すると、スクリプト ベースのアイテムは実行されません。これには、アクティブなスクリプト、マクロ ベースのスクリプト、またはPowerShellベースのスクリプトが含まれます。以降のバージョンでは、これらは独自のポリシーに分かれています。 適用先: ビルド1.2.1371以前のESSE |
| アクティブ スクリプト | 警告 | [Block]に設定すると、JavaScript、VBscript、batch、Python、Perl、PHP、Ruby、その他多くのスクリプトを実行する機能が無効になります。 適用先: ビルド1.2.1391以降のESSE |
| マクロ | 警告 | [Alert]に設定すると、ドキュメント内のマクロを分析して、潜在的に悪意のあるコマンドを実行しているかどうかを判断できます。脅威が検出されると、[Block]設定によってマクロが実行されなくなります。起動時に実行されるマクロは、アプリケーションのロードを妨げる可能性があります。 適用先: ビルド1.2.1391以降のESSE |
| Powershell | 警告 | [Block]に設定すると、PowerShellベースのスクリプトが環境内で実行されなくなります。 適用先: ビルド1.2.1391以降のESSE |
| PowerShellコンソール | Allow | [Block]に設定すると、PowerShell V3コンソールとISEが起動できなくなります。 適用先: ビルド1.2.1391以降のESSE |
| [Enable Approve Scripts in Folders (and Subfolders)] | Enabled | これにより、スクリプト制御で場所を分析から除外することができます。 |
| [Approve Scripts in Folders (and Subfolders)] | 空白 | このセクションでは、スクリプト制御で監視されないフォルダーについて詳しく指定します。
Correct (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed Correct (Windows): \Cases\ScriptsAllowed. Incorrect: C:\Application\SubFolder\application.vbs Incorrect: \Program Files\Dell\application.vbs |
| Global Allow | 空白 | このポリシーは、ESSEの切断モードによって活用されます。これにより、お客様は環境をインターネットから完全に分離することができます。 このポリシーは、環境内で許可する必要がある特定の脅威パスと証明書を決定します。 |
| Quarantine List | 空白 | このポリシーは、ESSEの切断モードによって活用されます。これにより、お客様は環境をインターネットから完全に分離することができます。 これは、エージェントによって検出されたときに自動的に隔離される既知の不正ハッシュの定義済みリストです。 |
| Safe List | 空白 | このポリシーは、ESSEの切断モードによって活用されます。これにより、お客様は環境をインターネットから完全に分離することができます。 このポリシーは、環境内で許可する必要がある特定の脅威ハッシュを決定します。 |
| エージェント設定 | ||
| Suppress Popup Notifications | Enabled | これにより、ESSEがトースターダイアログを表示する機能を有効または無効にします。 |
| [Minimum Popup Notification Level] | High | これは、[Suppress Popup Notifications]ポリシーが無効になっている場合にエンド ユーザーに通知される内容を定義します。 High
中
低い
|
| Enable BIOS Assurance | Enabled | サポートされているDell製コンピューター(2016以降のエンタープライズ クラスのコンピューター)でBIOS整合性チェックを実行します。 |
| Enable Auto-upload of Log Files | Enabled | これにより、エージェントはATPプラグインのログ ファイルを毎日午前0時または100 MBのいずれか早い方でクラウドに自動アップロードできます。 |
| ポリシー値 | 推奨値 | [Policy Description] |
|---|---|---|
| [Advanced Threat Prevention (Primary Switch)] |
点灯 |
このポリシー値は、クライアントがAdvanced Threat Preventionのポリシーを使用できるかどうかを決定します。 これにより、無効化できないファイル アクションと実行制御も有効になります。 実行制御には、バックグラウンド脅威検出とファイル監視が含まれます。ATP内のこのモジュールでは、目的のアクションと動作に基づいて、Portable Executable (PE)の意図を分析および解釈します。実行制御、BTD、ファイル監視によって検出されたすべてのファイルは、自動隔離に関連するポリシーに基づいて処理されます。これらのアクションは、Portable Executableの絶対パスの場所に基づいて実行されます。 |
