Palo Alto Networks® Advanced Endpoint Protection 管理者用ガイド バージョン 3.2 連絡先 本社: Palo Alto Networks 4401, Great America Parkway Santa Clara, CA 95054 http://www.paloaltonetworks.com/contact/contact/ このガイドについて このガイドでは、Endpoint Security Manager(ESM)や Traps など、Palo Alto Networks の Advanced Endpoint Protection のコンポーネントを初期 導入する際の方法、およびその基本的なセットアップの方法について ご説明します。お客様の組織のエンドポイントに Traps を導入する際、 あるいは管理する際の流れ、前提条件、ベストプラクティスにも触れ ていきます。 詳細は、以下のソースを参照してください。 z https://paloaltonetworks.com/documentation—Technical Publications Documentation(技術仕様)ページ。 z https://live.paloaltonetworks.com — ナレッジ ベース、ドキュメント セット一式、ディスカッション フォーラム、および動画。 z https://support.paloaltonetworks.com — サポート窓口、サポート プロ グラムの詳細、アカウントまたはデバイスの管理。 z https://support.paloaltonetworks.com/Updates/SoftwareUpdates — 最新 のリリースノートについては、Software Updates(ソフトウェアの 更新)ページへ。 z ドキュメントのフィードバックは、以下の宛先までご送付くださ い。[email protected] Palo Alto Networks, Inc. www.paloaltonetworks.com © 2015 Palo Alto Networks.All rights reserved. Palo Alto Networks および PAN-OS は Palo Alto Networks, Inc. の商標です。 改定日: 2015年 8 月 18日 目次 Advanced Endpoint Protection 概要. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1 Advanced Endpoint Protection 概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 エクスプロイトの阻止. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 マルウェアの防止 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Advanced Endpoint Protection の構成要素. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Endpoint Security Manager コンソール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Endpoint Security Manager サーバー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 データベース . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 エンドポイント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 外部ロギングプラットフォーム . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 フォレンジックフォルダ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Advanced Endpoint Protection の導入事例 . . . . . . . . . . . . . . . . . . . . . . . . . . .9 スタンドアローンによる導入 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 スタンドアローンによる導入の際のコンポーネント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 スタンドアローンによる導入の際の要件. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 小規模の導入 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 小規模シングルサイトの導入 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 小規模マルチサイトの導入 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 大規模の導入 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 大規模シングルサイトの導入 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 Endpoint Security Manager を一つだけ使用する大規模マルチサイトの導入 . . . . . . . . . . . . . . 16 Endpoint Security Manager を複数使用する大規模マルチサイトの導入 . . . . . . . . . . . . . . . . . . 17 ローミングエージェントを有する大規模マルチサイトの導入(VPN 未使用). . . . . . . . . . 18 ローミングエージェントを有する大規模マルチサイトの導入(VPN 使用). . . . . . . . . . . . 19 前提条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 ESM サーバーをインストールする際の前提条件. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 エンドポイントに Traps をインストールする際の前提条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 Traps インフラストラクチャのセットアップ . . . . . . . . . . . . . . . . . . . . . . . .25 エンドポイントインフラストラクチャのセットアップ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 エンドポイントインフラストラクチャのアップグレード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 Endpoint Security Manager のセットアップ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 エンドポイントインフラストラクチャのインストール時の注意 . . . . . . . . . . . . . . . . . . . . . . 28 ウェブサービスの有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 ESM コンソールで SSL を設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 MS-SQL サーバーデータベースの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 Endpoint Security Manager サーバーソフトウェアのインストール . . . . . . . . . . . . . . . . . . . . . . 33 Endpoint Security Manager コンソールソフトウェアのインストール . . . . . . . . . . . . . . . . . . . . 36 Advanced Endpoint Protection 管理者用ガイド iii ベースのセキュリティポリシーをアップロード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 エンドポイントのセットアップ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Traps 導入段階 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Traps のインストール時の注意 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . エンドポイントに Traps をインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Msiexec を使用してエンドポイントに Traps をインストール . . . . . . . . . . . . . . . . . . . . . . . . . . 39 39 40 40 41 正しくインストールされたことを確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 接続をエンドポイント側から確認. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 ESM コンソールで接続を確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 ESM サーバーの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 複数の ESM サーバーの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . システム要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 制限事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ESM サーバーの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 46 46 47 Endpoint Security Manager ライセンス管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 ESM コンソールを介した Endpoint Security Manager ライセンス管理 . . . . . . . . . . . . . . . . . . . 48 DB 構成ツールによる Endpoint Security Manager ライセンス管理 . . . . . . . . . . . . . . . . . . . . . . 49 管理者アクセスのセットアップ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 Endpoint Security Manager への管理権限付きのアクセスを ESM コンソールでセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 Endpoint Security Manager への管理権限付きのアクセスを DB 構成ツールでセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 ニンジャモードのパスワードを DB 構成ツールで変更. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 ポリシーファイルのインポート・エクスポート. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 ルールについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 エンドポイントポリシールールの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 ポリシールールの種類 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 ポリシーの実施. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 一般的なルールの要素および動作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 対象オブジェクト. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ルールの命名または改名 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ルールの保存 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 保存したルールの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . すべての保護ルールの無効化 / 有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 58 59 60 60 60 61 エクスプロイトの阻止 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 プロセス管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . プロセス保護 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Protected[ 保護中 ]、Provisional[ 一時的保護 ]、Unprotected[ 未保護 ] のプロセスを追加 . . プロセスのインポート / エクスポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . プロセスの表示、変更、削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Traps により現在保護されているプロセスを表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 65 66 67 67 68 エクスプロイト阻止ルールの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 エクスプロイト阻止ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 iv Advanced Endpoint Protection 管理者用ガイド デフォルト設定のエクスプロイト阻止ポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 エクスプロイト阻止ルールの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 エクスプロイト阻止ルールからエンドポイントを除外する . . . . . . . . . . . . . . . . . . . . . . . . . . 76 マルウェアの防止. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 マルウェア防止フロー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 第 1 段階:制限ポリシーの評価 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 第 2 段階:ハッシュ判定の評価 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 第 3 段階:マルウェア防止ポリシーの評価 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 第 4 段階:判定の管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 実行ファイルに対する制限の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 制限ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 新規制限ルールの追加. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 グローバルホワイトリストの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 ローカルフォルダのブラックリストへの登録 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 ネットワークフォルダのホワイトリストへの登録 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 外部メディア制限および例外の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 子プロセス制限および例外の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 Java の制限および例外の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90 未署名の実行ファイルの制限および例外の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 WildFire のルールおよび設定の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 WildFire の有効化. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 WildFire ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 WildFire ルールの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 実行ファイルのハッシュの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 ハッシュの表示と検索. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 ハッシュのエクスポートおよびインポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 WildFire レポートの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 WildFire の決定のオーバーライド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 WildFire の決定の取り消し . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100 分析用ファイルを WildFire へアップロード. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 マルウェア防止ルールの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 マルウェア防止ルール. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 スレッドインジェクション保護の設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 サスペンドガード保護の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 エンドポイントの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .109 Traps の動作ルールの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 Traps の動作ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 新しい動作ルールの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 Traps が収集したデータの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 EPM 保護のシャットダウンまたは一時停止 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 エンドポイント上の Traps のアンインストールまたはアップグレード . . . . . . . . . . . . . . . 115 エンドポイント上の Traps ライセンスの更新または取り消し . . . . . . . . . . . . . . . . . . . . . . . . 116 エージェント設定ルールの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 Traps 設定ルールの管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 新規エージェント設定ルールの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118 イベントログの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119 Advanced Endpoint Protection 管理者用ガイド v Traps コンソールへのアクセスを非表示または制限. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . エンドポイントと ESM サーバーの通信設定の定義. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 新規プロセス情報の収集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . サービス保護の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . アンインストール用パスワードの変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . カスタム防止メッセージの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . カスタム通知メッセージの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 122 123 125 126 127 128 フォレンジック . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131 フォレンジックの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132 フォレンジックフロー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132 フォレンジックデータ型 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133 フォレンジックルールおよび設定の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . フォレンジックルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . デフォルトのフォレンジックフォルダの変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . フォレンジックルールの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . メモリダンプの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . フォレンジックデータ収集を設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . セキュリティイベントについてのデータを取得 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 135 135 137 138 140 141 Chrome で URI 収集を有効化. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143 エンドポイントに Chrome エクステンションをインストール . . . . . . . . . . . . . . . . . . . . . . . . 143 GPO を使用して Chrome エクステンションをインストール . . . . . . . . . . . . . . . . . . . . . . . . . 143 レポートとログ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145 エンドポイントおよび Traps の保守 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146 Endpoint Security Manager ダッシュボードの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147 セキュリティイベントの監視 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148 セキュリティイベント ダッシュボードの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148 あるエンドポイントのセキュリティイベントの履歴を表示 . . . . . . . . . . . . . . . . . . . . . . . . . 153 エンドポイントの安全状態を確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . エンドポイントの安全状態の詳細を表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Traps のステータスの詳細情報を表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . あるエンドポイントのルールの履歴を表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . セキュリティポリシーの変更をエンドポイント上で確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . エンドポイントのサービスステータスの履歴を表示. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Health[ 安全状態 ] ページからエンドポイントを削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155 155 156 157 158 158 159 ルールを監視. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160 ルールの概要を表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160 ルールの詳細情報を表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160 フォレンジックデータ取得を監視 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162 エージェント通知を監視 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163 エージェントステータスの変化についての通知を表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163 エージェントログの詳細情報を表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163 サーバー通知を監視 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165 ESM サーバーについての通知を表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165 ESM サーバーのログについての詳細情報を表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165 レポート機能およびログ機能の設定を管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166 vi Advanced Endpoint Protection 管理者用ガイド ESM コンソールで外部レポート機能を有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166 DB 構成ツールで外部レポート機能を有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166 ESM コンソールで通信設定を定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168 DB 構成ツールで通信設定を定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169 トラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171 Advanced Endpoint Protection トラブルシューティングのためのリソース . . . . . . . . . . . . . . . . . . 172 データベース構成ツール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173 データベース構成ツールへのアクセス. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173 Cytool . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175 Cytool へのアクセス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175 Traps により現在保護されているプロセスを表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176 エンドポイントの保護設定の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176 エンドポイントの Traps ドライバおよびサービスの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181 エンドポイント上のセキュリティポリシーの表示および比較 . . . . . . . . . . . . . . . . . . . . . . . 183 Traps の問題のトラブルシュート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186 Traps がインストールできない . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186 Traps をアップグレードまたはアンインストールできない. . . . . . . . . . . . . . . . . . . . . . . . . . . 187 Traps が ESM サーバーに接続できない . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188 Traps サーバー証明書エラーを修復できない . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191 ESM コンソールの問題のトラブルシュート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192 ESM コンソールにログインできない . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192 ESM コンソールを起動した際にサーバエラーになる . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193 すべてのエンドポイントが ESM コンソールで切断と表示される . . . . . . . . . . . . . . . . . . . . 194 Advanced Endpoint Protection 管理者用ガイド vii viii Advanced Endpoint Protection 管理者用ガイド Advanced Endpoint Protection 概要 Advanced Endpoint Protection は、アドバンスドパーシスタントスレット攻撃(APT)やゼロデイ 攻撃を防ぎ、あらゆるマルウェアが起動する前に攻撃ベクトルをブロックすることでエンドポイ ントを保護するソリューションです。 最新の Advanced Endpoint Protection バージョン 3.2 に関するドキュメントは、Technical Documentation ポータル内の Advanced Endpoint Protection Documentation で閲覧可能です。 ここでは Advanced Endpoint Protection の詳細を説明します。 S Advanced Endpoint Protection 概要 S Advanced Endpoint Protection の構成要素 Advanced Endpoint Protection 管理者用ガイド 1 Advanced Endpoint Protection 概要 Advanced Endpoint Protection 概要 Advanced Endpoint Protection 概要 サイバー攻撃とは、被害を与えたり、情報を盗んだり、あるいは他者のコンピューターシステム の制御を奪うことといった目的を達成するためにネットワーク上あるいはエンドポイント上で 実行される攻撃のことです。攻撃者は、ユーザーに意図せず悪意のある実行ファイルを実行させ たり、ユーザーが知らない間にバックグラウンドで正当な実行ファイルの弱点をエクスプロイト することで悪意のあるコードを実行し、サイバー攻撃を企てます。 これらの攻撃を阻止するひとつの方法は、実行ファイル、ダイナミックリンクライブラリ(DLL) 、 またはその他の悪意のある一連のコードを特定し、危険性のある各コードを既知の脅威シグネ チャのリストと照らし合わせてテストし、実行を阻止することです。この方法の弱点は、シグネ チャに基づくソリューションでは、攻撃者しか知らない新しい脅威(ゼロデイ攻撃やゼロデイエ クスプロイトとして知られてる)を特定し、既知の脅威としてリストに登録するのに時間がかか るということです。シグネチャが更新されるまでエンドポイントの脆弱性は放置されたままとな ります。 中枢部を担う Endpoint Security Manager、およびエンドポイント防御ソフトウェアである Traps から 成る Advanced Endpoint Protection ソリューションにより、より効果的に攻撃を阻止することがで きるようになります。Traps は拡大し続ける既知の脅威のリストに遅れないようにするのではな く、最初のエントリーポイント(正当な実行ファイルが、悪意に気付かないままシステムへのア クセスを許可しようとする時点)で攻撃を防ぐ一連のロードブロック(バリケード)を設けます。 エクスプロイト阻止技術を用いて、Traps は非実行ファイルを開くプロセスが有するソフトウェ アの脆弱性に対応します。Traps はまた、マルウェア防止技術によって悪意のある実行ファイル が実行されるのを防ぎます。この二重のアプローチを採用することで、Advanced Endpoint Protection ソリューションは、脅威が既知か未知かに関わらずすべてのタイプの攻撃を未然に防 ぐことができるのです。 エンドポイントのセキュリティに関する設定項目(設定を適用するエンドポイントおよびグルー プ、保護するアプリケーション、定義済みのルール、制限およびアクション)はすべて高度な設 定を行えます。そのため、どのような組織も Traps をカスタマイズすることで、日々の業務を可 能な限り滞らせることなく最大のセキュリティを実現することができます。 S エクスプロイトの阻止 S マルウェアの防止 エクスプロイトの阻止 エクスプロイトとは、ソフトウェアアプリケーションやプロセスのバグ、脆弱性を悪用すること を狙いとした一連のコマンドのことです。攻撃者にとってエクスプロイトは、システムにアクセ スし、それを意のままに操る手段となります。攻撃者がシステムの制御を掌握するには、システ ム内の一連の脆弱性をバイパスしなければなりません。それらの脆弱性を狙ったあらゆる試みを ブロックすれば、エクスプロイトを完全に防ぐことができます。 典型的な攻撃シナリオでは、攻撃者はまずメモリ割り当てやハンドラの破壊または迂回を試みるこ とでシステムを掌握しようとします。バッファオーバーフローやヒープ破壊といったメモリを破損 させる手法を用いることで、ハッカーはソフトウェアがはらむバグを顕在化させたり、プロセスの 脆弱性をエクスプロイトすることができます。攻撃者は次に、プログラムを操作して自身のコード、 あるいは指定したコードを実行し、さらに検知を逃れなければなりません。オペレーティングシス テムへアクセス可能になった攻撃者は、悪意のある実行可能コードを含んだマルウェアプログラム であるトロイの木馬をアップロードするか、あるいはシステムを意のままに操ります。 Traps はエクスプロイトの各段階でロードブロックやトラップを張り巡らせ、こうしたエクスプ ロイトの試みを防止します。 2 Advanced Endpoint Protection 管理者用ガイド Advanced Endpoint Protection 概要 Advanced Endpoint Protection 概要 ユーザーが PDF ファイルや Word ドキュメントなどの非実行ファイルを開く際、Traps エージェ ントはそれらのファイルを開こうとするソフトウェアに対してシームレスにドライバを挿入し ます。ドライバは、プロセスに属するあらゆるファイルがメモリにロードされる前の可能な限り 早い段階で挿入されます。ファイルを開くプロセスが保護されている場合、Traps はプロセスへ Exploitation Prevention Module(EPM)と呼ばれるコードモジュールを挿入します。EPM は特定のエ クスプロイト対策に特化しており、メモリ破損またはロジックの欠陥に基づくプログラムの脆弱 性に対する攻撃を阻止するように設計されています。 EPM は、ダイナミックリンクライブラリ(DLL)ハイジャック(正当な DLL を同じ名前の悪意 のあるものに置き換える攻撃)、プログラム制御フローのハイジャック、および例外ハンドラと して悪意のあるコードを挿入する攻撃などを防御することができます。 こうした攻撃から自動的にプロセスを防御することに加えて、Traps はあらゆる防止イベントを Endpoint Security Manager に報告し、ポリシールールの設定に従ってさらなるアクションを実行し ます。Traps が実行する一般的なアクションには、フォレンジックデータの収集やイベント情報の ユーザーへの通知などがあります。Traps は、これ以上のスキャンやモニタリングは行いません。 デフォルトのエンドポイントセキュリティポリシーでも大部分の脆弱性と頻繁に用いられるア プリケーションを保護することが可能ですが、保護するプロセスのリストにサードパーティある いは自社製の他のアプリケーションを追加することもできます。詳細は、Protected[ 保護中 ]、 Provisional[ 一時的保護 ]、Unprotected[ 未保護 ] のプロセスを追加をご参照ください。 詳細は、エクスプロイト阻止ルールをご参照ください。 マルウェアの防止 マルウェアとして知られる悪意のある実行ファイルは、悪意のないファイルを装ったり、そこに 埋め込まれたりすることが少なくありません。時にトロイの木馬と呼ばれるこれらのファイル は、制御機能の掌握、機密情報の収集、あるいはシステムの正常な動作を阻害することによっ て、コンピューターに損害を与えます。 エンドポイントを悪意のある実行ファイルから守るために、Traps はさらなるセキュリティロー ドブロックとしてマルウェア防止エンジンを使用します。マルウェア防止エンジンは、ポリシー に基づいた制限、マルウェア防止モジュール、および WildFire による分析を組み合わせて使用 し、攻撃可能な箇所を極小化するとともに、外部メディアのようなファイルのインストール元を 制御します。マルウェア防止エンジンはまた、子プロセス、Web ブラウザで開始される Java プロ セス、リモートスレッドおよびプロセスの生成、そして未署名のプロセスの実行を制限もしくは ブロックする技術に基づいた軽減策も使用します。 セキュリティイベントが発生した際に Traps が行う一般的なアクションには、ファイルの実行の 阻止、フォレンジックデータの収集、イベント情報のユーザーへの通知などがあります。Traps は、これ以上のスキャンやモニタリングは行いません。 詳細は、マルウェア防止フローをご参照ください。 Advanced Endpoint Protection 管理者用ガイド 3 Advanced Endpoint Protection の構成要素 Advanced Endpoint Protection 概要 Advanced Endpoint Protection の構成要素 Advanced Endpoint Protection ソリューションは、ESM コンソール、データベース、および ESM サーバーから構成される中央部の Endpoint Security Manager(ESM)を使用してポリシールールを 管理し、セキュリティポリシーを組織内のエンドポイントに行き渡らせます。Endpoint Security Manager の各構成要素は、組織内のエンドポイントにインストールされた Traps という防御ソフ トウェアと通信を行います。Advanced Endpoint Protection の構成は以下の図の通りです。 各要素の詳細な説明は、以下のトピックでご確認いただけます。 S Endpoint Security Manager コンソール S Endpoint Security Manager サーバー S データベース S エンドポイント S Traps S 外部ロギングプラットフォーム S WildFire S フォレンジックフォルダ 4 Advanced Endpoint Protection 管理者用ガイド Advanced Endpoint Protection 概要 Advanced Endpoint Protection の構成要素 Endpoint Security Manager コンソール Endpoint Security Manager(ESM)コンソールは、セキュリティイベント、エンドポイントの安全 状態、およびポリシールールを管理するダッシュボードを提供する Web インタフェースです。こ の Web インタフェースは、ESM サーバーと同じサーバー、あるいは別のサーバー、クラウドサー バーのいずれに対してもインストール可能です。また、ESM コンソールは ESM サーバーから独 立してデータベースと通信します。 Endpoint Security Manager サーバー 各 Endpoint Security Manager(ESM)サーバーは ESM コンポーネント、Traps および WildFire 間で 情報をやり取りする接続サーバーとして機能します。 各 ESM サーバーは最大 50,000 の Traps エー ジェントをサポートしています。定期的に、ESM サーバーはデータベースからセキュリティポ リシーを取得し、すべての Traps エージェントに配布します。各 Traps エージェントはセキュリ ティイベントに関連する情報を ESM サーバーへと引き継ぎます。Traps エージェントが ESM サー バーに送信するメッセージの種類は以下の表のとおりです。 メッセージタイプ 内容 Traps ステータス Traps エージェントは定期的に、自身が稼働中かどうかを伝えるメッセージ を ESM サーバーに送信するとともに、最新のセキュリティポリシーをリク エストします。Endpoint Security Manager の Notifications[ 通知 ] ページおよび Health[ 安全状態 ] ページには、各エンドポイントのステータスが表示され ます。デフォルトでは、ハートビート期間と呼ばれるメッセージの送信間 隔は 5 分になっています。また、このハートビート間隔は設定可能です。 通知 Traps エージェントはサービスの開始や停止などエージェントの変化に関 する通知メッセージを ESM サーバーに送信します。サーバーはこれらの通 知をデータベース内に記録します。また、これらの通知は Endpoint Security Manager で確認することができます。デフォルトでは、Traps は 2 時間ごと に通知を送信します。 更新メッセージ エンドユーザーが Traps コンソール内の Check-in now[ 今すぐチェックイン ] となっています。ボタンをクリックすると、ポリシーを即座に更新するよ うリクエストすることができます。この操作により、Traps エージェントは ハートビート期間が終了するまで待つことなく、ESM サーバーから最新の セキュリティポリシーを要求します。 防止レポート Traps エージェントがインストールされたエンドポイント上で防止イベン トが起こった際、Traps エージェントはそのイベントに付随するすべての情 報を ESM サーバーへリアルタイムで報告します。 