Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

Dell Endpoint Security Suite Enterprise Advanced Threat Protection and PreventionのDell推奨ポリシー

Summary: Dell Endpoint Security Suite Enterpriseは、最新かつ最も破壊的な脅威に対する予防と保護を提供します。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms

注:

対象製品:

  • Dell Endpoint Security Suite Enterprise

Cause

-

Resolution

デフォルトで、Advanced Threat Prevention (ATP)は最初に学習モードで実行することをお勧めしています。すべての脅威情報が収集され、管理者は環境内で脅威と不審なプログラム(PUP)を柔軟に管理し、ミッション クリティカルなアプリケーションを許可リストに追加できます。

Dell Endpoint Security Suite Enterpriseでポリシーを変更する方法の詳細については、「 Dell Data Protection Serverのポリシーを変更する方法」を参照してください。

Dell Endpoint Security Suite Enterprise内で除外を作成する方法の詳細とルールについては、「 Dell Endpoint Security Suite Enterpriseで除外を追加する方法」を参照してください。

注:アプリケーションおよびファイル サーバーでは、[Background Threat Detection]と[Watch for New Files]に関して特別な考慮が必要です。これらは以下に定義されています。これらのデバイスは、Dell Security Management Server内のエンドポイント グループによって分離され、これらのデバイスが環境内の残りのデバイスとは異なるポリシーを持つことができるようになります。
注:これらのポリシーは、10.2.3 Dell Security Management Serverのものです。
ポリシー値 推奨値 [Policy Description]

[Advanced Threat Prevention (Primary Switch)]

点灯

このポリシー値は、クライアントがAdvanced Threat Preventionのポリシーを使用できるかどうかを決定します。

これにより、無効化できないファイル アクションと実行制御も有効になります。

実行制御には、バックグラウンド脅威検出とファイル監視が含まれます。ATP内のこのモジュールでは、目的のアクションと動作に基づいて、Portable Executable (PE)の意図を分析および解釈します。実行制御、バックグラウンド脅威検出、およびファイル監視によって検出されたすべてのファイルは、自動隔離に関連するポリシーに基づいて処理されます。これらのアクションは、Portable Executableの絶対パスの場所に基づいて実行されます。

[File Actions]:

 

 

Unsafe Executable Auto Quarantine With Executable Control Enabled

無効 これにより、重大な脅威と見なされるファイルが自動的に隔離されるかどうかが決まります。

Unsafe Executable Auto Upload Enabled

Enabled

重大な脅威をクラウドにアップロードして、これらの脅威に対してセカンド オピニオン チェックを実行するかどうかを設定します。

Abnormal Executable Auto Quarantine With Executable Control Enabled

無効

これにより、潜在的な脅威と見なされるファイルが自動的に隔離されるかどうかが決まります。

Abnormal Executable Auto Upload Enabled

Enabled

潜在的な脅威をクラウドにアップロードして、これらの脅威に対してセカンド オピニオン チェックを実行するかどうかを設定します。

Allow Execution of Files in Exclude Folders

Enabled

これは、[Protection Settings]ポリシー グループ内の[Exclude Specific Folders]ポリシーに適用されます。これにより、除外されたフォルダー内の実行可能ファイルは、自動的に隔離された場合でも実行できます。

Auto Delete

無効

これにより、Days until Deletedポリシーのタイマーが有効になります。これは検疫済みアイテムに適用され、このポリシーが有効になっている場合、[削除されるまでの日数] が経過すると、検疫フォルダー内の脅威は自動的に削除されます。

[Days until Deleted]

14

これにより、アイテムがローカル隔離フォルダーに残る日数が脅威ごとに決定されます。

[Memory Actions]:

   

Memory Protection Enabled

Enabled

これにより、メモリー保護機能が有効になります。メモリー保護のモジュールは、メモリー内のアプリケーションとオペレーティング システム間の相互作用を監視することによって、アプリケーションを実行する意図を分析および解釈します。

Enable Exclude executable files

Enabled

これにより、特定の実行可能ファイルをメモリー保護から除外できます。

実行可能ファイルの除外

空白

追加されるすべての除外は、その実行可能ファイルの相対パスを使用して指定する必要があります(パスからドライブ文字を除外します)。

Correct (OS X):
/Users/application.app/executable
Correct (Windows):
\Application\SubFolder\application.exe
Incorrect:
C:\Application\SubFolder\application.exe
Incorrect:
\Application\SubFolder\