| [File Actions]: |
|
|
| Unsafe Executable Auto Quarantine With Executable Control Enabled |
Enabled | これにより、重大な脅威と見なされるファイルが自動的に隔離されるかどうかが決まります。 |
| Unsafe Executable Auto Upload Enabled |
Enabled |
重大な脅威をクラウドにアップロードして、これらの脅威に対してセカンド オピニオン チェックを実行するかどうかを設定します。 |
| Abnormal Executable Auto Quarantine With Executable Control Enabled |
Enabled |
これにより、潜在的な脅威と見なされるファイルが自動的に隔離されるかどうかが決まります。 |
| Abnormal Executable Auto Upload Enabled |
Enabled |
潜在的な脅威をクラウドにアップロードして、これらの脅威に対してセカンド オピニオン チェックを実行するかどうかを設定します。 |
| Allow Execution of Files in Exclude Folders |
Enabled |
これは、[Protection Settings]ポリシー グループ内の[Exclude Specific Folders]ポリシーに適用されます。これにより、除外されたフォルダー内の実行可能ファイルは、自動的に隔離された場合でも実行できます。 |
| Auto Delete |
Enabled |
これにより、ポリシーが削除されるまでの日数のタイマーが有効になり、検疫済みアイテムにも適用されます。このポリシーが有効になっている場合、削除されるまでの日数が経過すると、隔離フォルダー内の脅威は自動的に削除されます。 |
| [Days until Deleted] |
14 |
アイテムをローカル隔離フォルダーに維持する日数を、脅威ごとに決定します。 |
| [Memory Actions]: |
||
| Memory Protection Enabled |
Enabled |
これにより、メモリー保護機能が有効になります。メモリー保護のモジュールは、メモリー内のアプリケーションとオペレーティング システム間の相互作用を監視することによって、アプリケーションを実行する意図を分析および解釈します。 |
| Enable Exclude executable files |
Enabled |
これにより、特定の実行可能ファイルをメモリー保護から除外できます。 |
| 実行可能ファイルの除外 |
環境によって異なります |
追加されるすべての除外は、その実行可能ファイルの相対パスを使用して指定する必要があります(パスからドライブ文字を除外します)。 Correct (OS X): /Users/application.app/executable Correct (Windows): \Application\SubFolder\application.exe Incorrect: C:\Application\SubFolder\application.exe Incorrect: \Application\SubFolder\ |
| Exploitation: スタック ピボット |
[Terminate] |
スレッドのスタックが別のスタックに置き換えられました。一般的に、コンピューターはスレッドに1つのスタックのみを割り当てます。攻撃者は、別のスタックを使用して、データ実行防止(DEP)がブロックできない方法で実行を制御します。 適用先: Windows、Mac |
| Exploitation: スタック保護 |
[Terminate] |
スレッドのスタックのメモリー保護が変更され、実行権限が有効になりました。スタック メモリーを実行可能にすることはできません。したがって、これは通常、攻撃者が、データ実行防止(DEP)によりブロックされない方法で、スタック メモリーに格納されている悪意のあるコードを実行する準備をしていることを意味します。 適用先: Windows、Mac |
| Exploitation: コードを上書き |
[Terminate] |
プロセスのメモリーに存在するコードが、データ実行防止(DEP)をバイパスする可能性のある手法を使用して変更されました。 適用先: Windows |
| Exploitation: Scanner Memory Search |
[Terminate] |
プロセスが、一般的にPOSコンピューターに関連する別のプロセスから有効な磁気ストライプ トラック データを読み取ろうとしています。 適用先: Windows |
| Exploitation: 悪意のあるペイロード |
[Terminate] |