データベース データベースは管理情報、セキュリティポリシールール、エンドポイントの履歴、およびセキュ リティイベントに関するその他の情報を保存しています。データベースは MS-SQL プラット フォーム上で管理されます。各データベースにはライセンスが必要であり、複数の ESM サーバー と通信することができます。データベースはスタンドアローン環境のように ESM コンソールお よび ESM サーバーと同一のサーバーにインストールされる場合もあれば、専用のサーバーにイ ンストールされる場合もあります。 コンセプトの実証段階(proof-of-concept stage)においては、SQLite データベースもサポート されています。 Advanced Endpoint Protection 管理者用ガイド 5 Advanced Endpoint Protection の構成要素 Advanced Endpoint Protection 概要 エンドポイント エンドポイントとは、Traps というクライアントサイドの防御アプリケーションを実行する Windows ベースのコンピューター、サーバー、仮想マシン、またはモバイルデバイスのことで す。前提条件については、エンドポイントに Traps をインストールする際の前提条件をご参照く ださい。 Traps Traps は、ユーザーインタフェースアプリケーションを提供するコンソール、エンドポイントを 防御し ESM サーバーと通信を行うエージェント、およびフォレンジックデータを収集するサー ビスから構成されています。 Traps エージェントは、Endpoint Security Manager で組織用に定義したセキュリティポリシーを実 装することでエンドポイントを保護します。ユーザーがエンドポイント上で保護されたプロセス を生成もしくは開く際、Traps エージェントはプロセスファイルがメモリにロードされる前の可 能な限り早い段階でプロセス内にドライバを挿入します。また、エージェントは Traps ソフト ウェアが無効化やアンインストールされるのを防ぎます。 Traps エージェントが防止イベントに遭遇した場合、Traps サービスがフォレンジック情報を収集 し、イベントに関連するデータを Endpoint Security Manager に送信します。Traps サービスはまた、 エンドポイントの定期的な通信ステータス情報も扱います。 Traps コンソールには、保護中のプロセス、イベント履歴、および現在のセキュリティポリシー に関する情報が表示されます。通常、ユーザーは Traps コンソールを起動する必要はありません が、セキュリティに関連するイベントを調査する際にこれらの情報は有用です。コンソールを起 動するトレイアイコンを非表示にすることもできますし、ユーザーがコンソールを起動すること 自体を完全に防ぐこともできます。詳細は、Traps コンソールへのアクセスを非表示または制限 をご参照ください。 外部ロギングプラットフォーム 外部ロギングプラットフォームを指定すると、すべての ESM サーバーからのログを集約して表 示することができます。Endpoint Security Manager は、ログを内部に保存できるだけでなく、SIEM (Security Information and Event Management)、Service Organization Control (SOC)、syslog など、外部 ロギング プラットフォームにログを書き込むこともできます。syslog サーバーを Splunk のような サードパーティ製モニタリングツールと統合してログデータを分析することもできます。Palo Alto Networks の Splunk アプリケーションは、https://apps.splunk.com/app/491/ からダウンロード できます。 6 Advanced Endpoint Protection 管理者用ガイド Advanced Endpoint Protection 概要 Advanced Endpoint Protection の構成要素 外部ロギングプラットフォームを追加する方法については、ESM コンソールで外部レポート機 能を有効化をご参照ください。 WildFire Traps エージェントは、あらゆる悪意のあるコードがエンドポイントで実行される前に攻撃をブ ロックするように設計されています。このアプローチによりデータおよびインフラストラクチャ の安全性が保障される一方で、フォレンジックデータの収集は防止の瞬間にのみ可能となりま す。そのため、攻撃の目的やその全体の流れを完全に明らかにすることは不可能になります。 WildFire サービスは、悪意のあるファイルのフォレンジック分析を実行する、オプションの防止 後分析システムです。WildFire インテグレーションを有効にすると、Traps は実行ファイルから ファイルハッシュを生成し、それを WildFire クラウドまたはローカルの WildFire アプライアンス と照らし合わせてチェックできるようになります。WildFire がファイルを既知のマルウェアだと 認めた場合、Traps エージェントはファイルが今後露出するのをブロックするとともに、Endpoint Security Manager に通知します。 WildFire が新しいマルウェアを検出すると、1 時間以内に新しいシグネチャが生成されます。 WildFire サブスクリプションが組み込まれた Palo Alto Networks の次世代型ファイアウォールで は、15 分以内に新しいシグネチャを受信できます(脅威防御サブスクリプションのみが組み込 まれたファイアウォールの場合、新しいシグネチャを受信できるのは次のアンチウイルスシグネ チャの更新の際、24 ∼ 48 時間以内となります)。 WildFire インテグレーションが ESM コンソールで有効になっている場合、Traps コンソールのス テータスページで、Forensic Data Collection[ フォレンジックデータ収集 ] の隣に が表示されます。 WildFire が有効になっていない場合、Traps コンソールで Forensic Data Collection[ フォレンジックデー タ収集 ] の隣に が表示されます。 詳細は、WildFire の有効化およびマルウェア防止フローをご参照ください。 フォレンジックフォルダ Traps がファイル実行、Traps サービスとの干渉、またはエクスプロイト攻撃などのセキュリティ に関連するイベントに遭遇した場合、エンドポイントでのイベントに関する詳細なフォレンジッ ク情報をリアルタイムで記録します。このフォレンジックデータには、イベント履歴、メモリダ ンプ、およびイベントに関連するその他の情報が含まれます。エンドポイントからデータを収集 するアクションルールを作成することで、フォレンジックデータを取得することができます。エ ンドポイントがアクションルールなどのセキュリティポリシーを受け取ると、Traps エージェン トはすべてのフォレンジック情報をフォレンジックフォルダ(隔離フォルダ)に送信します。 Advanced Endpoint Protection 管理者用ガイド 7 Advanced Endpoint Protection の構成要素 Advanced Endpoint Protection 概要 初回インストール時に、エンドポイントから取得したフォレンジックデータを保存するために Endpoint Security Manager が 用い る フォ レ ン ジッ ク フォ ル ダの パ スを 指 定し ま す。Advanced Endpoint Protection バージョン 3.2 以降ではエンドポイントセキュリティマネジャーは複数のフォ レンジックフォルダをサポートしており、インストール時に当該フォルダのバックグラウンドイ ンテリジェントトランスファーサービス(BITS)を有効化します。インストール時に指定した フォレンジックフォルダが見つからない場合、Traps はデフォルトで ESM コンソールで指定され たフォレンジックフォルダを使用します。このフォルダは、Endpoint Security Manager を使用して いつでも変更することができます。 8 Advanced Endpoint Protection 管理者用ガイド Advanced Endpoint Protection の導入 事例 Advanced Endpoint Protection は、幅広い環境に導入可能になっています。次の各トピックでは、 エージェントおよびサイトの数に応じた典型的な導入事例をご紹介します。 S スタンドアローンによる導入 S 小規模の導入 S 大規模の導入 インストールにかかる前提条件や考慮すべき事項については、前提条件をご参照ください。 Advanced Endpoint Protection 管理者用ガイド 9 スタンドアローンによる導入 Advanced Endpoint Protection の導入事例 スタンドアローンによる導入 S スタンドアローンによる導入の際のコンポーネント S スタンドアローンによる導入の際の要件 スタンドアローンによる導入の際のコンポーネント 初回の概念実証(POC)の際、あるいは Traps エージェントの数が 250 未満の小規模サイトの場 合、スタンドアローンによる導入を行い、次の Endpoint Security Manager(ESM)コンポーネント を単一のサーバーあるいは仮想マシンにインストールします。 z ESM サーバー z ESM コンソール z フォレンジック(検疫)フォルダ z データベース z (任意)複数の ESM サーバーにトラフィックを分散させるロードバランサー z (任意)SIEM あるいは syslog といった外部ロギング プラットフォーム z (任意)WildFire の統合 エンドポイントに Traps をインストールする際の段階的なアプローチに関するベストプラクティ スについては、Traps 導入段階をご参照ください。 スタンドアローンによる導入の際の要件 スタンドアローンのサーバーにかかる要件を次の表に示しています。 10 Advanced Endpoint Protection 管理者用ガイド Advanced Endpoint Protection の導入事例 要件 値 プロセッサ Pentium 4 以上 メモリ 512MB RAM ディスク領域 100MB データベースの種類 SQLite(POC のみ) 、MS-SQL スタンドアローンによる導入 Traps の要件については、エンドポイントに Traps をインストールする際の前提条件をご参照く ださい。 Advanced Endpoint Protection 管理者用ガイド 11 小規模の導入 Advanced Endpoint Protection の導入事例 小規模の導入 S 小規模シングルサイトの導入 S 小規模マルチサイトの導入 小規模シングルサイトの導入 シングルサイト環境で最大 50,000 の Traps エージェントをサポートするこの導入事例は、次のコ ンポーネントで構成されています。 z 専用のデータベースサーバー x1 z セキュリティーポリシーおよび Traps エージェントの管理を行うバージョン 3.2 の Endpoint Security Manager(ESM)コンソール x1 z データベースサーバーおよびコンソールと同一のネットワーク領域内で ESM Core 3.2 を使用 する ESM サーバー x2(一つはプライマリサーバー、もう一つはバックアップ) z すべてのエンドポイントが利用可能なフォレンジックフォルダ(セキュリティ関連イベント についての詳細かつリアルタイムな分析データを保存) z (任意)複数の ESM サーバーにトラフィックを分散させるロードバランサー z (任意)SIEM あるいは syslog といった外部ロギング プラットフォーム z (任意)WildFire の統合 12 Advanced Endpoint Protection 管理者用ガイド Advanced Endpoint Protection の導入事例 小規模の導入 この導入事例では、データベース、およびローカルポリシーとエンドポイントを管理する ESM コンソール、冗長化された ESM サーバーがシングルサイトに含まれています。プライマリ ESM サーバーにアクセスできない状況下では、Traps エージェントがバックアップサーバーを利用し て Endpoint Security Manager に接続します。両方のサーバーがデータベースからセキュリティポ リシーを取得し、エージェントに伝えます。 小規模マルチサイトの導入 マルチサイト環境で最大 100,000(各サイトにつき 50,000)の Traps エージェントをサポートする この導入事例は、次のコンポーネントで構成されています。 z 専用のサーバー x1(いずれかのサイト) z データベースと同一の場所にあり、セキュリティーポリシーおよび Traps エージェントの管理 を行うバージョン 3.2 の Endpoint Security Manager (ESM)(ESM)コンソール x1 z ESM Core 3.2 で稼働する ESM サーバー(各サイトに x1、あるいは冗長化のために x2) z すべてのエンドポイントが利用可能なフォレンジックフォルダ(セキュリティ関連イベント についての詳細かつリアルタイムな分析データを保存) z (任意)複数の ESM サーバーにトラフィックを分散させるロードバランサー z (任意)SIEM あるいは syslog といった外部ロギング プラットフォーム Advanced Endpoint Protection 管理者用ガイド 13 小規模の導入 z Advanced Endpoint Protection の導入事例 (任意)WildFire の統合 この導入事例では、ESM サーバー、データベース、およびローカルポリシーとエンドポイント を管理する ESM コンソールがサイト A に含まれています。サイト B には、最大 50,000 のエー ジェント(合計で 100,000 の Traps エージェント)を追加できるセカンダリ ESM サーバーが含ま れています。両方のサーバーがサイト A にあるデータベースからセキュリティポリシーを取得 し、エージェントに伝えます。エージェントは同一サイト内にあるプライマリ ESM サーバーに 接続します。他のサイト内にある ESM サーバーはバックアップ用のセカンダリサーバーとして 機能します。 14 Advanced Endpoint Protection 管理者用ガイド Advanced Endpoint Protection の導入事例 大規模の導入 大規模の導入 S 大規模シングルサイトの導入 S Endpoint Security Manager を一つだけ使用する大規模マルチサイトの導入 S Endpoint Security Manager を複数使用する大規模マルチサイトの導入 S ローミングエージェントを有する大規模マルチサイトの導入(VPN 未使用) S ローミングエージェントを有する大規模マルチサイトの導入(VPN 使用) 大規模シングルサイトの導入 シングルサイト環境で最大 200,000(各サイトにつき 50,000)の Traps エージェントをサポートす るこの導入事例は、次のコンポーネントで構成されています。 z 専用のデータベースサーバー x1 z データベースと同一の場所にあり、セキュリティーポリシーおよび Traps エージェントの管理 を行うバージョン 3.2 の Endpoint Security Manager (ESM)(ESM)コンソール x1 z ESM Core 3.2 で稼働する複数の ESM サーバー(Traps エージェント数 50,000 につき x1) Advanced Endpoint Protection 管理者用ガイド 15 大規模の導入 z Advanced Endpoint Protection の導入事例 すべてのエンドポイントが利用可能なフォレンジックフォルダ(セキュリティ関連イベント についての詳細かつリアルタイムな分析データを保存。ESM サーバー 1 つにつき x1) z (任意)複数の ESM サーバーにトラフィックを分散させるロードバランサー z (任意)SIEM あるいは syslog といった外部ロギング プラットフォーム z (任意)WildFire の統合 この事例では、Endpoint Security Manager に接続可能な Traps エージェントの数は最大 200,000 に なっています。また、この事例ではエンドポイントを適切なロードバランサーを介して 4 つの ESM サーバーに接続しなければなりません。専用の ESM コンソールで管理可能な中央データ ベースに各 ESM サーバーを接続します。 Endpoint Security Manager を一つだけ使用する大規模マルチサイトの導入 マルチサイト環境で最大 200,000(各サイトにつき 50,000)の Traps エージェントをサポートする この導入事例は、次のコンポーネントで構成されています。 z 専用のデータベースサーバー x1 z データベースと同一の場所にあり、セキュリティーポリシーおよび Traps エージェントの管理 を行うバージョン 3.2 の Endpoint Security Manager (ESM)(ESM)コンソール x1 z ESM Core 3.2 で稼働する複数の ESM サーバー(各サイトごと、Traps エージェント数 50,000 につ き x1) z すべてのエンドポイントが利用可能なフォレンジックフォルダ(セキュリティ関連イベント についての詳細かつリアルタイムな分析データを保存) z (任意)複数の ESM サーバーにトラフィックを分散させるロードバランサー z (任意)SIEM あるいは syslog といった外部ロギング プラットフォーム 16 Advanced Endpoint Protection 管理者用ガイド Advanced Endpoint Protection の導入事例 z 大規模の導入 (任意)WildFire の統合 この事例では、サイト A、B、C および D のそれぞれに最大 50,000 の Traps エージェントが必要 であるものとします。この場合、サイト A にあるデータベースからセキュリティポリシーを取 得する ESM サーバーがサイトごとに必要になります。エージェントは、ローカルの ESM サー バーをプライマリサーバーとして、他のサイトの ESM サーバーをセカンダリサーバーとして利 用し、Endpoint Security Manager に接続します。 Endpoint Security Manager を複数使用する大規模マルチサイトの導入 マルチサイト環境で最大 200,000(各サイトにつき 50,000)の Traps エージェントをサポートする この導入事例は、次のコンポーネントで構成されています。 z z サイトごとに Endpoint Security Manager (ESM) x1 – 専用のデータベース x1(ライセンス有) – データベースと同一の場所にあり、セキュリティーポリシーおよび Traps エージェントの 管理を行うバージョン 3.2 の ESM コンソール x1 – ESM Core 3.2 で稼働する複数の ESM サーバー(各サイトごと、Traps エージェント数 50,000 につき x1) すべてのエンドポイントが利用可能なフォレンジックフォルダ(セキュリティ関連イベント についての詳細かつリアルタイムな分析データを保存) z (任意)複数の ESM サーバーにトラフィックを分散させるロードバランサー z (任意)SIEM あるいは syslog といった外部ロギング プラットフォーム z (任意)WildFire の統合 Advanced Endpoint Protection 管理者用ガイド 17 大規模の導入 Advanced Endpoint Protection の導入事例 この事例では、サイト A、B、C および D のそれぞれに最大 50,000 の Traps エージェントが必要 であるものとします。さらにこの事例では、ESM サーバー、データベース、ESM コンソールか ら成るローカルの Endpoint Security Manager を各サイトが使用し、他のサイトから独立した状態 で個々にセキュリティポリシーを管理する必要があります。エージェントは、ローカルの ESM サーバーをプライマリサーバーとして、他のサイトの ESM サーバーをセカンダリサーバーとし て利用し、Endpoint Security Manager に接続します。 また、データベース同士の衝突が発生する可能性があるため、完全にクラスタ化されたデータ ベースを利用することは推奨できません。そのようなデータベースをすでに利用している場合 は、データベースクラスタへのアクセスに単一の仮想 IP(VIP)アドレスを使用するよう Traps エージェントを構成します。 ローミングエージェントを有する大規模マルチサイトの導入(VPN 未使用) マルチサイト環境で最大 200,000(各サイトにつき 50,000)の Traps エージェントをサポートする この導入事例は、次のコンポーネントで構成されています。 z 専用のデータベースサーバー x1 z データベースと同一の場所にあり、セキュリティーポリシーおよび Traps エージェントの管理 を行うバージョン 3.2 の Endpoint Security Manager (ESM)(ESM)コンソール x1 18 Advanced Endpoint Protection 管理者用ガイド Advanced Endpoint Protection の導入事例 大規模の導入 z ESM Core 3.2 で稼働する複数の ESM サーバー(各サイトごと、Traps エージェント数 50,000 につ き x1) z Traps ローミングエージェントからの接続を許可する、パブリックな DNS レコードを有する ESM サーバー x1(次のうちのいずれか) z – 外部ネットワークからの接続を許可するよう構成されたポートを有する ESM サーバー – 内部データベースサーバーと接続可能な DMZ 内にインストールした ESM サーバー。こ のサーバーは、バックアップ用のセカンダリサーバーとしても機能します。 すべてのエンドポイントが利用可能なフォレンジックフォルダ(セキュリティ関連イベント についての詳細かつリアルタイムな分析データを保存) z (任意)複数の ESM サーバーにトラフィックを分散させるロードバランサー z (任意)SIEM あるいは syslog といった外部ロギング プラットフォーム z (任意)WildFire の統合 この事例では、サイト A、B および C のそれぞれに最大 50,000 の Traps エージェントが必要であ り、さらに 50,000 のエンドポイントがローミング中であるものとします。この導入事例では、サ イト A にあるデータベースからセキュリティポリシーを取得する ESM サーバーがサイトごとに 必要になります。内部のエンドポイントは、 ローカルの ESM サーバーを利用して Endpoint Security Manager に接続します。外部のエンドポイントは、DMZ 内にあるパブリックな ESM サーバー、 あるいは外部ネットワークと接続できるよう構成されたポートを介して接続します。エンドポイ ントがローミング中でESMサーバーに接続できない場合は、エージェントがフォレンジックフォ ルダへの接続を確立できるよう、Traps が防御データをローカルで収集します。 ローミングエージェントを有する大規模マルチサイトの導入(VPN 使用) Advanced Endpoint Protection 管理者用ガイド 19 大規模の導入 Advanced Endpoint Protection の導入事例 この導入事例では、ローカルサイト同士の接続、あるいは VPN トンネルを利用して外部からの 接続が可能な最大 200,000(サイトごとに 50,000)の Traps エージェントをサポート可能です。こ のマルチサイト環境は、次のコンポーネントで構成されています。 z 専用のデータベースサーバー x1 z データベースと同一の場所にあり、セキュリティーポリシーおよび Traps エージェントの管理 を行うバージョン 3.2 の Endpoint Security Manager (ESM)(ESM)コンソール x1 z ESM Core 3.2 で稼働する複数の ESM サーバー(各サイトごと、Traps エージェント数 50,000 につ き x1) z ローミングユーザーに内部 IP アドレスを付与して ESM サーバーに接続可能にする VPN 接続 z すべてのエンドポイントが利用可能なフォレンジックフォルダ(セキュリティ関連イベント についての詳細かつリアルタイムな分析データを保存) z (任意)複数の ESM サーバーにトラフィックを分散させるロードバランサー z (任意)SIEM あるいは syslog といった外部ロギング プラットフォーム z (任意)WildFire の統合 この事例では、サイト A、B、C および D のそれぞれに最大 50,000 の Traps エージェントが必要 であり、そのエージェントのうちいくつかはサイト外にある場合があり得るものとします。この 導入事例では、サイト A にあるデータベースからセキュリティポリシーを取得する ESM サー バーがサイトごとに必要になります。内部のエンドポイントは、ローカルの ESM サーバーを利 用して Endpoint Security Manager に接続します。外部のエンドポイントは、VPN トンネルを介す ることで内部 IP アドレスを付与され、接続可能な状態になります。エンドポイントがローミン グ中で VPN を介して接続できない場合は、エージェントがフォレンジックフォルダへの接続を 確立できるよう、Traps が防御データをローカルで収集します。 20 Advanced Endpoint Protection 管理者用ガイド 前提条件 ここでは、Traps インフラストラクチャをインストールする際の前提条件について説明します。 S ESM サーバーをインストールする際の前提条件 S エンドポイントに Traps をインストールする際の前提条件 Advanced Endpoint Protection 管理者用ガイド 21 ESM サーバーをインストールする際の前提条件 前提条件 ESM サーバーをインストールする際の前提条件 Advanced Endpoint Protection 3.2 ソフトウェアを ESM サーバーにインストールする前に、サーバー が以下の前提条件を満たしていることをご確認ください。 同じバージョンの Advanced Endpoint Protection を使用する ESM Core および ESM コンソール 300MB のディスクスペース、さらに追加でフォレンジックフォルダ用のディスクスペース (60GB を推奨) 2GB RAM(4GB RAM を推奨) Windows Server(物理サーバーあるいは仮想サーバー)以下のうちいずれか。 – Windows Server 2008 R2 – Windows Server 2012 – Windows Server 2012 R2 ASP.NET および Static Content Compressions のコンポーネントを使用できる Internet Information Services(IIS)7.0 以上 .NET Framework – Windows Server 2008 R2:KB2468871 パッチを当てた .NET Framework 4 – Windows Server 2012:.NET Framework 3.5 および 4.5 データベースアプリケーション—サーバーサイドのアプリケーションにはSQLデータベース (Endpoint Security Manager と同じサーバーにインストールしたローカルのデータベース、ある いは他のマシンにインストールした外部データベース)が必要になります。以下のうちのい ずれかのデータベースを使用します。 – SQLite 1.0.82.0 以上(評価ステップ用)。SQLite のセットアップファイルは、エンドポイン トのインストールパッケージに含まれる「Tools」フォルダにあるものを利用するか、イ ンターネットでダウンロードします。 – MS-SQL 2008 – MS-SQL 2012 – MS-SQL 2014 既存のデータベースを統合する必要がある場合は、Palo Alto Networks のサポートチームまでお 問い合わせください。 信頼できる認証局(CA)から得た、サーバー証明書およびクライアント証明書をあわせた SSL 証明書(推奨) クライアントからサーバーへの通信が許可されている TCP ポート(デフォルトではポート 2125) BITS が有効化されているフォレンジックフォルダ こちらも参照:エンドポイントに Traps をインストールする際の前提条件 . 22 Advanced Endpoint Protection 管理者用ガイド 前提条件 エンドポイントに Traps をインストールする際の前提条件 エンドポイントに Traps をインストールする際の前提条件 Traps 3.2 をインストールする前に、対象のエンドポイントが次の前提条件を満たしていることを ご確認ください。 Traps と同じかそれ以上のバージョンの Advanced Endpoint Protection を使用する ESM Core およ び ESM コンソール 200MB のディスクスペース(20GB を推奨) 512MB メモリ(2GB を推奨) 以下のオペレーティングシステム – Windows XP(32-bit、SP3 以上) – Windows ( 7 32-bit、 64-bit、RTM および SP1:HOME エディションを除くすべてエディション ) – Windows 8(32-bit、64-bit) – Windows 8.1(32-bit、64-bit) – Windows Server 2003(32-bit、SP2 以上) – Windows Server 2003 R2(32-bit、SP2 以上) – Windows Server 2008(32-bit、64-bit) – Windows Server 2012(すべてのエディション) – Windows Server 2012 R2(すべてのエディション) – Windows Vista(32-bit、64-bit、SP2) 仮想環境 – VDI:ライセンスについては、サポート技術者あるいはセールスエンジニアにお問い合 わせください。 – Citrix – VM – ESX – VirtualBox/Parallels 物理プラットフォーム – SCADA – Windows Tablet .NET 3.5 SP1 クライアントからサーバーへの通信が許可されている 2125 TCP ポート Advanced Endpoint Protection 管理者用ガイド 23 エンドポイントに Traps をインストールする際の前提条件 24 前提条件 Advanced Endpoint Protection 管理者用ガイド Traps インフラストラクチャのセット アップ 以下のトピックでは、Traps インフラストラクチャのコンポーネントのセットアップ方法につい て説明します。 S エンドポイントインフラストラクチャのセットアップ S エンドポイントインフラストラクチャのアップグレード S Endpoint Security Manager のセットアップ S エンドポイントのセットアップ S 正しくインストールされたことを確認 Advanced Endpoint Protection 管理者用ガイド 25 エンドポイントインフラストラクチャのセットアップ Traps インフラストラクチャのセットアップ エンドポイントインフラストラクチャのセットアップ 以下の手順に従ってエンドポイントインフラストラクチャをセットアップするか、エンドポイン トインフラストラクチャのアップグレードに記載の方法で既存のエンドポイントインフラスト ラクチャをアップグレードします。 作業 Step 1 詳細情報について ソフトウェアの前提条件を確認しま エンドポイントインフラストラクチャのインストール時の 注意 す。 ESM サーバーをインストールする際の前提条件 エンドポイントに Traps をインストールする際の前提条件 Step 2 推奨される導入時期を確認します。 Traps 導入段階 Step 3 (任意)NET サービスを利用して ウェブサービスの有効化 Internet Information Services(IIS)を構 ESM コンソールで SSL を設定 成します。 Step 4 (任意)MS-SQL サーバーを構成しま MS-SQL サーバーデータベースの構成 す。 Step 5 ESMサーバーソフトウェアをインス Endpoint Security Manager サーバーソフトウェアのインス トール トールします。 Step 6 ESMコンソールソフトウェアをイン Endpoint Security Manager コンソールソフトウェアのインス トール ストールします。 Step 7 ベースとなるセキュリティポリシー ベースのセキュリティポリシーをアップロード をインストールします。 Step 8 エンドポイントに Traps をインス エンドポイントに Traps をインストール トールします。 Msiexec を使用してエンドポイントに Traps をインストール Step 9 正しくインストールされたことを確 正しくインストールされたことを確認 認します。 26 Advanced Endpoint Protection 管理者用ガイド Traps インフラストラクチャのセットアップ エンドポイントインフラストラクチャのアップグレード エンドポイントインフラストラクチャのアップグレード エンドポイントインフラストラクチャのセットアップ手順は、以下の通りです。 作業 Step 1 詳細情報について ソフトウェアの前提条件を確認しま エンドポイントインフラストラクチャのインストール時の 注意 す。 ESM サーバーをインストールする際の前提条件 エンドポイントに Traps をインストールする際の前提条件 Step 2 ESMサーバーソフトウェアをインス Endpoint Security Manager サーバーソフトウェアのインス トール トールします。 Step 3 ESMコンソールソフトウェアをイン Endpoint Security Manager コンソールソフトウェアのインス トール ストールします。 Step 4 ベースとなるセキュリティポリシー ベースのセキュリティポリシーをアップロード をインストールします。 Step 5 エンドポイントに Traps をインス エンドポイントに Traps をインストール トールします。 Step 6 正しくインストールされたことを確 正しくインストールされたことを確認 認します。 Advanced Endpoint Protection 管理者用ガイド 27 Endpoint Security Manager のセットアップ Traps インフラストラクチャのセットアップ Endpoint Security Manager のセットアップ S エンドポイントインフラストラクチャのインストール時の注意 S ウェブサービスの有効化 S ESM コンソールで SSL を設定 S MS-SQL サーバーデータベースの構成 S Endpoint Security Manager サーバーソフトウェアのインストール S Endpoint Security Manager コンソールソフトウェアのインストール S ベースのセキュリティポリシーをアップロード エンドポイントインフラストラクチャのインストール時の注意 ESMコンポーネントのインストール/アップグレードを行う際、以下の事項に注意してください。 z ESM サーバーと ESM コンソールは同じバージョンでなければなりません。 z ESM サーバーと ESM コンソールは、異なるバージョンが混在する Traps をサポートしており、 さらに古いバージョンに対する下位互換性もあります。例えば、バージョン 3.2 の ESM サー バーと ESM コンソールは、バージョン 3.1 と 3.2 が混在する Traps エージェントを実行するエ ンドポイントをサポート可能です。 インストールにかかる前提条件については、ESM サーバーをインストールする際の前提条件お よびエンドポイントに Traps をインストールする際の前提条件をご参照ください。 ウェブサービスの有効化 ESM 上でウェブサービスを利用するには、Windows Server 上で Internet Information Services(IIS) ロールと .NET を有効化する必要があります。IIS により、インターネット、イントラネット、外 部ネットワーク内のユーザーと情報を共有することができます。IIS 7.5 を使用する Windows Server には、IIS、ASP.NET、Windows Communication Foundation(WCF)を統合する単一のウェブプラッ トフォームがあります。インターネットを介して Endpoint Security Manager にアクセスするには、 .NET を使用可能な IIS を有効化します。 S Windows Server 2008 R2 でウェブサービスを有効化 S Windows Server 2012 R2 でウェブサービスを有効化 Windows Server 2008 R2 でウェブサービスを有効化 Windows Server 2008 R2 でウェブサービスを有効化するには、KB2468871 パッチを適用した .NET Framework 4 をインストールする必要があります。 Windows Server 2008 R2 でウェブサービスを有効化 Step 1 28 Windows Server 上でサーバーマネー ス タ ー ト メ ニ ュ ー か ら Server Manager[ サ ー バ ー マ ネ ー ジャー ] を選択します。 ジャを起動します。 Advanced Endpoint Protection 管理者用ガイド Traps インフラストラクチャのセットアップ Endpoint Security Manager のセットアップ Windows Server 2008 R2 でウェブサービスを有効化(続) Step 2 新しいロールを追加します。 1. 2. 3. Step 3 Step 4 ロールサービスを定義します。 1. Roles > Add Roles[ 役割 > 役割の追加 ] を選択して Next [ 次へ ] をクリックします。 Web Server (IIS)[Web サーバー(IIS)] オプションを選択 して Next[ 次へ ] をクリックします。 左側のメニューから Role Services[ 役割サービス ] を選択 します。 2. Application Development[アプリケーション開発]オプショ ンを選択します。 その他のオプションはデフォルトのままにします。 3. Next[ 次へ ] をクリックします。 インストールサービスを確認しま 1. す。 2. Application Development[ アプリケーション開発 ] サービ スが Installation Selections[ インストールオプション ] の リストに表示されていることを確認し、Install[ インス トール ] をクリックします。 Close[ 閉じる ] でウィザードを終了します。 Windows Server 2012 R2 でウェブサービスを有効化 Windows Server 2012 でウェブサービスを有効化するには、.NET Framework 3.5 および 4.5 をインス トールする必要があります。 Windows Server 2012 R2 でウェブサービスを有効化 Step 1 Windows Server 上でサーバーマネー 1. ジャを起動します。 2. Advanced Endpoint Protection 管理者用ガイド Start[ スタート ] メニューから Server Manager[ サーバー マネージャー ] を選択します。 Add roles and features[ 役割と機能の追加 ] を選択し、Next [ 次へ ] をクリックします。 29 Endpoint Security Manager のセットアップ Traps インフラストラクチャのセットアップ Windows Server 2012 R2 でウェブサービスを有効化(続) Step 2 インストールタイプを選択します。 Role-based or feature-based installation[ 役割ベースまたは機能 ベースのインストール ] を選択し、Next[ 次へ ] をクリック します。 Step 3 サーバーを指定します。 Step 4 ウェブサービスのロールおよび機 1. 能を追加します。 2. 3. 4. サーバープールからサーバーを選択し、Next[ 次へ ]をクリッ クします。 5. 6. 7. 8. Step 5 インストールサービスを確認しま 1. す。 2. 30 Web Server (IIS)[Web サーバー(IIS)] オプションを選択 します。 Add Features[ 機能の追加 ] をクリックします。 Next[ 次へ ] をクリックします。 .NET Framework 3.5 Features[.NET Framework 3.5 の機能 ] を選択します。 .NET Framework 4.5 Features[.NET Framework 4.5 の機能 ] および ASP.NET 4.5 を選択します。 Next[ 次へ ] をクリックします。さらに Next[ 次へ ] をク リックします。 Web Server[Web サーバー] 以下で Application Development[ アプリケーション開発 ] を選択し、機能を展開して隠れ ている項目を表示します。以下の機能を選択します。 ポップアップが表示さえた場合は、Add Features[ 機能を 追加 ] をクリックします。 • ASP.NET 3.5 • ASP.NET 4.5 • ISAPI 拡張 • ISAPI フィルター • .NET 拡張機能 3.5 • .NET 拡張機能 4.5 Next[ 次へ ] をクリックします。 機能が installation selections[ インストールオプション ] のリストに表示されていることを確認し、Install[ イン ストール ] をクリックします。 Close[閉じる]をクリックしてウィザードを終了します。 Advanced Endpoint Protection 管理者用ガイド Traps インフラストラクチャのセットアップ Endpoint Security Manager のセットアップ ESM コンソールで SSL を設定 Secure Sockets Layer(SSL)を使用して ESM コンソールの安全性を確保し、ユーザーのプライバ シーを保護するには、サーバー証明書をインストールして HTTPS 用のバインディングをポート 443 に追加する必要があります。 ESM コンソールで SSL を設定 Step 1 IIS マネージャーを開きます。 1. 2. Start[ スタート ] をクリックし、さらに Control Panel[ コ ントロールパネル ] をクリックします。 以下のいずれかを実行します。 • System and Security > Administrative Tools[ システムとセ キュリティ > 管理ツール ] をクリックします。 • Start Search[ プログラムとファイルの検索 ] に inetmgr と入力し、ENTER キーを押します。 Step 2 (任意)サイトに SSL が必要な場合 サーバー証明書を取得 / インストールするには: は、ESM コンソールを実行している • インターネットサーバー証明書のリクエスト サーバーに SSL 証明書をインストー • インターネットサーバー証明書のインストール ルします。 サーバー証明書により、ユーザーは 重要なデータを送信する前にウェ ブサーバーの身元を確認でき、また サーバーの公開鍵を利用してデー タを暗号化し、サーバーに送り返す ことが可能になります。 サイトに SSL が必要でない、あるい はすでに SSL 証明書をインストール 済みであれば、このステップを飛ば してください。 Step 3 HTTPS 用のバインディングを追加 1. します。 2. 3. 4. 5. Advanced Endpoint Protection 管理者用ガイド Connections[ 接続 ] 以下にあるツリーで Sites[ サイト ] の 表示を展開し、バインディングを追加したいサイトを クリックして選択します。 Actions > Edit Site[ 操作 > サイトの編集 ] 以下で Bindings > Add[ バインド > 追加 ] をクリックします。 タイプを https に指定し、IP address[IP アドレス ]、 Port[ ポート ](デフォルトでは 443) 、Host Name[ ホスト 名 ] などのバインディングに関するその他の情報を加 えます。 (Windows Server 2012 のみ任意)Require Server Name Indication[ サーバー名表示を要求する ] を選択します。 ドロップダウンリストから SSL 証明書を選択し、OK を クリックします。 31 Endpoint Security Manager のセットアップ Traps インフラストラクチャのセットアップ MS-SQL サーバーデータベースの構成 Endpoint Security Manager には、MS-SQL プラットフォーム(MS SQL 2008 あるいは MS SQL 2012) で管理されるデータベースが必要になります。Endpoint Security Manager はそういったデータベー スを利用し、管理情報、セキュリティポリシールール、およびセキュリティイベントに関する情 報、さらに Endpoint Security Manager が利用するその他の情報を保存します。 コンセプトの実証段階(proof-of-concept stage)においては、SQLite データベースもサポート されています。 Endpoint Security Managerをインストールする前に、必要なパーミッションを使用した上でMS-SQL データベースを構成しなければなりません。認証手段として Windows 認証を利用している場合、 オーナーはサービスとしてログオンできる権限が必要になります。 MS-SQL サーバーのデータベースを作成・構成する最適な手順は次の通りです。 MS-SQL サーバーデータベースの構成 Step 1 新規データベースを作成します。 1. 2. 3. スタートメニューから SQL Server Management Studio を 選択します。 Connect[ 接続 ] をクリックし、SQL Server Management Studio を開きます。 Database > New Database[データベース > 新規データベー ス ] を選択します …. 