Exploitation: スタック ピボット

警告

スレッドのスタックが別のスタックに置き換えられました。一般的に、コンピューターはスレッドに1つのスタックを割り当てます。攻撃者は、別のスタックを使用して、データ実行防止(DEP)がブロックできない方法で実行を制御します。

適用先: Windows、Mac

Exploitation: スタック保護

警告

スレッドのスタックのメモリー保護が変更され、実行権限が有効になりました。スタック メモリーを実行可能にすることはできません。したがって、これは通常、攻撃者が、データ実行防止(DEP)によりブロックされない方法で、スタック メモリーに格納されている悪意のあるコードを実行する準備をしていることを意味します。

適用先: Windows、Mac

Exploitation: コードを上書き

警告

プロセスのメモリーに存在するコードが、データ実行防止(DEP)をバイパスする可能性のある手法を使用して変更されました。

適用先: Windows

Exploitation: Scanner Memory Search

警告

プロセスが別のプロセスから有効な磁気ストライプ トラック データを読み取ろうとしています。通常、POS(販売時点管理)コンピューターに関連

適用先: Windows

Exploitation: 悪意のあるペイロード

警告

プロセスが別のプロセスから有効な磁気ストライプ トラック データを読み取ろうとしています。通常、POS(販売時点管理)コンピューターに関連

適用先: Windows

Exploitation: 悪意のあるペイロード

警告

エクスプロイトに関連する汎用シェルコードとペイロードが検出されました。

適用先: Windows

Process Injection: メモリーのリモート割り当て

警告

プロセスが別のプロセスでメモリーを割り当てました。ほとんどの割り当ては、同じプロセス内でのみ行われます。これは通常、コードまたはデータを別のプロセスに注入しようとする試みを示しています。これは、コンピューター上に存在する悪意のあるものを補強するための最初のステップである可能性があります。

適用先: Windows、Mac

Process Injection: メモリーのリモート マッピング

警告

プロセスがコードまたはデータを別のプロセスに導入しました。これは、別のプロセスでコードの実行を開始し、悪意のあるものを補強しようとしている可能性があります。

適用先: Windows、Mac

Process Injection: メモリーへのリモート書き込み

警告

プロセスが別のプロセスでメモリーを変更しました。これは通常、以前に割り当てられたメモリーにコードまたはデータを保存する試みですが(OutofProcessAllocationを参照)、攻撃者が悪意のある目的で実行を転用するために既存のメモリーを上書きしようとしている可能性があります。

適用先: Windows、Mac

Process Injection: メモリーへのリモート書き込みPE

警告

実行可能イメージを含めるために、プロセスによって別のプロセスのメモリーが変更されました。一般的にこれは、攻撃者が最初にそのコードをディスクに書き込まずにコードを実行しようとしていることを示しています。

適用先: Windows、Mac

Process Injection: リモート上書きコード

警告

プロセスが別のプロセスで実行可能メモリーを変更しました。通常の条件下では、実行可能メモリーは、特に別のプロセスによって変更されません。これは通常、別のプロセスで実行を転用しようとする試みを示しています。

適用先: Windows、Mac

Process Injection: メモリーのリモート マッピング解除

警告

プロセスによって、別のプロセスのメモリーからWindows実行可能ファイルが削除されました。これは、実行を転用するために、実行可能イメージを変更されたコピーに置き換える意図を示している可能性があります。

適用先: Windows、Mac

Process Injection: リモート スレッドの作成

警告

プロセスが別のプロセスでスレッドを作成しました。攻撃者はこれを使用して、別のプロセスに注入された悪意のあるスレッドをアクティブ化します。

適用先: Windows、Mac

Process Injection: スケジュールされたリモートAPC

警告

プロセスが別のプロセスのスレッドの実行を転用しました。攻撃者はこれを使用して、別のプロセスに注入された悪意のあるスレッドをアクティブ化します。

適用先: Windows

Process Injection: DYLD Injection(Mac OS Xのみ)

警告

開始されたプロセスに共有ライブラリーが挿入される環境変数が設定されました。攻撃者は、Safariなどのアプリケーションのplistを変更したり、アプリケーションをbashスクリプトに置き換えたりして、アプリケーションの起動時にモジュールが自動的にロードされる可能性があります。

適用先: Mac

エスカレーション: LSASS読み取り

警告

Windows Local Security Authorityプロセスに属するメモリーに、ユーザー パスワードの取得試行を示す方法でアクセスされました。

適用先: Windows

エスカレーション: ゼロ割り当て

警告

Nullページが割り当てられました。メモリー領域は通常予約されますが、特定の状況では割り当て可能です。攻撃者はこれを利用して、一般的にはカーネルで既知のNull De-reference攻撃を悪用して、権限のエスカレーションをセットアップできます。