エクスプロイトに関連する汎用シェルコードとペイロードが検出されました。 適用先: Windows |
| Process Injection: メモリーのリモート割り当て |
[Terminate] |
プロセスが別のプロセスでメモリーを割り当てました。ほとんどの割り当ては、同じプロセス内でのみ行われます。これは通常、コードまたはデータを別のプロセスに注入しようとする試みを示しています。これは、コンピューター上に存在する悪意のあるものを補強するための最初のステップである可能性があります。 適用先: Windows、Mac |
| Process Injection: メモリーのリモート マッピング |
[Terminate] |
プロセスがコードまたはデータを別のプロセスに導入しました。これは、別のプロセスでコードの実行を開始し、悪意のあるものを補強しようとしている可能性があります。 適用先: Windows、Mac |
| Process Injection: メモリーへのリモート書き込み |
[Terminate] |
プロセスが別のプロセスでメモリーを変更しました。これは通常、以前に割り当てられたメモリーにコードまたはデータを保存する試みですが(OutofProcessAllocationを参照)、攻撃者が悪意のある目的で実行を転用するために既存のメモリーを上書きしようとしている可能性があります。 適用先: Windows、Mac |
| Process Injection: メモリーへのリモート書き込みPE |
[Terminate] |
実行可能イメージを含めるために、プロセスによって別のプロセスのメモリーが変更されました。一般的にこれは、攻撃者が最初にそのコードをディスクに書き込まずにコードを実行しようとしていることを示します。 適用先: Windows、Mac |
| Process Injection: リモート上書きコード |
[Terminate] |
プロセスが別のプロセスで実行可能メモリーを変更しました。通常の条件下では、実行可能メモリーは、特に別のプロセスによって変更されません。これは通常、別のプロセスで実行を転用しようとする試みを示しています。 適用先: Windows、Mac |
| Process Injection: メモリーのリモート マッピング解除 |
[Terminate] |
プロセスによって、別のプロセスのメモリーからWindows実行可能ファイルが削除されました。これは、実行を転用するために、実行可能イメージを変更されたコピーに置き換える意図を示している可能性があります。 適用先: Windows、Mac |
| Process Injection: リモート スレッドの作成 |
[Terminate] |
プロセスが別のプロセスでスレッドを作成しました。攻撃者はこれを使用して、別のプロセスに注入された悪意のあるスレッドをアクティブ化します。 適用先: Windows、Mac |
| Process Injection: スケジュールされたリモートAPC |
[Terminate] |
プロセスが別のプロセスのスレッドの実行を転用しました。攻撃者はこれを使用して、別のプロセスに注入された悪意のある存在をアクティブ化します。 適用先: Windows |
| Process Injection: DYLD Injection(Mac OS Xのみ) |
[Terminate] |
開始されたプロセスに共有ライブラリーが挿入される環境変数が設定されました。攻撃者は、Safariなどのアプリケーションのplistを変更したり、アプリケーションをbashスクリプトに置き換えたりして、アプリケーションの起動時にモジュールが自動的にロードされる可能性があります。 適用先: Mac |
| エスカレーション: LSASS読み取り |
[Terminate] |
Windows Local Security Authorityプロセスに属するメモリーに、ユーザー パスワードの取得試行を示す方法でアクセスされました。 適用先: Windows |
| エスカレーション: ゼロ割り当て |
[Terminate] |
Nullページが割り当てられました。メモリー領域は通常予約されますが、特定の状況では割り当て可能です。攻撃者はこれを利用して、一般的にはカーネルで既知のNull De-reference攻撃を悪用して、権限のエスカレーションをセットアップできます。 適用先: Windows、Mac |
| 実行制御 |
||
| デバイスからのサービス シャットダウンの防止 |
Enabled |
[Enabled]に設定すると、コンピューターでもATPサービスを停止できなくなります。これにより、アプリケーションのアンインストールもできなくなります。 |
| Kill Unsafe Running Process and Sub-Processes |
Enabled |
この機能を有効にすると、サブプロセスを生成するメモリー ベースの脅威を検出および終了できます。 |
| バックグラウンド脅威検出 |
1回実行 |