32 Advanced Endpoint Protection 管理者用ガイド Traps インフラストラクチャのセットアップ Endpoint Security Manager のセットアップ MS-SQL サーバーデータベースの構成(続) Step 2 データベースを構成します。 1. 次の情報を入力します。 • データベース名 2. Step 3 データベースのオーナーを認証しま 1. す。 2. 3. 4. • オーナー(ドメインを含む) 認証手段として Windows 認証を利用している場 合、オーナーは「サービスとしてログオン」で きる権限が必要になります。 OK をクリックします。 オーナーのログイン名を入力し、Check Names[ 名前を 確認 ] をクリックします。 マッチする名前を選択し、OK をクリックして Select Database Owner[ データベースオーナーを選択 ] ページ に戻り、さらに Microsoft SQL Server Management Studio に戻ります。 作成したデータベースを選択し、さらに Security > Users > dbo[ セキュリティ > ユーザー > dbo] を選択します。 Database User[ データベースユーザー ] のダイアローグ ボックスの Owned Schemas and Role Members][ 所有してい るスキーマとロールメンバーセクションで db_owner が 選択されていることを確認し、OK をクリックします。 Endpoint Security Manager サーバーソフトウェアのインストール Endpoint Security Manager(ESM)サーバーソフトウェアをインストールする前に、ESM サーバー をインストールする際の前提条件に記載されているシステム要件を満たしていることを確認し ます。 Advanced Endpoint Protection 管理者用ガイド 33 Endpoint Security Manager のセットアップ Traps インフラストラクチャのセットアップ Endpoint Security Manager サーバーソフトウェアのインストール Step 1 ESM サーバーソフトウェアのイン 1. ストールを開始します。 2. 3. 4. Step 2 管理ユーザーの設定を行います。 1. ソフトウェアは、Palo Alto Networks Account Manager、販 売代理店あるいは https://support.paloaltonetworks.com か ら入手できます。 Zip ファイルを解凍し、ESMCore インストールファイル をダブルクリックします。 [End User License Agreement dialog] のダイアローグで I accept the terms in the License Agreement[ ライセンス同意事 項の条件に同意します ] にチェックを入れ、Next[ 次へ ] をクリックします。 インストール先のフォルダはデフォルトのままにする か、Change[ 変更 ] をクリックしてインストール先のフォ ルダを指定し、Next[ 次へ ] をクリックします。 使用したい認証のタイプを選択します。 • Machine[ マシン ]—Endpoint Security Manager は、ロー カルマシン上のユーザーとグループを使用して認証 を行います。 • Domain[ ドメイン ]—Endpoint Security Manager は、マ シンのドメインに属するユーザーとグループを使用 して認証を行います。 Step 3 データベースを構成します。 2. Please specify an administrative user[ 管理者ユーザーを指定 してください ] の欄にサーバーの管理者となるユーザー のアカウント名を入力し、 Next[次へ]をクリックします。 1. Endpoint Security Manager とともに使用するためにイン ストールしたデータベースのタイプを選択します。 SQL サーバーを選択する場合は、次の構成情報を入力 する必要があります。 • SQLServer Name[ サーバー名 ] あるいは IP アドレスお よ び デ ー タ ベ ー ス イ ン ス タ ン ス(例: ESMServer/database)。 • 認証タイプ(Windows あるいは SQL)。 • ドメイン(例:ESMServer/administrator)を含むユー ザー名、およびデータベースを管理するユーザーの サーバー用パスワード。サーバーにデータベースを 作成する権限を持っているユーザーアカウントを指 定しなければなりません。 2. 34 Verify[ 検証 ] をクリックし、入力した認証情報を使用し てサーバーがデータベースに接続できることを確認し ます。成功したら、Next[ 次へ ] をクリックします。 Advanced Endpoint Protection 管理者用ガイド Traps インフラストラクチャのセットアップ Endpoint Security Manager のセットアップ Endpoint Security Manager サーバーソフトウェアのインストール(続) Step 4 ESM サーバーのコンポーネント間 1. の通信に対するセキュリティレベ ルを指定します。 以下のいずれかのオプションを選択します。 • No Certificate (no SSL)[ 証明書なし(SSL なし)]— 通 信は暗号化されません(非推奨)。 • External Certificate (SSL)[ 外部証明書(SSL)]— 全ての 通信は SSL で暗号化されます。このオプションを選 択した場合、証明書ファイル(PFX ファイル)を参 照して開き、 そのPFXファイル内のプライベートキー を復号化するのに必要なパスワードを入力します。 2. Step 5 ESM サーバーのその他の設定を行 1. います。 Next[ 次へ ] をクリックします。 次の項目について、お客様の環境で必要となる場合は 設定を行います。 • ESM Console port[ESM コンソールポート ]— ウェブイ ンターフェースにアクセスするのに使用するポート を指定するか、デフォルト設定のまま(2125)にし ます。 • (任意)外部レポートツールのオプションを選択しま す。 – Report to event viewer[ イベントビューアーに報告 ]— すべてのイベントを Windows イベントビューアー に報告します。 – Report to Syslog[Syslog に通知 ]— すべてのイベント を外部 syslog サーバーに報告します。syslog の Server Name[ サーバー名 ]、通信 Port[ ポート ]、分単位で Scheduled heartbeat[ 定期的なハートビート ] 頻度を 入力します。 2. Advanced Endpoint Protection 管理者用ガイド syslog サーバーにハートビートの情報を送信しな い場合は 0 を入力します。 Next[ 次へ ] をクリックします。 35 Endpoint Security Manager のセットアップ Traps インフラストラクチャのセットアップ Endpoint Security Manager サーバーソフトウェアのインストール(続) Step 6 Endpoint Security Manager ソフトウェ 1. アのアンインストールに必要とな 2. るパスワードを設定します。 8 文字以上のパスワードを入力し、確認します。 Next[ 次へ ] をクリックします。 Step 7 インストールを完了します。 Install[ インストール ] をクリックします。 1. 2. インストールが完了したら、Finish[ 完了 ] をクリックし ます。 Endpoint Security Manager コンソールソフトウェアのインストール Endpoint Security Manager(ESM)コンソールソフトウェアをインストールする前に、ESM サー バーをインストールする際の前提条件に記載されているシステム要件を満たしていることを確 認します。 Endpoint Security Manager コンソールソフトウェアのインストール Step 1 ESM コンソールソフトウェアのイ 1. ンストールを開始します。 2. 3. 4. Step 2 36 ソフトウェアは、Palo Alto Networks Account Manager、販 売代理店あるいは https://support.paloaltonetworks.com か ら入手できます。 Zip ファイルを解凍し、ESMConsole インストールファ イルをダブルクリックします。 Next[ 次へ ] をクリックしてセットアップ作業を開始し ます。 I accept the terms of the License Agreement[ ライセンス同意 事項の条件に同意します ] のチェックボックスを選択 し、Next[ 次へ ] をクリックします。 Endpoint Security Manager のインス インストール先のフォルダはデフォルトのままにするか、 トール先のフォルダを指定します。 Change[ 変更 ] をクリックしてインストール先のフォルダを 指定し、Next[ 次へ ] をクリックします。 Advanced Endpoint Protection 管理者用ガイド Traps インフラストラクチャのセットアップ Endpoint Security Manager のセットアップ Endpoint Security Manager コンソールソフトウェアのインストール(続) Step 3 データベースを構成します。 1. Endpoint Security Manager とともに使用するためにイン ストールしたデータベースのタイプを選択します。 SQL データベースの場合、次を設定します。 • SQLServer Name[ サーバー名 ] あるいは IP アドレス、 そ れ に 続 け て デ ー タ ベ ー ス イ ン ス タ ン ス(例: ESMServer\database)。 • 認証タイプ(Windows あるいは SQL)。 • ドメイン(例:ESMServer/administrator)を含む User Name[ ユーザー名 ]、およびデータベースへのアクセ ス用 Password[ パスワード ]。サーバーにデータベー スを作成する権限を持っているユーザーアカウント を指定しなければなりません。 Step 4 Step 5 Step 6 2. Verify[ 検証 ] をクリックし、入力した認証情報を使用し てサーバーがデータベースに接続できることを確認し ます。成功したら、Next[ 次へ ] をクリックします。 フォレンジックフォルダを指定し 1. ます。 フ ォ レ ン ジ ッ ク フ ォ ル ダ の パ ス(デ フ ォ ル ト で は C:\Program Files\Palo Alto Networks\Quarantine\)を指定 するか、フォルダを Browse[ 選択 ] します。 インストーラーにより、このフォルダに対する BITS が自動的に有効化されます。 インストールを完了します。 2. Next[ 次へ ] をクリックします。 1. 2. Install[ インストール ] をクリックします。 ライセンスをインストールします。 1. ライセンスキーは、Endpoint Security Manager ソフトウェア をインストールしてから 5 分 2. 以内にインストールする必要 3. があります。ライセンスキー のインストールを後に行う場 合は、Endpoint Security Manager 4. サービスを再起動しなければ なりません。 Advanced Endpoint Protection 管理者用ガイド インストールが完了したら、Finish[ 完了 ] をクリックし ます。 デスクトップにある Endpoint Security Manager コンソー ルのアイコンをダブルクリックするか、コンソールに 移動(http://localhost/EndpointSecurityManager/)します。 ログイン名とパスワードを入力します。 メッセージが表示された場合は、ライセンスキーファ イルを Browse[ 選択 ] するリンクをクリックし、さらに Upload[ アップロード ] をクリックします。 再度ログインし、Endpoint Security Manager ダッシュボー ドにアクセスします。 37 Endpoint Security Manager のセットアップ Traps インフラストラクチャのセットアップ Endpoint Security Manager コンソールソフトウェアのインストール(続) Step 7 Endpoint Security Manager Core サービス 1. が起動していることを確認します。 サービスマネージャーを開きます: • Windows Server 2008:スタートメニューから、Control Panel > Administrative Tools > Services[ コントロールパ ネル ] > 管理ツール > サービス ] を選択します。 • Windows Server 2012:スタートメニューから、Control Panel > System and Security > Administrative Tools > Services[ コントロールパネル ] > システムとセキュリ ティ > 管理ツール > サービス ] を選択します。 2. Endpoint Security Manager Core サービスが停止中あるい は無効になっている場合、サービスをダブルクリック して Start[ 開始 ] します。 ベースのセキュリティポリシーをアップロード デフォルトでは、エンドポイントのセキュリティポリシーには、エンドポイントで実行される一 般的なプロセスを保護する定義済みの各種ルールが含まれています。Endpoint Security Manager ソ フトウェアをインストールし、ライセンスのアップロードを済ませた後で、Palo Alto Networks が 提供するベースのセキュリティポリシー ファイルをインポートしておくことを強く推奨いたし ます。このポリシーは、互換性の問題を解決し、マルウェア防止モジュールおよびスレッドイン ジェクション モジュールの安定性を高め、さらに外部メディアや OS のフォルダから実行される 実行ファイルについての通知を構成します。 ルールをインポートできるページであればどのポリシールール ページからでも、このベースの セキュリティポリシーをインストールすることができます(制限、EPM など)。 ベースのセキュリティポリシーをインポート Step 1 https://live.paloaltonetworks.com/docs/DOC-7829 からポリシーをダウンロードし、Endpoint Security Manager からアクセスできるネットワークフォルダあるいはローカルに保存します。 Step 2 Endpoint Security Manager から、ルール管理ページを開きます。例:Policies > Malware > Restrictions[ ポリシー > マルウェア > 制限 ]。 Step 3 メニューから Import rules[ ルールをインポート ] を選択します。ポリシーファイルを Browse[ 選択 ] し、Upload[ アップロード ] をクリックします。 Endpoint Security Manager によって既存のセキュリティポリシーに新しいルールが追加され、さら に各ルールに固有の ID 番号が付与されます。各ポリシーファイルについて Step 3 を繰り返しま す。ESM コンソールでは、ルールタイプ別の管理ページでルールが表示されます。 既存のポリシールールのインポート / エクスポートについての詳細情報は、ポリシーファイルの インポート・エクスポートをご参照ください。 38 Advanced Endpoint Protection 管理者用ガイド Traps インフラストラクチャのセットアップ エンドポイントのセットアップ エンドポイントのセットアップ 組織内のエンドポイント上で Traps をセットアップする方法については、次のトピックをご参照 ください。 S Traps 導入段階 S Traps のインストール時の注意 S エンドポイントに Traps をインストール S Msiexec を使用してエンドポイントに Traps をインストール Traps 導入段階 Traps ソフトウェアは通常、企業の生産(開発)環境をシミュレートする初回の概念実証(POC) の後でネットワーク内のエンドポイントに導入されます。POC あるいは導入段階では、悪意の ある活動に起因するセキュリティイベント、危険性をはらむ / 不正な挙動を示す正当なプロセス に起因するセキュリティイベントを、セキュリティイベントの分析を通して特定することになり ます。またここでは、組織内のエンドポイントのタイプや数、ユーザーの特性、エンドポイント 上で実行されるアプリケーションの種類をシミュレートします。こういった要因に基づいて定 義、試験、調整を行うことで、自身の組織に最適なセキュリティポリシーが得られます。 複数のステップを設ける目的は、これにより正当な作業の流れを滞らせることなく組織を最大限 に保護することです。 最初の POC の後、複数のステップに分けて導入を行うことを推奨しますが、その理由は次の通 りです。 z POC は、すべての生産(開発)環境を常に反映しているとは限らないこと。 z Trapsソフトウェアが、稀に特定のビジネスアプリケーションに影響を及ぼすことがあること。 これにより、ある攻撃の阻止を通じてソフトウェアの脆弱性が明らかになります。 z 潜在的な問題を識別すること、およびそれを解決することが、大規模な環境あるいは大量の ユーザーを扱う時よりもずっと容易になること。 複数のステップを設けることで、ネットワーク全体に Traps ソフトウェアを導入する作業が円滑 に進みます。また、より良い保護、制御能力を得られます。 ステップ Step 1 期間 エ ン ド ポ イ ン ト に 1 週間 Traps をインストール します。 予定 MS SQL データベース、ESM コンソール、ESM サーバーとと もに Endpoint Security Manager(ESM)をインストールし、さ らにいくつか(3 ∼ 10)のエンドポイントに Traps をインス トールします。 通常時の Trap エージェントの挙動をテストし(インジェク ション、ポリシー)、ユーザーの操作性に変化がないことを 確認します。 Step 2 Traps の導入をさらに 2 週間 拡大します。 Advanced Endpoint Protection 管理者用ガイド 似通った性質(ハードウェア、ソフトウェア、ユーザー)を 持つより大きなグループへと、エージェントの導入を徐々に 拡大していきます。この 2 週間の最後の時点では、最大 100 のエンドポイントをインストール可能です。 39 エンドポイントのセットアップ ステップ Traps インフラストラクチャのセットアップ 期間 予定 Step 3 Traps のインストール 2 週間以上 組織全体にクライアントを導入します。 を完了します。 Step 4 お 客 様 の 企 業 の ポ リ 1 週間以内 サードパーティーあるいは自社製のアプリケーションに保 護ルールを追加し、エンドポイントの互換性テスターで試験 シー、保護するプロセ します。 スを定義します。 Step 5 企業のポリシー、保護 1 週間以内 当該アプリケーションを頻繁に使用するエンドポイントを 少数選び、保護ルールを導入します。必要に応じて、ポリ するプロセスを調整 シーを調整します。 します。 Step 6 企業のポリシー、保護 数分 するプロセスを完成 させます。 保護ルールを全体に導入します。 Traps のインストール時の注意 Traps は、次のような方法でインストールできます。 z 少数のエンドポイントにTrapsをインストールする必要がある場合、 エンドポイントにTrapsをイ ンストールに記載されている流れにより Traps ソフトウェアを手作業でインストールできます。 z Trapsをコマンドラインからインストールするには、Msiexecを使用してエンドポイントにTraps をインストールに記載のある通り、Msiexec ユーティリティを使用して Windows インストー ラー上で操作を行います。Policy System Center Configuration Manager(SCCM)) 、Altiris、あるい は Group Policy Object(GPO)といった MSI 導入ソフトウェアを使用して Msiexec をインストー ルすることも可能です。組織の広範囲に Traps をインストールする際や、大量のエンドポイン トにインストールする際は、MSI 導入ソフトウェアの利用が推奨されます。 z 組織内のエンドポイントにすでに Traps がインストールされている場合は、エンドポイント上 の Traps のアンインストールまたはアップグレードに記載のある通り、アクションルールを構 成することで Traps をアップグレードできます。 エンドポイントに Traps をインストール Traps をインストールする前に、エンドポイントに Traps をインストールする際の前提条件に記 載されているシステム要件を満たしていることを確認します。 エンドポイントに Traps をインストール Step 1 40 Traps ソフトウェアのインストール 1. を開始します。 ソフトウェアは、Palo Alto Networks Account Manager、販 売代理店あるいは https://support.paloaltonetworks.com か ら入手できます。 エンドポイントにインストー ルする Traps のバージョンは、 2. Zip ファイルを解凍し、Traps インストールファイル (x64 あるいは x86)をダブルクリックします。 ESM Core およびコンソールの バージョンと同じかそれ以降 3. Next[ 次へ ] をクリックします。 のものでなければなりません。 4. I accept the terms in the License Agreement[ ライセンス同意 事項の条件に同意します ] のチェックボックスを選択 し、Next[ 次へ ] をクリックします。 Advanced Endpoint Protection 管理者用ガイド Traps インフラストラクチャのセットアップ エンドポイントのセットアップ エンドポイントに Traps をインストール Step 2 Traps を構成し、ESM サーバーにア Trap エージェントは、プライマリサーバーとセカンダリ サーバーに接続するよう構成できます。プライマリサー クセスします。 バーにアクセスできない状況下では、Traps エージェントは セカンダリサーバーに接続しようと試みます。 1. ESM サーバーに次の情報を与えます。 • Host Name[ ホスト名 ]—ESM サーバーの IP アドレス あるいはホスト名を入力します。 • Port[ ポート ]— 必要に応じてポートを変更します(デ フォルトでは 2125)。 • Use[ 使用 ]— サーバーとの通信を暗号化する場合は SSL[SSL] を、暗号化しない場合は No SSL[SSL なし ] を選択します。 2. 表示されるいくつかのメッセージを Next[ 次へ ] をク リックして進め、インストールを完了させます。 インストールの完了後、コンピューターを再起動す ることが推奨されます。 Msiexec を使用してエンドポイントに Traps をインストール Windows Msiexec を使用すればインストール作業を完全に制御でき、Windows インストーラー上 のインストール作業 / 変更作業 / 操作をコマンドラインから行えるようになります。System Center Configuration Manager(SCCM)、Altiris、Group Policy Object(GPO)、あるいは他の MSI 導入ソフ トウェアとあわせて Msiexec を使用すれば、組織内の複数のエンドポイントに Traps をインストー ル(初回時)できます。Traps をインストールし、Endpoint Security Manager との接続が確立でき た後は、ルールを構成することで Traps をアップグレード / アンインストールできます(エンド ポイント上の Traps のアンインストールまたはアップグレードを参照)。 Traps をインストールする前に、エンドポイントに Traps をインストールする際の前提条件に記 載されているシステム要件を満たしていることを確認します。 Msiexec を使用してエンドポイントに Traps をインストール Step 1 次のようにして、管理者としてコマンドプロンプトを開きます。 • Start > All Programs > Accessories[ スタート > すべてのプログラム > アクセサリー ] を選択しま す。Command prompt[ コマンドプロンプト ] を右クリックし、Run as administrator[ 管理者とし て実行 ] を選択します。 • Start[ 開始 ] を選択します。Start Search[ 検索開始 ] 入力ボックスに cmd と入力します。次に CTRL+SHIFT+ENTER を同時に押し、管理者としてコマンドプロンプトを開きます。 Advanced Endpoint Protection 管理者用ガイド 41 エンドポイントのセットアップ Traps インフラストラクチャのセットアップ Msiexec を使用してエンドポイントに Traps をインストール(続) Step 2 次のオプションあるいはプロパティを後ろに付け(複数可)、Msiexec コマンドを実行します。 • インストール、表示、ロギングに関するオプション: • /i <installpath>\<installerfilename>.msi—パッケージをインストールします。例:msiexec /i c:\install\traps.msi。 • /qn— ユーザーインターフェースを表示しません(サイレントインストール)。また、 CYVERA_SERVER プロパティを利用して、最低でもホストサーバーの名前と IP アドレスを指 定しなければなりません。 • /L*v <logpath>/<logfilename>.txt— 詳細なログをファイルに残します。例:/L*v c:\logs\install.txt。 • /x <installpath>\<installerfilename>.msi>.txt— パッケージをアンインストールします。 例:msiexec /x c:\install\traps.msi。 Msiexec のパラメーターの全リストは、 https://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/msiexec.mspx でご確認いただけます。 • パブリックプロパティ: • CYVERA_SERVER=“<servername>”— プライマリ ホストサーバーの名前および IP アドレス(デ フォルトでは CyveraServer) • CYVERA_SERVER_PORT=“<serverport>”— プライマリ ホストサーバーのポート(デフォルトで は 2125) • SSL_TYPE=“[No SSL|SSL]”—(サイレントインストールでは利用不可)プライマリサーバー の暗号化を、No SSL(デフォルト)あるいは SSL を指定して設定します • USE_SSL_PRIMARY=“[0|1]”—(サイレントインストールのみ)SSL を使用しない場合は 0、使 用する場合は 1(デフォルト)を指定し、プライマリサーバーの暗号化を設定 • USE_BACKUP_SERVER=“[0|1]”— バックアップサーバーを使用しない場合は 0(デフォルト)、 使用する場合は 1 を指定してバックアップサーバーを設定 • CYVERA_BACKUP_SERVER=“<servername>”— セカンダリサーバーの名前および IP アドレス(デ フォルトでは CyveraBackupServer) • CYVERA_BACKUP_SERVER_PORT=“<serverport>”— セカンダリ ホストサーバーのポート(デフォ ルトでは 2125) • SSL_TYPE_BACKUP=“[No SSL|SSL]”—(サイレントインストールでは利用不可)セカンダリサー バーの暗号化を、No SSL(デフォルト)あるいは SSL を指定して設定します • USE_SSL_BACKUP=“[0|1]”—(サイレントインストールのみ)SSL を使用しない場合は 0、使 用する場合は 1(デフォルト)を指定し、セカンダリサーバーの暗号化を設定 • UNINSTALL_PASSWORD=“<uninstallpassword>”— 管理者用パスワードを指定します。 例えば、ユーザーインターフェースなしで Traps をインストールする際、ESMServer としてプラ イマリサーバーを指定し、ESMServerBackup としてバックアップサーバーを指定し、さらにこの 両サーバーの SSL 暗号化を設定する場合は、以下を入力します。 msiexec /i c:\install\traps.msi /qn CYVERA_SERVER=”ESMServer” USE_SSL_PRIMARY=“1” USE_BACKUP_SERVER=“1” CYVERA_BACKUP_SERVER=“ESMServer-Backup” USE_SSL_BACKUP=“1” インストールの完了後、コンピューターを再起動することが推奨されます。 Trap をアンインストールする際、詳細なログを uninstallLogFile.txt という名称のファイルに残す場 合は、以下を入力します。 msiexec /x c:\install\traps.msi UNINSTALL_PASSWORD=[palo@lt0] /l*v c:\install\uninstallLogFile.txt パッケージを正しくアンインストールするには、UNINSTALL_PASSWORD プロパティを指定す る必要があります。 42 Advanced Endpoint Protection 管理者用ガイド Traps インフラストラクチャのセットアップ 正しくインストールされたことを確認 正しくインストールされたことを確認 サーバーおよびエンドポイントのインストールが成功したことを確認するには、サーバーおよび エンドポイント両側で接続を確認します。 S 接続をエンドポイント側から確認 S ESM コンソールで接続を確認 接続をエンドポイント側から確認 Traps のインストール完了後、Traps エージェントは Endpoint Security Manager を実行しているサー バーと接続できなければなりません。 接続をエンドポイント側から確認 Step 1 タスクバーから Traps コンソールを立ち上げます。 • Windows のタスクトレイにある Traps のアイコン を右クリックしてから Console[ コンソール ] を選択するか、アイコンをダブルクリックします。 • Traps がインストールされているフォルダから CyveraConsole.exe を実行します。 Step 2 サーバーの接続ステータスを確認します。Traps がサーバーと接続できている場合は Connection [ 接続 ] ステータスが表示され、接続が成功していることが分かります。Traps エージェントがプ ライマリあるいはセカンダリサーバーと接続を確立できていない場合は、Traps コンソールが切 断ステータスを報告します。 Step 3 ESM コンソールで接続を確認 . ESM コンソールで接続を確認 エンドポイントが Endpoint Security Manager (ESM) サーバーと接続していることを確認できた後、 ESM コンソールの Monitor > Health[ 監視 > 安全状態 ] ページにあるコンピューターのリストに当 該エンドポイントが表示されていることを確認します。 Advanced Endpoint Protection 管理者用ガイド 43 正しくインストールされたことを確認 Traps インフラストラクチャのセットアップ ESM コンソールで接続を確認 Step 1 ESM コンソールから、Monitor > Health[ 監視 > 安全状態 ] を選択します。 Step 2 エンドポイントのステータスを確認し、コンピューターのリストにエンドポイントの名前が挙 がっていることを確認します。 アイコンは、Traps がエンドポイント上で実行されていること を示しています。エンドポイントについての詳細な情報を表示するには、任意のエンドポイント の行を選択します。 44 Advanced Endpoint Protection 管理者用ガイド ESM サーバーの管理 S 複数の ESM サーバーの管理 S Endpoint Security Manager ライセンス管理 S 管理者アクセスのセットアップ S ポリシーファイルのインポート・エクスポート Advanced Endpoint Protection 管理者用ガイド 45 複数の ESM サーバーの管理 ESM サーバーの管理 複数の ESM サーバーの管理 ESM コンソールから複数の Endpoint Security Manager Server(ESM)を構成・管理することで、大 規模サイト、あるいはマルチサイトの導入が可能になります。各 ESM サーバーは、Traps エー ジェントおよびイベントに関する情報とセキュリティポリシーを保存している共有データベー スに接続します。また最大 50,000 の Traps エージェントをサポートしており、専用のフォレン ジックフォルダにフォレンジックデータをアップロードすることができます。ESM サーバーを 追加することで、Traps の接続数を増やすことができます。 各 ESM サーバーは既知のサーバーのリストを定期的にデータベースに求め、そのリストを次の ハートビートの際に Traps エージェントにプッシュ送信します。Traps は、一番早く接続できる サーバーを調べてから接続を試みます。Traps が接続を確立できない場合は、次に接続ができる までの間、その ESM サーバーの順位がリスト内で下げられます。ESM サーバーを削除した、あ るいは一時的に無効にした場合は、利用可能な ESM サーバーのリストを ESM コンソールが更新 し、次のハートビートの際にそのリストを Traps エージェントにプッシュ送信します。 複数の ESM サーバー間のトラフィックを管理するのにロードバランサーが必要な場合は、ESM コンソール内の ESM サーバーにロードバランサーの IP アドレスおよびホスト名を追加できま す。これにより ESM サーバーは、利用可能な「サーバー」としてロードバランサーの IP アドレ スを送信できるようになります。また、Traps エージェントは ESM サーバーに直接接続せず、そ のロードバランサーを介して接続を確立できるようになります。 さらに、ESM サーバーに関連付けられているフォルダにアクセスできないような場面で Traps が 使用する、デフォルトのフォレンジックフォルダを定義することも可能です。 S システム要件 S 制限事項 S ESM サーバーの管理 システム要件 各 ESM サーバーは、ESM サーバーをインストールする際の前提条件にある要件を満たしていな ければなりません。 制限事項 マルチ ESM の導入には、次のような制限事項があります。 z ロードバランサーを使用するには、追加する各 ESM サーバーの内部 IP アドレスをロードバラ ンサーの IP アドレスとして指定しなければなりません。これにより、Traps エージェントが ESM サーバーに直接接続するのではなく、ロードバランサーの IP アドレスに接続することが 保証されます。 z 各 ESM サーバーには静的 IP アドレスが必要です。 46 Advanced Endpoint Protection 管理者用ガイド ESM サーバーの管理 複数の ESM サーバーの管理 ESM サーバーの管理 各 ESM サーバーのインストール後(Endpoint Security Manager サーバーソフトウェアのインストールを参 照)、ESM コンソールは各サーバーの識別情報を Settings > Multi ESM[ 設定 > マルチ ESM] のページに表 示します。ESM サーバーの構成はいつでも変更できます。また、必要に応じて ESM サーバーを一時的に 無効化したり、削除することができます。 ESM サーバーの管理 Step 1 ESM サーバーを選択し、必要に応じて次のような設定項目を調整します。 • サーバーのホスト名 • サーバーの内部アドレスおよびポート(例:http://ESMServer1:2125/) • Traps がサーバーとの交信に使用するサーバーのポートおよび外部アドレス(例: http://10.5.0124.73:2125/) • フォレンジックフォルダ(例:http://ESMSERVER:80/BitsUploads) フォレンジックフォルダとの交信に SSL を利用する場合、絶対ドメイン名(FQDN) を含めます。例:HTTPS://ESMserver.Domain.local:443/BitsUploads。 ESM サーバーに関連付けられているフォルダにアクセスできないような場面で Traps が使用するデフォルトのフォレンジックフォルダを指定するには、Settings > General > Server Configuration[ 設定 > 一般 > サーバー構成 ] を選択し、Forensic Folder URL[ フォレ ンジック > フォルダ URL] を入力します。 Step 2 変更を Save[ 保存 ] します。 Step 3 (任意)ESM サーバーを削除、あるいは一時的に無効にする場合は、ページの最上部にある メ ニューから該当するアクションを選択します。これにより、Traps が接続元として利用できるサー バーのプールから、ESM サーバーを削除できます。 Advanced Endpoint Protection 管理者用ガイド 47 Endpoint Security Manager ライセンス管理 ESM サーバーの管理 Endpoint Security Manager ライセンス管理 Endpoint Security Manager (ESM) コンソールを使用するには、ライセンスを取得し、アクティベー トする必要があります。ライセンスには有効期限、および管理可能なエンドポイントの最大数が 設定されています。エンドポイントは自身のライセンスを ESM サーバーから取得します。各ラ イセンスには、ライセンスタイプ、エージェントプールのサイズ、有効期限が設定されています。 各データベースのインスタンスには、エンドポイントのセキュリティポリシーの管理、WildFire の有効化、サポートの利用に関して有効なライセンスが必要になります。ライセンスを購入する 際は、Palo Alto Networks のアカウントマネージャーまたはリセラーにお問い合わせください。 ライセンス取得後、次のいずれかの方法でデータベースにインポートしてください。 S ESM コンソールを介した Endpoint Security Manager ライセンス管理 S DB 構成ツールによる Endpoint Security Manager ライセンス管理 ESM コンソールを介した Endpoint Security Manager ライセンス管理 ESM コンソールを介した Endpoint Security Manager ライセンス管理 Step 1 ライセンスファイルの場所を確認します。 Step 2 Settings > Licensing[ 設定 > ライセンス ] を選択し、新規ライセンスを Add[ 追加 ] します。 Step 3 ライセンスファイルを Browse[ 選択 ] で選択し、Upload[ アップロード ] します。ESM コンソール に新規ライセンスの情報が表示されます。 Step 4 (任意)Traps ライセンスの利用状況を確認するには、Dashboard[ ダッシュボード ] を選択し、License Capacity[ ライセンス範囲 ] を表示します。 Step 5 (任意)ライセンスの有効期限が迫った、あるいはライセンスが失効したエンドポイントに新規 ライセンスを追加するには、アクションルールを作成します(エンドポイント上の Traps ライセ ンスの更新または取り消しを参照)。 Step 6 (任意)ライセンス情報を CSV ファイルにエクスポートするには、メニューアイコン クし、Export Logs[ ログをエクスポート ] を選択します。 48 をクリッ Advanced Endpoint Protection 管理者用ガイド ESM サーバーの管理 Endpoint Security Manager ライセンス管理 ESM コンソールを介した Endpoint Security Manager ライセンス管理 Step 7 Endpoint Security Manager コアサービスが ESM サーバー上で実行中であることを確認します。 1. サービスマネージャーを開きます: • Windows Server 2008:スタートメニューから、Control Panel > Administrative Tools > Services[ コ ントロールパネル > 管理者ツール > サービス ] を選択します。 • Windows Server 2012:スタートメニューから、Control Panel > System and Security > Administrative Tools > Services[ コントロールパネル > システムとセキュリティ > 管理者ツール > サービス ] を選択します。 2. Endpoint Security Manager コアサービス(古いバージョンの Endpoint Security Manager では CyveraServer)を探し、サービスステータスが Started[ 開始 ](Windows Server 2008)あるいは Running[ 運転中 ](Windows Server 2012)であることを確認します。 3. サーバーステータスが Stopped[ 停止 ] あるいは Paused[ 一時停止 ] の場合は、当該サービスをダ ブルクリックし、Start[ 開始 ] を選択します。Close[ 閉じる ] をクリックします。 DB 構成ツールによる Endpoint Security Manager ライセンス管理 ESM コンソールだけでなく、コマンドライン型のインターフェースを持つ DB 構成ツールでも サーバーの基本設定を管理することができます。Microsoft MS-DOS コマンドプロンプトを管理者 として実行すると、DB 構成ツールを使用できます。DB 構成ツールは、ESM サーバーの「Server」 フォルダに格納されています。 DB 構成ツールで実行するコマンドでは、大文字・小文字が区別されます。 DB 構成ツールによる Endpoint Security Manager ライセンス管理 Step 1 ライセンスファイルの場所を確認します。 Step 2 次のようにして、管理者としてコマンドプロンプトを開きます。 • Start > All Programs > Accessories[ スタート > すべてのプログラム > アクセサリ ] を選択します。 Command prompt[ コマンドプロンプト ] を右クリックし、 Run as administrator[ 管理者として実行 ] を選択します。 • Start[ 開始 ] を選択します。Start Search[ プログラムとファイルの検索 ] 入力ボックスに cmd と 入力します。次に CTRL+SHIFT+ENTER を同時に押し、管理者としてコマンドプロンプトを 開きます。 Step 3 DB 構成ツールを格納している次のフォルダに移動します。 C:\Users\Administrator>cd C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server Step 4 新規ライセンスを次の場所にアップロードします。 C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig importlicense C:\<PathtoLicenseFile>\<LicenseFilename>.xml DB 構成ツールによりライセンスファイルがアップロードされます。ESM コンソールを使用して ライセンスを確認する方法については、ESM コンソールを介した Endpoint Security Manager ライ センス管理をご参照ください。 Step 5 (任意)必要に応じて、ESM コンソールでアクションルールを作成し、エンドポイントに新規ラ イセンスを追加します(エンドポイント上の Traps ライセンスの更新または取り消しを参照) 。 Advanced Endpoint Protection 管理者用ガイド 49 管理者アクセスのセットアップ ESM サーバーの管理 管理者アクセスのセットアップ Endpoint Security Manager (ESM) コンソールのインストール時、管理者がコンソールにアクセスす る際に使用する権限のタイプ、管理者アカウントを指定します。インストール後、管理権限付き のアクセスを行えるのはどの権限モードか、Active Directory で定義されているドメインアカウン トあるいはローカルアカウントか、単一あるいは複数の管理者アカウントか、どの権限グループ なのかを変更できます。 Exploit Protection Module(EPM)用の設定など、より高度な設定を行うには、ニンジャモードの パスワードを入力する必要があります。このパスワードは、DB 構成ツールで変更できます。 S Endpoint Security Manager への管理権限付きのアクセスを ESM コンソールでセットアップ S Endpoint Security Manager への管理権限付きのアクセスを DB 構成ツールでセットアップ S ニンジャモードのパスワードを DB 構成ツールで変更 Endpoint Security Manager への管理権限付きのアクセスを ESM コンソー ルでセットアップ Endpoint Security Manager (ESM) コンソールのインストール時、管理者がコンソールにアクセスす る際に使用する権限のタイプ、管理者アカウントを指定します。これらの項目は、データベース (DB)構成ツール(Endpoint Security Manager への管理権限付きのアクセスを DB 構成ツールで セットアップを参照)あるいは ESM コンソールで変更できます。さらに、既存の権限グループ のうち、管理権限付きのアクセスを行えるのはどのグループかを指定することもできます。デ フォルトではグループが指定されていません。 