適用先: Windows、Mac

実行制御

   

デバイスからのサービス シャットダウンの防止

無効

有効にすると、ATPサービスを停止できなくなります。これにより、アプリケーションのアンインストールもできなくなります。

Kill Unsafe Running Process and Sub-Processes

無効

この機能を有効にすると、サブプロセスを生成するメモリー ベースの脅威を検出および終了できます。

バックグラウンド脅威検出

1回実行

これにより、デバイス上で既存ファイルのスキャンを実行するかどうかを決定します。これは、[無効]、[1回だけ実行]、または[繰り返し実行]に設定できます。

[Watch For New Files]が有効になっている場合は、[Background Threat Detection]を[Run Once]に設定することをお勧めします。新規および更新されたファイルも監視している場合は、既存のファイルを1回だけチェックする必要があります。

Watch For New Files

Enabled

これを[Enabled]に設定すると、デバイスに新しく書き込まれたファイルや変更されたファイルの検出と分析が可能になります。

 
注:トラフィックの多いデバイス(ファイルやアプリケーション サーバーなど)では、各ファイルをディスクに書き込むときに分析する必要があるため、予期せずディスク レイテンシーが増加する可能性があるため、[Watch For New Files]を無効にすることをお勧めします。この問題は、Portable Executableが実行を試みると分析されるため、デフォルトで緩和されています。[Background Threat Detection]を有効にして、[Run Recurring]に設定すると、この問題をさらに緩和できます。

Set Maximum Archive File Size to Scan

150

分析可能な解凍アーカイブの最大サイズを設定します サイズはメガバイト単位です。

保護設定    
Enable Exclude Specific Folders (includes subfolders) Enabled これにより、ポリシーに基づいて ファイル監視実行制御 でフォルダーを定義し、監視対象でないフォルダーを除外するファイルの実行を許可する ことができます。
Exclude Specific Folders (includes subfolders) 空白

監視されていないファイル監視フォルダーのリストを定義します。除外フォルダー内のファイルの実行を許可するポリシーは、これらのディレクトリーから実行されるすべてのファイルの隔離を防ぎます。このポリシーは、[Watch For New Files]または[Background Threat Detection]によるこれらのディレクトリーのスキャンを防止します。

追加されるすべての除外は、その実行可能ファイルの絶対パスを使用して指定する必要があります(パスからドライブ レターを含めます)。

Correct (OS X):
/Mac\ HD/Users/Application\ Support/Dell
Correct (Windows):
C:\Program Files\Dell\
Incorrect:
\Program Files\Dell\
Incorrect:
C:\Program Files\Dell\Executable.exe
アプリケーション制御    
アプリケーション制御 無効 これにより、デバイス上でのアプリケーション ベースの変更を制限することができます。新しいアプリケーションの追加、アプリケーションの削除、アプリケーションの変更または更新はできません。
アプリケーション制御で許可されるフォルダー 空白

これにより、監視対象外のアプリケーション制御内のフォルダーのリストが定義されます。

追加されるすべての除外は、その実行可能ファイルの絶対パスを使用して指定する必要があります(パスからドライブ レターを含めます)。

Correct (OS X):
/Mac\ HD/Users/Application\ Support/Dell
Correct (Windows):
C:\Program Files\Dell\
Incorrect:
\Program Files\Dell\
Incorrect:
C:\Program Files\Dell\Executable.exe
Enable Change Window 無効 有効にすると、アプリケーション制御が一時的に無効になり、環境内で変更を行うことができます。
スクリプト制御    
スクリプト制御 Enabled

スクリプト制御の使用を有効にします

スクリプト制御は、オペレーティング システム内でアクションを実行できるアプリケーションとサービスを監視します。これらのアプリケーションは、一般的にインタープリターと呼ばれます。ATPは、これらのアプリケーションとサービスで実行を試みるスクリプトを監視し、ポリシーに基づいて、実行されたアクションを通知するか、アクションの実行をブロックします。これらの決定は、スクリプト名とスクリプトが実行された相対パスに基づいて行われます。

Script Control Mode 警告

[Block]に設定すると、スクリプト ベースのアイテムは実行されません。これには、アクティブなスクリプト、マクロ ベースのスクリプト、またはPowerShellベースのスクリプトが含まれます。以降のバージョンでは、これらは独自のポリシーに分かれています。