これにより、デバイス上で既存ファイルのスキャンを実行するかどうかを決定します。これは、[無効]、[1回だけ実行]、または[繰り返し実行]に設定できます。 [Watch For New Files]が有効になっている場合は、[Background Threat Detection]を[Run Once]に設定することをお勧めします。新規および更新されたファイルも監視している場合は、既存のファイルを1回だけチェックする必要があります。 |
| Watch For New Files |
Enabled |
これを[Enabled]に設定すると、デバイスに新しく書き込まれたファイルや変更されたファイルの検出と分析が可能になります。
注:トラフィックの多いデバイス(ファイルやアプリケーション サーバーなど)では、各ファイルをディスクに書き込むときに分析する必要があるため、予期せずディスク レイテンシーが増加する可能性があるため、[Watch For New Files]を無効にすることをお勧めします。この問題は、Portable Executableが実行を試みると分析されるため、デフォルトで緩和されています。[Background Threat Detection]を有効にして、[Run Recurring]に設定すると、この問題をさらに緩和できます。
|
| Set Maximum Archive File Size to Scan |
150 |
分析可能な解凍アーカイブの最大サイズを設定します サイズはメガバイト単位です。 |
| 保護設定 | ||
| Enable Exclude Specific Folders (includes subfolders) | Enabled | これにより、[監視対象外のフォルダーを除外するファイルの実行を許可する]ポリシーに基づいて、[ファイル監視]および[実行制御]でフォルダーを定義することができます。 |
| Exclude Specific Folders (includes subfolders) | 環境によって異なります | これにより、ファイル監視で監視対象外のフォルダーのリストが定義されます。この「除外フォルダー内のファイルの実行を許可する」ポリシーは、これらのディレクトリーから実行されるすべてのファイルの隔離を防止します。このポリシーは、[Watch For New Files]または[Background Threat Detection]によるこれらのディレクトリーのスキャンを防止します。 追加されるすべての除外は、その実行可能ファイルの絶対パスを使用して指定する必要があります(パスからドライブ レターを含めます)。 Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| アプリケーション制御 | ||
| アプリケーション制御 | 無効 | これにより、デバイスでのアプリケーションベースの変更を制限することができます。新しいアプリケーションを追加したり、アプリケーションを削除したり、アプリケーションを変更または更新したりすることはできません。 |
| アプリケーション制御で許可されるフォルダー | 空白 | これにより、監視対象外のアプリケーション制御内のフォルダーのリストが定義されます。 追加されるすべての除外は、その実行可能ファイルの絶対パスを使用して指定する必要があります(パスからドライブ レターを含めます)。 Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| Enable Change Window | 無効 | 有効にすると、アプリケーション制御が一時的に無効になり、環境内で変更を行うことができます。 |
| スクリプト制御 | ||
| スクリプト制御 | Enabled | スクリプト制御の使用を有効にします スクリプト制御は、オペレーティング システム内でアクションを実行できるアプリケーションとサービスを監視します。これらのアプリケーションは、一般的にインタープリターと呼ばれます。ATPは、これらのアプリケーションとサービスで実行を試みるスクリプトを監視し、ポリシーに基づいて、実行されたアクションを通知するか、アクションの実行をブロックします。これらの決定は、スクリプト名とスクリプトが実行された相対パスに基づいて行われます。 |
| Script Control Mode | ブロック | [Block]に設定すると、スクリプト ベースのアイテムは実行されません。これには、アクティブなスクリプト、マクロ ベースのスクリプト、またはPowerShellベースのスクリプトが含まれます。以降のバージョンでは、これらは独自のポリシーに分かれています。 適用先: ビルド1.2.1371以前のESSE |
| アクティブ スクリプト | ブロック | [Block]に設定すると、JavaScript、VBscript、batch、Python、Perl、PHP、Ruby、その他多くのスクリプトを実行する機能が無効になります。 適用先: ビルド1.2.1391以降のESSE |