Endpoint Security Manager への管理権限付きのアクセスを ESM コンソールでセットアップ Step 1 Settings > General > User Management[ 設定 > 一般 > ユーザー管理 ] を選択します。 Step 2 (任意)Authentication mode[ 認証モード ] の選択後、ローカルアカウントを使用する場合は Machine [ マシン ] を、Active Directory で定義されているアカウントを使用する場合は Domain[ ドメイン ] を選択します。 Step 3 (任意)管理者を追加する場合は、Allowed users[ 許可されたユーザー ] の項目に指定します。複数 の入力内容がある場合はセミコロンで区切ります。例:< ユーザー名 1>;< ユーザー名 2> Step 4 (任意)Allowed groups[ 許可されたグループ ] を指定します。複数の入力内容がある場合はセミコ ロンで区切ります。例:< グループ 1>;< グループ 2> 50 Advanced Endpoint Protection 管理者用ガイド ESM サーバーの管理 管理者アクセスのセットアップ Endpoint Security Manager への管理権限付きのアクセスを DB 構成ツール でセットアップ Endpoint Security Manager (ESM) コンソールのインストール時、管理者がサーバーにアクセスする 際に使用する権限のタイプ、管理者アカウントを指定します。さらに、既存の権限グループのう ち、管理権限付きのアクセスを行えるのはどのグループかを指定することもできます。デフォル トではグループが指定されていません。これらの項目は、ESM コンソール(Endpoint Security Manager への管理権限付きのアクセスを ESM コンソールでセットアップを参照)あるいはデー タベース(DB)構成ツールで変更できます。 ESM コンソールだけでなく、コマンドライン型のインターフェースを持つ DB 構成ツールでも サーバーの基本設定を管理することができます。Microsoft MS-DOS コマンドプロンプトを管理者 として実行すると、DB 構成ツールを使用できます。DB 構成ツールは、ESM サーバーの「Server」 フォルダに格納されています。 DB 構成ツールで実行するコマンドでは、大文字・小文字が区別されます。 Endpoint Security Manager への管理権限付きのアクセスを DB 構成ツールでセットアップ Step 1 Step 2 次のようにして、管理者としてコマンドプロンプトを開きます。 • Start > All Programs > Accessories[ スタート > すべてのプログラム > アクセサリ ] を選択します。 Command prompt[ コマンドプロンプト ] を右クリックし、 Run as administrator[ 管理者として実行 ] を選択します。 • Start[ 開始 ] を選択します。Start Search[ プログラムとファイルの検索 ] 入力ボックスに cmd と 入力します。次に CTRL+SHIFT+ENTER を同時に押し、管理者としてコマンドプロンプトを 開きます。 DB 構成ツールを格納している次のフォルダに移動します。 C:\Users\Administrator>cd C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server Step 3 (任意)既存の管理者の設定を表示します。 C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig usermanagement show AuthMode = Machine AllowedUsers = Administrator AllowedGroups = Step 4 (任意)権限モード、およびドメインかマシンかを指定します。 C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig usermanagement authmode [domain|machine] Step 5 (任意)管理ユーザーを追加で指定します。複数の入力内容がある場合はセミコロンで区切りま す。例:管理者 1; 管理者 2 C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig usermanagement allowedusers <username1>;<username2> 管理ユーザーを指定すると、以前に定義していた値がすべて上書きされます。現在の値を 保持する場合は、コマンドで指示します。 Advanced Endpoint Protection 管理者用ガイド 51 管理者アクセスのセットアップ ESM サーバーの管理 Endpoint Security Manager への管理権限付きのアクセスを DB 構成ツールでセットアップ Step 6 (任意)管理グループを追加で指定します。複数の入力内容がある場合はセミコロンで区切りま す。例:セキュリティ管理者 ; エンドポイント管理者 C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig usermanagement allowedgroups <groupname1>;<groupname2> 管理グループを指定すると、以前に定義していた値がすべて上書きされます。現在の値を 保持する場合は、コマンドで指示します。 ニンジャモードのパスワードを DB 構成ツールで変更 Advanced Exploitation Prevention Module(EPM)は、ニンジャモード以外では表示・アクセスする ことができなくなっています 。Advanced EPM を表示するには、ニンジャモードのパスワード を入力する必要があります。また、このパスワードは DB 構成ツールで変更できます。 ニンジャモードのパスワードを DB 構成ツールで変更 Step 1 Step 2 次のようにして、管理者としてコマンドプロンプトを開きます。 • Start > All Programs > Accessories[ スタート > すべてのプログラム > アクセサリ ] を選択します。 Command prompt[ コマンドプロンプト ] を右クリックし、 Run as administrator[ 管理者として実行 ] を選択します。 • Start[ 開始 ] を選択します。Start Search[ プログラムとファイルの検索 ] 入力ボックスに cmd と 入力します。次に CTRL+SHIFT+ENTER を同時に押し、管理者としてコマンドプロンプトを 開きます。 DB 構成ツールを格納している次のフォルダに移動します。 C:\Users\Administrator>cd C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server Step 3 (任意)既存のサーバー設定を表示します。 C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig server show PreventionsDestFolder = \\ESMServer\Quarantine InventoryInterval = 284 HeartBeatGracePeriod = 300 NinjaModePassword = Password2 Step 4 ニンジャモードの新しいパスワードを指定します。 C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig server ninjamodepassword <password> 52 Advanced Endpoint Protection 管理者用ガイド ESM サーバーの管理 ポリシーファイルのインポート・エクスポート ポリシーファイルのインポート・エクスポート Endpoint Security Manager (ESM) コンソールのインポート機能 / エクスポート機能を使用して、新 しいサーバーに移行する前やサーバーのアップグレードを行う前、あるいは独立した複数サー バーにポリシーを導入する前に、ルールのバックアップをとることができます。エクスポートの 対象となるポリシールールの範囲は全体か、あるいは一部かを指定した上で、XML ファイルに 保存できます。ポリシールールをインポートすると、既存のポリシーに新しいルールが追加さ れ、さらに各ルールに固有の ID 番号が付与されます。Advanced Endpoint Protection 3.2 では、各 タイプのポリシールールに個別の管理ページがあり、そこから当該タイプのポリシールールの バックアップ / インポートを行えます。 例えばアクションルールやエクスプロイト阻止ルールについて複数のタイプのルールが混在す るポリシーファイルを ESM コンソールでアップロードすると、各ポリシーはそれぞれが該当す る管理ページに表示されます。 ポリシーファイルのインポート・エクスポート Step 1 インポートするルールが該当するポリシー管理ページを選択します。例:Policies > Malware > Restrictions[ ポリシー > マルウェア > 制限 ] Step 2 以下のいずれかを実行します。 • ポリシールールのバックアップ / エクスポートを行う際は、対象となるルールの横にあるボッ クスにチェックを入れます。表の上部にある メニューから Export selected[ 選択中のものを エクスポート ] を選択します。Endpoint Security Manager により、選択したルールが XML ファ イルに保存されます。 • ポリシールールの復元 / インポートを行う際は、表の上部にある メニューから Import rules [ インポートルール ] を選択します。ポリシーファイルを参照し、Upload[ アップロード ] をク リックします。 Advanced Endpoint Protection 管理者用ガイド 53 ポリシーファイルのインポート・エクスポート 54 ESM サーバーの管理 Advanced Endpoint Protection 管理者用ガイド ルールについて 以下では、各ルールに関連する基本的な要素やプロセスに関する説明を行います。 S エンドポイントポリシールールの概要 S 一般的なルールの要素および動作 Advanced Endpoint Protection 管理者用ガイド 55 エンドポイントポリシールールの概要 ルールについて エンドポイントポリシールールの概要 S ポリシールールの種類 S ポリシーの実施 ポリシールールの種類 ポリシーにより、ルールを適用してアクションを実行できます。高度な設定が可能なポリシー ルール一つ一つが組み合わさって機能し、エンドポイント上のプロセス、実行ファイル、および 設定を管理します。 ESM コンソールで設定可能なポリシールールの種類は以下の表の通りです。 ルールの種類 内容 エクスプロイトの阻止 エクスプロイト阻止ルールは、エンドポイント上で実行されるプロセスを 保護する方法を決定します。エクスプロイト阻止ポリシーの各ルールは、 プロセスを保護する保護モジュールの種類を指定します。詳細は、エクス プロイト阻止ルールをご参照ください。 マルウェアの防止 マルウェア防止ルールは、エンドポイント上で実行される実行ファイルを 保護する方法を決定します。マルウェア防止ポリシーの各ルールは、実行 ファイルおよびプロセスを保護する保護モジュールの種類を指定します。 詳細は、マルウェア防止ルールをご参照ください。 制限 制限ルールは、エンドポイント上で起動される実行ファイルにどのような 制限および例外を与えるかを決定します。詳細は、制限ルールをご参照く ださい。 WildFire WildFire ルールは、実行ファイルのハッシュと、任意で未知のファイルを WildFire クラウドに送信することで実行ファイルの防止前・防止後の分析 を可能にします。詳細は、WildFire ルールをご参照ください。 フォレンジック フォレンジックルールは、メモリダンプおよびフォレンジックファイルの 収集に関する設定を行えるようにします。詳細は、フォレンジックルール をご参照ください。 エージェント設定 エージェント設定ルールでは、ロギング、ハートビート頻度およびコンソー ルへのアクセス性に関わる Traps エージェントの設定値を変更することが できます。詳細は、Traps 設定ルールの管理をご参照ください。 アクション アクションルールは、エンドポイント上で管理者用アクションを実行でき るようにします。ワンタイムの管理者用アクションには、Traps のアンイン ストールおよびアップグレード、ライセンスのアップデート、Traps ソフト ウェアの防御、およびデータファイルの削除などがあります。詳細は、Traps の動作ルールをご参照ください。 ポリシーの実施 Traps がいつルールを評価するかは、ポリシールールの種類によって異なります。エクスプロイ ト阻止ルールおよび制限ポリシールールは、ルールに指定された対象オブジェクト、条件、およ び設定に合致するプロセスもしくは実行ファイルが起動されるときにのみ評価されます。すべて のユーザー、グループ、組織ユニット、Active Directory に表示されるコンピューター、または 56 Advanced Endpoint Protection 管理者用ガイド ルールについて エンドポイントポリシールールの概要 Traps がインストールされたエンドポイントを対象オブジェクトにできます。Endpoint Security Manager は Traps がサーバーに送信するメッセージによってエンドポイントを特定します。条件 は、完全一致するファイル、ファイルおよびファイルバージョン、もしくはエンドポイントに存 在するはずのレジストリパスを参照可能です。また、ファイルパスで定義された特定のバージョ ンの実行ファイルに対する条件を定義することもできます。 定期的に、最新のセキュリティポリシーがネットワーク内のエンドポイントにプッシュ送信され ます。ハートビート設定を調整することでエンドポイント上のセキュリティポリシーのアップ デート頻度を定義することができます。また、Traps コンソールから手動で最新のセキュリティ ポリシーを取得することもできます。エンドポイントがセキュリティポリシーの更新および対象 オブジェクト、条件、およびエンドポイントの設定に合致するルールを受け取ると、Traps はエー ジェント設定またはアクションポリシールールを適用します。 Traps はセキュリティポリシー内の各ルールを ID 番号の大きさに基づいて評価します。ID 番号 が大きいほど、ルールの優先度が高くなります。最近作成もしくは変更されたルールには大きな ID 番号が割り当てらるため、最初に評価されることになります。階層的にルールを評価する Palo Alto Networks のファイアウォールとは異なり、Traps はエンドポイントのセキュリティポリシー 内で順次すべてのルールを評価します。 各ルールタイプごとに、そのタイプのルールをすべて表示し、新規ルールの追加、ルールの詳細 表示、およびルール管理タスクを実行できる概要ページが用意されています。概要ページから、 そのタイプの全ルールの保護を有効化 / 無効化することもできます。 Advanced Endpoint Protection 管理者用ガイド 57 一般的なルールの要素および動作 ルールについて 一般的なルールの要素および動作 各ルールタイプごとに必須のフィールド、任意のフィールドがあり、組織のセキュリティポリ シーのニーズにあわせてカスタマイズできるようになっています。 ポリシールールを作成する一般的な手順は以下の表の通りです。 ルールの管理 トピック 当該ルールタイプ固有の設定、動作を定義します。 ルールタイプごとに必要な設定について、 詳細は以下をご参照ください。 • エクスプロイト阻止ルールの管理 • マルウェア防止ルールの管理 • WildFire のルールおよび設定の管理 • 実行ファイルに対する制限の管理 • Traps の動作ルールの管理 • エージェント設定ルールの管理 • フォレンジックルールおよび設定の管 理 有効化の条件(適用されるルールに対してエンドポイントが 条件 満たすべき条件)をルールに追加します。 対象オブジェクト(ユーザー、コンピューター、組織ユニッ 対象オブジェクト ト、グループ、およびエンドポイント)を定義します。 ルールに分かりやすい名前をつけます。 ルールの命名または改名 保存し、任意でルールを有効化します。 • ルールの保存 • 保存したルールの管理 すべての保護ルールを無効化または有効化します。 すべての保護ルールの無効化 / 有効化 条件 S ルールの有効化の条件を定義 S ルール条件の削除または変更 ルールの有効化の条件を定義 ルールの有効化の条件とは、エンドポイントにルールを適用する上でエンドポイントが満たすべ き条件です。各条件に対して、実行ファイルのパス、実行ファイルのパスおよびファイルバー ジョン、またはエンドポイントに存在するはずのレジストリパスを指定することができます。 ルールの有効化の条件を定義 Step 1 58 Settings > Conditions[ 設定 > 条件 ] を選択します。Conditions[ 条件 ] ページでは、各条件に固有の ID[ID] 番号、Name[ 名前 ]、および Description[ 概要 ] が表示されます。 Advanced Endpoint Protection 管理者用ガイド ルールについて 一般的なルールの要素および動作 ルールの有効化の条件を定義 Step 2 新しい条件を Add[ 追加 ] します。 Step 3 条件の Name[ 名前 ] および Description[ 概要 ] を入力し、以下の設定を行います。 • Path[ パス ]— エンドポイントに存在する実行ファイルのフルパス。 • Registry Path[ レジストリパス ]— エンドポイントに存在するレジストリエントリのフルパス。 • Version[ バージョン ]— エンドポイントに存在する実行ファイルのバージョン番号およびその 実行ファイルのバージョン番号。定義した場合、実行ファイルのパスも指定しなければなりま せん。実行ファイルは、パス、および適用されるルールの正確なバージョンの両方が一致しな ければなりません。 Step 4 条件を Save[ 保存 ] します。 ルール条件の削除または変更 ルールの有効化の条件とは、エンドポイントにルールを適用する上でエンドポイントが満たすべ き条件です。条件を作成すると、Conditions[ 条件 ] ページからそのルールを削除または変更するこ とができます。 ルール条件の変更または削除 Step 1 Settings > Conditions[ 設定 > 条件 ] を選択します。Conditions[ 条件 ] ページでは、各条件に固有の ID[ID] 番号、Name[ 名前 ]、および Description[ 概要 ] が表示されます。 Step 2 変更または削除する条件を選択します。 Step 3 以下のいずれかを実施します。 • 条件を破棄するには、Delete[ 削除 ] をクリックします。 • 条件設定を変更し、変更を Save[ 保存 ] します。 対象オブジェクト ルールの対象オブジェクトとは、ルールを適用する対象です。以下のいずれかをオブジェクトと して選択できます。 対象オブジェクト 内容 ユーザー Active Directory で定義されたユーザー。 グループ Active Directory で定義されたユーザーグループ。 コンピューター Active Directory で定義されたコンピューターまたはモバイルデバイスの名 前。 組織ユニット ユーザー、グループ、コンピューター、および他の組織ユニットを配置可 能な Active Directory 内の区分。 既存のエンドポイント Traps がインストールされたコンピューターまたはモバイルデバイス。 Endpoint Security Manager は、Traps から送信された通信メッセージによって 既存のエンドポイントを特定します。 Advanced Endpoint Protection 管理者用ガイド 59 一般的なルールの要素および動作 ルールについて 組織内のすべてのオブジェクト、選択した一部のオブジェクト、または除外リストに登録された ものを除くすべてのオブジェクトに対してルールを適用することができます。 ユーザーおよびグループに対して定義したルールは、ログインしているエンドポイントに関わら ず対象のユーザーおよびグループに対して適用されます。 ルールの命名または改名 ESM コンソールはルールの詳細および作成時刻に基づいてルールの名前と説明を自動生成しま す。自動生成された名前をオーバーライドするには、Name[ 名前 ] タブを選択し、Auto Description is Activated[ 概要の自動生成を有効 ] オプションの選択を解除し、新しいルールの名前と説明を入力 します。 ルールの保存 当該ルールタイプに必要なすべてのフィールドを埋めなければルールを保存できません。必須 フィールドのあるタブには、タブ名の下に赤い波線が表示されます。ルールの保存または変更を 試みる前に、必須フィールドを埋めます。 ルールに対する必須フィールドを指定すると、以下のいずれかのアクションが選択可能になり ます。 アクション 内容 Save[ 保存 ] ルールを有効化せず保存します。ルールのステータスは Inactive[ 無効 ] と なり、後から有効化することができます。 Save & Apply[ 保存して適 ルールを保存し、即座にルールを有効化します。 用] 保存したルールの管理 ルールを保存すると、様々なシステムログおよび表にその名前と説明が表示されます。 ルールを選択すると、詳細を表示して以下のいずれかのアクションを実行できます。 アクション Duplicate は 60 内容 (アクションルールのみ)既存のルールを用いて新規ルールを作成します。 Advanced Endpoint Protection 管理者用ガイド ルールについて 一般的なルールの要素および動作 アクション 内容 削除 ルールを破棄します。ルールがシステムから削除されます。 同時に複数のルールを削除するには、ルール横のチェックボックスを選択 し、Delete selected non-Default Rules[ 選択中のデフォルトでないルールを削除 ] を、表上部のメニュー から選択します。 有効化 / 無効化 保存済みかつ適用されていないルールは、現在のセキュリティポリシーに 追加することで Activate[ 有効化 ] することができます。有効なルールは現 在のセキュリティポリシーから削除することで Deactivate[ 無効化 ] できま すが、システムからは削除されません。 同時に複数のルールを有効化 / 無効化するには、ルール横のチェックボッ クスを選択し、Activate selected[ 選択中のものを有効化 ] または Deactivate から選択します。 selected[ 選択中のものを無効化 ] を、表上部のメニュー すべてのエクスプロイトルール、マルウェアルール、およびフォレンジッ クルールを無効化 / 有効化する方法については、すべての保護ルールの無 効化 / 有効化をご参照ください。 編集 ルールの定義を編集します。このオプションを選択すると [Rule Wizard] が 開き、ルールの定義を変更することができます。詳細は、エクスプロイト 阻止ルールの作成をご参照ください。 Import rules/Export selected[ ルールをイン ポート / 選択中のものをエ クスポート ] 表上部のメニュー から、適宜ルールのインポートや選択したルールの エクスポートができます。ルールをエクスポートすると、選択したルール が XML ファイルとして保存されます。詳細は、ポリシーファイルのイン ポート・エクスポートをご参照ください。 すべての保護ルールの無効化 / 有効化 セキュリティポリシーが組織内のエンドポイントに対して問題を引き起こした際、デフォルトポ リシールールを含むすべての有効なポリシールールを速やかに無効化することができます。 保護を無効にすると今後のすべてのプロセスに対する Traps インジェクション、WildFire での検 証、データ収集が停止し、すべての制限が効率よく削除されます。すべての保護が無効になって いるときに行ったセキュリティルールに対する変更は、保護を再び有効化するまでは効力を持ち ません。 保護を無効化して問題の調査を実施した後、すべての保護を有効化することでポリシールールを 復元することができます。また、保護を有効化しても、以前に無効化しているルールは有効化さ れません。 単体のルールもしくは少数のルールのみを無効化する必要がある場合には、各ルールタイプ別に 用意されているルール管理ページで個別に選択して無効化することができます。 すべての保護ルールの無効化 / 有効化 Step 1 ESM コンソールから、いずれかのルール管理ページを選択します。例:Policies > Malware > Restrictions[ ポリシー > マルウェア > 制限 ] Step 2 保護を無効化するには、Disable All Protection[ すべての保護を無効化 ] を選択します。ESM はすべ てのルールを削除し、次回の Traps とのハートビート通信の際、更新されたセキュリティポリ シーをエンドポイントに送信します。 Step 3 保護を有効化するには、Enable All Protection[ すべての保護を有効化 ] を選択します。ESM はすべ てのルールを復元し、次回の Traps とのハートビート通信の際、更新されたセキュリティポリ シーをエンドポイントに送信します。 Advanced Endpoint Protection 管理者用ガイド 61 一般的なルールの要素および動作 62 ルールについて Advanced Endpoint Protection 管理者用ガイド エクスプロイトの阻止 S プロセス管理 S エクスプロイト阻止ルールの管理 Advanced Endpoint Protection 管理者用ガイド 63 プロセス管理 エクスプロイトの阻止 プロセス管理 デフォルト設定で Endpoint Security Manager が保護する対象となるのは、Windows 環境で最もよく 利用され、かつ脆弱性が高いプロセスです。これらのプロセスに関する詳細情報、例えば保護タ イプ、当該プロセスを実行中のコンピューターの数、当該プロセスが最初に確認された日時など の情報は Process Management[ プロセス管理 ] ページで確認できます。 各プロセスは、Protected[ 保護中 ]、Unprotected[ 未保護 ] あるいは Provisional[ 一時的保護 ] に設定す ることができます。Provisional[ 一時的保護 ] ステータスは、プロセスがテストランの状態(通常、 エンドポイントおよびルールの数が少ない状態)にあり保護されていることを示します。テスト ランが完了し、ルールに必要な調整を加えた後で、当該プロセスの保護タイプを Protected[ 保護 中 ] に変更できます。 エージェント設定ルールを作成して未知のプロセスの情報を収集することにより、組織内のエン ドポイントで Traps が発見したプロセスを確認することができます。保護されていないプロセス を検出して保護対象にする際にこれが役立ちます(新規プロセス情報の収集を参照)。また、サー ドパーティー製のアプリケーションを保護することも可能です。その際、当該プロセスの情報を 収集するために Process Management[ プロセス管理 ] ページにある保護対象のプロセスを示すリス トに未知のプロセスを追加する必要はありません。 S プロセス保護 S Protected[ 保護中 ]、Provisional[ 一時的保護 ]、Unprotected[ 未保護 ] のプロセスを追加 S プロセスのインポート / エクスポート S プロセスの表示、変更、削除 S Traps により現在保護されているプロセスを表示 64 Advanced Endpoint Protection 管理者用ガイド エクスプロイトの阻止 プロセス管理 プロセス保護 デフォルトでは、Traps は次のプロセスを保護します。 デフォルト設定で保護対象となるプロセス • 7z.exe • explorer.exe • notepad.exe • taskhost.exe • 7zFM.exe • filezilla.exe • notepad++.exe • telnet.exe • 7zG.exe • firefox.exe • nslookup.exe • unrar.exe • Acrobat.exe • FlashFXP.exe • opera.exe • userinit.exe • AcroRd32.exe • FotoSlate4.exe • opera_plugin_wrapper.exe • vboxservice.exe • acrord32info.exe • foxit reader.exe • OUTLOOK.EXE • vboxsvc.exe • alg.exe • ftp.exe • plugin-container.exe • vboxtray.exe • amp.exe • ftpbasicsvr.exe • POWERPNT.EXE • VISIO.EXE • PPTVIEW.EXE • vlc.exe • qttask.exe • VPREVIEW.EXE • QuickTimePlayer.exe • webkit2webprocess.exe • rar.exe • wftp.exe • ICQLite.exe • reader_sl.exe • winamp.exe • iexplore.exe • realconverter.exe • winampa.exe • INFOPATH.EXE • realplay.exe • winrar.exe • realsched.exe • WINWORD.EXE • rundll32.exe • winzip32.exe • RuntimeBroker.exe • winzip64.exe • Safari.exe • wireshark.exe • searchindexer.exe • wmiprvse.exe mirc.exe • skype.exe • wmplayer.exe MSACCESS.EXE • soffice.exe • wmpnetwk.exe msnmsgr.exe • spoolsv.exe • wuauclt.exe MSPUB.EXE • svchost.exe • xftp.exe netstat.exe • sws.exe • xpsrchvw.exe nginx.exe • taskeng.exe • AppleMobileDeviceService. • GoogleUpdate.exe exe • GrooveMonitor.exe • APWebGrb.exe • i_view32.exe • armsvc.exe • icq.exe • bsplayer.exe • chrome.exe • cmd.exe • CorelCreatorClient.exe • iPodService.exe • CorelCreatorMessages.exe • itunes.exe • ctfmon.exe • iTunesHelper.exe • cuteftppro.exe • journal.exe • DivX Player.exe • DivX Plus Player.exe • jqs.exe • • DivXConverterLauncher. • exe • • DivXUpdate.exe • • dllhost.exe • • dwm.exe • • EXCEL.EXE Advanced Endpoint Protection 管理者用ガイド 65 プロセス管理 エクスプロイトの阻止 Protected[ 保護中 ]、Provisional[ 一時的保護 ]、Unprotected[ 未保護 ] のプ ロセスを追加 デフォルト設定で Traps が保護するのは Windows 環境で最もよく利用され、かつ脆弱性が高いプ ロセスですが、さらにサードパーティー製のアプリケーションを保護対象のプロセスとして追加 することもできます。お客様の組織で重要なアプリケーションにまで保護範囲を広げることで、 日常業務に支障をきたすことなく最大限のセキュリティを確保することができるようになりま す。Protected[ 保護中 ]、Provisional[ 一時的保護 ]、あるいは Unprotected[ 未保護 ] としてプロセス を追加し、Process Management[ プロセス管理 ] ページにて構成を行います。 エクスプロイト阻止ルールを設定できるのは Protected[ 保護中 ] のプロセスと Provisional[ 一 時的保護 ] のプロセスのみです。 初期状態で Protected[ 保護中 ] としてすでに追加されているプロセスには変更を加えることが できません。ご不明な点がある場合は、Palo Alto Networks のサポート チームまでお問い合わ せください。 Protected[ 保護中 ]、Provisional[ 一時的保護 ]、Unprotected[ 未保護 ] のプロセスを追加 Step 1 Process Management[ プロセス管理 ] ESM コンソールから、Policies > Exploit > Process Management [ ポリシー > エクスプロイト > プロセス管理 ] を選択しま ページに移動します。 す。 Step 2 新しいプロセスを追加します。 1. 2. 3. Add[ 追加 ] をクリックします。 Process Name[ プロセス名 ] を入力します。 次の中から Protection Type[ 保護タイプ ] を選択します。 • Protected[ 保護中 ]— プロセスに対して、セキュリティ ルールに基づく保護が有効になっていることを示し ます。 • Provisional[一時的保護]—通常の保護中のプロセスと、 保護中のプロセスとしてテストランが行われている プロセスとを論理的に区別できるようになります。 • Unprotected[ 未保護 ]— プロセスに対して、セキュリ ティルールに基づく保護が有効になっていないこと を示します。 Step 3 66 保護中のプロセスに加えた変更を保 Create[ 作成 ] をクリックします。 存します。 Advanced Endpoint Protection 管理者用ガイド エクスプロイトの阻止 プロセス管理 プロセスのインポート / エクスポート Endpoint Security Manager(ESM)コンソールのエクスポート機能 / インポート機能を利用して、 セキュリティポリシーで使用するプロセス定義のバックアップをとることができます。インポー ト機能 / エクスポート機能を使用すれば、新しいサーバーに移行する前、サーバーのアップグ レードを行う前、あるいは管理対象のプロセスを独立した複数サーバーに導入する前に、プロセ スのバックアップをとることができます。また、エクスポートの対象とするプロセスの範囲は全 体か、あるいは一部かを指定した上で XML ファイルに保存できます。インポート機能を利用す ると、初期状態で指定されているプロセスと後から追加されたプロセスの一覧を示す既存のリス トにプロセスが追加されるとともに、その保護タイプが表示されます。 プロセスのインポート / エクスポート Step 1 Process Management[ プロセス管理 ] ESM コンソールから、Policies > Exploit > Process Management [ ポリシー > エクスプロイト > プロセス管理 ] を選択しま ページに移動します。 す。 Step 2 プロセスをインポート / エクスポー • プロセスをインポートするには、 メニューをクリック トします。 し、Import processes[ プロセスをインポート ] を選択しま す。Browse[ 選択 ] でファイルを選択し、インポートした いプロセスを Upload[ アップロード ] します。アップロー ドが完了すると、表にプロセスが表示されます。 • プロセスをエクスポートするには、エクスポートしたい プロセスを選択します。 メニューから Export selected[ 選択中のものをエクスポート ] を選択します。ESM コン ソールにより、プロセスがXMLファイルに保存されます。 プロセスの表示、変更、削除 組織内で保護対象となっているすべてのプロセスが Endpoint Security Manager コンソールの Processes Management[ プロセス管理 ] ページに表示されます。プロセスが関連付けられているす べてのルールからプロセスを削除しなければ、プロセスに変更を加えたり、削除を行ったりでき ません。 プロセスの表示、変更、削除 Step 1 Process Management[ プロセス管理 ] ESM コンソールから、Policies > Exploit > Process Management [ポリシー > エクスプロイト > プロセス管理]を選択します。 ページに移動します。 Advanced Endpoint Protection 管理者用ガイド 67 プロセス管理 エクスプロイトの阻止 プロセスの表示、変更、削除(続) Step 2 Process Management[プロセス管理]の 表の上部にあるページ送り機能を使用すれば、非表示に なっているセクションを閲覧できます。 表でプロセスを確認します。 ここには次の項目が表示されます。 • Process Name[ プロセス名 ]— プロセスの実行ファイルの ファイル名 • Protection Type[ 保護タイプ ]—Protected[ 保護中 ]、 Unprotected[ 未保護 ]、Provisional[ 一時的保護 ] のいずれか • Computers[ コンピューター]— プロセスを実行しているエ ンドポイントの数 • Linked Rules[ 関連ルール ]— プロセスが関連付けられてい るルールの数 • First Discovered On[ 最初に発見されたエンドポイント ]— プロセスが最初に発見されたエンドポイントの名称 • Discovery Time[ 発見日時 ]—(未知のプロセスを報告する ルールを設定した後で)当該エンドポイントにて初めて プロセスが確認された日時 Step 3 プロセスを管理、あるいはプロセス プロセス名を選択し、次のいずれかを行います。 に変更を加えます。 • プロセスを削除するには Delete[ 削除 ] を選択します。 • Process Name[ プロセス名 ] を変更し、変更を Save[ 保存 ] します。 • Protection Type[ 保護タイプ ] を変更し、変更を Save[ 保存 ] します。 Traps により現在保護されているプロセスを表示 エンドポイントでユーザーが保護されたプロセスを開いた、あるいは保護されたプロセスを作成 した際、Traps は当該プロセスに Exploitation Prevention Module(EPM)と呼ばれる保護モジュー ルを挿入します。各プロセスにどの EPM を挿入するのかは、エンドポイントのセキュリティポ リシールールにより決定されます。 Traps コンソール、あるいは Cytool というコマンドライン型のインターフェースを使用して、Traps により現在保護されているプロセスを確認できます(Traps により現在保護されているプロセス を表示を参照)。 Traps により現在保護されているプロセスは、Traps コンソールの Protection[ 保護 ] タブに表示され ます。 68 Advanced Endpoint Protection 管理者用ガイド エクスプロイトの阻止 プロセス管理 各プロセスについて、Traps はその名称、概要、固有の ID 番号、プロセスを開始した時刻、メ モリを割り当てるレジスタを表示します。 Traps により現在保護されているプロセスを表示 Step 1 次のようにして Traps コンソールを起動します。 • Windows のタスクトレイにある Traps のアイコン を右クリックしてから Console[ コンソール ] を選択するか、アイコンをダブルクリックします。 • Traps がインストールされているフォルダから CyveraConsole.exe を実行します。 Traps コンソールが起動します。 Step 2 Advanced > Protection[ 詳細 > 保護 ] タブを選択し、保護されたプロセスを表示します。 Advanced Endpoint Protection 管理者用ガイド 69 エクスプロイト阻止ルールの管理 エクスプロイトの阻止 エクスプロイト阻止ルールの管理 S エクスプロイト阻止ルール S デフォルト設定のエクスプロイト阻止ポリシー S エクスプロイト阻止ルールの作成 S エクスプロイト阻止ルールからエンドポイントを除外する エクスプロイト阻止ルール エクスプロイト阻止ルールは Exploit Prevention Module(EPM)を使用して組織内のプロセスを保 護するとともに、主にプロセスの実行を許可 / 拒否することで当該プロセスを制御します。特定 のエクスプロイト対策に特化している EPM によりプロセスにモジュールが挿入され、メモリ破 損やロジックの欠陥が原因となるプログラムの脆弱性を狙った攻撃を回避できます。また、EPM は複数のアプリケーションおよびプロセスを同時に保護できます。追加の Advanced EPM は、ニ ンジャモード以外では表示・アクセスすることができなくなっています 。Palo Alto Networks の サービス技術者やセールスエンジニアが各 EPM に対してより細やかな設定を施す際は、この Advanced EPM を利用します。EPM の種類、およびモジュールが回避するエクスプロイトの種類 は、次の表に記載の通りです。 名前 種類 内容 DEP メモリ破損 データ実行防御(DLP)。データ保存を目的としたメモリ領 域を実行可能なコードとして走らせる攻撃を回避します。 DLL-Hijacking Protection ソフトウェアのロ 安全でない領域からDLLを読み込んでプロセスを操作しよ ジックの欠陥 うとする DLL ハイジャック攻撃を防ぎます。また、攻撃者 が悪意のある CPL(コントロールパネル)ファイルを読み 込むのも防止します。 CPL ソフトウェアのロ マルウェアの作成に悪用され得る、Windows コントロール ジックの欠陥 パネルのショートカットアイコンに関するディスプレイ の脆弱性の問題を解決します。 DLL Security ソフトウェアのロ 完全に信頼できない領域から極めて重要なDLLのメタデー ジックの欠陥 タにアクセスされるのを防ぎます。 Exception Heap Spray Check メモリ破損 Font Protection ソフトウェアのロ 頻繁にエクスプロイトの手段として利用される、フォント ジックの欠陥 の不正な扱いを防ぎます。 GS Cookie ソフトウェアのロ Windows バッファのセキュリティチェックの粒状性を高め ジックの欠陥 ることで、バッファサイズ制限を強制しないコードがエク スプロイトされるのを防ぎ、頻繁に攻撃手段として悪用さ れるバッファオーバーランを阻止します。記憶領域を割り 当てるのに使用されるセキュリティクッキーのサイズが 変化した場合、スタックが上書きされた可能性が示唆され ます。ここで値の不整合を検出すると、プロセスが停止し ます。 Heap Corruption Mitigation メモリ破損 70 疑わしい(エクスプロイトを示唆する)例外が発生した際、 インスタンスのヒープスプレーを検出します。 ダブルフリーなどヒープ破損に関する脆弱性を狙った攻 撃を防ぎます。 Advanced Endpoint Protection 管理者用ガイド エクスプロイトの阻止 エクスプロイト阻止ルールの管理 名前 種類 Hot Patch Protection ソフトウェアのロ システムファンクションを悪用して DEP およびアドレス ジックの欠陥 空間配置のランダム化(ASLR)を回避される新しい攻撃手 法を防ぎます。 Library Preallocation ソフトウェアのロ エクスプロイトで頻繁に悪用される特定のモジュールの ジックの欠陥 配置換えを徹底的に行います。 Memory Limit Heap Spray メモリ破損 Check 内容 メモリ破損が急激に増加(エクスプロイトが進行中である ことを示唆)した際、弊社独自のアルゴリズムに基づいて ヒープスプレーのインスタンスを検出します。 Null Dereference Protection メモリ破損 Packed DLLs ソフトウェアのロ この DLL セキュリティモジュールのエクステンションは、 ジックの欠陥 後にメモリ内でアンパックされる、パック化された DLL の セキュリティを高めます。 Periodic Check Heap Spray メモリ破損 悪意のあるコードがメモリ領域のアドレス0にマッピングす るのを防ぎ、Null 参照に関する脆弱性の問題を解決します。 事前に設定した間隔でヒープ領域を検査し、弊社独自のア ルゴリズムに基づいてヒープスプレーのインスタンスを 検出します。 ランダムな事前割り当て ソフトウェアのロ プロセスがメモリ割り当てを行う際のエントロピーを増 ジックの欠陥 大させ、エクスプロイトが成功する確率を減らします。 ROP Mitigation メモリ破損 ROP(Return Oriented Pogramming)チェーンで使用する API を保護し、実行時コンパイラ(JIT)のエンジンを介したエ クスプロイトを防ぐことで、ROP を悪用できなくします。 SEH Protection メモリ破損 頻繁にエクスプロイトの対象となる制御構造体であり一 連 の デ ー タ レ コ ー ド を 格 納 す る 連 結 リ ス ト、Structured Exception Handler(SEH)のハイジャックを防止します。 シェルコードの事前割り ソフトウェアのロ ヒープスプレーによってウイルスの温床となりやすいメ 当て ジックの欠陥 モリの特定領域を予約しておき、保護します。 ShellLink Protection ソフトウェアのロ シェルリンクのロジックの脆弱性の問題を解決します。 ジックの欠陥 SYSRET ソフトウェアのロ ローカルの権限エスカレーション攻撃に関わる脆弱性の ジックの欠陥 問題を解決します。 UASLR ソフトウェアのロ ASLR(モジュールの位置のランダム化)を改善、あるいは ジックの欠陥 導入を完全にしてエントロピー、堅牢性、実行率を高めます。 Endpoint Security Manager のデフォルトのセキュリティポリシーには、よく使用するプロセスのた めのエクスプロイト阻止ルールが含まれています。エクスプロイト阻止ルールを追加で作成する 場合は、EPM、およびプロセスを保護するのに使用する EPM の詳細事項を構成し、また適宜、 対象オブジェクト、条件、プロセス、EPM、攻撃時にとるアクションを指定する必要がありま す。すべてのユーザー、グループ、組織ユニット、Active Directory に表示されるコンピューター、 または Traps がインストールされたエンドポイントを対象オブジェクトにできます。