適用先: ビルド1.2.1371以前のESSE

アクティブ スクリプト 警告

[Block]に設定すると、JavaScript、VBscript、batch、Python、Perl、PHP、Ruby、その他多くのスクリプトを実行する機能が無効になります。

適用先: ビルド1.2.1391以降のESSE

マクロ 警告

[Alert]に設定すると、ドキュメント内のマクロを分析して、潜在的に悪意のあるコマンドを実行しているかどうかを判断できます。脅威が検出されると、[Block]設定によってマクロが実行されなくなります。起動時に実行されるマクロは、アプリケーションのロードを妨げる可能性があります。

適用先: ビルド1.2.1391以降のESSE

Powershell 警告

[Block]に設定すると、PowerShellベースのスクリプトが環境内で実行されなくなります。

適用先: ビルド1.2.1391以降のESSE

PowerShellコンソール Allow

[Block]に設定すると、PowerShell V3コンソールとISEが起動できなくなります。

適用先: ビルド1.2.1391以降のESSE

[Enable Approve Scripts in Folders (and Subfolders)] Enabled これにより、スクリプト制御で場所を分析から除外することができます。
[Approve Scripts in Folders (and Subfolders)] 空白

このセクションでは、スクリプト制御で監視されないフォルダーについて詳しく指定します。

  • フォルダー パスは、ローカル ドライブ、マッピングされたネットワーク ドライブ、またはUNC(汎用命名規則)パスにすることができます。
  • スクリプト フォルダーの除外では、フォルダーまたはサブフォルダーの相対パスを指定する必要があります。
  • 指定されたフォルダー パスには、サブフォルダーも含まれます。
  • ワイルドカードはサポートされていません。
Correct (Mac):
/Mac\ HD/Users/Cases/ScriptsAllowed
Correct (Windows):
\Cases\ScriptsAllowed.
Incorrect:
C:\Application\SubFolder\application.vbs
Incorrect:
\Program Files\Dell\application.vbs
Global Allow 空白

このポリシーは、ESSEの切断モードによって活用されます。これにより、お客様は環境をインターネットから完全に分離することができます。

このポリシーは、環境内で許可する必要がある特定の脅威パスと証明書を決定します。

Quarantine List 空白

このポリシーは、ESSEの切断モードによって活用されます。これにより、お客様は環境をインターネットから完全に分離することができます。

これは、エージェントによって検出されたときに自動的に隔離される既知の不正ハッシュの定義済みリストです。

Safe List 空白

このポリシーは、ESSEの切断モードによって活用されます。これにより、お客様は環境をインターネットから完全に分離することができます。

このポリシーは、環境内で許可する必要がある特定の脅威ハッシュを決定します。

エージェント設定    
Suppress Popup Notifications Enabled これにより、ESSEがトースターダイアログを表示する機能を有効または無効にします。
[Minimum Popup Notification Level] High

これは、[Suppress Popup Notifications]ポリシーが無効になっている場合にエンド ユーザーに通知される内容を定義します。

High

  • 保護ステータスが変更されました(「Protected」とは、Advanced Threat Preventionサービスが実行中で、コンピューターを保護しており、ユーザーまたは管理者の操作が不要なことを意味します)。
  • 脅威が検出されたが、その脅威に自動的に対処するようにポリシーが設定されていません。

  • プロセスが脅威として検出されたため、実行制御によりそのプロセスの開始がブロックされました。
  • 緩和策が関連付けられている脅威(脅威が手動で隔離されたなど)が検出されたため、プロセスが終了されました。
  • メモリー違反により、プロセスがブロックまたは終了されました。
  • メモリー違反が検出されたが、その違反タイプに対して自動緩和ポリシーが有効ではありません。

低い

  • 脅威として検出されたファイルがグローバル セーフ リストに追加されたか、ファイル システムから削除されました。
  • 脅威が検出され、自動的に隔離されました。
  • ファイルは脅威として検出されましたが、コンピューター上では放棄されました。
  • 現在の脅威のステータスが変更されました。例えば、[Threat to Quarantined]、[Quarantined to Waived]、[Waived to Quarantined]などです。
Enable BIOS Assurance Enabled サポートされているDell製コンピューター(2016以降のエンタープライズ クラスのコンピューター)でBIOS整合性チェックを実行します。
Enable Auto-upload of Log Files Enabled これにより、エージェントはATPプラグインのログ ファイルを毎日午前0時または100 MBのいずれか早い方でクラウドに自動アップロードできます。
注:これらのポリシーは、10.2.3 Dell Security Management Serverのものです。
ポリシー値 推奨値 [Policy Description]