| マクロ | ブロック | [Alert]に設定すると、ドキュメント内のマクロを分析して、潜在的に悪意のあるコマンドを実行しているかどうかを判断できます。脅威が検出されると、[Block]設定によってマクロが実行されなくなります。起動時に実行されるマクロは、アプリケーションのロードを妨げる可能性があります。 適用先: ビルド1.2.1391以降のESSE |
| Powershell | ブロック | [Block]に設定すると、PowerShellベースのスクリプトが環境内で実行されなくなります。 適用先: ビルド1.2.1391以降のESSE |
| PowerShellコンソール | Allow | [Block]に設定すると、PowerShell V3コンソールとISEが起動できなくなります。 適用先: ビルド1.2.1391以降のESSE |
| [Enable Approve Scripts in Folders (and Subfolders)] | Enabled | これにより、スクリプト制御から場所を分析から除外することができます。 |
| [Approve Scripts in Folders (and Subfolders)] | 環境によって異なります | このセクションでは、スクリプト制御で監視されないフォルダーについて詳しく指定します。
Correct (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed Correct (Windows): \Cases\ScriptsAllowed. Incorrect: C:\Application\SubFolder\application.vbs Incorrect: \Program Files\Dell\application.vbs |
| Global Allow | 環境によって異なります | このポリシーは、ESSEの切断モードによって活用されます。これにより、お客様は環境をインターネットから完全に分離することができます。 このポリシーは、環境内で許可する必要がある特定の脅威パスと証明書を決定します。 |
| Quarantine List | 環境によって異なります | このポリシーは、ESSEの切断モードによって活用されます。これにより、お客様は環境をインターネットから完全に分離することができます。 これは、エージェントによって検出されたときに自動的に隔離される既知の不正ハッシュの定義済みリストです。 |
| Safe List | 環境によって異なります | このポリシーは、ESSEの切断モードによって活用されます。これにより、お客様は環境をインターネットから完全に分離することができます。 このポリシーは、環境内で許可する必要がある特定の脅威ハッシュを決定します。 |
| エージェント設定 | ||
| Suppress Popup Notifications | 無効 | これにより、ESSEがトースターダイアログを表示する機能を有効または無効にします。 |
| [Minimum Popup Notification Level] | High | これは、[Suppress Popup Notifications]ポリシーが無効になっている場合にエンド ユーザーに通知される内容を定義します。 High
中
低い
|
| Enable BIOS Assurance | Enabled | サポートされているDell製コンピューター(2016以降のエンタープライズ クラスのコンピューター)でBIOS整合性チェックを実行します。 |
| Enable Auto-upload of Log Files | Enabled | これにより、エージェントはATPプラグインのログ ファイルを毎日午前0時または100 MBのいずれか早い方でクラウドに自動アップロードできます。 |
| [Enable Standard UI] | Enabled | これにより、エンドポイントでDell Data Security Consoleを使用する追加オプションが有効になります。これにより、ローカル ユーザーは、ローカル エンドポイントで検出された脅威、メモリー イベント、スクリプトを確認できます。このオプションは、エンドポイントの右クリック メニューを使用するか、Dell Data Security Console内の[Advanced Threat Prevention]というタイトルのオプションの設定歯車を使用して表示できます。 このオプションを選択すると、そのコンピューターで検出された脅威、メモリー イベント、スクリプトを表示または非表示にする追加のトグルが使用可能になります。 このポリシーでは、Dell Encryption Management Agentがバージョン8.18.0以降である必要があります。 |
サポートに問い合わせるには、「Dell Data Securityのインターナショナル サポート電話番号」を参照してください。
TechDirectにアクセスして、テクニカル サポート リクエストをオンラインで生成します。
さらに詳しい情報やリソースについては、「デル セキュリティ コミュニティー フォーラム」に参加してください。
Dell Endpoint Security Suite Enterprise
04 Mar 2024
10
Solution