Endpoint Security ManagerはTrapsがサーバーに送信するメッセージによってエンドポイントを特定します。 ファイル、ファイルおよびファイルバージョン、もしくはエンドポイントに存在するはずのレジ ストリパスによって条件が異なる可能性があります。 Advanced Endpoint Protection 管理者用ガイド 71 エクスプロイト阻止ルールの管理 エクスプロイトの阻止 Traps エージェントは定期的に ESM サーバーから最新のセキュリティポリシーを取得します。 ユーザーがファイルあるいは URL を開く際、そのファイルの実行開始時に関連のあるプロセス に対して Traps エージェントが EPM を挿入します。プロセスが有する脆弱性あるいはバグを保 護するために Traps が使用する EPM の種類、 およびどのアクションを実行するかはセキュリティ ポリシーによります。このアクションには、EPM を有効化するかどうか、プロセスを終了させ るかどうか、セキュリティイベントの発生をユーザーに通知するかどうかといった具体的な項目 を含めることができます。セキュリティイベントによってルールが実行されると、Traps エージェ ントは後のフォレンジック調査に向けてメモリのスナップショットをとっておきます。 Policies > Exploit > Protection Modules[ ポリシー > エクスプロイト > 保護モジュール ] ページではエク スプロイト阻止ルールの概要をご覧いただけます。ここでルールを選択すると、ルールの詳細お よび可能な操作(Delete[ 削除 ]、Activate[ 有効化 ]/Deactivate[ 無効化 ]、ルールの Edit[ 編集 ])が表 示されます。詳細は、エクスプロイト阻止ルールの管理をご参照ください。 セキュリティポリシールールの EPM に変更を加える前に、Palo Alto Networks のサポートチー ムにご相談ください。 デフォルト設定のエクスプロイト阻止ポリシー 様々なソフトウェアが有する共通の脆弱性を悪用した攻撃やエクスプロイトを防ぐエクスプロ イト阻止ルールが、デフォルト設定で Endpoint Security Manager のセキュリティポリシーに含ま れています。エクスプロイト阻止ポリシーのデフォルト設定は下にある表の通りです。新しいエ クスプロイト阻止ルールを構成する際は、Mode[ モード ] および User Notification[ ユーザー通知 ] の列に示されているデフォルトの挙動を引き継ぐことができます。また必要に応じてその設定を オーバーライドすることで、組織のセキュリティポリシーをカスタマイズすることも可能です。 Advanced EPM を構成するには、ニンジャモード のパスワードを入力する必要があります。 EPM モジュール DEP G01 Terminate、 Notification=ON DLL Security DllSec Terminate、 Notification=ON DLL-Hijacking Protection DllProt Notify、 Notification=ON Exception Heap Spray Check H02 Terminate、 Notification=ON Font Protection FontProt Terminate、 Notification=ON Generic Generic Heap Corruption Mitigation H01 Terminate、 Notification=ON Hot Patch Protection B01 Terminate、 Notification=ON Library Preallocation P02 Terminate、 Notification=ON 72 デフォルトで 有効 モードおよびユーザー通 知 ニンジャ モード Advanced Endpoint Protection 管理者用ガイド エクスプロイトの阻止 エクスプロイト阻止ルールの管理 EPM モジュール デフォルトで 有効 モードおよびユーザー通 知 Master SEH MasterSEH Master VEH MasterVEH Memory Limit Heap Spray Check T02 Terminate、 Notification=ON Null Dereference Protection K01 Terminate、 Notification=ON Packed DLLs PACKED_DLL Periodic Heap Spray Check D01 Terminate、 Notification=ON ROP Mitigation R01 Terminate、 Notification=ON SEH Protection S01 Terminate、 Notification=ON Shellcode Pre-allocation P01 Terminate、 Notification=ON ShellLink Protection ShellLink Terminate、 Notification=ON T01 Compatibility T01 Terminate、 Notification=ON UASLR UASLR Terminate、 Notification=ON URI Protection URI ニンジャ モード デフォルトで Terminate=ON リストは空 エクスプロイト阻止ルールの作成 エクスプロイト阻止ルールを作成すると、組織で頻繁に使用するプロセスを保護するのに使用す るモジュールを指定できます。各モジュールはメモリ破損やロジックの欠陥が原因となるプログ ラムの脆弱性を狙ったエクスプロイトを未然に阻止し、また DLL ハイジャックやヒープ破壊と いった特定の攻撃を回避します。そういった攻撃に対して脆弱性があり得るプロセスを保護する よう、モジュールを構成できます。 デフォルトでは、Traps はすでに構成済みのエクスプロイト阻止ルールによって頻繁に使用され るプロセスを保護するようになっています。デフォルト設定でセキュリティポリシーが保護する プロセスのリストは、プロセス保護でご確認いただけます。デフォルトのエクスプロイト阻止 ルールには変更を加えることができません。デフォルトのエクスプロイト阻止ルールの設定を オーバーライドしたい場合は、新しいルールを作成してプロセスを管理する必要があります。 エクスプロイト阻止ルールの構成は上級者向けの機能です。エクスプロイト阻止ルールをオー バーライドしたり変更を加えたりする際は、Palo Alto Networks のサポートチームまでご相談く ださい。 Advanced Endpoint Protection 管理者用ガイド 73 エクスプロイト阻止ルールの管理 エクスプロイトの阻止 新しいプロセスのエクスプロイト阻止ルールを構成する前に、Policies > Exploit > Process Management [ ポリシー > エクスプロイト > プロセス管理 ] ページでプロセスおよび保護タイプを定義してお く必要があります。プロセスを新規に追加する方法については、Protected[ 保護中 ]、Provisional[ 一時的保護 ]、Unprotected[ 未保護 ] のプロセスを追加をご参照ください。プロセスの保護タイプ を変更(例:Unknown[ 未知 ] から Protected[ 保護中 ] へ)する方法については、プロセスの表示、 変更、削除をご参照ください。 エクスプロイト阻止ルールの作成 Step 1 新しいエクスプロイト阻止ルール Policies > Exploit > Protection Modules[ ポリシー > エクスプロ イト > 保護モジュール ] を選択し、新しいルールを Add[ 追 を開始します。 加 ] します。 Step 2 EPM の詳細設定を行います。 74 選択中のプロセスに対する Exploit Prevention Module (EPM)の挿入を Enable[ 有効 ] あるいは Disable[ 無効 ] にします。 2. EPM を有効化するには、リストから EPM を選択して から Details[ 詳細 ] セクションで設定を行います。EPM の設定内容は各タイプによって異なりますが、いずれ もプロセスを終了させるかどうか、セキュリティイベ ントの発生についてユーザーに通知するかどうかの設 定を行うことができます。EPM を追加する場合は、こ の操作を繰り返します。EPM の各タイプについての情 報は、エクスプロイト阻止ルールをご参照ください。 EPM の定義を変更すると、保護レベルが影響を 受ける場合があり、また各ルールが評価される順 序が変わります(ポリシーの実施を参照)。組織 のセキュリティについて妥協してしまう前に、 Palo Alto Networksのサポートチームに一度ご相談 ください。 1. Advanced Endpoint Protection 管理者用ガイド エクスプロイトの阻止 エクスプロイト阻止ルールの管理 エクスプロイト阻止ルールの作成(続) Step 3 ルールを適用するプロセスを選択 1. します。 2. 3. Processes[ プロセス ] タブを選択します。 ドロップダウンリストからプロセスの種類(Protected [ 保護中 ] あるいは Provisional[ 一時的保護 ] のいずれか) を選択し、リストの表示項目を絞ります。一時的保護 のプロセスとはテストランが行われているプロセスの ことであり、保護中のプロセスとは別に監視されます。 ルールを適用するプロセスを選択し、Add[ 追加 ] をク リックします。もしくは、保護中のプロセスおよび一 時的保護のプロセスすべてにルールを一括適用したい 場合は All Processes[ すべてのプロセス ] を選択します。 Step 4 (任意)ルールに条件を追加します。 デフォルトでは、ESM はルールに対して条件を適用しませ ん。条件を指定するには、Conditions[ 条件 ] タブを選択して ください。次に条件リストから条件を選択し、Add[ 追加 ] をクリックします。Selected Conditions[ 選択中の条件 ] リス トに条件が追加されます。必要に応じてさらに条件を追加 してください。条件リストに条件を追加する方法は、ルー ルの有効化の条件を定義をご参照ください。 Step 5 (任意)制限ルールを適用する対象 デフォルトでは、ESM は組織のすべてのオブジェクトに新 規ルールを適用します。対象オブジェクトをより小さな範 オブジェクトを定義します。 囲に限定するには、Objects[ オブジェクト ] タブを選択し、 Users[ ユーザー ]、Computers[ コンピューター ]、Groups[ グ ループ ]、Organizational units[ 組織ユニット ]、または Existing endpoints[ 既存のエンドポイント ] を Include[ 含有 ] または Exclude[ 除外 ] エリアに入力します。 Endpoint Security Manager は Active Directory にユーザー、コンピューター、組織ユニッ トを認証するクエリを送信するか、それまでの通信メッ セージから既存のエンドポイントを特定します。 Step 6 (任 意)ル ー ル の 名 前 と 説 明 を レ ESM コンソールはルールの詳細に基づいてルールの名前と 説明を自動生成します。自動生成された名前をオーバーラ ビューします。 イドするには、Name[ 名前 ] タブを選択し、Auto Description is Activated[ 概要の自動生成を有効 ] オプションの選択を解 除し、新しいルールの名前と説明を入力します。 Step 7 エクスプロイト阻止ルールを保存 以下のいずれかを実行します。 します。 • ルールを Save[ 保存 ] します。後からルールを有効化する には、Policies > Exploit > Protection Modules[ ポリシー > エ クスプロイト > 保護モジュール ] ページからルールを選 択し、Activate[ 有効 ] をクリックします。 • ルールを Save & Apply[ 保存して適用 ] すると、すぐにルー ルが有効化されます。 保存したルールは Policies > Exploit > Protection Modules[ ポリ シー > エクスプロイト > 保護モジュール ] ページに表示さ れます。同じ場所から適宜ルールを Delete[ 削除 ] または Deactivate[ 無効化 ] することができます。 Advanced Endpoint Protection 管理者用ガイド 75 エクスプロイト阻止ルールの管理 エクスプロイトの阻止 エクスプロイト阻止ルールからエンドポイントを除外する エンドポイントがエクスプロイト阻止ポリシーに反するアプリケーションを立ち上げようとす ると、Traps エージェントがプロセスを停止させ、その悪意のあるプロセスについて Endpoint Security Manager コンソールに報告します。セキュリティイベントを引き起こしたプロセス、およ び攻撃を防いだ Exploit Prevention Modules (EPMs) についての詳細な情報は Security Events > Threats [ セキュリティイベント > 脅威 ] ページで確認できます。 ポリシールールを削除/変更することなくあるプロセスを特定のエンドポイントにのみ許可する 場合は、セキュリティイベントの詳細を加味して除外ルールを作成します。特定のエンドポイン トに除外ルールを定義すると、当該エンドポイントでプロセスを停止させたことがある EPM が 無効になります。 意図せず組織のセキュリティを低下させることがないよう、除外ルールを作成するのは最小限 にしてください。 また、組織オブジェクト単位で適用される除外ルールを作成することも可能です(エクスプロイ ト阻止ルールの作成を参照)。 エクスプロイト阻止ルールからエンドポイントを除外する Step 1 Threats[ 脅威 ] ページを開きます。 ESM コンソールから、Security Events > Threats[ セキュリティ イベント > 脅威 ] を選択します。 Step 2 イベントを選択します。 除外ルールを適用するセキュリティイベントを選択しま す。セキュリティイベントに関する詳細情報、アクション が表示されます。 Step 3 除外ルールを作成します。 1. 2. 3. Step 4 除外ルールにより、特定のエンドポ 1. イントでプロセスの実行が許可さ 2. れることを確認します。 3. 4. 76 Create[ 作成 ] をクリックし、対象となる EPM およびエ ンドポイントの詳細情報を含むルールの事前設定を行 います。このボタンは、エクスプロイト阻止ルールで のみクリックできるようになっています。 必要に応じて、Processes[ プロセス ]、Conditions[ 条件 ]、 Objects[ オブジェクト ] および Name[ 名前 ] タブにある 詳細情報を確認します。 ルールを Save & Apply[ 保存して適用 ] してすぐに有効 化するか、Save[保存]のみを行って後から有効化します。 Traps コンソールを起動します。 Check-in now[ すぐにチェックイン ] を選択し、最新のセ キュリティポリシーをリクエストします。 Advanced > Policy[ 詳細 > ポリシー ] を選択し、当該ルー ルが表示されることを確認します。 対象のエンドポイント上でアプリケーションを起動 し、ユーザーがプロセスを正常に実行できることを確 認します。 Advanced Endpoint Protection 管理者用ガイド マルウェアの防止 S マルウェア防止フロー S 実行ファイルに対する制限の管理 S WildFire のルールおよび設定の管理 S 実行ファイルのハッシュの管理 S マルウェア防止ルールの管理 Advanced Endpoint Protection 管理者用ガイド 77 マルウェア防止フロー マルウェアの防止 マルウェア防止フロー マルウェア防止エンジンには 3 つの主な防止メソッドがあります。ファイルの出所を調査する制 限ポリシールール、悪意のあるプロセスにより頻繁に引き起こされる動作を標的とするマルウェ ア防止モジュール、および WildFire 分析です。 S 第 1 段階:制限ポリシーの評価 S 第 3 段階:マルウェア防止ポリシーの評価 S 第 2 段階:ハッシュ判定の評価 S 第 4 段階:判定の管理 第 1 段階:制限ポリシーの評価 ユーザーまたはマシンが実行ファイルを開こうとするとき、Traps はまずその実行ファイルがい ずれの制限ルールにも違反しないことを確認します。例えば、無署名の実行ファイルをブロック したり、ネットワーク上から開かれる実行ファイルをブロックする制限ルールを設けている場合 があるかもしれません。いずれかの制限ルールが実行ファイルに対して適用される場合に、Traps はファイルの実行をブロックし、 Endpoint Security Managerにセキュリティイベントを報告します。 それぞれの制限ルールの設定に応じて、Traps はユーザーに対して防御が行われた事実を通知す ることも可能です。 実行ファイルに対して何の制限ポリシールールも適用されない場合、Traps は次に第 3 段階:マ ルウェア防止ポリシーの評価に記述されるようにマルウェアに対する防御ルールを評価します。 78 Advanced Endpoint Protection 管理者用ガイド マルウェアの防止 マルウェア防止フロー 第 2 段階:ハッシュ判定の評価 WildFire が有効になっている場合(WildFire の有効化を参照)、Traps はユーザーまたはマシンが 開こうとするすべての実行ファイルに対してユニークなハッシュを生成します。Traps は次に、 ファイルが有害か安全かに関する公式決定(WildFire 判定と呼ばれる)とハッシュが一致してい るかどうかを判別するためにローカルキャッシュを検索します。ハッシュがローカルキャッシュ 内の判定に一致しない場合、Trap は ESM サーバーにクエリを送ります。ESM サーバーにもハッ シュに対する判定が存在しない場合、ESM サーバーは WildFire にクエリを送ります。評価ステー ジに関しては、以下のセクションで詳細に説明します。 S ローカルキャッシュ検索(エンドポイント上) S サーバーキャッシュ検索(ESM サーバー上) S WildFire 検索 ローカルキャッシュ検索(エンドポイント上) ユーザーが実行ファイルを開くとき、Traps はそのファイルに対してユニークなハッシュを生成 し、ローカルキャッシュ内で判定検索を実行します。ローカルキャッシュはエンドポイントの C:\ProgramData\Cyvera\LocalSystem フォルダに保存されており、ユーザーまたはマシンがエンド ポイント上で実行を試みるすべてのファイルに対するハッシュおよびそれに対応する判定が含 まれています。キャッシュのサイズはエンドポイント上で開かれたユニークな実行ファイルの数 、 に応じて調整されます。サービスの保護が有効になっている場合(サービス保護の管理を参照) ハッシュへのアクセスは Traps からのみ可能であり、変更することはできません。 ハッシュに関連付けられた判定によりファイルが安全だと示された場合、Traps はファイルの実 行を許可します。逆に有害だと判断された場合、Traps は Endpoint Security Manager にセキュリ ティイベントを報告します。次に、悪意のあるファイルに対する終了処理の動作設定に応じて、 Traps は次のいずれかの動作を実行します。 z 悪意のある実行ファイルをブロック z ファイルに関してユーザーに通知するが、ファイルの実行は許可 z ユーザーに通知することなく問題のログをとり、ファイルの実行を許可 ローカルキャッシュ内にハッシュが存在しない、または未知の判定が存在する場合には、Traps はハッシュがサーバーキャッシュ内に対応する判定を持つかどうかを確認するために ESM サー バーにクエリを送ります。 Advanced Endpoint Protection 管理者用ガイド 79 マルウェア防止フロー マルウェアの防止 サーバーキャッシュ検索(ESM サーバー上) ハッシュ判定のクエリを受け取ると、ESM サーバーはサーバーキャッシュ内を検索します。サー バーキャッシュには、組織内のすべてのエンドポイントにおいて開かれた実行ファイルすべてに 対する判定が含まれています。 ハッシュ検索により有害もしくは安全であると判定された場合、ESM サーバーは次回のハート ビート通信の際にその判定を Traps に送ります。ファイルが安全であると判明した場合、Traps は ユーザーに実行ファイルを開く許可を与えます。ファイルが有害であると判明した場合には、 Traps はセキュリティイベントを記録し、悪意のあるファイルに対するセキュリティポリシーに 従ってファイルを操作します(通常はブロックします)。 サーバー内のハッシュ値が未知である、または既知の判定と一致しない場合には、ESM サーバー は次に WildFire にクエリを送ります。 WildFire 検索 WildFire には、WildFire へ送信された、かつ / または WildFire によって分析が行われたすべての ファイルに対する判定が保存されています。ESM サーバーは 30 分ごと(もしくは事前設定した 間隔ごと)に WildFire にクエリを送り、サーバーキャッシュ内で判定が未知であったファイルに 対するハッシュ判定を取得します。 WildFire がファイルが安全か有害かを示す判定を返すと、ESM サーバーはサーバーキャッシュを 更新します。そして次回の Traps とのハートビート通信の際に、ESM サーバーはユーザーが実行 ファイルを開こうとしたエンドポイントすべてに対して判定を送信します。 WildFire が未知の判定を返した場合(WildFire がそれまでにそのファイルを分析していない場合) には、分析のために ESM サーバーにより WildFire へ自動的に未知の実行ファイルが送信される ように設定することができます(各ファイル 100MB まで)。WildFire がファイルを分析した後は 自身のデータベース内にその判定を保存し、未知のハッシュに関する次回以降のクエリにおいて その判定を返します。 未知のファイルの自動アップロードが無効になっている場合(デフォルト設定)、分析のために WildFire に送信するファイルを手動で選択することができます。未知のファイルの自動アップ ロードを有効にする方法は、WildFire の有効化をご参照ください。 WildFire と通信ができない場合には、ESM サーバーはハッシュ判定を No Connection[ 接続なし ] と してキャッシュし、次回の Traps とのハートビート通信の際に判定を送信します。 未知のファイル、接続なしのファイルおよび悪意のあるファイルに対するセキュリティポリシー の動作設定に応じて、Traps はファイルをブロックするか、ユーザーに実行を許可するかのいず れかの動作を行います。Traps が実行ファイルの判定に応じた動作を実施した後、第 3 段階:マ ルウェア防止ポリシーの評価に記載されるようにハッシュおよびその判定を維持することがで きます。 第 3 段階:マルウェア防止ポリシーの評価 WildFire が実行ファイルをクリアすると、Traps はファイルの実行を許可します。実行ファイル が悪意のある挙動を示した場合、Traps はファイルの実行を停止し、攻撃が続行されるのを阻止 します。例えば、リモートスレッドの生成を阻止するスレッドインジェクションルールを定めて いるかもしれません。開始された実行ファイルがリモートスレッドを生成しようとする場合、 Traps はファイルの実行をブロックし、Endpoint Security Manager にセキュリティイベントを報告 します。 実行ファイルに対していずれのマルウェア防止ルールも適用されず、WildFire が有効になってい る場合には、Traps は第 4 段階:判定の管理のステップへと進みます。 80 Advanced Endpoint Protection 管理者用ガイド マルウェアの防止 マルウェア防止フロー 第 4 段階:判定の管理 組織内で実行ファイルに対するハッシュ判定を確認し、Policies > Malware > Hash Control[ ポリシー > マルウェア > ハッシュ制御 ] ページで特定のハッシュを検索することができます(ハッシュの表 示と検索を参照)。 S 判定の自動更新 S 判定の手動更新 判定の自動更新 WildFire には、WildFire へ送信された、かつ / または WildFire によって分析が行われたすべての ファイルに対する判定が保存されています。WildFire が Palo Alto Networks の脅威インテリジェン スチームおよび WildFire の顧客より提供された新たなサンプルの分析を行うと、ハッシュおよび 判定に関するデータベースが拡張・更新されます。 ハッシュおよび WildFire 判定のキャッシュを最新の状態に維持するために、ESM サーバーは定 期的に WildFire にクエリを送り、例えば安全か有害かのような判定の変更を確認します。ESM サーバーは 30 分に 1 回、未知のファイルに関するクエリを最大 500 のユニークなハッシュのま とまりとして WildFire に送信します。また、過去 30 日間に判定が変更された既知の有害および 安全なファイルに関するクエリも WildFire に対して送信します。既知のファイルの判定の変更に 関するクエリは、1,440 分(24 時間)に 1 回送信されます。ESM コンソールでは、クエリの頻度 および WildFire が過去何日間の判定変更を検索するかについて、変更を加えることができます。 判定の手動更新 WildFire が分析したそれぞれの安全もしくは有害な実行ファイルに関する詳細な WildFire レポー トを取得することができます(WildFire レポートの表示を参照)。このレポートには、ファイル 情報、実行ファイルの挙動の概要、およびネットワークとホストのアクティビティに関する詳細 情報が含まれています。 WildFire レポートの情報を利用して、判定をオーバーライドするか無効にするかを決定できます。 判定のオーバーライドにより、サーバーキャッシュ内の特定のファイルに対する判定のみが変更 されるため、WildFire やグローバルセキュリティポリシーは影響を受けません(WildFire の決定 のオーバーライドを参照) 。有害もしくは安全であるというハッシュ判定を変更すると、ESM コ ンソールは Hash Control[ ハッシュ制御 ] ページに変更した判定を表示します。オーバーライドの 内容は管理者が取り消すまで維持されます。取り消した際には、ESM サーバーが最後に保持し ていた状態に判定が戻されます。 ESM サーバーに強制的に WildFire で判定を再チェックさせるために、ESM コンソールでハッシュ を無効にすることができます(WildFire の決定の取り消しを参照)。 ESM サーバーは即座に WildFire に対してクエリを送り、ハッシュに対する現在の判定を取得します。WildFire が判定を返した後、 ESM サーバーはサーバーキャッシュを更新し、次回の Traps とのハートビート通信の際に、以前 に実行ファイルを開こうとしたすべてのエンドポイントに対して判定を送信します。 ESM サーバーは、WildFire や手動のオーバーライドによる更新など、判定に関するすべての変更 を、次回の Traps とのハートビート通信の際に、以前にファイルを開こうとしたすべてのエンド ポイントに対して送信します。 Advanced Endpoint Protection 管理者用ガイド 81 実行ファイルに対する制限の管理 マルウェアの防止 実行ファイルに対する制限の管理 制限ルールによって、ネットワーク上のエンドポイントにおいて実行ファイルがどのように操作 されるかに関する制限や例外を定義することができます。 S 制限ルール S 新規制限ルールの追加 S グローバルホワイトリストの管理 S ローカルフォルダのブラックリストへの登録 S ネットワークフォルダのホワイトリストへの登録 S 外部メディア制限および例外の定義 S 子プロセス制限および例外の定義 S Java の制限および例外の定義 S 未署名の実行ファイルの制限および例外の定義 制限ルール 攻撃者はしばしば悪意のある実行ファイルを偽装したり、無害なファイルに組み込んだりしま す。こうした実行ファイルは、制御機能の掌握、機密情報の収集、あるいはシステムの正常な動 作の阻害を試みることによって、コンピュータに損害を与えます。次の表では、ネットワーク上 で実行ファイルがどのように操作されるかに関する制限や例外といった設定が可能な制限ルー ルが示されています。 制限ルール 内容 特定のフォルダから実 多くの攻撃手法は、悪意のある実行ファイルを特定のフォルダに書き込み、 行可能ファイルを実行 実行することがベースになっています。通常、ローカルの temp および download フォルダ、そしてネットワークフォルダへのアクセスを制限することが有 効な対策になります。また、一般的な制限に例外を加えるために、特定の フォルダをホワイトリストに登録することができます。詳細は、グローバ ルホワイトリストの管理、ローカルフォルダのブラックリストへの登録、 ネットワークフォルダのホワイトリストへの登録をご参照ください。 外部メディアから実行 悪意のあるコードにより、リムーバブルディスクや光学ドライブといった ファイルを開始 外部メディアを通してエンドポイントへのアクセスを掌握されることもあ ります。この問題を防ぐために、ネットワーク上のエンドポイントにおけ る外部ドライブからのファイル実行に対する制限を定義することができま す。詳細は、外部メディア制限および例外の定義をご参照ください。 子プロセスを生成する 正当なプロセスに悪意のある子プロセスを生成させることで、悪意のある プロセス コードを有効化することができます。適切な制限ルールを定義することで 悪意のあるコードをブロックしてください。詳細は、子プロセス制限およ び例外の定義をご参照ください。 82 Advanced Endpoint Protection 管理者用ガイド マルウェアの防止 制限ルール 実行ファイルに対する制限の管理 内容 ブラウザで実行される 悪意のあるコードは Java のプロセスを通してリモートホストからインポー Java のプロセス トされ、インターネットブラウザ上で実行されるということもよくありま す。こういったエクスプロイトを防止するために、Java アプレットがブラ ウザ上でオブジェクトを実行しないように設定します。信頼できるプロセ スはホワイトリストに登録することで実行可能となります。どの動作(読 み込み、書き込み、実行)を許可するかは、プロセスファイルの種類、場 所、レジストリパスに応じて選択することができます。詳細は、Java の制 限および例外の定義をご参照ください。 未署名のプロセスの実 デジタル署名のある署名付きのプロセスは、信頼できる配布元から取得さ 行 れたものであることがわかります。すべての正当なアプリケーションが署 名を持っていることが最善ですが、常にこれが可能というわけではありま せん。未署名のプロセスに対する制限は、明確にホワイトリストに登録さ れたもの以外のすべての未署名のプロセスの実行を阻止します。また、延 期期間を定義することも可能です。これは、エンドポイントのディスク上 に未署名のプロセスが最初に書き込まれてから一定期間、実行を阻止する というものです。攻撃は悪意のある実行ファイルをディスク上に書き込み 即座に実行するため、延期期間を利用して未署名のプロセスを制限するこ とは、マルウェアの攻撃を阻止するのに有効な対策です。詳細は、未署名 の実行ファイルの制限および例外の定義をご参照ください。 いずれの制限に対しても、対象オブジェクト、条件、制限の種類、および実行ファイルを管理す る際に取る動作を指定します。すべてのユーザー、グループ、組織ユニット、Active Directory に 表示されるコンピューター、または Traps がインストールされたエンドポイントを対象オブジェ クトにできます。Endpoint Security Manager は Traps がサーバーに送信するメッセージによってエ ンドポイントを特定します。ファイル、ファイルおよびファイルバージョン、もしくはエンドポ イントに存在するはずのレジストリパスによって条件が異なる可能性があります。 ユーザーが実行ファイルを開こうとするとき、Traps エージェントは(もし存在すれば)どの制 限ルールを適用するのか評価を下し、関連するアクションを実行します。アクションにより、 Traps エージェントがファイルの実行を阻止するかどうか、制限ルールが適用されたユーザーへ 通知を行うかどうかが左右されます。 制限ルールの作成および編集は Restrictions[ 制限 ] の概要および管理ページで行うことができます 。ルールを選択すると、ルールの詳 ((Policies > Malware > Restrictions[ ポリシー > マルウェア > 制限 ]) 細およびその他の実行可能な動作(Delete[ 削除 ]、Activate[ 有効化 ] / Deactivate[ 無効化 ]、またはルー ルの Edit[ 編集 ])が表示されます。詳細は、実行ファイルに対する制限の管理をご参照ください。 新規制限ルールの追加 新規制限ルールを作成し、エンドポイントにおいてどのように実行ファイルが実行されるかにつ いて制限を定義します。 新規制限ルールの追加 Step 1 新規制限ルールを開始します。 Advanced Endpoint Protection 管理者用ガイド Policies > Malware > Restrictions[ ポリシー > マルウェア > 制 限 ] を選択し新規ルールを Add[ 追加 ] します。 83 実行ファイルに対する制限の管理 マルウェアの防止 新規制限ルールの追加(続) Step 2 追加したい制限ルールの種類を選択 以下のいずれかを選択し、制限の種類に応じて設定を行い します。 ます。 • Local Folder Behavior[ ローカルフォルダの動作 ]— 詳細は ローカルフォルダのブラックリストへの登録をご参照 ください。 • Network Folder Behavior[ ネットワークフォルダの動作 ]— 詳細はネットワークフォルダのホワイトリストへの登 録をご参照ください。 • External Media[ 外部メディア ]— 詳細は外部メディア制限 および例外の定義をご参照ください。 • Child Processes[ 子プロセス ]— 詳細は子プロセス制限およ び例外の定義をご参照ください。 • Java[Java]— 詳細は Java の制限および例外の定義をご参照 ください。 • Unsigned Executables[ 未署名の実行ファイル ]— 詳細は未 署名の実行ファイルの制限および例外の定義をご参照 ください。 Step 3 (任意)ルールに条件を追加します。 デフォルトでは、ESM はルールに対して条件を適用しませ ん。条件を指定するには、Conditions[ 条件 ] タブを選択して ください。次に条件リストから条件を選択し、Add[ 追加 ] をクリックします。Selected Conditions[ 選択中の条件 ] リス トに条件が追加されます。必要に応じてさらに条件を追加 してください。条件リストに条件を追加する方法は、ルー ルの有効化の条件を定義をご参照ください。 Step 4 (任意)制限ルールを適用する対象オ デフォルトでは、ESM は組織のすべてのオブジェクトに新 ブジェクトを定義します。 規ルールを適用します。対象オブジェクトをより小さな範 囲に限定するには、Objects[ オブジェクト ] タブを選択し、 Users[ ユーザー ]、Computers[ コンピューター ]、Groups[ グ ループ ]、Organizational units[ 組織ユニット ]、または Existing endpoints[ 既存のエンドポイント ] を Include[ 含有 ] または Exclude[ 除外 ] エリアに入力します。 Endpoint Security Manager は Active Directory にユーザー、コンピューター、組織ユニッ トを認証するクエリを送信するか、それまでの通信メッ セージから既存のエンドポイントを特定します。 Step 5 (任 意)ル ー ル の 名 前 と 説 明 を レ ESMコンソールはルールの詳細に基づいてルールの名前と ビューします。 説明を自動生成します。自動生成された名前をオーバーラ イドするには、Name[ 名前 ] タブを選択し、Auto Description is Activated[ 概要の自動生成を有効 ] オプションの選択を解 除し、新しいルールの名前と説明を入力します。 Step 6 制限ルールを保存します。 以下のいずれかを実行します。 • ルールを Save[ 保存 ] します。後からルールを有効化する には、Policies > Malware > Restrictions[ ポリシー > マルウェ ア > 制限 ] ページからルールを選択し、Activate[ 有効化 ] をクリックします。 • ルールを Save & Apply[ 保存して適用 ] すると、 すぐにルー ルが有効化されます。 保存したルールは Policies > Malware > Restrictions[ ポリシー > マルウェア > 制限 ] ページに表示されます。同じ場所か ら適宜ルールを Delete[ 削除 ] または Deactivate[ 無効化 ] する ことができます。 84 Advanced Endpoint Protection 管理者用ガイド マルウェアの防止 実行ファイルに対する制限の管理 グローバルホワイトリストの管理 ローカルフォルダおよび外部メディアからの実行ファイルの実行を許可し、特定のフォルダにお いて親プロセスから生成される子プロセスを許可するには、グローバルホワイトリストを設定し ます。Java のプロセス、未署名の実行ファイルおよびスレッドインジェクションに対する既存の ホワイトリスト機能と同様に、パターンマッチにはフルパスおよびパス変数を指定することがで き、またワイルドカードを使用してマッチさせることもできます(% は類似の語に、* は 0 文字 以上の任意の文字に該当) 。 ホワイトリスト中の項目はブラックリストに登録された項目より優先され、セキュリティポリ シーにおいて最初に評価されます。 グローバルホワイトリストの管理 Step 1 ESM コンソールから、Policies > Malware > Restriction Settings[ ポリシー > マルウェア > 制限設定 ] を選択します。 Step 2 ホワイトリストにない場所から実行ファイルが開かれる際に Traps が実行ファイルをブロックす るかどうかを指定するには、Termination Mode[ 終了モード ] を設定します。 • Monitor[ 監視 ]— 実行ファイルとプロセスへのアクセスをブロックしませんが、ホワイトリス トにない場所からファイルが開かれる場合にはログを取り、イベントを ESM に報告します。 • Prevent[ ブロック ]— 実行ファイルとプロセスをブロックします。 Step 3 ホワイトリストにない場所から実行ファイルが開かれる際に Traps がユーザーに通知を行うかど うかを指定するには、Notification Mode[ 通知モード ] を設定します。 • On[On]— ユーザに通知します。 • Off[Off]— ユーザに通知しません。 Step 4 Local Folder[ ローカルフォルダ ]、Child Process[ 子プロセス ]、または Media Control[ メディア制御 ] のホワイトリストの領域の隣にあるフォルダ追加アイコン を ク リ ッ ク し、例 え ば C:\Windows\Temp* のようにフォルダパスを入力します。 Step 5 Commit[ コミット ] をクリックします。いつでも Restriction Settings[ 制限設定 ] ページに戻り、グ ローバルホワイトリストの設定を変更することができます。 Advanced Endpoint Protection 管理者用ガイド 85 実行ファイルに対する制限の管理 マルウェアの防止 ローカルフォルダのブラックリストへの登録 多くの攻撃手法は、悪意のある実行ファイルを「temp」や「download」といった特定のフォルダ に書き込み、実行することがベースになっています。一般的なローカルフォルダをブラックリス トに追加することで、それらのフォルダへのアクセスを制限することができます。ブラックリス トに登録されたフォルダからユーザーが実行ファイルを開こうとすると、Traps はそれをブロッ クし、ESM にセキュリティイベントを報告します。一般的な制限に例外を認可するには、フォ ルダをホワイトリストに追加します(グローバルホワイトリストの管理をご参照ください)。 ローカルフォルダのブラックリストへの登録 Step 1 新規制限ルールを開始します。 Policies > Malware > Restrictions[ ポリシー > マルウェア > 制 限 ] を選択し新規ルールを Add[ 追加 ] します。 Step 2 ローカルフォルダの挙動を定義し 1. ます。 2. 3. Restrictions[ 制限 ] のドロップダウンリストから Local Folder Behavior[ローカルフォルダの動作]を選択します。 ローカルフォルダから実行ファイルが実行されるのを ブロックするには、チェックボックスを選択し、フォ をクリックし、フォルダパスを ルダ追加アイコン Blacklist[ ブラックリスト ] セクションに追加します。 必要に応じて複数のフォルダを追加します。 Step 3 (任意)ルールに条件を追加します。 デフォルトでは、ESM はルールに対して条件を適用しませ ん。条件を指定するには、Conditions[ 条件 ] タブを選択して ください。次に条件リストから条件を選択し、Add[ 追加 ] をクリックします。Selected Conditions[ 選択中の条件 ] リス トに条件が追加されます。必要に応じてさらに条件を追加 してください。条件リストに条件を追加する方法は、ルー ルの有効化の条件を定義をご参照ください。 Step 4 (任意)制限ルールを適用する対象 デフォルトでは、ESM は組織のすべてのオブジェクトに新 オブジェクトを定義します。 規ルールを適用します。対象オブジェクトをより小さな範 囲に限定するには、Objects[ オブジェクト ] タブを選択し、 Users[ ユーザー ]、Computers[ コンピューター ]、Groups[ グ ループ ]、Organizational units[ 組織ユニット ]、または Existing endpoints[ 既存のエンドポイント ] を Include[ 含有 ] または Exclude[ 除外 ] エリアに入力します。 Endpoint Security Manager は Active Directory にユーザー、コンピューター、組織ユニッ トを認証するクエリを送信するか、それまでの通信メッ セージから既存のエンドポイントを特定します。 Step 5 (任 意)ル ー ル の 名 前 と 説 明 を レ ESM コンソールはルールの詳細に基づいてルールの名前と ビューします。 説明を自動生成します。自動生成された名前をオーバーラ イドするには、Name[ 名前 ] タブを選択し、Auto Description is Activated[ 概要の自動生成を有効 ] オプションの選択を解 除し、新しいルールの名前と説明を入力します。 Step 6 制限ルールを保存します。 以下のいずれかを実行します。 • ルールを Save[ 保存 ] します。後からルールを有効化する には、Policies > Malware > Restrictions[ ポリシー > マルウェ ア > 制限 ] ページからルールを選択し、Activate[ 有効化 ] をクリックします。 • ルールを Save & Apply[ 保存して適用 ] すると、 すぐにルー ルが有効化されます。 保存したルールは Policies > Malware > Restrictions[ ポリシー > マルウェア > 制限 ] ページに表示されます。同じ場所から 適宜ルールを Delete[ 削除 ] または Deactivate[ 無効化 ] するこ とができます。 86 Advanced Endpoint Protection 管理者用ガイド マルウェアの防止 実行ファイルに対する制限の管理 ネットワークフォルダのホワイトリストへの登録 リモートフォルダに悪意のある実行ファイルを書き込むことをベースにした攻撃手法を防ぐた めに、ネットワークフォルダの挙動制限ルールを作成し、実行ファイルの実行を許可するネット ワーク領域を定義することができます。ユーザーが制限ルールに指定されていないフォルダから 実行ファイルを開こうとすると、Traps はそれをブロックし、ESM にセキュリティイベントを報 告します。 ネットワークフォルダのホワイトリストへの登録 Step 1 新規制限ルールを開始します。 Policies > Malware > Restrictions[ ポリシー > マルウェア > 制 限 ] を選択し新規ルールを Add[ 追加 ] します。 Step 2 ネットワークフォルダの挙動を定 1. 義します。 2. 3. Restrictions[ 制限 ] のドロップダウンリストから Network Folder Behavior[ ネットワークフォルダの動作 ] を選択し ます。 特定のネットワークフォルダから実行ファイルが実行 されるのを許可するには、チェックボックスを選択し、 をクリックし、フォルダパス フォルダ追加アイコン を Whitelist[ ホワイトリスト ] セクションに追加します。 必要に応じて複数のフォルダを追加します。 Step 3 (任意)ルールに条件を追加します。 デフォルトでは、ESM はルールに対して条件を適用しませ ん。条件を指定するには、Conditions[ 条件 ] タブを選択して ください。次に条件リストから条件を選択し、Add[ 追加 ] をクリックします。Selected Conditions[ 選択中の条件 ] リス トに条件が追加されます。必要に応じてさらに条件を追加 してください。条件リストに条件を追加する方法は、ルー ルの有効化の条件を定義をご参照ください。 Step 4 (任意)制限ルールを適用する対象 デフォルトでは、ESM は組織のすべてのオブジェクトに新 オブジェクトを定義します。 規ルールを適用します。対象オブジェクトをより小さな範 囲に限定するには、Objects[ オブジェクト ] タブを選択し、 Users[ ユーザー ]、Computers[ コンピューター ]、Groups[ グ ループ ]、Organizational units[ 組織ユニット ]、または Existing endpoints[ 既存のエンドポイント ] を Include[ 含有 ] または Exclude[ 除外 ] エリアに入力します。 