[Advanced Threat Prevention (Primary Switch)]

点灯

このポリシー値は、クライアントがAdvanced Threat Preventionのポリシーを使用できるかどうかを決定します。

これにより、無効化できないファイル アクションと実行制御も有効になります。

実行制御には、バックグラウンド脅威検出とファイル監視が含まれます。ATP内のこのモジュールでは、目的のアクションと動作に基づいて、Portable Executable (PE)の意図を分析および解釈します。実行制御、BTD、ファイル監視によって検出されたすべてのファイルは、自動隔離に関連するポリシーに基づいて処理されます。これらのアクションは、Portable Executableの絶対パスの場所に基づいて実行されます。

[File Actions]:

 

 

Unsafe Executable Auto Quarantine With Executable Control Enabled

Enabled これにより、重大な脅威と見なされるファイルが自動的に隔離されるかどうかが決まります。

Unsafe Executable Auto Upload Enabled

Enabled

重大な脅威をクラウドにアップロードして、これらの脅威に対してセカンド オピニオン チェックを実行するかどうかを設定します。

Abnormal Executable Auto Quarantine With Executable Control Enabled

Enabled

これにより、潜在的な脅威と見なされるファイルが自動的に隔離されるかどうかが決まります。

Abnormal Executable Auto Upload Enabled

Enabled

潜在的な脅威をクラウドにアップロードして、これらの脅威に対してセカンド オピニオン チェックを実行するかどうかを設定します。

Allow Execution of Files in Exclude Folders

Enabled

これは、[Protection Settings]ポリシー グループ内の[Exclude Specific Folders]ポリシーに適用されます。これにより、除外されたフォルダー内の実行可能ファイルは、自動的に隔離された場合でも実行できます。

Auto Delete

Enabled

これにより、ポリシーが削除されるまでの日数のタイマーが有効になり、検疫済みアイテムにも適用されます。このポリシーが有効になっている場合、削除されるまでの日数が経過すると、隔離フォルダー内の脅威は自動的に削除されます。

[Days until Deleted]

14

アイテムをローカル隔離フォルダーに維持する日数を、脅威ごとに決定します。

[Memory Actions]:

   

Memory Protection Enabled

Enabled

これにより、メモリー保護機能が有効になります。メモリー保護のモジュールは、メモリー内のアプリケーションとオペレーティング システム間の相互作用を監視することによって、アプリケーションを実行する意図を分析および解釈します。

Enable Exclude executable files

Enabled

これにより、特定の実行可能ファイルをメモリー保護から除外できます。

実行可能ファイルの除外

環境によって異なります

追加されるすべての除外は、その実行可能ファイルの相対パスを使用して指定する必要があります(パスからドライブ文字を除外します)。

Correct (OS X):
/Users/application.app/executable
Correct (Windows):
\Application\SubFolder\application.exe
Incorrect:
C:\Application\SubFolder\application.exe
Incorrect:
\Application\SubFolder\

Exploitation: スタック ピボット

[Terminate]

スレッドのスタックが別のスタックに置き換えられました。一般的に、コンピューターはスレッドに1つのスタックのみを割り当てます。攻撃者は、別のスタックを使用して、データ実行防止(DEP)がブロックできない方法で実行を制御します。

適用先: Windows、Mac

Exploitation: スタック保護

[Terminate]

スレッドのスタックのメモリー保護が変更され、実行権限が有効になりました。スタック メモリーを実行可能にすることはできません。したがって、これは通常、攻撃者が、データ実行防止(DEP)によりブロックされない方法で、スタック メモリーに格納されている悪意のあるコードを実行する準備をしていることを意味します。

適用先: Windows、Mac

Exploitation: コードを上書き

[Terminate]

プロセスのメモリーに存在するコードが、データ実行防止(DEP)をバイパスする可能性のある手法を使用して変更されました。

適用先: Windows

Exploitation: Scanner Memory Search

[Terminate]

プロセスが、一般的にPOSコンピューターに関連する別のプロセスから有効な磁気ストライプ トラック データを読み取ろうとしています。

適用先: Windows

Exploitation: 悪意のあるペイロード

[Terminate]

エクスプロイトに関連する汎用シェルコードとペイロードが検出されました。

適用先: Windows

Process Injection: メモリーのリモート割り当て

[Terminate]

プロセスが別のプロセスでメモリーを割り当てました。ほとんどの割り当ては、同じプロセス内でのみ行われます。これは通常、コードまたはデータを別のプロセスに注入しようとする試みを示しています。これは、コンピューター上に存在する悪意のあるものを補強するための最初のステップである可能性があります。

適用先: Windows、Mac

Process Injection: メモリーのリモート マッピング

[Terminate]

プロセスがコードまたはデータを別のプロセスに導入しました。これは、別のプロセスでコードの実行を開始し、悪意のあるものを補強しようとしている可能性があります。

適用先: Windows、Mac

Process Injection: メモリーへのリモート書き込み

[Terminate]

プロセスが別のプロセスでメモリーを変更しました。これは通常、以前に割り当てられたメモリーにコードまたはデータを保存する試みですが(OutofProcessAllocationを参照)、攻撃者が悪意のある目的で実行を転用するために既存のメモリーを上書きしようとしている可能性があります。

適用先: Windows、Mac

Process Injection: メモリーへのリモート書き込みPE

[Terminate]

実行可能イメージを含めるために、プロセスによって別のプロセスのメモリーが変更されました。一般的にこれは、攻撃者が最初にそのコードをディスクに書き込まずにコードを実行しようとしていることを示します。

適用先: Windows、Mac

Process Injection: リモート上書きコード

[Terminate]

プロセスが別のプロセスで実行可能メモリーを変更しました。通常の条件下では、実行可能メモリーは、特に別のプロセスによって変更されません。これは通常、別のプロセスで実行を転用しようとする試みを示しています。

適用先: Windows、Mac

Process Injection: メモリーのリモート マッピング解除

[Terminate]

プロセスによって、別のプロセスのメモリーからWindows実行可能ファイルが削除されました。これは、実行を転用するために、実行可能イメージを変更されたコピーに置き換える意図を示している可能性があります。

適用先: Windows、Mac

Process Injection: リモート スレッドの作成

[Terminate]

プロセスが別のプロセスでスレッドを作成しました。攻撃者はこれを使用して、別のプロセスに注入された悪意のあるスレッドをアクティブ化します。

適用先: Windows、Mac

Process Injection: スケジュールされたリモートAPC

[Terminate]

プロセスが別のプロセスのスレッドの実行を転用しました。攻撃者はこれを使用して、別のプロセスに注入された悪意のある存在をアクティブ化します。

適用先: Windows

Process Injection: DYLD Injection(Mac OS Xのみ)

[Terminate]

開始されたプロセスに共有ライブラリーが挿入される環境変数が設定されました。攻撃者は、Safariなどのアプリケーションのplistを変更したり、アプリケーションをbashスクリプトに置き換えたりして、アプリケーションの起動時にモジュールが自動的にロードされる可能性があります。

適用先: Mac

エスカレーション: LSASS読み取り

[Terminate]

Windows Local Security Authorityプロセスに属するメモリーに、ユーザー パスワードの取得試行を示す方法でアクセスされました。

適用先: Windows

エスカレーション: ゼロ割り当て

[Terminate]

Nullページが割り当てられました。メモリー領域は通常予約されますが、特定の状況では割り当て可能です。攻撃者はこれを利用して、一般的にはカーネルで既知のNull De-reference攻撃を悪用して、権限のエスカレーションをセットアップできます。

適用先: Windows、Mac

実行制御

   

デバイスからのサービス シャットダウンの防止

Enabled

[Enabled]に設定すると、コンピューターでもATPサービスを停止できなくなります。これにより、アプリケーションのアンインストールもできなくなります。

Kill Unsafe Running Process and Sub-Processes

Enabled

この機能を有効にすると、サブプロセスを生成するメモリー ベースの脅威を検出および終了できます。

バックグラウンド脅威検出

1回実行

これにより、デバイス上で既存ファイルのスキャンを実行するかどうかを決定します。これは、[無効]、[1回だけ実行]、または[繰り返し実行]に設定できます。

[Watch For New Files]が有効になっている場合は、[Background Threat Detection]を[Run Once]に設定することをお勧めします。新規および更新されたファイルも監視している場合は、既存のファイルを1回だけチェックする必要があります。