Endpoint Security Manager は Active Directory にユーザー、コンピューター、組織ユニッ トを認証するクエリを送信するか、それまでの通信メッ セージから既存のエンドポイントを特定します。 Step 5 (任 意)ル ー ル の 名 前 と 説 明 を レ ESM コンソールはルールの詳細に基づいてルールの名前と 説明を自動生成します。自動生成された名前をオーバーラ ビューします。 イドするには、Name[ 名前 ] タブを選択し、Auto Description is Activated[ 概要の自動生成を有効 ] オプションの選択を解 除し、新しいルールの名前と説明を入力します。 Step 6 制限ルールを保存します。 以下のいずれかを実行します。 • ルールを Save[ 保存 ] します。後からルールを有効化する には、Policies > Malware > Restrictions[ ポリシー > マルウェ ア > 制限 ] ページからルールを選択し、Activate[ 有効化 ] をクリックします。 • ルールを Save & Apply[ 保存して適用 ] すると、 すぐにルー ルが有効化されます。 保存したルールは Policies > Malware > Restrictions[ ポリシー > マルウェア > 制限 ] ページに表示されます。同じ場所から 適宜ルールを Delete[ 削除 ] または Deactivate[ 無効化 ] するこ とができます。 Advanced Endpoint Protection 管理者用ガイド 87 実行ファイルに対する制限の管理 マルウェアの防止 外部メディア制限および例外の定義 悪意のあるコードは、リムーバブルディスクや光学ドライブといった外部メディアを利用してエ ンドポイントへのアクセスを掌握することがあります。この問題を防ぐために、エンドポイント に接続された外部メディアからのファイルの実行を阻止する制限を定義することができます。外 部メディアの制限を定義することで、外部ドライブから実行ファイルを実行しようとするすべて の試みを阻止することができます。 外部メディア制限および例外の定義 Step 1 新規制限ルールを開始します。 Policies > Malware > Restrictions[ ポリシー > マルウェア > 制 限 ] を選択し新規ルールを Add[ 追加 ] します。 Step 2 外部メディアの挙動制限を定義し 1. ます。デフォルトでは、リムーバブ ルディスクおよび光学ドライブか 2. ら悪意のない未知のアプリケー ションを実行することが許可され ています。 Restrictions[ 制限 ] のドロップダウンリストから External Media[ 外部メディア ] を選択します。 アプリケーションの実行を阻止したい外部メディアの 種類をチェックボックスで選択します。 • Removable Drives • Optical Drives Step 3 (任意)ルールに条件を追加します。 デフォルトでは、ESM はルールに対して条件を適用しませ ん。条件を指定するには、Conditions[ 条件 ] タブを選択して ください。次に条件リストから条件を選択し、Add[ 追加 ] をクリックします。Selected Conditions[ 選択中の条件 ] リス トに条件が追加されます。必要に応じてさらに条件を追加 してください。条件リストに条件を追加する方法は、ルー ルの有効化の条件を定義をご参照ください。 Step 4 (任意)制限ルールを適用する対象 デフォルトでは、ESM は組織のすべてのオブジェクトに新 規ルールを適用します。対象オブジェクトをより小さな範 オブジェクトを定義します。 囲に限定するには、Objects[ オブジェクト ] タブを選択し、 Users[ ユーザー ]、Computers[ コンピューター ]、Groups[ グ ループ ]、Organizational units[ 組織ユニット ]、または Existing endpoints[ 既存のエンドポイント ] を Include[ 含有 ] または Exclude[ 除外 ] エリアに入力します。 Endpoint Security Manager は Active Directory にユーザー、コンピューター、組織ユニッ トを認証するクエリを送信するか、それまでの通信メッ セージから既存のエンドポイントを特定します。 Step 5 (任 意)ル ー ル の 名 前 と 説 明 を レ ESM コンソールはルールの詳細に基づいてルールの名前と ビューします。 説明を自動生成します。自動生成された名前をオーバーラ イドするには、Name[ 名前 ] タブを選択し、Auto Description is Activated[ 概要の自動生成を有効 ] オプションの選択を解 除し、新しいルールの名前と説明を入力します。 Step 6 制限ルールを保存します。 以下のいずれかを実行します。 • ルールを Save[ 保存 ] します。後からルールを有効化する には、Policies > Malware > Restrictions[ ポリシー > マルウェ ア > 制限 ] ページからルールを選択し、Activate[ 有効化 ] をクリックします。 • ルールを Save & Apply[ 保存して適用 ] すると、 すぐにルー ルが有効化されます。 保存したルールは Policies > Malware > Restrictions[ ポリシー > マルウェア > 制限 ] ページに表示されます。同じ場所から 適宜ルールを Delete[ 削除 ] または Deactivate[ 無効化 ] するこ とができます。 88 Advanced Endpoint Protection 管理者用ガイド マルウェアの防止 実行ファイルに対する制限の管理 子プロセス制限および例外の定義 攻撃者は正当なプロセスに悪意のある子プロセスを生成し、エンドポイントの制御を掌握するこ とがあります。制限ルールを定義し、あるプロセスから子プロセスが開始されるのを防ぎます。 子プロセス制限および例外の定義 Step 1 新規制限ルールを開始します。 Policies > Malware > Restrictions[ ポリシー > マルウェア > 制限 ] を選択し新規ルールを Add[ 追加 ] します。 Step 2 子プロセスの挙動制限を定義します。デ 1. フォルトでは、保護されたプロセスから の子プロセス生成が許可されています。 2. 3. Restrictions[ 制限 ] のドロップダウンリストから Child Processes[ 子プロセス ] を選択します。 制限したい Processes[ プロセス ] の種類を選択します。セキュ リティポリシーにより保護が有効になっているプロセスを 表示する場合は Protected[ 保護中 ] を、テストランが行われ ているプロセス、およびセキュリティポリシーにより有効に 保護されていないプロセスを表示する場合は Provisional & Unprotected[ 一時的保護および未保護 ] を選択します。 子プロセスを生成すべきでないプロセスをプロセスのリス トから選択し、Add[ 追加 ] をクリックします。選択したプロ セスは、Selected Processes[ 選択中のプロセス ] リストに表示されます。 CTRL キーを押したまま選択すると複数のプロセス を選択することができます。 プロセスリストを変更する方法については、プロセス 管理をご参照ください。 Step 3 (任意)ルールに条件を追加します。 Step 4 (任意)制限ルールを適用する対象オブ デフォルトでは、ESM は組織のすべてのオブジェクトに新規ルー ジェクトを定義します。 ルを適用します。対象オブジェクトをより小さな範囲に限定する には、Objects[ オブジェクト ] タブを選択し、Users[ ユーザー ]、 Computers[ コンピューター ]、Groups[ グループ ]、Organizational units[ 組織ユニット ]、または Existing endpoints[ 既存のエンドポ イント ] を Include[ 含有 ] または Exclude[ 除外 ] エリアに入力しま す。Endpoint Security Manager は Active Directory にユーザー、コン ピューター、組織ユニットを認証するクエリを送信するか、それ までの通信メッセージから既存のエンドポイントを特定します。 Step 5 (任意)ルールの名前と説明をレビュー ESMコンソールはルールの詳細に基づいてルールの名前と説明を します。 自動生成します。自動生成された名前をオーバーライドするに は、Name[ 名前 ] タブを選択し、Auto Description is Activated[ 概 要の自動生成を有効 ] オプションの選択を解除し、新しいルール の名前と説明を入力します。 Step 6 制限ルールを保存します。 Advanced Endpoint Protection 管理者用ガイド デフォルトでは、ESM はルールに対して条件を適用しません。条 件を指定するには、Conditions[ 条件 ] タブを選択してください。 次に条件リストから条件を選択し、Add[ 追加 ] をクリックします。 Selected Conditions[ 選択中の条件 ] リストに条件が追加されます。 必要に応じてさらに条件を追加してください。条件リストに条件 を追加する方法は、ルールの有効化の条件を定義をご参照くださ い。 以下のいずれかを実行します。 • ルールを Save[ 保存 ] します。後からルールを有効化するには、 Policies > Malware > Restrictions[ ポリシー > マルウェア > 制限 ] ページからルールを選択し、 Activate[有効化]をクリックします。 • ルールを Save & Apply[ 保存して適用 ] すると、すぐにルール が有効化されます。 保存したルールは Policies > Malware > Restrictions[ ポリシー > マ ルウェア > 制限 ] ページに表示されます。同じ場所から適宜ルー ルを Delete[ 削除 ] または Deactivate[ 無効化 ] することができます。 89 実行ファイルに対する制限の管理 マルウェアの防止 Java の制限および例外の定義 リモートホストからインポートされインターネットブラウザ上で実行される Java のプロセスを 通して悪意のあるコードが侵入することがあります。これらのエクスプロイトを防止するため に、Java アプレットがブラウザ上でオブジェクトを実行しないように設定することができます。 また、信頼できるプロセスをホワイトリストに登録することで、それらの実行を許可することが できます。これらのプロセスが読み込み、書き込み可能なファイルの種類、場所およびレジスト リパスを選択できます。 Java の制限および例外の定義 Step 1 新規制限ルールを開始します。 Step 2 Java す。 Policies > Malware > Restrictions[ ポリシー > マルウェア > 制 限 ] を選択し新規ルールを Add[ 追加 ] します。 のプロセスの制限を定義しま 1. デフォルトでは、Java のプロ 2. セスの制限は無効になってい ます。Java EPM 設定を有効に 3. することで、Java のプロセス に対する制限を設定できるよ うになりますが、これにより いずれかの EPM ルールが有効 / 無効になることはありません。 4. Restrictions[制限]のドロップダウンリストから Java[Java] を選択します。 Java EPM settings[Java EPM 設定 ] オプションから Enable Java EPM[Java EPM を有効化 ] を選択します。 Java Whitelisted Processes[Javaホワイトリストのプロセス] セクションで ボタンをクリックし、ブラウザからの 実行を許可する Java のプロセス(例:AcroRd32.exe)を 指定します。プロセスをさらに追加する場合はこの操 作を繰り返します。 Java のプロセスがレジストリの設定変更を行えるよう にするには、Registry Modifications[ レジストリ変更 ] の ドロップダウンリストから Enabled[ 有効 ] を選択し、レ ジストリのパーミッションを設定します。 a. それぞれのレジストリパスについて、Read[ 読込 ]、 Write[ 書込 ] および Delete[ 削除 ] の各権限に対して Allow[ 許可 ]、Block[ ブロック ] または Inherit[ 継承 ] (デフォルト設定)のいずれかを適宜設定します。 b. 5. Java のプロセスがファイルの読み込み / 書き込みがで きるかどうかを指定するには、File System Modifications[ ファイルシステムの変更 ] のドロップダウンリストか ら Enabled[ 有効 ] を選択し、ファイルのパーミッション を設定します。 a. それぞれの新しいファイルパターンに対して、読み 込みおよび書き込みの各権限に対して Allow[ 許可 ]、 Block[ ブロック ] または Inherit[ 継承 ](デフォルト 設定)のいずれかを適宜設定します。 b. 6. ボタンをクリックすると、レジストリパスをさら に追加することができます。 ボタンをクリックして新しいファイルパターン を追加します。 Browsers[ ブラウザ ] リストから、Java 保護を有効にする ブラウザを選択 / 解除します。 Step 3 (任意)ルールに条件を追加します。 デフォルトでは、ESM はルールに対して条件を適用しませ ん。条件を指定するには、Conditions[ 条件 ] タブを選択して ください。次に条件リストから条件を選択し、Add[ 追加 ] をクリックします。Selected Conditions[ 選択中の条件 ] リス トに条件が追加されます。必要に応じてさらに条件を追加 してください。条件リストに条件を追加する方法は、ルー ルの有効化の条件を定義をご参照ください。 90 Advanced Endpoint Protection 管理者用ガイド マルウェアの防止 実行ファイルに対する制限の管理 Java の制限および例外の定義(続) Step 4 (任意)制限ルールを適用する対象オ デフォルトでは、ESM は組織のすべてのオブジェクトに新 規ルールを適用します。対象オブジェクトをより小さな範 ブジェクトを定義します。 囲に限定するには、Objects[ オブジェクト ] タブを選択し、 Users[ ユーザー ]、Computers[ コンピューター ]、Groups[ グ ループ ]、Organizational units[ 組織ユニット ]、または Existing endpoints[ 既存のエンドポイント ] を Include[ 含有 ] または Exclude[ 除外 ] エリアに入力します。 Endpoint Security Manager は Active Directory にユーザー、コンピューター、組織ユニッ トを認証するクエリを送信するか、それまでの通信メッ セージから既存のエンドポイントを特定します。 Step 5 (任 意)ル ー ル の 名 前 と 説 明 を レ ESMコンソールはルールの詳細に基づいてルールの名前と ビューします。 説明を自動生成します。自動生成された名前をオーバーラ イドするには、Name[ 名前 ] タブを選択し、Auto Description is Activated[ 概要の自動生成を有効 ] オプションの選択を解 除し、新しいルールの名前と説明を入力します。 Step 6 制限ルールを保存します。 以下のいずれかを実行します。 • ルールを Save[ 保存 ] します。後からルールを有効化する には、Policies > Malware > Restrictions[ ポリシー > マルウェ ア > 制限 ] ページからルールを選択し、Activate[ 有効化 ] をクリックします。 • ルールを Save & Apply[ 保存して適用 ] すると、 すぐにルー ルが有効化されます。 保存したルールは Policies > Malware > Restrictions[ ポリシー > マルウェア > 制限 ] ページに表示されます。同じ場所か ら適宜ルールを Delete[ 削除 ] または Deactivate[ 無効化 ] する ことができます。 未署名の実行ファイルの制限および例外の定義 デジタル署名のある署名付きのプロセスは、信頼できる配布元から取得されたものであることが わかります。すべての正当なアプリケーションが署名を持っていることが最善です。未署名のプ ロセスに対して制限を加えると、明示的に許可したプロセス以外のすべての未署名のプロセスの 実行が阻止されます。延期期間を定義することも可能です。これは、未署名のプロセスがエンド ポイントのディスクに最初に書き込まれてから一定の時間実行を阻止するものです。攻撃は悪意 のある実行ファイルをディスク上に書き込み即座に実行するため、延期期間を利用して未署名の プロセスを制限することは、マルウェアの攻撃を阻止するのに有効な対策です。 未署名の実行ファイルの制限および例外の定義 Step 1 新規制限ルールを開始します。 Advanced Endpoint Protection 管理者用ガイド Policies > Malware > Restrictions[ ポリシー > マルウェア > 制 限 ] を選択し新規ルールを Add[ 追加 ] します。 91 実行ファイルに対する制限の管理 マルウェアの防止 未署名の実行ファイルの制限および例外の定義(続) Step 2 未署名の実行ファイルの制限を定義 1. します。 2. 3. 4. Restrictions[ 制限 ] のドロップダウンリストから Unsigned Executables[ 未署名の実行ファイル ] を選択します。 実行ファイルがエンドポイントのディスク上に最初に 書き込まれてから未署名のプロセスが実行されるのを 延期する期間を、Blacklist Period[ ブラックリスト遅延時 間 ] 欄に分単位で入力します。 定義した期間を待たずにプロセスを即座に実行させる に は、 を ク リ ッ ク し、該 当 プ ロ セ ス を Whitelisted Processes[ ホワイトリストのプロセス ] に追加します。 プロセスが特定のフォルダ内にある場合に定義した時 間を待たずに即座に実行させるには、 をクリックし、 該当フォルダを Whitelisted Paths[ホワイトリストのパス] リストに追加します。 Step 3 (任意)ルールに条件を追加します。 デフォルトでは、ESM はルールに対して条件を適用しませ ん。条件を指定するには、Conditions[ 条件 ] タブを選択して ください。次に条件リストから条件を選択し、Add[ 追加 ] をクリックします。Selected Conditions[ 選択中の条件 ] リス トに条件が追加されます。必要に応じてさらに条件を追加 してください。条件リストに条件を追加する方法は、ルー ルの有効化の条件を定義をご参照ください。 Step 4 (任意)制限ルールを適用する対象オ デフォルトでは、ESM は組織のすべてのオブジェクトに新 規ルールを適用します。対象オブジェクトをより小さな範 ブジェクトを定義します。 囲に限定するには、Objects[ オブジェクト ] タブを選択し、 Users[ ユーザー ]、Computers[ コンピューター ]、Groups[ グ ループ ]、Organizational units[ 組織ユニット ]、または Existing endpoints[ 既存のエンドポイント ] を Include[ 含有 ] または Exclude[ 除外 ] エリアに入力します。 Endpoint Security Manager は Active Directory にユーザー、コンピューター、組織ユニッ トを認証するクエリを送信するか、それまでの通信メッ セージから既存のエンドポイントを特定します。 Step 5 (任 意)ル ー ル の 名 前 と 説 明 を レ ESMコンソールはルールの詳細に基づいてルールの名前と ビューします。 説明を自動生成します。自動生成された名前をオーバーラ イドするには、Name[ 名前 ] タブを選択し、Auto Description is Activated[ 概要の自動生成を有効 ] オプションの選択を解 除し、新しいルールの名前と説明を入力します。 Step 6 制限ルールを保存します。 以下のいずれかを実行します。 • ルールを Save[ 保存 ] します。後からルールを有効化する には、Policies > Malware > Restrictions[ ポリシー > マルウェ ア > 制限 ] ページからルールを選択し、Activate[ 有効化 ] をクリックします。 • ルールを Save & Apply[ 保存して適用 ] すると、すぐにルー ルが有効化されます。 保存したルールは Policies > Malware > Restrictions[ ポリシー > マルウェア > 制限 ] ページに表示されます。同じ場所か ら適宜ルールを Delete[ 削除 ] または Deactivate[ 無効化 ] す ることができます。 92 Advanced Endpoint Protection 管理者用ガイド マルウェアの防止 WildFire のルールおよび設定の管理 WildFire のルールおよび設定の管理 S WildFire の有効化 S WildFire ルール S WildFire ルールの設定 WildFire の有効化 WildFire は、ローカルでの WildFire アプライアンス、あるいは WildFire クラウドを用いて未知の 実行ファイルなどの見慣れないファイルの分析を行う Palo Alto Networks のサンドボックスソ リューションです。WildFire には、検査したファイルすべてに対する判定が保持されています。 安全なファイルの場合には安全、マルウェアの場合には有害という判定です。Traps と共に提供 される WildFire インテグレーションは、Traps のエンドポイントソリューションに WildFire の分 析機能を統合したオプションサービスです。 ユーザーあるいはマシンがエンドポイント上で実行ファイルを開こうとすると、Traps はハッ シュ と呼ばれるユニークな識別子を生成し、これが WildFire のデータベースに反しないかを チェックします。WildFire によりファイルを既知のマルウェアだと確認された場合、Traps エー ジェントはファイルをブロックし、Endpoint Security Manager に通知します(詳細は実行ファイル のハッシュの管理をご参照ください)。デフォルトでは、WildFire インテグレーションは無効に 設定されています。 WildFire の有効化 Step 1 ESM コンソールから、Settings > General > WildFire[ 設定 > 一般 > WildFire] を選択します。 Step 2 ESM サーバーが未知のファイルに対するハッシュを WildFireに送信する頻度を分単位で入力しま す。エンドポイントがサーバーにはじめてハッシュを送信するときや、WildFire がそのファイル を以前に分析していない場合には、、ファイルは未知(unknown)という判定を受けます。値は デフォルトでは 30 分に設定されており、1 から 20,160 の間で設定できます。 Step 3 ESM サーバーが WildFire で既知の安全 / 有害なハッシュを再チェックする頻度を分単位で入力し ます。値はデフォルトでは 1,440 分(24 時間)に設定されており、1 から 20,160 の間で設定できます。 Step 4 デフォルトでは、 (Step 3 で指定されたように 24 時間ごとに)ESM サーバーは WildFire にクエリ を送り、過去 30 日以内に変更された判定があればそれがどの判定かを確認します。ESM サー バーが過去何日間まで遡って変更を検索するのかについて、設定を変更するには Verdict change check interval[ 判定の変更をチェックする間隔 ] 欄に 1 ∼ 30 日の間で値を設定します。例えば、値 を 15 に指定すると、ESM サーバは過去 15 日間に変更された判定を検索します。 Advanced Endpoint Protection 管理者用ガイド 93 WildFire のルールおよび設定の管理 マルウェアの防止 WildFire の有効化(続) Step 5 WildFire 設定の有効化 • Allow external communication with WildFire servers:[WildFire サーバーとの外部通信を許可:] を true に設定し、ESM が WildFire でのハッシュのチェックを行えるようにします。 • Allow upload executables to WildFire servers:[WildFire サーバーへの実行ファイルのアップロードを 許可:] を true に設定し、ESM が分析用ファイルを WildFire に送信できるようにします。判定 のチェックのみを行う場合は、このオプションを false に設定します。 Step 6 ハッシュおよびファイルのチェックを行うWildFireサーバーのウェブアドレス (ローカルのWF-500 アプライアンスまたは WildFire クラウド:https://wildfire.paloaltonetworks.com)を入力します。 Step 7 デフォルトでは、ESM サーバーが分析のために WildFire に送信するファイルは 10MB までとなっ ています。最大ファイルサイズを変更するには、1 ∼ 100MB の間で値を入力します。最大サイズ を超過するファイルは、自動、手動にかかわらず WildFire には送信されません。 WildFire ルール WildFire ルールを設定し、対象オブジェクトの各グループのために行う実行ファイルの分析に関 する挙動を細かく設定します。すべてのユーザー、グループ、組織ユニット、Active Directory に 表示されるコンピューター、または Traps がインストールされたエンドポイントを対象オブジェ クトにできます。Endpoint Security Manager は Traps がサーバーに送信するメッセージによってエ ンドポイントを特定します。 未知のファイルを WildFire に送信して分析を行うかどうか、Traps が悪意のある実行ファイルに ついてユーザーに通知するかどうか、サーバーあるいは WildFire との通信がない際の Traps の挙 動、WildFire がプロセスを認識しない時の Traps の挙動を各 WildFire ルールそれぞれに対し設定 することができます。WildFire ルールの作成および編集は WildFire[WildFire] の概要および管理ペー ジで行うことができます(Policies > Malware > WildFire[ ポリシー > マルウェア > WildFire]) 。ルール を選択すると、ルールの詳細およびその他の実行可能な動作(Delete[ 削除 ]、Activate[ 有効化 ] / Deactivate[ 無効化 ]、またはルールの Edit[ 編集 ])が表示されます。 詳細は、WildFire の有効化をご参照ください。 WildFire ルールの設定 WildFire が有効になっている場合、 Traps は各実行ファイルに対してユニークなハッシュを生成し、 ファイルのステータスを WildFire で確認します。WildFire ルールを設定することで、設定を微調整 し様々な対象オブジェクトに対して機能を有効にすることができます。 未知のファイルを WildFire に送信して分析を行うかどうか、Traps が悪意のある実行ファイルについてユーザーに通知するか どうか、サーバーあるいは WildFire との通信がない際の Traps の挙動、WildFire がプロセスを認識 しない時の Traps の挙動を各 WildFire ルールそれぞれに対し設定することができます。 WildFire ルールの設定 Step 1 WildFire が有効になっていることを WildFire の有効化をご参照ください。 確認します。 Step 2 新規 WildFire ルールを開始します。 1. Policies > Malware > WildFire[ ポリシー > マルウェア > 2. WildFire] を選択します。 新規ルールを Add[ 追加 ] するか、既存のルールを選択 し Edit[ 編集 ] します。 94 Advanced Endpoint Protection 管理者用ガイド マルウェアの防止 WildFire のルールおよび設定の管理 WildFire ルールの設定(続) Step 3 (任意)WildFire の設定を行います。 1. デフォルトでは、WildFire はデフォ ルトポリシーから動作を受け継ぎ ま す。組 織 の ニ ー ズ に 合 わ せ て WildFire の設定を行うことで、設定 2. をオーバーライドできます。 3. 左側で WildFire インテグレーションを Disable[ 無効 ] も しくは Enable[ 有効 ] にします。WildFire インテグレー ションを有効にすると、Traps はハッシュ判定を生成し、 ローカルキャッシュのハッシュと照らし合わせます。 Traps が ESM サーバーに未知のファイルをアップロー ドできるようにするためには、Executable Upload[ 実行 ファイルをアップロード]のドロップダウンリストから Enabled[ 有効 ] を選択します。 WildFire により実行ファイルが有害であると判断され たときの Traps の挙動として Termination Mode[ 終了モー ド ] を選択します。 • デフォルトポリシーで定義された挙動を使用するに は、Inherit[ 継承 ] を選択します(デフォルトポリシー は学習モードを使用します)。 • 悪 意 の あ る 実 行 フ ァ イ ル を ブ ロ ッ ク す る に は、 Terminate[ 終了 ] を選択します。 • ユーザーに実行ファイルを開くことを許可し、問題 を記録してユーザーに通知するには、Notify[ 通知 ] を 選択します。 • ユーザーに有害な実行ファイルを開くことを許可 し、問題の記録のみ行いユーザへの通知は行わない 場合、Learning[ 記録 ] を選択します。 4. 5. User Notification[ ユーザー通知 ] ドロップダウンリスト から On[On] または Off[Off] を選択し、Traps が有害な実 行ファイルに関してユーザーに通知するかどうかを指 定します。 No Communication Behavior[ 未接続時の動作 ] 欄からオプ ションをひとつ選択し、エンドポイントが ESM サー バーあるいは WildFire と接続を確立できない場合の動 作を指定します。デフォルトでは、Traps は 2 時間(120 分)ごとにクエリの送信を試みます。 • Continue[ 続行 ] を選択すると、Traps が ESM サーバー あるいはWildfireとの接続を確立できずファイルの安 全性を確認できない場合でも、実行ファイルを開く ことを許可します。 • Terminate[ 終了 ] を選択すると、Traps が ESM サーバー あるいはWildfireとの接続を確立できずファイルの安 全性を確認できない場合には、実行ファイルをブ ロックします。 6. WildFire がプロセスを認識しない場合の Traps の挙動と して、Unknown Process Behavior[ 未知のプロセスの動作 ] を選択します。 • Continue[ 続行 ] を選択すると、ユーザーは未知の実 行ファイルを開くことができます。 • 未知の実行ファイルをブロックするには、Terminate [ 終了 ] を選択します。 Advanced Endpoint Protection 管理者用ガイド 95 WildFire のルールおよび設定の管理 マルウェアの防止 WildFire ルールの設定(続) Step 4 (任意)ルールに条件を追加します。 デフォルトでは、ESM はルールに対して条件を適用しませ ん。条件を指定するには、Conditions[ 条件 ] タブを選択して ください。次に条件リストから条件を選択し、Add[ 追加 ] をクリックします。Selected Conditions[ 選択中の条件 ] リス トに条件が追加されます。必要に応じてさらに条件を追加 してください。条件リストに条件を追加する方法は、ルー ルの有効化の条件を定義をご参照ください。 Step 5 (任意)WildFire ルールを適用する対 デフォルトでは、ESM は組織のすべてのオブジェクトに新 規ルールを適用します。対象オブジェクトをより小さな範 象オブジェクトを定義します。 囲に限定するには、Objects[ オブジェクト ] タブを選択し、 Users[ ユーザー ]、Computers[ コンピューター ]、Groups[ グ ループ ]、Organizational units[ 組織ユニット ]、または Existing endpoints[ 既存のエンドポイント ] を Include[ 含有 ] または Exclude[ 除外 ] エリアに入力します。 Endpoint Security Manager は Active Directory にユーザー、コンピューター、組織ユニッ トを認証するクエリを送信するか、それまでの通信メッ セージから既存のエンドポイントを特定します。 Step 6 (任 意)ル ー ル の 名 前 と 説 明 を レ ESM コンソールはルールの詳細に基づいてルールの名前と 説明を自動生成します。自動生成された名前をオーバーラ ビューします。 イドするには、Name[ 名前 ] タブを選択し、Auto Description is Activated[ 概要の自動生成を有効 ] オプションの選択を解 除し、新しいルールの名前と説明を入力します。 Step 7 WildFire ルールを保存します。 以下のいずれかを実行します。 • ルールを Save[ 保存 ] します。後からルールを有効化する には、Policies > Malware > WildFire[ ポリシー > マルウェア > WildFire] ページからルールを選択し、Activate[ 有効 ] を クリックします。 • ルールを Save & Apply[ 保存して適用 ] すると、すぐにルー ルが有効化されます。 WildFire ルールは Policies > Malware > WildFire[ ポリシー > マ ルウェア > WildFire] ページに表示されます。同じ場所から 適宜ルールを Delete[ 削除 ] または Deactivate[ 無効化 ] するこ とができます。 96 Advanced Endpoint Protection 管理者用ガイド マルウェアの防止 実行ファイルのハッシュの管理 実行ファイルのハッシュの管理 WildFire インテグレーションが有効になっている場合、Traps はエンドポイント上で実行された 実行ファイルに対してユニークなハッシュを生成し、WildFire と照らし合わせて確認します。Hash Control[ ハッシュ制御 ] ページには、WildFire に送られた各ハッシュに対する WildFire の反応が表 示されます。 WildFire が既に分析を行い、マルウェアだと判断している実行ファイルに対しては、WildFire は 実行ファイルが Malicious[ 有害 ] であると返します。WildFire が既に分析を行い、悪意のあるコー ドや挙動が含まれていないと判断している実行ファイルに対しては、WildFire は実行ファイルが Benign[ 安全 ] であると返します。WildFire がそれまでにその実行ファイルを分析していない場合 には、ファイルのステータスが Unknown[ 未知 ] となります。ESM サーバーが WildFire との接続を 確立できない場合、ファイルのステータスは No Connection[ 接続なし ] となります。WildFire イン テグレーションの設定で、有害、安全、未知、接続なしの各判定に対する動作を指定します (WildFire の有効化をご参照ください)。 S ハッシュの表示と検索 S WildFire レポートの表示 S WildFire の決定のオーバーライド S WildFire の決定の取り消し S 分析用ファイルを WildFire へアップロード ハッシュの表示と検索 Hash Control[ ハッシュ制御 ] ページには、 組織内で Traps エージェントが報告したすべての実行ファ イルとその判定の表が表示されます。ページ上部の検索フィールドに文字列の全体または一部を 入力すれば、結果をフィルタリングすることができます。ハッシュ値やプロセス名で検索し、一 致する結果を返します。ハッシュはユニークですが、プロセス名は重複することもあります。 ハッシュのエクスポートおよびインポート ハッシュ制御 ] ページでは、組織内でユーザーあるいはマシンが開こうと試みたすべ ての実行ファイルに関連付けられたハッシュおよび判定に関する情報が表示されます。ハッシュ レコードを XML ファイルにエクスポートすることで定期的にバックアップをとることが可能で す。ハッシュレコードのエクスポートは、新しいサーバーへの移管やアップグレードの前にも有 用です。ハッシュレコードをインポートすると、既存のハッシュ制御テーブルに新たなハッシュ が追加されます。 Hash Control[ Advanced Endpoint Protection 管理者用ガイド 97 実行ファイルのハッシュの管理 マルウェアの防止 ハッシュファイルのエクスポートおよびインポート Step 1 ESM コンソールから、Policies > Malware > Hash Control[ ポリシー > マルウェア > ハッシュ制御 ] を 選択します。 Step 2 以下のいずれかを実行します。 • ハッシュレコードをエクスポートします。 • すべてのレコードをエクスポートするには、表の上部から メニューを選択し、さらに Export all[ すべてエクスポート ] を選択します。 • レコードをエクスポートするには、レコードの横のチェックボックスを選択します。次に、表 の上部にある メニューから、Export selected[ 選択中のものをエクスポート ] を選択します。 Endpoint Security Manager により、選択したルールが XML ファイルに保存されます。 • 新規ポリシールールをインポート、または復元するには、表の上部の メニューから Import hashes[ ハッシュをインポート ] を選択します。ポリシーファイルを参照し、Upload[ アップロー ド ] をクリックします。 WildFire レポートの表示 ESM は、WildFire がそれまでに分析したすべての実行ファイルに対する挙動についての概要を含 む WilFire レポートをキャッシュします。WildFire レポートは PDF フォーマットで取得可能で、 ある実行ファイルに対するWildFireの決定をオーバーライドするか否かを判断する際に利用可能 な情報が含まれています。 ESM コンソールでの WildFire レポートの閲覧 Step 1 ESM コンソールから、Policies > Malware > Hash Control[ ポリシー > マルウェア > ハッシュ制御 ] を選択します。 Step 2 レポートを閲覧したいハッシュを検索し、選択します。 98 Advanced Endpoint Protection 管理者用ガイド マルウェアの防止 実行ファイルのハッシュの管理 ESM コンソールでの WildFire レポートの閲覧(続) Step 3 Get Report[ レポートを取得 ] をクリックします。ESM コンソールがキャッシュされたレポートを 表示します。 WildFire の決定のオーバーライド WildFire 判定に影響を与えることなく、ファイルを許可するかブロックするかについての WildFire の決定をローカルでオーバーライドすることができます。これは、グローバルセキュリティポリ シーを変更することなく特定のファイルに例外を設定する際に役立ちます。判定をオーバーライ ドした後、ESM コンソールはハッシュ制御ページにおいて WildFire 判定に関するすべての変更 を表示します。オーバーライドは取り消されるまで維持されます。取り消しを行うと、判定は サーバーが最後に保持していた状態に戻されます。 例えば、WildFire が特定のハッシュに対する判定を返し、そのファイルが未知のものであると示 しているケースを考えます。セキュリティポリシーによってすべての未知のファイルをブロック する設定になっており、さらに対象のファイルが安全であると考えられる場合に、グローバルポ リシーを変更することなく特定のファイルの実行を許可するようにポリシーをオーバーライド することができます。その後、ファイルが分析され、そのファイルが有害であるとする新たな判 定を WildFire が返した場合には、ハッシュ制御ページで通知を確認することができます。この場 合、オーバーライドを取り消し、セキュリティポリシーが悪意のあるファイルをブロックするこ とを許可することができます。 Advanced Endpoint Protection 管理者用ガイド 99 実行ファイルのハッシュの管理 マルウェアの防止 WildFire の決定の管理 Step 1 ハ ッ シ ュ に 対 す る ロ ー カ ル の 1. ESM コンソールで、Policies > Malware > Hash Control[ ポ リシー > マルウェア > ハッシュ制御 ] を選択します。 WildFire の決定をオーバーライドし ます。 2. (任意)検索ボックスにプロセスのハッシュまたは名前 を入力し、Enter キーを押します。 3. プロセスのハッシュを選択します。WildFire 判定をオー バーライドし、ファイルの実行を許可する場合は Allow [ 許可 ] を、ブロックする場合は Block[ ブロック ] をク リックします。 Step 2 WildFire 判定の変更を確認し、ロー ESM サーバーは、データベースに保存されたあらゆるハッ カルのオーバーライドを取り除く シュに対して判定が変更されたかどうかを確認するため に、予め設定されている間隔で WildFire に問い合わせます。 べきかどうかを判断します。 定期的に ESM コンソールの Policy > Malware > Hash Control [ ポリシー > マルウェア > ハッシュ制御 ] ページから判定 にかかわる変更を確認します。 Step 3 WildFire 判定のローカルのオーバー オーバーライドの決定は、許可決定(ファイルの実行を許 可するように判定を上書き)とブロック決定(ファイルの ライドを取り除きます。 実行をブロックするように判定を上書き)にグループ化さ れます。 1. ESM コンソールで、Policies > Malware > Override Verdicts [ ポリシー > マルウェア > 判定をオーバーライド ] を選 択します。 2. プロセスのハッシュを選択し、Undo[ やり直し ] をク リックすると、サーバー上の最後に保存された判定に 戻ります。 WildFire の決定の取り消し 判定の再チェックを即座に実行するには、ESM サーバー上のハッシュを取り消します。これは、 あるファイルに対する判定が WildFire により変更された可能性があり、WildFire が更新した判定 を求めるクエリを ESM サーバーに強制的に送信させたい場合に役に立ちます。WildFire からレ スポンスを受け取ると、ESM サーバーはサーバーキャッシュを更新します。そして次回の Traps とのハートビート通信の際に、ESM サーバーはユーザーが実行ファイルを開こうとしたエンド ポイントすべてに対して判定を送信します。 WildFire の決定の取り消し Step 1 ESM コンソールから、Policies > Malware > Hash Control[ ポリシー > マルウェア > ハッシュ制御 ] を 選択します。 Step 2 特定のハッシュに対する WildFire 判定を確認するには、以下のいずれかを実行します。 • ハッシュ値やプロセス名を検索するには、ページ上部の検索を使用します。 • 各ページ上部の右側にあるページ送り機能を使用すれば、表の別の部分を確認できます。 100 Advanced Endpoint Protection 管理者用ガイド マルウェアの防止 実行ファイルのハッシュの管理 WildFire の決定の取り消し(続) Step 3 プロセスハッシュのより詳細な情報を確認するには行を選択し、以下のいずれかを実行します。 • Review List[ リストをレビュー ] を選択し、プロセスハッシュのすべてのインスタンスを確認し ます。プロセスのハッシュに5つ以上のインスタンスがある場合はオプションを選択可能です。 • Revoke Hash[ ハッシュを再取得 ] を選択し、ハッシュに対する判定を WildFire に再度リクエス トします。 分析用ファイルを WildFire へアップロード Advanced Endpoint Protection ソリューションの統合前、WildFire は通常、ファイアウォールから送 信・アップロードされた実行ファイル、もしくは WildFire ポータルを使用して送信された実行 ファイルのみを分析していました。これは、よく利用する実行ファイルのいくつかが事前に分析 されない可能性がったことを意味します。なぜなら、従来の方法ではこれらのファイルを送信す ることは珍しかったからです。ESM サーバーおよび WildFire にとって未知の実行ファイルの数 を減らすために、手動もしくは自動で WildFire にファイルを送信し、その場で分析を行うことが 可能です。自動で未知のファイルを WildFire に送信する方法については、WildFire の有効化をご 参照ください。 未知のファイルの自動送信オプションが無効になっている場合、場合に応じて手動でファイルを アップロードすることも可能です。ユーザーが未知の実行ファイルを開いたとき、Traps はファ イルをフォレンジックフォルダへアップロードします。また、このファイルは設定された最大サ イズを超えてはいけません。次に、ファイルの手動アップロードを開始する際、ESM サーバは ファイルをフォレンジックフォルダから WildFire へと送信します。 WildFire が分析を完了し、判定とレポートを返した後に、ESM サーバーは変更された判定をすべ ての Traps エージェントに送信し、ポリシーを実行します。 未知のファイルの自動送信機能が有効なエージェント、あるいは手動によりそれらを送信する エージェントが増えると、あらゆるユーザーにとって、未知のファイルの総数が劇的に減少する はずです。 分析用ファイルの WildFire へのアップロード Step 1 ESM コンソールから、Policies > Malware > Hash Control[ ポリシー > マルウェア > ハッシュ制御 ] を 選択します。 