Watch For New Files

Enabled

これを[Enabled]に設定すると、デバイスに新しく書き込まれたファイルや変更されたファイルの検出と分析が可能になります。

 
注:トラフィックの多いデバイス(ファイルやアプリケーション サーバーなど)では、各ファイルをディスクに書き込むときに分析する必要があるため、予期せずディスク レイテンシーが増加する可能性があるため、[Watch For New Files]を無効にすることをお勧めします。この問題は、Portable Executableが実行を試みると分析されるため、デフォルトで緩和されています。[Background Threat Detection]を有効にして、[Run Recurring]に設定すると、この問題をさらに緩和できます。

Set Maximum Archive File Size to Scan

150

分析可能な解凍アーカイブの最大サイズを設定します サイズはメガバイト単位です。

保護設定    
Enable Exclude Specific Folders (includes subfolders) Enabled これにより、[監視対象外のフォルダーを除外するファイルの実行を許可する]ポリシーに基づいて、[ファイル監視]および[実行制御]でフォルダーを定義することができます。
Exclude Specific Folders (includes subfolders) 環境によって異なります

これにより、ファイル監視で監視対象外のフォルダーのリストが定義されます。この「除外フォルダー内のファイルの実行を許可する」ポリシーは、これらのディレクトリーから実行されるすべてのファイルの隔離を防止します。このポリシーは、[Watch For New Files]または[Background Threat Detection]によるこれらのディレクトリーのスキャンを防止します。

追加されるすべての除外は、その実行可能ファイルの絶対パスを使用して指定する必要があります(パスからドライブ レターを含めます)。

Correct (OS X):
/Mac\ HD/Users/Application\ Support/Dell
Correct (Windows):
C:\Program Files\Dell\
Incorrect:
\Program Files\Dell\
Incorrect:
C:\Program Files\Dell\Executable.exe
アプリケーション制御    
アプリケーション制御 無効 これにより、デバイスでのアプリケーションベースの変更を制限することができます。新しいアプリケーションを追加したり、アプリケーションを削除したり、アプリケーションを変更または更新したりすることはできません。
アプリケーション制御で許可されるフォルダー 空白

これにより、監視対象外のアプリケーション制御内のフォルダーのリストが定義されます。

追加されるすべての除外は、その実行可能ファイルの絶対パスを使用して指定する必要があります(パスからドライブ レターを含めます)。

Correct (OS X):
/Mac\ HD/Users/Application\ Support/Dell
Correct (Windows):
C:\Program Files\Dell\
Incorrect:
\Program Files\Dell\
Incorrect:
C:\Program Files\Dell\Executable.exe
Enable Change Window 無効 有効にすると、アプリケーション制御が一時的に無効になり、環境内で変更を行うことができます。
スクリプト制御    
スクリプト制御 Enabled

スクリプト制御の使用を有効にします

スクリプト制御は、オペレーティング システム内でアクションを実行できるアプリケーションとサービスを監視します。これらのアプリケーションは、一般的にインタープリターと呼ばれます。ATPは、これらのアプリケーションとサービスで実行を試みるスクリプトを監視し、ポリシーに基づいて、実行されたアクションを通知するか、アクションの実行をブロックします。これらの決定は、スクリプト名とスクリプトが実行された相対パスに基づいて行われます。

Script Control Mode ブロック

[Block]に設定すると、スクリプト ベースのアイテムは実行されません。これには、アクティブなスクリプト、マクロ ベースのスクリプト、またはPowerShellベースのスクリプトが含まれます。以降のバージョンでは、これらは独自のポリシーに分かれています。

適用先: ビルド1.2.1371以前のESSE

アクティブ スクリプト ブロック

[Block]に設定すると、JavaScript、VBscript、batch、Python、Perl、PHP、Ruby、その他多くのスクリプトを実行する機能が無効になります。

適用先: ビルド1.2.1391以降のESSE

マクロ ブロック

[Alert]に設定すると、ドキュメント内のマクロを分析して、潜在的に悪意のあるコマンドを実行しているかどうかを判断できます。脅威が検出されると、[Block]設定によってマクロが実行されなくなります。起動時に実行されるマクロは、アプリケーションのロードを妨げる可能性があります。

適用先: ビルド1.2.1391以降のESSE

Powershell ブロック

[Block]に設定すると、PowerShellベースのスクリプトが環境内で実行されなくなります。

適用先: ビルド1.2.1391以降のESSE

PowerShellコンソール Allow

[Block]に設定すると、PowerShell V3コンソールとISEが起動できなくなります。

適用先: ビルド1.2.1391以降のESSE

[Enable Approve Scripts in Folders (and Subfolders)] Enabled これにより、スクリプト制御から場所を分析から除外することができます。
[Approve Scripts in Folders (and Subfolders)] 環境によって異なります