Step 2 特定のハッシュに対する WildFire 判定を確認するには、以下のいずれかを実行します。 • ハッシュ値やプロセス名を検索するには、ページ上部の検索を使用します。 • 各ページ上部の右側にあるページ送り機能を使用すれば、表の別の部分を確認できます。 • 表の項目をフィルタリングするには、列の右側のフィルタアイコン をクリックし、フィル タリング基準を 2 つまで指定します。例えば、Verdict[ 判定 ] 列を未知のファイルでフィルタリ ングします。 Step 3 プロセスのハッシュのより詳細な情報を確認するには行を選択し、ファイルを WildFire に Upload [ アップロード ] します。 Advanced Endpoint Protection 管理者用ガイド 101 マルウェア防止ルールの管理 マルウェアの防止 マルウェア防止ルールの管理 マルウェア防止ルールによりマルウェアに関連する挙動を制限することができます。これが有効 になっている場合、これらのモジュールは、ポリシーで指定されたプロセスにのみプロセスイン ジェクションを許可するホワイトリストモデルを使用します。ESM ソフトウェアとともに事前 設定されているデフォルトのマルウェア防止ポリシーは、正当だと判断されているプロセスが他 のプロセス、モジュールに挿入されるよう、例外を許可します。 Traps のルールのメカニズムは、セキュリティポリシーに新たなマルウェア防止ルールを追加し た場合、設定されたすべてのルールを、各エンドポイントのために評価されるひとつの効果的な ポリシーに統合するようにできています。2 つ以上のルールが衝突する恐れがある場合には、例 えば変更日などの判断基準により、どちらのルールが効力を持つかが決定されます。言い換える と、より新しく作成 / 編集されたルールのほうが、古いルールより優先されるということです。 結果として、あらゆる新しいマルウェア防止ルールには、デフォルトポリシーをオーバーライド することでその効力を低下させる、あるいはエンドポイントを不安定にする可能性があります。 また、ユーザー定義のホワイトリストは異なるルール間で結合されず、そのルールが優先される 場合にのみ評価されることになります。 新しいマルウェア防止ルールを設定する際には、デフォルトポリシーのオーバーライドとオペ レーティングシステムの不安定化を防ぐように注意してください。 マルウェア防止ルールの設定に関してご質問がある場合は、サポートチームまたは担当のセー ルスエンジニアまでお問い合わせください。 誤ってデフォルトポリシーをオーバーライドしてしまわないように、デフォルトポリシーがカ バーしていないプロセスにのみ新しいルールを設定することを推奨します。新しいルールを設定 する際には、親プロセスのマルウェアモジュール防御を有効にし、デフォルトのポリシー設定を 使用するかあるいはルール設定をカスタマイズして組織に合ったものにすることができます。す でに保護されているプロセスに対するセキュリティポリシーを変更するには、以下の手順に従っ て、デフォルトポリシーをインポートし、お客様のセキュリティポリシーに合致するよう必要に 応じて変更することを推奨します。 S マルウェア防止ルール S スレッドインジェクション保護の設定 S サスペンドガード保護の設定 マルウェア防止ルール マルウェア防止ルールは、マルウェアによって引き起こされる一般的なプロセスに対処するマル ウェアモジュールを使用して、悪意のないファイルに偽装したり紛れ込んだりするマルウェアが 実行されるのを阻止します。 オプトイン(特定のプロセスを保護するためにモジュールを有効化するもの)であるエクスプロ イト防止ルールと異なり、マルウェア防止ルールはオプトアウト(一様にプロセスを保護し、定 義されたアクションを実行してもよいプロセスを指定するためにモジュールを有効化するもの) です。 プロセスすべてに対するマルウェア防止モジュールの挿入を有効にしたり、組織の保護されたプ ロセスを防御することができます。正当なプロセスの実行を許可するために、他のプロセスに挿 入する親プロセスをホワイトリストに登録することができます。追加のホワイトリストオプショ ンは、ニンジャモード でも利用可能です。Palo Alto Network のサポートチームやセールスエン ジニアが各マルウェアモジュールに対してきめ細かい追加設定を行えるのは、この高度なホワイ トリスト設定のおかげです。 以下の表では、マルウェア防止モジュールについて説明します。 102 Advanced Endpoint Protection 管理者用ガイド マルウェアの防止 マルウェア防止ルールの管理 マルウェア防止ルール 内容 Suspend Guard プロセスが開始する前にコードを挿入し実行するために攻撃者が一時休止状態 のプロセスを生成する、よくあるマルウェアを阻止します。ソースプロセスモー ドでサスペンドガードを有効化し、ユーザー通知、および任意で子プロセスを 呼び出すホワイトリスト ファンクションモジュールを設定することができま す。詳細は、サスペンドガード保護の設定をご参照ください。 Thread Injection 悪意のあるコードはリモートスレッドおよびプロセスを生成することで侵入経 路を確保することもあります。リモートスレッドおよびプロセスの生成を停止す るためにスレッドインジェクションを有効化し、ソースプロセスまたは目的プロ セスまたはスレッドのいずれかに対する制限を指定することができます。特定の フォルダをホワイトリストに登録し、一般の制限ルールに対する例外を許可でき ます。詳細は、スレッドインジェクション保護の設定をご参照ください。 スレッドインジェクション保護の設定 プロセスは、プロセス内のコードのある部分を実行する一つ以上のスレッドを含むことができま す。いくつかの攻撃手法は、悪意のあるコードをプロセスに挿入し、リモートスレッドを生成、 残留性を獲得して感染したシステムを制御することをベースにしています。 デフォルトポリシーには、悪意のあるリモートスレッドの生成を防止し、他のプロセスにスレッ ドを挿入しなければならない正当なプロセスを許可するためのルールが含まれています。スレッ ド イン ジ ェク シ ョン に 対す る デフ ォ ルト ポ リシ ー は通 常、C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Web\KnowledgeBase\Malware modules\ThreadInjection フォルダ に保存されていますが、インストール場所を別に設定している場合はこれと異なる可能性があり ます。プロセスに対するスレッドインジェクションポリシーのベースファイルが存在しているか どうかを確認するために、このフォルダ内のファイルを確認します。 新しいスレッドインジェクションルールを設定する際には、デフォルトポリシーのオーバーラ イドとオペレーティングシステムの不安定化を防ぐように注意してください。 マルウェア防止ルールの設定に関してご質問がある場合は、サポートチームまたは担当のセー ルスエンジニアまでお問い合わせください。 プロセスがまだデフォルトポリシーによって保護されていない場合、新しいルールを作成してデ フォルトのスレッドインジェクション設定を使用するプロセスに対してスレッドインジェク ション保護を有効にしたり、必要に応じてお客様のセキュリティポリシーに合うように設定を変 更することができます。設定には、プロセス名、Module Activation[ モジュール有効化 ](Enable[ 有 効 ] または Disable[ 無効 ]) 、Source process mode[ ソースプロセスモード ](Terminate[ 終了 ] または Notify[ 通知 ]) 、User Notification[ ユーザー通知 ](On[On] または Off[Off]) 、ソースプロセスが挿入可 能なホワイトリスト登録済みプロセスが含まれます。 プロセスがすでにデフォルトセキュリティポリシーで保護されている場合、デフォルトのスレッ ドインジェクションを新しいルールとしてインポートし、組織に合うように変更を加えることを 推奨します。こうすることで、有効化されたポリシーによりデフォルトポリシーがオーバーライ ドされても変更点が保持されるとともに、デフォルトの設定も含まれるようになります。 Advanced Endpoint Protection 管理者用ガイド 103 マルウェア防止ルールの管理 マルウェアの防止 スレッドインジェクション保護の設定 Step 1 (任意)デフォルトポリシーのコピー 1. をインポートします。デフォルト設 定ですでに保護されているプロセス 2. にのみ必要であり、デフォルトポリ シーが上書きされるのを防ぎます。 3. Policies > Malware > Protection Modules[ ポリシー > マル ウェア > 保護モジュール ] を選択します。 メニューから、Import rules[ ルールをインポート ] を 選択します。 Traps フォルダ内のデフォルトポリシーファイルを Browse[ 選択 ] して目的のソースプロセスを選択し、 Upload[ アップロード ] をクリックします。 インポートされたルールがマルウェア防止ルールの表 に表示されます。 Step 2 マルウェア防止ルールを開始もしく 新規ルールを Add[ 追加 ] するか、既存のルールを選択し Edit[ 編集 ] します。 は変更します。 Step 3 単一のプロセスもしくはすべてのプ 1. ドロップダウンリストから Thread Injection[ スレッドイ ンジェクション ] を選択します。 ロセスに対してスレッドインジェク ション保護を有効化します。 2. (新規ルールのみ)親プロセスに対してスレッドイン ジェクション保護を設定するには、Select a process[ プロ セスを選択 ] オプションを選択し、プロセス名を入力し ます。もしくは、All Processes[ すべてのプロセス ] にス レッドインジェクション保護を適用するためにデフォ ルトのままにしておきます。 Step 4 (任意)継承設定を使用してスレッド 1. インジェクション設定を定義します。 デフォルトポリシーによって定義さ れた設定を使用するには、モジュー ルを有効化し、Step 5 に進みます。 もしくは、デフォルト設定をオー バーライドし、お客様の組織のニー ズに合わせてスレッドインジェク ション設定をカスタマイズします。 2. Module Activation[ モジュール有効化 ] を選択し、プロセ スに対するスレッドインジェクションモジュールを Enable[ 有効 ] または Disable[ 無効 ] にします。 モジュールが有効になっている場合は、モジュー ルの追加設定のみ変更を加えることができます。 ソースプロセスが別のプロセスに対して挿入しようと する際に取る動作を設定します(Source process mode[ ソースプロセスモード ])。 • Inherit[ 継承 ]— デフォルトポリシーから動作を受け 継ぎます。 • Terminate[ 終了 ]— プロセスを終了します。 • Notify[ 通知 ]— 問題のログを取るとともに、プロセス が別のプロセスに挿入することを許可します。 3. ソースプロセスが別のプロセスに対して挿入しようと する際の通知動作を設定します(User Notification[ ユー ザー通知 ])。 • Inherit[ 継承 ]— デフォルトポリシーから動作を受け 継ぎます。 • On[On]— プロセスが別のプロセスに対して挿入を試 みた場合、ユーザーに通知します。 • Off[Off]— プロセスが別のプロセスに対して挿入を 試みても、ユーザーに通知しません。 4. 104 対象プロセスをホワイトリストに追加するには、 ニン アイコンをクリックし、管理者用パス ワード(supervisor password)を入力します。リストに プロセスを追加します。 ジャモード Advanced Endpoint Protection 管理者用ガイド マルウェアの防止 マルウェア防止ルールの管理 スレッドインジェクション保護の設定(続) Step 5 (任意)ルールに条件を追加します。 デフォルトでは、ESM はルールに対して条件を適用しませ ん。条件を指定するには、Conditions[ 条件 ] タブを選択して ください。次に条件リストから条件を選択し、Add[ 追加 ] をクリックします。Selected Conditions[ 選択中の条件 ] リス トに条件が追加されます。必要に応じてさらに条件を追加 してください。条件リストに条件を追加する方法は、ルー ルの有効化の条件を定義をご参照ください。 Step 6 (任意)マルウェア防止ルールを適用 デフォルトでは、ESM は組織のすべてのオブジェクトに新 する対象オブジェクトを定義しま 規ルールを適用します。対象オブジェクトをより小さな範 す。 囲に限定するには、Objects[ オブジェクト ] タブを選択し、 Users[ ユーザー ]、Computers[ コンピューター ]、Groups[ グ ループ ]、Organizational units[ 組織ユニット ]、または Existing endpoints[ 既存のエンドポイント ] を Include[ 含有 ] または Exclude[ 除外 ] エリアに入力します。 Endpoint Security Manager は Active Directory にユーザー、コンピューター、組織ユニッ トを認証するクエリを送信するか、それまでの通信メッ セージから既存のエンドポイントを特定します。 Step 7 (任 意)ル ー ル の 名 前 と 説 明 を レ ESM コンソールはルールの詳細に基づいてルールの名前と ビューします。 説明を自動生成します。自動生成された名前をオーバーラ イドするには、Name[ 名前 ] タブを選択し、Auto Description is Activated[ 概要の自動生成を有効 ] オプションの選択を解 除し、新しいルールの名前と説明を入力します。 Step 8 マルウェア防止ルールを保存しま 以下のいずれかを実行します。 す。 • ルールを Save[ 保存 ] します。後からルールを有効化する には、Policies > Malware > Protection Modules[ ポリシー > マ ルウェア > 保護モジュール ] ページからルールを選択し、 Activate[ 有効 ] をクリックします。 • ルールを Save & Apply[ 保存して適用 ] すると、 すぐにルー ルが有効化されます。 保存したルールは Policies > Malware > Protection Modules[ ポリ シー > マルウェア > 保護モジュール ] ページに表示されま す。同じ場所から適宜ルールを Delete[削除]または Deactivate[ 無効化 ] することができます。 サスペンドガード保護の設定 サスペンドガードは、プロセスが開始する前にコードを挿入し実行するために攻撃者が一時休止 状態のプロセスを生成する、よくあるマルウェアを阻止します。有効になっている場合、サスペ ンドガードモジュールはすべてのプロセスをサスペンドガード攻撃から保護するとともに、ホワ イトリストを使用して、正当だと判断されているプロセスが別のプロセスあるいはモジュールに 挿入されるのを許可します。 サスペンドガードに対するデフォルトポリシーは通常、C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Web\KnowledgeBase\Malware modules\SuspendGuard フォルダに 保存されていますが、インストール場所を別にしている場合はこれと異なる可能性があります。 プロセスに対するサスペンドガードポリシーのベースファイルが存在しているかどうかを確認 するために、このフォルダ内のファイルを確認することができます。 新しいサスペンドガードルールを設定する際には、デフォルトポリシーのオーバーライドとオ ペレーティングシステムの不安定化を防ぐように注意してください。 マルウェア防止ルールの設定に関してご質問がある場合は、サポートチームまたは担当のセー ルスエンジニアまでお問い合わせください。 Advanced Endpoint Protection 管理者用ガイド 105 マルウェア防止ルールの管理 マルウェアの防止 プロセスがまだデフォルトセキュリティポリシーによって防御されていない場合、新しいルール を作成してデフォルトのサスペンドガード設定を使用するプロセスに対してスペンドガード保 護を有効にしたり、必要に応じてお客様のセキュリティポリシーに合うように設定を変更するこ とができます。設定には、プロセス名、Module Activation[ モジュール有効化 ](Enable[ 有効 ] また は Disable[ 無効 ])、Source process mode[ ソースプロセスモード ](Terminate[ 終了 ] または Notify[ 通知 ])、User Notification[ ユーザー通知 ](On[On] または Off[Off])、子プロセスを呼び出すホワイトリス ト ファンクションモジュールが含まれます。 プロセスがすでにデフォルトセキュリティポリシーで保護されている場合、デフォルトのサスペ ンドガードポリシーを新しいルールとしてインポートし、組織に合うように変更を加えることを 推奨します。こうすることで、有効化されたポリシーによりデフォルトポリシーがオーバーライ ドされても変更点が保持されるとともに、デフォルトの設定も含まれるようになります。 サスペンドガード保護の設定 Step 1 (任意)デフォルトポリシーのコピー 1. をインポートします。デフォルト設 定ですでに保護されているプロセス 2. にのみ必要であり、デフォルトポリ シーが上書きされるのを防ぎます。 3. Policies > Malware > Protection Modules[ ポリシー > マル ウェア > 保護モジュール ] を選択します。 メニューから、Import rules[ ルールをインポート ] を 選択します。 目的のソースプロセス用の Traps フォルダ内にあるデ フォルトポリシーファイルを Browse[ 選択 ] して、Upload [ アップロード ] します。 インポートされたルールがマルウェア防止ルールの表 に表示されます。 Step 2 マルウェア防止ルールを開始もしく 新規ルールを Add[ 追加 ] するか、既存のルールを選択し Edit[ 編集 ] します。 は変更します。 Step 3 単一のプロセスもしくはすべてのプ 1. ドロップダウンリストから Suspend Guard[ サスペンド ガード ] を選択します。 ロセスに対してサスペンドガード保 護を有効化します。 2. (新規ルールのみ)親プロセスに対してサスペンドガー ド保護を設定するには、Select a process[ プロセスを選択 ] オプションを選択し、フィールドにプロセス名を入力 します。もしくは、All Processes[ すべてのプロセス ] に サスペンドガード保護を適用するためにデフォルトの ままにしておきます。 106 Advanced Endpoint Protection 管理者用ガイド マルウェアの防止 マルウェア防止ルールの管理 サスペンドガード保護の設定(続) Step 4 サスペンドガード設定を定義しま 1. す。 デフォルトポリシーから設定を引き 継ぐには、モジュールを有効化し、 Step 5 に進みます。 もしくは、デフォルト設定をオー バーライドし、お客様の組織のニー ズに合わせてサスペンドガード設定 をカスタマイズします。 2. Module Activation[ モジュール有効化 ] を選択し、プロセ スに対するサスペンドガードモジュールをEnable[有効] または Disable[ 無効 ] にします。 モジュールが有効になっている場合は、モジュー ルの追加設定のみ変更を加えることができます。 ソースプロセスが別のプロセスに対して挿入しようと する際に取る動作を設定します(Source process mode [ ソースプロセスモード ])。 • Inherit[ 継承 ]— デフォルトポリシーから動作を受け 継ぎます。 • Terminate[ 終了 ]— プロセスを終了します。 • Notify[ 通知 ]— 問題のログを取るとともに、プロセス が別のプロセスに挿入することを許可します。 3. ソースプロセスが別のプロセスに対して挿入しようと する際の通知動作を設定します(User Notification[ ユー ザー通知 ])。 • Inherit[ 継承 ]— デフォルトポリシーから動作を受け 継ぎます。 • On[On]— プロセスが別のプロセスに対して挿入を試 みた場合、ユーザーに通知します。 • Off[Off]— プロセスが別のプロセスに対して挿入を 試みても、ユーザーに通知しません。 4. 5. デフォルトでは、ホワイトリストは親プロセスのすべ てのファンクションモジュールが子プロセスに挿入さ れるのを防ぎます。あるいは、ホワイトリストに追加 することでファンクションや子プロセスに対する挿入 を明示的に許可することができます。ホワイトリスト を設定するには、 ニンジャモード アイコンをク リックし、管理者用パスワード(supervisor password)を 入力します。 デフォルトのホワイトリスト設定を引き継ぐか、特定 のファンクションと子プロセスを設定します。デフォ ルトでは、ホワイトリストによりすべてのファンク ションモジュールがあらゆる子プロセスを開始できる ようになっています。あるいは、以下の項目を設定し、 モジュールと子プロセスの名前をホワイトリストに Add[ 追加 ] できます。 • あらゆる子プロセスを開始する特定のファンクション • 特定のプロセスを開始するすべてのファンクション • 特定のプロセスを開始するファンクション名 親プロセス毎に複数の組み合わせを追加する場合はこ れを繰り返します。 Advanced Endpoint Protection 管理者用ガイド 107 マルウェア防止ルールの管理 マルウェアの防止 サスペンドガード保護の設定(続) Step 5 (任意)ルールに条件を追加します。 デフォルトでは、ESM はルールに対して条件を適用しませ ん。条件を指定するには、Conditions[ 条件 ] タブを選択して ください。次に条件リストから条件を選択し、Add[ 追加 ] をクリックします。Selected Conditions[ 選択中の条件 ] リス トに条件が追加されます。必要に応じてさらに条件を追加 してください。条件リストに条件を追加する方法は、ルー ルの有効化の条件を定義をご参照ください。 Step 6 (任意)マルウェア防止ルールを適用 デフォルトでは、ESM は組織のすべてのオブジェクトに新 する対象オブジェクトを定義しま 規ルールを適用します。対象オブジェクトをより小さな範 囲に限定するには、Objects[ オブジェクト ] タブを選択し、 す。 Users[ ユーザー ]、Computers[ コンピューター ]、Groups[ グ ループ ]、Organizational units[ 組織ユニット ]、または Existing endpoints[ 既存のエンドポイント ] を Include[ 含有 ] または Exclude[ 除外 ] エリアに入力します。 Endpoint Security Manager は Active Directory にユーザー、コンピューター、組織ユニッ トを認証するクエリを送信するか、それまでの通信メッ セージから既存のエンドポイントを特定します。 Step 7 (任 意)ル ー ル の 名 前 と 説 明 を レ ESM コンソールはルールの詳細に基づいてルールの名前と 説明を自動生成します。自動生成された名前をオーバーラ ビューします。 イドするには、Name[ 名前 ] タブを選択し、Auto Description is Activated[ 概要の自動生成を有効 ] オプションの選択を解 除し、新しいルールの名前と説明を入力します。 Step 8 マルウェア防止ルールを保存しま 以下のいずれかを実行します。 す。 • ルールを Save[ 保存 ] します。後からルールを有効化する には、Policies > Malware > Protection Modules[ ポリシー > マ ルウェア > 保護モジュール ] ページからルールを選択し、 Activate[ 有効 ] をクリックします。 • ルールを Save & Apply[ 保存して適用 ] すると、 すぐにルー ルが有効化されます。 保存したルールは Policies > Malware > Protection Modules[ ポリ シー > マルウェア > 保護モジュール ] ページに表示されま す。同じ場所から適宜ルールを Delete[削除]または Deactivate[ 無効化 ] することができます。 108 Advanced Endpoint Protection 管理者用ガイド エンドポイントの管理 以下のトピックでは、Endpoint Security Manager を用いてエンドポイントを管理する方法を説明し ています。 S Traps の動作ルールの管理 S エージェント設定ルールの管理 Advanced Endpoint Protection 管理者用ガイド 109 Traps の動作ルールの管理 エンドポイントの管理 Traps の動作ルールの管理 各エンドポイント上で動作する Traps エージェントのワンタイムの動作を実行するのに、動作 ルールを使用します。 S Traps の動作ルール S 新しい動作ルールの追加 S Traps が収集したデータの管理 S EPM 保護のシャットダウンまたは一時停止 S エンドポイント上の Traps のアンインストールまたはアップグレード S エンドポイント上の Traps ライセンスの更新または取り消し Traps の動作ルール 動作ルールによって、各エンドポイント上で動作する Traps エージェントのワンタイムの動作を 実行することができます。対象オブジェクト、条件、および各エンドポイントで実行する以下の いずれかの管理者用アクションを各々の動作ルールに対して指定する必要があります。 動作ルール 内容 Traps エージェントが生 各エンドポイントには、過去のデータ、メモリダンプ、および隔離ファイ 成するデータファイル ルを含む防止情報およびセキュリティ情報が保存されています。この種の の管理 動作ルールを使用することで、Traps エージェントがエンドポイント上で生 成したデータファイルを削除・取得できるようになります。詳細は、Traps が収集したデータの管理をご参照ください。 EPM 保護のシャットダ セキュリティポリシーが正当なアプリケーションと干渉する場合、エンド ウンまたは一時停止 ポイント上で Exploitation Prevention Module(EPM)保護を一時的にシャッ トダウンもしくは停止することができます。必要なタスクが完了した後は、 イベントを分析し、当該アプリケーション専用のセキュリティルールを定 義し、EPM 保護を再度有効化することを推奨します。詳細は、EPM 保護 のシャットダウンまたは一時停止をご参照ください。 Traps ソフトウェアのア Endpoint Security Manager から Traps をアンインストールまたはアップグレー ンインストールまたは ドする動作ルールを作成します。エンドポイントで Traps ソフトウェアを アップグレード アップグレードするには、Endpoint Security Manager サーバーにソフトウェ アの ZIP ファイルをアップロードし、動作ルールを設定する際にパスを指 定します。詳細は、エンドポイント上の Traps のアンインストールまたは アップグレードをご参照ください。 Traps ライセンスの更新 Endpoint Security Manager は Traps エージェントに対してライセンスを配布 または取り消し します。いつでもエンドポイントのライセンスの取り消しまたは更新がで きます。詳細は、エンドポイント上の Traps ライセンスの更新または取り 消しをご参照ください。 Traps は、エージェントが更新されたセキュリティポリシーを受け取るまで動作ルールを適用 しません。通常は次のサーバーとのハートビート通信の際に適用されます。ESM サーバーから 最新のセキュリティポリシーを手動で取得するには、Traps コンソールで Update Now[ すぐに 更新 ] を選択します。 110 Advanced Endpoint Protection 管理者用ガイド エンドポイントの管理 Traps の動作ルールの管理 動作ルールの作成および編集は Actions[ アクション ] の概要および管理ページで行うことができ ます(Settings > Agent Actions[ 設定 > エージェントアクション ])。ルールを選択すると、ルールの 詳細およびその他の実行可能な動作(Duplicate[ 複製 ]、Delete[ 削除 ]、またはルールの Activate[ 有効 ]/Deactivate [ 無効化 ])が表示されます。詳細は、Traps の動作ルールの管理をご参照ください。 新しい動作ルールの追加 組織オブジェクト、条件、および各エンドポイントで実行する動作を各々の動作ルールに対して 指定することができます。 新しい動作ルールの追加 Step 1 新しい動作ルールを開始します。 Settings > Agent Actions[ 設定 > エージェントアクション ] を 選択し、新規ルールを Add[ 追加 ] します。 Step 2 実行するタスクの種類を選択しま Tasks[ タスク ] のドロップダウンリストから以下のいずれか を選択し、動作の種類に応じて設定します。 す。 • Agent Data[ エージェントデータ ]— 詳細は Traps が収集し たデータの管理をご参照ください。 • Agent Service[ エージェントサービス ]— 詳細は EPM 保護 のシャットダウンまたは一時停止をご参照ください。 • Agent Installation[ エージェントインストレーション ]— 詳 細は エンドポイント上の Traps のアンインストールまた はアップグレードをご参照ください。 • Agent License[ エージェントライセンス ]— 詳細は エンド ポイント上の Traps ライセンスの更新または取り消しを ご参照ください。 Step 3 (任意)ルールに条件を追加します。 デフォルトでは、ESM はルールに対して条件を適用しませ ん。条件を指定するには、Conditions[ 条件 ] タブを選択して ください。次に条件リストから条件を選択し、Add[ 追加 ] をクリックします。Selected Conditions[ 選択中の条件 ] リス トに条件が追加されます。必要に応じてさらに条件を追加 してください。条件リストに条件を追加する方法は、ルー ルの有効化の条件を定義をご参照ください。 Step 4 (任意)動作ルールを適用する対象 デフォルトでは、ESM は組織のすべてのオブジェクトに新 規ルールを適用します。対象オブジェクトをより小さな範 オブジェクトを定義します。 囲に限定するには、Objects[ オブジェクト ] タブを選択し、 Users[ ユーザー ]、Computers[ コンピューター ]、Groups[ グ ループ ]、Organizational units[ 組織ユニット ]、または Existing endpoints[ 既存のエンドポイント ] を Include[ 含有 ] または Exclude[ 除外 ] エリアに入力します。 Endpoint Security Manager は Active Directory にユーザー、コンピューター、組織ユニッ トを認証するクエリを送信するか、それまでの通信メッ セージから既存のエンドポイントを特定します。 Step 5 (任 意)ル ー ル の 名 前 と 説 明 を レ ESM コンソールはルールの詳細に基づいてルールの名前と 説明を自動生成します。自動生成された名前をオーバーラ ビューします。 イドするには、Name[ 名前 ] タブを選択し、Auto Description is Activated[ 概要の自動生成を有効 ] オプションの選択を解 除し、新しいルールの名前と説明を入力します。 Advanced Endpoint Protection 管理者用ガイド 111 Traps の動作ルールの管理 エンドポイントの管理 新しい動作ルールの追加(続) Step 6 動作ルールを保存します。 以下のいずれかを実行します。 • ルールを Save[ 保存 ] します。後からルールを有効化する には、Settings > Agent Actions[ 設定 > エージェントアク ション ] ページからルールを選択し、Activate[ 有効化 ] を クリックします。 • ルールを Save & Apply[ 保存して適用 ] すると、すぐにルー ルが有効化されます。 保存したルールは Settings > Agent Actions[ 設定 > エージェン トアクション ] ページに表示されます。同じ場所から適宜 ルールを Duplicate[ 複製 ]、Delete[ 削除 ] または Deactivate[ 無 効化 ] することができます。 Traps が収集したデータの管理 動作ウィザードを使用し、Traps がエンドポイント上で生成したデータファイルに対して以下の 動作を実行します。 アクション 内容 履歴の削除 各エンドポイントには保護に関する履歴が保存されています。Traps コン ソールに過去のデータが表示されないよう、削除を行うにはこのオプショ ンを選択します。 メモリダンプの削除 メモリダンプは、防止イベントが起こった際のシステムメモリの内容の記 録です。対象オブジェクトからシステムメモリの記録を削除するにはこの オプションを選択します。 隔離ファイルの削除 エンドポイントでセキュリティイベントが発生すると、Traps はメモリダン プおよびイベントに関連する最近のファイルを取り込み、エンドポイント 上のフォレンジックフォルダにそれらを保存します。セキュリティイベン トに関連するファイルを対象オブジェクトから削除するにはこのオプショ ンを選択します。 エージェントが収集する Traps はセキュリティイベントの履歴、メモリダンプおよびセキュリティイ データの取得 ベントに関連するその他の情報を収集します。エンドポイントで起こった すべてのイベントから、保存された全情報を取得するにはこのオプション を選択します。このルールが実行されると、Traps エージェントは防御され たプロセスのメモリダンプを含む防止に関係するすべてのデータを指定さ れたフォレンジックフォルダに送信します。 エージェントが収集する Traps はアプリケーションの詳細なトレースログを収集し、エンドポイント ログの取得 上で実行されるプロセスやアプリケーションに関する情報を保存します。 ログファイルを使用すればアプリケーションのデバッグや、ログに書き込 まれた問題を調査することが可能になります。このオプションを選択する と、エンドポイント上のすべてのアプリケーションのトレース情報を取得 する動作ルールが生成されます。このルールが実行されると、Traps エー ジェントはすべてのログをフォレンジックフォルダに送信します。 Traps が収集するデータの管理 Step 1 112 新しい動作ルールを開始します。 Settings > Agent Actions[ 設定 > エージェントアクション ] を 選択し、新規ルールを Add[ 追加 ] します。 Advanced Endpoint Protection 管理者用ガイド エンドポイントの管理 Traps の動作ルールの管理 Traps が収集するデータの管理(続) Step 2 エンドポイントに保存された Traps 1. データに対して実行するタスクを 定義します。 2. Tasks[ タスク ] のドロップダウンリストから Agent Data [ エージェントデータ ] を選択します。 エージェントデータを管理するオプションを一つ以上 選択します。 • 履歴の削除 • メモリダンプの削除 • 隔離ファイルの削除 • 収集したデータをエージェントから取得 • 収集したログをエージェントから取得 Step 3 (任意)ルールに条件を追加します。 デフォルトでは、ESM はルールに対して条件を適用しませ ん。条件を指定するには、Conditions[ 条件 ] タブを選択して ください。次に条件リストから条件を選択し、Add[ 追加 ] をクリックします。Selected Conditions[ 選択中の条件 ] リス トに条件が追加されます。必要に応じてさらに条件を追加 してください。条件リストに条件を追加する方法は、ルー ルの有効化の条件を定義をご参照ください。 Step 4 (任意)動作ルールを適用する対象 デフォルトでは、ESM は組織のすべてのオブジェクトに新 規ルールを適用します。対象オブジェクトをより小さな範 オブジェクトを定義します。 囲に限定するには、Objects[ オブジェクト ] タブを選択し、 Users[ ユーザー ]、Computers[ コンピューター ]、Groups[ グ ループ ]、Organizational units[ 組織ユニット ]、または Existing endpoints[ 既存のエンドポイント ] を Include[ 含有 ] または Exclude[ 除外 ] エリアに入力します。 Endpoint Security Manager は Active Directory にユーザー、コンピューター、組織ユニッ トを認証するクエリを送信するか、それまでの通信メッ セージから既存のエンドポイントを特定します。 Step 5 (任 意)ル ー ル の 名 前 と 説 明 を レ ESM コンソールはルールの詳細に基づいてルールの名前と ビューします。 説明を自動生成します。自動生成された名前をオーバーラ イドするには、Name[ 名前 ] タブを選択し、Auto Description is Activated[ 概要の自動生成を有効 ] オプションの選択を解 除し、新しいルールの名前と説明を入力します。 Step 6 動作ルールを保存します。 以下のいずれかを実行します。 • ルールを Save[ 保存 ] します。後からルールを有効化する には、Settings > Agent Actions[ 設定 > エージェントアク ション ] ページからルールを選択し、Activate[ 有効化 ] を クリックします。 • ルールを Save & Apply[ 保存して適用 ] すると、すぐにルー ルが有効化されます。 保存したルールは Settings > Agent Actions[ 設定 > エージェン トアクション ] ページに表示されます。同じ場所から適宜 ルールを Duplicate[ 複製 ]、Delete[ 削除 ] または Deactivate[ 無 効化 ] することができます。 EPM 保護のシャットダウンまたは一時停止 セキ ュリ ティポ リシー が正 当なア プリ ケーシ ョン と干渉 する 場合、エンド ポイ ント上 で Exploitation Prevention Module(EPM)インジェクションを一時的に停止もしくはシャットダウン することができます。バージョン 3.1 以降の Traps を実行しているエンドポイントでは、Traps は ルールが有効な場合は EPM をプロセスに挿入しませんが、セキュリティイベントに関する通知 は送信します。 Advanced Endpoint Protection 管理者用ガイド 113 Traps の動作ルールの管理 エンドポイントの管理 必要なタスクが完了した後は、イベントを分析し、当該アプリケーション専用のセキュリティ ルールを定義し、EPM 保護を再度有効化することを推奨します。EPM を一時停止する場合、指 定された時間を経過するとルールに基づいて EPM 保護が自動的に有効化されます。EPM の シャットダウンを行う場合、エンドポイントで Traps サービスを開始するために手動でエンドポ イントを再起動し、EPM 保護を再度有効化する必要があります。 EPM 保護のシャットダウンまたは一時停止 Step 1 新しい動作ルールを開始します。 Settings > Agent Actions[ 設定 > エージェントアクション ] を 選択し、新規ルールを Add[ 追加 ] します。 Step 2 保護の一時停止時間を定義します。 1. 2. Tasks[タスク]のドロップダウンリストから Agent Service [ エージェントサービス ] を選択します。 Suspend protection for[ 保護を延期 ] を選択し、ドロップ ダウンリストからセキュリティモジュールの挿入を一 時停止する時間(10、30、60、または 180 minutes[ 分 ]) を指定します。 Step 3 (任意)ルールに条件を追加します。 デフォルトでは、ESM はルールに対して条件を適用しませ ん。条件を指定するには、Conditions[ 条件 ] タブを選択して ください。次に条件リストから条件を選択し、Add[ 追加 ] をクリックします。Selected Conditions[ 選択中の条件 ] リス トに条件が追加されます。必要に応じてさらに条件を追加 してください。条件リストに条件を追加する方法は、ルー ルの有効化の条件を定義をご参照ください。 Step 4 (任意)動作ルールを適用する対象 デフォルトでは、ESM は組織のすべてのオブジェクトに新 規ルールを適用します。対象オブジェクトをより小さな範 オブジェクトを定義します。 囲に限定するには、Objects[ オブジェクト ] タブを選択し、 Users[ ユーザー ]、Computers[ コンピューター ]、Groups[ グ ループ ]、Organizational units[ 組織ユニット ]、または Existing endpoints[ 既存のエンドポイント ] を Include[ 含有 ] または Exclude[ 除外 ] エリアに入力します。 Endpoint Security Manager は Active Directory にユーザー、コンピューター、組織ユニッ トを認証するクエリを送信するか、それまでの通信メッ セージから既存のエンドポイントを特定します。 Step 5 (任 意)ル ー ル の 名 前 と 説 明 を レ ESM コンソールはルールの詳細に基づいてルールの名前と ビューします。 説明を自動生成します。自動生成された名前をオーバーラ イドするには、Name[ 名前 ] タブを選択し、Auto Description is Activated[ 概要の自動生成を有効 ] オプションの選択を解 除し、新しいルールの名前と説明を入力します。 Step 6 動作ルールを保存します。 以下のいずれかを実行します。 • ルールを Save[ 保存 ] します。後からルールを有効化する には、Settings > Agent Actions[ 設定 > エージェントアク ション ] ページからルールを選択し、Activate[ 有効化 ] を クリックします。 • ルールを Save & Apply[ 保存して適用 ] すると、すぐにルー ルが有効化されます。 保存したルールは Settings > Agent Actions[ 設定 > エージェン トアクション ] ページに表示されます。同じ場所から適宜 ルールを Duplicate[ 複製 ]、Delete[ 削除 ] または Deactivate[ 無 効化 ] することができます。 114 Advanced Endpoint Protection 管理者用ガイド エンドポイントの管理 Traps の動作ルールの管理 エンドポイント上の Traps のアンインストールまたはアップグレード 新しいエージェントの動作ルールを作成し、対象オブジェクトから Traps をアンインストール、 もしくは ESM コンソールからアクセスできるソフトウェアを使用して Traps をアップグレード します。 エンドポイント上の Traps のアンインストールまたはアップグレード Step 1 新しい動作ルールを開始します。 Settings > Agent Actions[ 設定 > エージェントアクション ] を 選択し、新規ルールを Add[ 追加 ] します。 Step 2 エンドポイント上の Traps で実行す Tasks[ タスク ] のドロップダウンリストから Agent Installation [ エージェントインストレーション ] を選択し、以下の動作 るタスクを定義します。 のいずれかを選択します。 • アンインストール • Upgrade from path[ パスを使ってアップグレード ]—ZIP の インストールファイルを参照し、Upload[ アップロード ] をクリックします。 Step 3 (任意)ルールに条件を追加します。 デフォルトでは、ESM はルールに対して条件を適用しませ ん。条件を指定するには、Conditions[ 条件 ] タブを選択して ください。次に条件リストから条件を選択し、Add[ 追加 ] をクリックします。Selected Conditions[ 選択中の条件 ] リス トに条件が追加されます。必要に応じてさらに条件を追加 してください。条件リストに条件を追加する方法は、ルー ルの有効化の条件を定義をご参照ください。 Step 4 (任意)動作ルールを適用する対象 デフォルトでは、ESM は組織のすべてのオブジェクトに新 規ルールを適用します。対象オブジェクトをより小さな範 オブジェクトを定義します。 囲に限定するには、Objects[ オブジェクト ] タブを選択し、 Users[ ユーザー ]、Computers[ コンピューター ]、Groups[ グ ループ ]、Organizational units[ 組織ユニット ]、または Existing endpoints[ 既存のエンドポイント ] を Include[ 含有 ] または Exclude[ 除外 ] エリアに入力します。 Endpoint Security Manager は Active Directory にユーザー、コンピューター、組織ユニッ トを認証するクエリを送信するか、それまでの通信メッ セージから既存のエンドポイントを特定します。 Step 5 (任 意)ル ー ル の 名 前 と 説 明 を レ ESM コンソールはルールの詳細に基づいてルールの名前と 説明を自動生成します。自動生成された名前をオーバーラ ビューします。 イドするには、Name[ 名前 ] タブを選択し、Auto Description is Activated[ 概要の自動生成を有効 ] オプションの選択を解 除し、新しいルールの名前と説明を入力します。 Step 6 動作ルールを保存します。 以下のいずれかを実行します。 • ルールを Save[ 保存 ] します。後からルールを有効化する には、Settings > Agent Actions[ 設定 > エージェントアク ション ] ページからルールを選択し、Activate[ 有効化 ] を クリックします。 • ルールを Save & Apply[ 保存して適用 ] すると、すぐにルー ルが有効化されます。 保存したルールは Settings > Agent Actions[ 設定 > エージェン トアクション ] ページに表示されます。