このセクションでは、スクリプト制御で監視されないフォルダーについて詳しく指定します。

  • フォルダー パスは、ローカル ドライブ、マッピングされたネットワーク ドライブ、またはUNC(汎用命名規則)パスにすることができます。
  • スクリプト フォルダーの除外では、フォルダーまたはサブフォルダーの相対パスを指定する必要があります。
  • 指定されたフォルダー パスには、サブフォルダーも含まれます。
  • ワイルドカードはサポートされていません。
Correct (Mac):
/Mac\ HD/Users/Cases/ScriptsAllowed
Correct (Windows):
\Cases\ScriptsAllowed.
Incorrect:
C:\Application\SubFolder\application.vbs
Incorrect:
\Program Files\Dell\application.vbs
Global Allow 環境によって異なります

このポリシーは、ESSEの切断モードによって活用されます。これにより、お客様は環境をインターネットから完全に分離することができます。

このポリシーは、環境内で許可する必要がある特定の脅威パスと証明書を決定します。

Quarantine List 環境によって異なります

このポリシーは、ESSEの切断モードによって活用されます。これにより、お客様は環境をインターネットから完全に分離することができます。

これは、エージェントによって検出されたときに自動的に隔離される既知の不正ハッシュの定義済みリストです。

Safe List 環境によって異なります

このポリシーは、ESSEの切断モードによって活用されます。これにより、お客様は環境をインターネットから完全に分離することができます。

このポリシーは、環境内で許可する必要がある特定の脅威ハッシュを決定します。

エージェント設定    
Suppress Popup Notifications 無効 これにより、ESSEがトースターダイアログを表示する機能を有効または無効にします。
[Minimum Popup Notification Level] High

これは、[Suppress Popup Notifications]ポリシーが無効になっている場合にエンド ユーザーに通知される内容を定義します。

High

  • 保護ステータスが変更されました(「Protected」とは、Advanced Threat Preventionサービスが実行中で、コンピューターを保護しており、ユーザーまたは管理者の操作が不要なことを意味します)。
  • 脅威が検出されたが、その脅威に自動的に対処するようにポリシーが設定されていません。

  • プロセスが脅威として検出されたため、実行制御によりそのプロセスの開始がブロックされました。
  • 緩和策が関連付けられている脅威(脅威が手動で隔離されたなど)が検出されたため、プロセスが終了されました。
  • メモリー違反により、プロセスがブロックまたは終了されました。
  • メモリー違反が検出されたが、その違反タイプに対して自動緩和ポリシーが有効ではありません。

低い

  • 脅威として検出されたファイルがグローバル セーフ リストに追加されたか、ファイル システムから削除されました。
  • 脅威が検出され、自動的に隔離されました。
  • ファイルは脅威として検出されましたが、コンピューター上では放棄されました。
  • 現在の脅威のステータスが変更されました(例えば、[Threat to Quarantined]、[Quarantined to Waived]、[Waived to Quarantined])。
Enable BIOS Assurance Enabled サポートされているDell製コンピューター(2016以降のエンタープライズ クラスのコンピューター)でBIOS整合性チェックを実行します。
Enable Auto-upload of Log Files Enabled これにより、エージェントはATPプラグインのログ ファイルを毎日午前0時または100 MBのいずれか早い方でクラウドに自動アップロードできます。
[Enable Standard UI] Enabled これにより、エンドポイントでDell Data Security Consoleを使用する追加オプションが有効になります。これにより、ローカル ユーザーは、ローカル エンドポイントで検出された脅威、メモリー イベント、スクリプトを確認できます。このオプションは、エンドポイントの右クリック メニューを使用するか、Dell Data Security Console内の[Advanced Threat Prevention]というタイトルのオプションの設定歯車を使用して表示できます。

このオプションを選択すると、そのコンピューターで検出された脅威、メモリー イベント、スクリプトを表示または非表示にする追加のトグルが使用可能になります。

このポリシーでは、Dell Encryption Management Agentがバージョン8.18.0以降である必要があります。

サポートに問い合わせるには、「Dell Data Securityのインターナショナル サポート電話番号」を参照してください。
TechDirectにアクセスして、テクニカル サポート リクエストをオンラインで生成します。
さらに詳しい情報やリソースについては、「デル セキュリティ コミュニティー フォーラム」に参加してください。

Additional Information

 

Videos

 

Affected Products

Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000126118
Article Type: Solution
Last Modified: 04 Mar 2024
Version:  10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.