同じ場所から適宜 ルールを Duplicate[ 複製 ]、Delete[ 削除 ] または Deactivate[ 無 効化 ] することができます。 Advanced Endpoint Protection 管理者用ガイド 115 Traps の動作ルールの管理 エンドポイントの管理 エンドポイント上の Traps ライセンスの更新または取り消し 新しい動作ルールを作成し、エンドポイント上で実行している Traps サービスからライセンスを 更新または取り消します。ライセンスを取り消すと、別のエンドポイントにライセンスを渡すこ とができます。ライセンスを取り消すと、Traps はそのエンドポイントを保護しなくなります。 エンドポイントのライセンスを受け渡し、Traps サービスを再実行するには更新オプションを使 用します。 エンドポイント上の Traps ライセンスの更新または取り消し Step 1 新しい動作ルールを開始します。 Settings > Agent Actions[ 設定 > エージェントアクション ] を 選択し、新規ルールを Add[ 追加 ] します。 Step 2 エンドポイントの Traps ライセンス Tasks[ タスク ] のドロップダウンリストから Agent License に対して実行するタスクを定義し [ エージェントライセンス ] を選択し、以下の動作のいずれ ます。 かを選択します。 • Update[ アップデート ]— エンドポイントの Traps ライセ ンスの更新 • Revoke[ 取り消し ]— ライセンスを取り消し、およびエン ドポイントのエージェントサービスの停止 Step 3 (任意)ルールに条件を追加します。 デフォルトでは、ESM はルールに対して条件を適用しませ ん。条件を指定するには、Conditions[ 条件 ] タブを選択して ください。次に条件リストから条件を選択し、Add[ 追加 ] をクリックします。Selected Conditions[ 選択中の条件 ] リス トに条件が追加されます。必要に応じてさらに条件を追加 してください。条件リストに条件を追加する方法は、ルー ルの有効化の条件を定義をご参照ください。 Step 4 (任意)動作ルールを適用する対象 デフォルトでは、ESM は組織のすべてのオブジェクトに新 オブジェクトを定義します。 規ルールを適用します。対象オブジェクトをより小さな範 囲に限定するには、Objects[ オブジェクト ] タブを選択し、 Users[ ユーザー ]、Computers[ コンピューター ]、Groups[ グ ループ ]、Organizational units[ 組織ユニット ]、または Existing endpoints[ 既存のエンドポイント ] を Include[ 含有 ] または Exclude[ 除外 ] エリアに入力します。 Endpoint Security Manager は Active Directory にユーザー、コンピューター、組織ユニッ トを認証するクエリを送信するか、それまでの通信メッ セージから既存のエンドポイントを特定します。 Step 5 (任 意)ル ー ル の 名 前 と 説 明 を レ ESM コンソールはルールの詳細に基づいてルールの名前と ビューします。 説明を自動生成します。自動生成された名前をオーバーラ イドするには、Name[ 名前 ] タブを選択し、Auto Description is Activated[ 概要の自動生成を有効 ] オプションの選択を解 除し、新しいルールの名前と説明を入力します。 Step 6 動作ルールを保存します。 以下のいずれかを実行します。 • ルールを Save[ 保存 ] します。後からルールを有効化する には、Settings > Agent Actions[ 設定 > エージェントアク ション ] ページからルールを選択し、Activate[ 有効化 ] を クリックします。 • ルールを Save & Apply[ 保存して適用 ] すると、すぐにルー ルが有効化されます。 保存したルールは Settings > Agent Actions[ 設定 > エージェン トアクション ] ページに表示されます。同じ場所から適宜 ルールを Duplicate[ 複製 ]、Delete[ 削除 ] または Deactivate[ 無 効化 ] することができます。 116 Advanced Endpoint Protection 管理者用ガイド エンドポイントの管理 エージェント設定ルールの管理 エージェント設定ルールの管理 エージェント設定ルールを使用し、Traps に関連する設定を中央から変更します。 S Traps 設定ルールの管理 S 新規エージェント設定ルールの追加 S イベントログの設定 S Traps コンソールへのアクセスを非表示または制限 S エンドポイントと ESM サーバーの通信設定の定義 S 新規プロセス情報の収集 S サービス保護の管理 S アンインストール用パスワードの変更 S カスタム防止メッセージの作成 S カスタム通知メッセージの作成 Traps 設定ルールの管理 エージェント設定ルールを使用し、Traps に関連する設定を中央から変更することができます。 Settings > Agent Settings[ 設定 > エージェント設定 ] ページにて、以下の Traps の設定を管理するルー ルを作成することができます。 エージェント設定ルール 内容 イベントログ設定 Traps エージェントがイベントログを管理する方法を決定します。これに は、エンドポイントログに割り当てるサイズに関する設定や、Windows Event Log にエンドポイントログを送信する任意の設定が含まれます。詳細 は、イベントログの設定をご参照ください。 ユーザーの可視性およ エンドユーザの Traps コンソールアプリケーションへのアクセス可否およ びアクセス設定 びアクセス方法を決定します。オプションとして、管理者のみコンソール にアクセスできるように設定することもできます。詳細は、Traps コンソー ルへのアクセスを非表示または制限をご参照ください。 ハートビート設定 Traps エージェントが ESM サーバーにハートビートメッセージを送信する 頻度を決定します。最適な頻度は、組織内のエンドポイント数および通常 のネットワーク負荷によります。デフォルトのハートビート間隔は 5 分で す。詳細は、エンドポイントと ESM サーバーの通信設定の定義をご参照く ださい。 新規プロセス情報の収 Traps エージェントを設定し、エンドポイントから新規プロセスを収集しま 集 す。このオプションが有効になっている場合、Traps はエンドポイント上で 実 行 さ れ る す べ て の プ ロ セ ス に つ い て ESM サ ー バ ー に 報 告 し ま す。 Endpoint Security Manager のプロセス管理画面からプロセスを確認し、その プロセスに関わるセキュリティルールを作成するかどうかを選択すること ができます。詳細は、新規プロセス情報の収集をご参照ください。 サービス保護 Traps のレジストリ値やファイルを無効化または変更しようとするのを防 ぎます。このオプションが有効になっている場合、ユーザーは Traps エー ジェントサービスをシャットダウンしたり変更することができません。詳 細は、サービス保護の管理をご参照ください。 Advanced Endpoint Protection 管理者用ガイド 117 エージェント設定ルールの管理 エージェント設定ルール エンドポイントの管理 内容 エージェントセキュリ デフォルトでは、ユーザーおよび管理者は Traps アプリケーションをアン ティ インストールする際にパスワード入力を要求されます。パスワードを変更 するにはこのオプションを選択します。詳細は、アンインストール用パス ワードの変更をご参照ください。 防止メッセージ エンドポイントでセキュリティイベントが発生した際に Traps が表示する ポップアップのタイトル、フッター、および画像をカスタマイズします。 詳細は、カスタム防止メッセージの作成をご参照ください。 通知メッセージ エンドポイントで通知が発生した際に Traps が表示するポップアップのタ イトル、フッター、および画像をカスタマイズします。詳細は、カスタム 通知メッセージの作成をご参照ください。 Traps はエージェントが更新されたセキュリティポリシーを受け取るまでエージェント設定 ルールを適用しません。通常は次のサーバーとのハートビート通信の際に適用されます。ESM サーバーから最新のセキュリティポリシーを手動で取得するには、Traps コンソールで Update Now[ すぐに更新 ] を選択します。 エージェント設定ルールの作成および編集は Agent Settings[ エージェント設定 ] の概要および管 理ページで行うことができます(Settings > Agent Settings[ 設定 > エージェント設定 ])。ルールを選 択すると、ルールの詳細およびその他の実行可能な動作(Delete[ 削除 ]、Activate[ 有効化 ] / Deactivate[ 無効化 ]、またはルールの Edit[ 編集 ])が表示されます。詳細は、エージェント設定ルールの管 理をご参照ください。 新規エージェント設定ルールの追加 各々のエージェント設定ルールに対して、組織オブジェクト、条件、および適用する Traps 設定 を指定することができます。 新規エージェント設定ルールの追加 Step 1 新規エージェント設定ルールを開 Settings > Agent Settings[ 設定 > エージェント設定 ] を選択し、 始します。 新規ルールを Add[ 追加 ] します。 Step 2 変更や設定したい設定のタイプを 以下のいずれかを選択し、設定の種類に応じて設定します。 選択します。 • Event Logging[ イベントログ ]— 詳細はイベントログの設 定をご参照ください。 • User Visibility & Access[ ユーザーの可視性とアクセシビリ ティ]— 詳細は Traps コンソールへのアクセスを非表示ま たは制限をご参照ください。 • Heartbeat Settings[ ハートビート設定 ]— 詳細はエンドポイ ントとESMサーバーの通信設定の定義をご参照ください。 • Process Management[ プロセス管理 ]— 詳細は新規プロセス 情報の収集をご参照ください。 • Service Protection[ サービス保護 ]— 詳細はサービス保護の 管理をご参照ください。 • Agent Security[ エージェントセキュリティ ]— 詳細はアン インストール用パスワードの変更をご参照ください。 • Prevention Message[ 防止メッセージ ]— 詳細はカスタム防 止メッセージの作成をご参照ください。 • Notification Message[ 通知メッセージ ]— 詳細はカスタム通 知メッセージの作成をご参照ください。 118 Advanced Endpoint Protection 管理者用ガイド エンドポイントの管理 エージェント設定ルールの管理 新規エージェント設定ルールの追加(続) Step 3 (任意)ルールに条件を追加します。 デフォルトでは、ESM はルールに対して条件を適用しませ ん。条件を指定するには、Conditions[ 条件 ] タブを選択して ください。次に条件リストから条件を選択し、Add[ 追加 ] をクリックします。Selected Conditions[ 選択中の条件 ] リス トに条件が追加されます。必要に応じてさらに条件を追加 してください。条件リストに条件を追加する方法は、ルー ルの有効化の条件を定義をご参照ください。 Step 4 (任意)エージェント設定ルールを デフォルトでは、ESM は組織のすべてのオブジェクトに新 適用する対象オブジェクトを定義 規ルールを適用します。対象オブジェクトをより小さな範 囲に限定するには、Objects[ オブジェクト ] タブを選択し、 します。 Users[ ユーザー ]、Computers[ コンピューター ]、Groups[ グ ループ ]、Organizational units[ 組織ユニット ]、または Existing endpoints[ 既存のエンドポイント ] を Include[ 含有 ] または Exclude[ 除外 ] エリアに入力します。 Endpoint Security Manager は Active Directory にユーザー、コンピューター、組織ユニッ トを認証するクエリを送信するか、それまでの通信メッ セージから既存のエンドポイントを特定します。 Step 5 (任 意)ル ー ル の 名 前 と 説 明 を レ ESM コンソールはルールの詳細に基づいてルールの名前と 説明を自動生成します。自動生成された名前をオーバーラ ビューします。 イドするには、Name[ 名前 ] タブを選択し、Auto Description is Activated[ 概要の自動生成を有効 ] オプションの選択を解 除し、新しいルールの名前と説明を入力します。 Step 6 エージェント設定ルールを保存し 以下のいずれかを実行します。 ます。 • ルールを Save[ 保存 ] します。後からルールを有効化する には、Settings > Agent Settings[ 設定 > エージェント設定 ] ページからルールを選択し、Activate[ 有効化 ] をクリック します。 • ルールを Save & Apply[ 保存して適用 ] すると、すぐにルー ルが有効化されます。 保存したルールは Settings > Agent Settings[ 設定 > エージェン ト設定 ] ページに表示されます。同じ場所から適宜ルール をDelete[削除]またはDeactivate[無効化]することができます。 イベントログの設定 Windows Event Log はアプリケーション、セキュリティ、およびシステムのイベントを保存して おり、システム障害の原因を診断するのに役立ちます。エージェント設定ウィザードを使用し、 Traps が遭遇したセキュリティイベントを Windows Event Log に送信するかどうかを指定し、Traps がイベント情報を保存するのに使う一時的ローカルストレージフォルダの割り当てサイズを設 定します。 イベントログ設定の定義 Step 1 新規エージェント設定ルールを開 Settings > Agent Settings[ 設定 > エージェント設定 ] を選択し、 新規ルールを Add[ 追加 ] します。 始します。 Advanced Endpoint Protection 管理者用ガイド 119 エージェント設定ルールの管理 エンドポイントの管理 イベントログ設定の定義(続) Step 2 エンドポイントのイベントログを 1. 設定します。 2. Event Logging[ イベントログ ] のドロップダウンリスト から Agent Settings[ エージェント設定 ] を選択します。 以下のアクションを実行します。 • Set disk quota (MB)[ ディスククオータ(MB)を設定 ] オプションを選択し、Traps がイベントログを保存す るために使用する一時的なローカルストレージフォ ルダのサイズを指定します。割り当て量は MB 単位 で指定します。デフォルト設定の値は 1000 MB(10 GB)です。最大 10,000,000 MB(10 TB)まで設定可 能です。 • Write agent events in the Windows event log[Windows イベ ントログにエージェントイベントを記録 ] オプショ ンを選択し、Traps イベントを Windows Event Log に 送信します。 Step 3 (任意)ルールに条件を追加します。 デフォルトでは、ESM はルールに対して条件を適用しませ ん。条件を指定するには、Conditions[ 条件 ] タブを選択して ください。次に条件リストから条件を選択し、Add[ 追加 ] をクリックします。Selected Conditions[ 選択中の条件 ] リス トに条件が追加されます。必要に応じてさらに条件を追加 してください。条件リストに条件を追加する方法は、ルー ルの有効化の条件を定義をご参照ください。 Step 4 (任意)エージェント設定ルールを デフォルトでは、ESM は組織のすべてのオブジェクトに新 適用する対象オブジェクトを定義 規ルールを適用します。対象オブジェクトをより小さな範 囲に限定するには、Objects[ オブジェクト ] タブを選択し、 します。 Users[ ユーザー ]、Computers[ コンピューター ]、Groups[ グ ループ ]、Organizational units[ 組織ユニット ]、または Existing endpoints[ 既存のエンドポイント ] を Include[ 含有 ] または Exclude[ 除外 ] エリアに入力します。 Endpoint Security Manager は Active Directory にユーザー、コンピューター、組織ユニッ トを認証するクエリを送信するか、それまでの通信メッ セージから既存のエンドポイントを特定します。 Step 5 (任 意)ル ー ル の 名 前 と 説 明 を レ ESM コンソールはルールの詳細に基づいてルールの名前と 説明を自動生成します。自動生成された名前をオーバーラ ビューします。 イドするには、Name[ 名前 ] タブを選択し、Auto Description is Activated[ 概要の自動生成を有効 ] オプションの選択を解 除し、新しいルールの名前と説明を入力します。 Step 6 エージェント設定ルールを保存し 以下のいずれかを実行します。 ます。 • ルールを Save[ 保存 ] します。後からルールを有効化する には、Settings > Agent Settings[ 設定 > エージェント設定 ] ページからルールを選択し、Activate[ 有効化 ] をクリック します。 • ルールを Save & Apply[ 保存して適用 ] すると、すぐにルー ルが有効化されます。 保存したルールは Settings > Agent Settings[ 設定 > エージェン ト設定 ] ページに表示されます。同じ場所から適宜ルール をDelete[削除]またはDeactivate[無効化]することができます。 120 Advanced Endpoint Protection 管理者用ガイド エンドポイントの管理 エージェント設定ルールの管理 Traps コンソールへのアクセスを非表示または制限 デフォルトでは、ユーザーは Traps コンソールにアクセスして現在のエンドポイントのステータ ス、セキュリティイベント、およびセキュリティポリシーの変更に関する情報を確認できます。 セキュリティイベントが発生した際、ユーザーはまた、アプリケーション名、発行元、および通 知を引き起こしたエクスプロイト阻止や制限ルールの詳細を含むイベントに関する通知を受け 取ることもできます。 エージェント設定ルールを作成し、コンソールへのアクセスレベルを変更し、ユーザーへの通知 を非表示にするかどうかを指定できます。 Traps コンソールへのアクセスを非表示または制限 Step 1 新規エージェント設定ルールを開 Settings > Agent Settings[ 設定 > エージェント設定 ] を選択し、 始します。 新規ルールを Add[ 追加 ] します。 Step 2 エンドポイントに対してユーザー 1. の可視性およびアクセス設定を定 義します。 2. Agent Settings[ エージェント設定 ] のドロップダウンリ ストから User Availability & Access[ ユーザーの可視性お よびアクセシビリティ ] を選択します。 以下のオプションから一つもしくは複数選択します。 • Hide tray icon[ トレイアイコンを非表示 ]— エンドポ イントに Traps をインストールすると、デフォルトで 通知エリア(システムトレイ)にアイコンが追加さ れます。エンドポイント上のトレイアイコンを非表 示にするにはこのオプションを使用します。 • Disable access to the Traps console[Traps コンソールへの アクセスを無効化 ]— デフォルトでは、ユーザーは システムトレイから Traps コンソールを起動・アクセ スすることができます。コンソールを起動できなく するにはこのオプションを使用します。 • Hide Traps user notifications[Traps ユーザー通知を非表 示 ]—Traps エージェントが防止イベントに遭遇した 際、イベントについての通知メッセージが表示され ます。通知を非表示にするにはこのオプションを使 用します。 Step 3 (任意)ルールに条件を追加します。 デフォルトでは、ESM はルールに対して条件を適用しませ ん。条件を指定するには、Conditions[ 条件 ] タブを選択して ください。次に条件リストから条件を選択し、Add[ 追加 ] をクリックします。Selected Conditions[ 選択中の条件 ] リス トに条件が追加されます。必要に応じてさらに条件を追加 してください。条件リストに条件を追加する方法は、ルー ルの有効化の条件を定義をご参照ください。 Advanced Endpoint Protection 管理者用ガイド 121 エージェント設定ルールの管理 エンドポイントの管理 Traps コンソールへのアクセスを非表示または制限(続) Step 4 (任意)エージェント設定ルールを デフォルトでは、ESM は組織のすべてのオブジェクトに新 適用する対象オブジェクトを定義 規ルールを適用します。対象オブジェクトをより小さな範 囲に限定するには、Objects[ オブジェクト ] タブを選択し、 します。 Users[ ユーザー ]、Computers[ コンピューター ]、Groups[ グ ループ ]、Organizational units[ 組織ユニット ]、または Existing endpoints[ 既存のエンドポイント ] を Include[ 含有 ] または Exclude[ 除外 ] エリアに入力します。 Endpoint Security Manager は Active Directory にユーザー、コンピューター、組織ユニッ トを認証するクエリを送信するか、それまでの通信メッ セージから既存のエンドポイントを特定します。 Step 5 (任 意)ル ー ル の 名 前 と 説 明 を レ ESM コンソールはルールの詳細に基づいてルールの名前と ビューします。 説明を自動生成します。自動生成された名前をオーバーラ イドするには、Name[ 名前 ] タブを選択し、Auto Description is Activated[ 概要の自動生成を有効 ] オプションの選択を解 除し、新しいルールの名前と説明を入力します。 Step 6 エージェント設定ルールを保存し 以下のいずれかを実行します。 ます。 • ルールを Save[ 保存 ] します。後からルールを有効化する には、Settings > Agent Settings[ 設定 > エージェント設定 ] ページからルールを選択し、Activate[ 有効化 ] をクリック します。 • ルールを Save & Apply[ 保存して適用 ] すると、すぐにルー ルが有効化されます。 保存したルールは Settings > Agent Settings[ 設定 > エージェン ト設定 ] ページに表示されます。同じ場所から適宜ルール をDelete[削除]またはDeactivate[無効化]することができます。 エンドポイントと ESM サーバーの通信設定の定義 エンドポイントは ESM サーバーにハートビートのメッセージおよびレポートを送信することで Endpoint Security Manager と定期的に通信します。ハートビート通信の際、Traps エージェントは 現在のセキュリティポリシーを要求し、Endpoint Security Manager へレスポンスを送信すること で、エンドポイントのステータスを報告します。Traps エージェントが ESM サーバーにハート ビートのメッセージを送信する頻度を、ハートビートサイクルと呼びます。最適な頻度は、組織 内のエンドポイント数および通常のネットワーク負荷によります。デフォルトのハートビート間 隔は 5 分です。 Traps エージェントは、開始、停止、クラッシュやエンドポイントで発見されたプロセスを含む サービスに関する変更についても報告を行います。Traps エージェントが報告を行う頻度を、レ ポート間隔と呼びます。 エンドポイントと ESM サーバーの通信設定の定義 Step 1 122 新規エージェント設定ルールを開 Settings > Agent Settings[ 設定 > エージェント設定 ] を選択し、 始します。 新規ルールを Add[ 追加 ] します。 Advanced Endpoint Protection 管理者用ガイド エンドポイントの管理 エージェント設定ルールの管理 エンドポイントと ESM サーバーの通信設定の定義(続) Step 2 エンドポイントのハートビート設 1. 定を定義します。 2. Agent Settings[ エージェント設定 ] のドロップダウンリス トからHeartbeat Settings[ハートビート設定]を選択します。 以下のオプションから一つもしくは複数選択します。 • Set distinct heartbeat cycle[ ハートビート周期を指定 ]— 頻度を Hours[ 時間 ]、Minutes[ 分 ]、または Days[ 日 ] のいずれかで指定します。 • Set send reports interval[ レポート送信間隔を設定 ]— 頻 度を Hours[ 時間 ]、Minutes[ 分 ]、または Days[ 日 ] の いずれかで指定します。 Step 3 (任意)ルールに条件を追加します。 デフォルトでは、ESM はルールに対して条件を適用しませ ん。条件を指定するには、Conditions[ 条件 ] タブを選択して ください。次に条件リストから条件を選択し、Add[ 追加 ] をクリックします。Selected Conditions[ 選択中の条件 ] リス トに条件が追加されます。必要に応じてさらに条件を追加 してください。条件リストに条件を追加する方法は、ルー ルの有効化の条件を定義をご参照ください。 Step 4 (任意)エージェント設定ルールを デフォルトでは、ESM は組織のすべてのオブジェクトに新 適用する対象オブジェクトを定義 規ルールを適用します。対象オブジェクトをより小さな範 囲に限定するには、Objects[ オブジェクト ] タブを選択し、 します。 Users[ ユーザー ]、Computers[ コンピューター ]、Groups[ グ ループ ]、Organizational units[ 組織ユニット ]、または Existing endpoints[ 既存のエンドポイント ] を Include[ 含有 ] または Exclude[ 除外 ] エリアに入力します。 Endpoint Security Manager は Active Directory にユーザー、コンピューター、組織ユニッ トを認証するクエリを送信するか、それまでの通信メッ セージから既存のエンドポイントを特定します。 Step 5 (任 意)ル ー ル の 名 前 と 説 明 を レ ESM コンソールはルールの詳細に基づいてルールの名前と ビューします。 説明を自動生成します。自動生成された名前をオーバーラ イドするには、Name[ 名前 ] タブを選択し、Auto Description is Activated[ 概要の自動生成を有効 ] オプションの選択を解 除し、新しいルールの名前と説明を入力します。 Step 6 エージェント設定ルールを保存し 以下のいずれかを実行します。 ます。 • ルールを Save[ 保存 ] します。後からルールを有効化する には、Settings > Agent Settings[ 設定 > エージェント設定 ] ページからルールを選択し、Activate[ 有効化 ] をクリック します。 • ルールを Save & Apply[ 保存して適用 ] すると、すぐにルー ルが有効化されます。 保存したルールは Settings > Agent Settings[ 設定 > エージェン ト設定 ] ページに表示されます。同じ場所から適宜ルール をDelete[削除]またはDeactivate[無効化]することができます。 新規プロセス情報の収集 エンドポイントから新規プロセスの情報を収集することで、セキュリティルールを作成すべきか どうかを検証することができます。デフォルトでは、Traps エージェントは新規プロセスの情報 を収集しません。Process Management[ プロセス管理 ] 設定を有効にすることで、エンドポイント上 で実行されるすべてのプロセスについて Traps が Endpoint Security Manager へ報告するように設定 することができます。プロセス管理ページには、手動で追加された、もしくは自動的に発見され たプロセスがすべて表示されます。 Advanced Endpoint Protection 管理者用ガイド 123 エージェント設定ルールの管理 エンドポイントの管理 新規プロセス情報の収集 Step 1 新規エージェント設定ルールを開 Settings > Agent Settings[ 設定 > エージェント設定 ] を選択し、 新規ルールを Add[ 追加 ] します。 始します。 Step 2 エンドポイントでの新規プロセス 1. の収集を有効にします。 2. Agent Settings[ エージェント設定 ] のドロップダウンリス トから Process Management[ プロセス管理 ] を選択します。 Collect new process information[ 新規プロセスの情報を収 集 ] チェックボックスを選択します。 新規プロセスが検知されると、ESM は Policies > Exploit > Process Management[ ポリシー > エクスプロイト > プロ セス管理]ページにそれらを保護されていないプロセス として表示します。必要に応じて新規プロセスを防御 するルールを定義します。 Step 3 (任意)ルールに条件を追加します。 デフォルトでは、ESM はルールに対して条件を適用しませ ん。条件を指定するには、Conditions[ 条件 ] タブを選択して ください。次に条件リストから条件を選択し、Add[ 追加 ] をクリックします。Selected Conditions[ 選択中の条件 ] リス トに条件が追加されます。必要に応じてさらに条件を追加 してください。条件リストに条件を追加する方法は、ルー ルの有効化の条件を定義をご参照ください。 Step 4 (任意)エージェント設定ルールを デフォルトでは、ESM は組織のすべてのオブジェクトに新 適用する対象オブジェクトを定義 規ルールを適用します。対象オブジェクトをより小さな範 囲に限定するには、Objects[ オブジェクト ] タブを選択し、 します。 Users[ ユーザー ]、Computers[ コンピューター ]、Groups[ グ ループ ]、Organizational units[ 組織ユニット ]、または Existing endpoints[ 既存のエンドポイント ] を Include[ 含有 ] または Exclude[ 除外 ] エリアに入力します。 Endpoint Security Manager は Active Directory にユーザー、コンピューター、組織ユニッ トを認証するクエリを送信するか、それまでの通信メッ セージから既存のエンドポイントを特定します。 Step 5 (任 意)ル ー ル の 名 前 と 説 明 を レ ESM コンソールはルールの詳細に基づいてルールの名前と 説明を自動生成します。自動生成された名前をオーバーラ ビューします。 イドするには、Name[ 名前 ] タブを選択し、Auto Description is Activated[ 概要の自動生成を有効 ] オプションの選択を解 除し、新しいルールの名前と説明を入力します。 Step 6 エージェント設定ルールを保存し 以下のいずれかを実行します。 ます。 • ルールを Save[ 保存 ] します。後からルールを有効化する には、Settings > Agent Settings[ 設定 > エージェント設定 ] ページからルールを選択し、Activate[ 有効化 ] をクリック します。 • ルールを Save & Apply[ 保存して適用 ] すると、すぐにルー ルが有効化されます。 保存したルールは Settings > Agent Settings[ 設定 > エージェン ト設定 ] ページに表示されます。同じ場所から適宜ルール をDelete[削除]またはDeactivate[無効化]することができます。 124 Advanced Endpoint Protection 管理者用ガイド エンドポイントの管理 エージェント設定ルールの管理 サービス保護の管理 サービス保護によって、エンドポイント上で実行される Traps サービスを保護することができま す。サービス保護が有効になっている場合、ユーザーは Traps に関連するレジストリ値やファイ ルを変更したり、Traps サービスを停止、変更したりすることは絶対にできません。 サービス保護の管理 Step 1 新規エージェント設定ルールを開 Settings > Agent Settings[ 設定 > エージェント設定 ] を選択し、 新規ルールを Add[ 追加 ] します。 始します。 Step 2 サービス保護を有効にします。 1. 2. Agent Settings[ エージェント設定 ] のドロップダウンリ ストから Service Protection[サービス保護]を選択します。 Enable service protection[ サービス保護を有効化 ] または Disable service protection[ サービス保護を無効化 ] を選択 します。 Step 3 (任意)ルールに条件を追加します。 デフォルトでは、ESM はルールに対して条件を適用しませ ん。条件を指定するには、Conditions[ 条件 ] タブを選択して ください。次に条件リストから条件を選択し、Add[ 追加 ] をクリックします。Selected Conditions[ 選択中の条件 ] リス トに条件が追加されます。必要に応じてさらに条件を追加 してください。条件リストに条件を追加する方法は、ルー ルの有効化の条件を定義をご参照ください。 Step 4 (任意)エージェント設定ルールを デフォルトでは、ESM は組織のすべてのオブジェクトに新 適用する対象オブジェクトを定義 規ルールを適用します。対象オブジェクトをより小さな範 囲に限定するには、Objects[ オブジェクト ] タブを選択し、 します。 Users[ ユーザー ]、Computers[ コンピューター ]、Groups[ グ ループ ]、Organizational units[ 組織ユニット ]、または Existing endpoints[ 既存のエンドポイント ] を Include[ 含有 ] または Exclude[ 除外 ] エリアに入力します。 Endpoint Security Manager は Active Directory にユーザー、コンピューター、組織ユニッ トを認証するクエリを送信するか、それまでの通信メッ セージから既存のエンドポイントを特定します。 Step 5 (任 意)ル ー ル の 名 前 と 説 明 を レ ESM コンソールはルールの詳細に基づいてルールの名前と 説明を自動生成します。自動生成された名前をオーバーラ ビューします。 イドするには、Name[ 名前 ] タブを選択し、Auto Description is Activated[ 概要の自動生成を有効 ] オプションの選択を解 除し、新しいルールの名前と説明を入力します。 Step 6 エージェント設定ルールを保存し 以下のいずれかを実行します。 ます。 • ルールを Save[ 保存 ] します。後からルールを有効化する には、Settings > Agent Settings[ 設定 > エージェント設定 ] ページからルールを選択し、Activate[ 有効化 ] をクリック します。 • ルールを Save & Apply[ 保存して適用 ] すると、すぐにルー ルが有効化されます。 保存したルールは Settings > Agent Settings[ 設定 > エージェン ト設定 ] ページに表示されます。同じ場所から適宜ルール をDelete[削除]またはDeactivate[無効化]することができます。 Advanced Endpoint Protection 管理者用ガイド 125 エージェント設定ルールの管理 エンドポイントの管理 アンインストール用パスワードの変更 デフォルトでは、エンドポイントから Traps をアンインストールするには、インストール時に指 定したアンインストール用パスワードを入力しなければなりません。エージェント設定ルールを 作成することでデフォルトのパスワードを変更します。 アンインストール用パスワードの変更 Step 1 新規エージェント設定ルールを開 Settings > Agent Settings[ 設定 > エージェント設定 ] を選択し、 新規ルールを Add[ 追加 ] します。 始します。 Step 2 パスワードを変更します。 1. 2. ドロップダウン リストから Agent Security[ エージェント セキュリティ ] を選択します。Set uninstall password[ ア ンインストール時のパスワードを設定]チェックボック スを選択します。 Traps をアンインストールする際にユーザーまたは管理 者が入力しなければならないパスワードを入力します。 パスワードは最低 8 文字以上である必要があります。 Step 3 (任意)ルールに条件を追加します。 デフォルトでは、ESM はルールに対して条件を適用しませ ん。条件を指定するには、Conditions[ 条件 ] タブを選択して ください。次に条件リストから条件を選択し、Add[ 追加 ] をクリックします。Selected Conditions[ 選択中の条件 ] リス トに条件が追加されます。必要に応じてさらに条件を追加 してください。条件リストに条件を追加する方法は、ルー ルの有効化の条件を定義をご参照ください。 Step 4 (任意)エージェント設定ルールを デフォルトでは、ESM は組織のすべてのオブジェクトに新 適用する対象オブジェクトを定義 規ルールを適用します。対象オブジェクトをより小さな範 囲に限定するには、Objects[ オブジェクト ] タブを選択し、 します。 Users[ ユーザー ]、Computers[ コンピューター ]、Groups[ グ ループ ]、Organizational units[ 組織ユニット ]、または Existing endpoints[ 既存のエンドポイント ] を Include[ 含有 ] または Exclude[ 除外 ] エリアに入力します。 Endpoint Security Manager は Active Directory にユーザー、コンピューター、組織ユニッ トを認証するクエリを送信するか、それまでの通信メッ セージから既存のエンドポイントを特定します。 Step 5 (任 意)ル ー ル の 名 前 と 説 明 を レ ESM コンソールはルールの詳細に基づいてルールの名前と 説明を自動生成します。自動生成された名前をオーバーラ ビューします。 イドするには、Name[ 名前 ] タブを選択し、Auto Description is Activated[ 概要の自動生成を有効 ] オプションの選択を解 除し、新しいルールの名前と説明を入力します。 Step 6 エージェント設定ルールを保存し 以下のいずれかを実行します。 ます。 • ルールを Save[ 保存 ] します。後からルールを有効化する には、Settings > Agent Settings[ 設定 > エージェント設定 ] ページからルールを選択し、Activate[ 有効化 ] をクリック します。 • ルールを Save & Apply[ 保存して適用 ] すると、すぐにルー ルが有効化されます。 保存したルールは Settings > Agent Settings[ 設定 > エージェン ト設定 ] ページに表示されます。同じ場所から適宜ルール をDelete[削除]またはDeactivate[無効化]することができます。 126 Advanced Endpoint Protection 管理者用ガイド エンドポイントの管理 エージェント設定ルールの管理 カスタム防止メッセージの作成 ファイルまたはプロセスがセキュリティポリシーに違反し、かつファイルをブロックするという 終了動作およびユーザー通知が設定されている場合、Traps は防止メッセージを表示します。エー ジェント設定ルールを使用し、エンドポイント上でセキュリティイベントが発生した際に Traps が表示するポップアップのタイトル、フッター、および画像をカスタマイズします。 カスタム防止メッセージの作成 Step 1 新規エージェント設定ルールを開 Settings > Agent Settings[ 設定 > エージェント設定 ] を選択し、 新規ルールを Add[ 追加 ] します。 始します。 Step 2 防止メッセージオプションをカス 1. タマイズします。 2. ドロップダウンリストから Prevention Message[ 防止メッ セージ ] を選択します。 変更を加えると、設定の右側に変更した項目がプレ ビュー表示されます。 • Prevention title[ 防止タイトル ]— カスタム通知のタイ トルを 50 文字以内で入力します。 • Prevention action[ 防止アクション ]— メッセージ下部 に表示する連絡先その他の情報を Notification[ 通知 ] 動作フィールドに 250 文字以内で入力します。メー ルアドレスを指定するには、標準的な HTML フォーマットを使用します。例:<a href="mailto://support@your_organization.com"> ヘ ルプデスク </a>。 • Prevention image[ 防止画像 ]—Traps のロゴを新しい画 像と入れ替えるには、新しい画像を Browse[ 選択 ] し て選択し、Upload[ アップロード ] をクリックします。 Step 3 (任意)ルールに条件を追加します。 デフォルトでは、ESM はルールに対して条件を適用しませ ん。条件を指定するには、Conditions[ 条件 ] タブを選択して ください。次に条件リストから条件を選択し、Add[ 追加 ] をクリックします。Selected Conditions[ 選択中の条件 ] リス トに条件が追加されます。必要に応じてさらに条件を追加 してください。条件リストに条件を追加する方法は、ルー ルの有効化の条件を定義をご参照ください。 Step 4 (任意)エージェント設定ルールを デフォルトでは、ESM は組織のすべてのオブジェクトに新 適用する対象オブジェクトを定義 規ルールを適用します。対象オブジェクトをより小さな範 囲に限定するには、Objects[ オブジェクト ] タブを選択し、 します。 Users[ ユーザー ]、Computers[ コンピューター ]、Groups[ グ ループ ]、Organizational units[ 組織ユニット ]、または Existing endpoints[ 既存のエンドポイント ] を Include[ 含有 ] または Exclude[ 除外 ] エリアに入力します。 Endpoint Security Manager は Active Directory にユーザー、コンピューター、組織ユニッ トを認証するクエリを送信するか、それまでの通信メッ セージから既存のエンドポイントを特定します。 Step 5 (任 意)ル ー ル の 名 前 と 説 明 を レ ESM コンソールはルールの詳細に基づいてルールの名前と 説明を自動生成します。自動生成された名前をオーバーラ ビューします。 イドするには、Name[ 名前 ] タブを選択し、Auto Description is Activated[ 概要の自動生成を有効 ] オプションの選択を解 除し、新しいルールの名前と説明を入力します。 Advanced Endpoint Protection 管理者用ガイド 127 エージェント設定ルールの管理 エンドポイントの管理 カスタム防止メッセージの作成(続) Step 6 エージェント設定ルールを保存し 以下のいずれかを実行します。 ます。 • ルールを Save[ 保存 ] します。後からルールを有効化する には、Settings > Agent Settings[ 設定 > エージェント設定 ] ページからルールを選択し、Activate[ 有効化 ] をクリック します。 • ルールを Save & Apply[ 保存して適用 ] すると、すぐにルー ルが有効化されます。 保存したルールは Settings > Agent Settings[ 設定 > エージェン ト設定 ] ページに表示されます。同じ場所から適宜ルール をDelete[削除]またはDeactivate[無効化]することができます。 カスタム通知メッセージの作成 ユーザーに警告する通知動作が設定されている場合、Traps は通知メッセージを表示します。エー ジェント設定ルールを使用し、警告の際に Traps が表示するポップアップのタイトル、フッター、 および画像をカスタマイズします。 カスタム通知メッセージの作成 Step 1 新規エージェント設定ルールを開 Settings > Agent Settings[ 設定 > エージェント設定 ] を選択し、 新規ルールを Add[ 追加 ] します。 始します。 Step 2 一 つ 以 上 の 通 知 メ ッ セ ー ジ オ プ 1. ションをカスタマイズします。 2. ドロップダウンリストから Notification Message[通知メッ セージ ] を選択します。 変更を加えると、設定の右側に変更した項目がプレ ビュー表示されます。 • Notification title[ 通知タイトル ]— カスタム通知のタイ トルを 50 文字以内で入力します。 • Notification action[ 通知アクション ]— メッセージ下 部に表示する連絡先その他の情報を [Notification] 動 作フィールドに 250 文字以内で入力します。メール アドレスを指定するには、標準的な HTML フォー マットを使用します。例:<a href="mailto://support@your_organization.com"> ヘ ルプデスク </a>。 • Notification image[ 通知画像 ]—Traps のロゴを新しい画 像と入れ替えるには、新しい画像を Browse[ 選択 ] で 選択し、Upload[ アップロード ] をクリックします。 128 Advanced Endpoint Protection 管理者用ガイド エンドポイントの管理 エージェント設定ルールの管理 カスタム通知メッセージの作成(続) Step 3 (任意)ルールに条件を追加します。 デフォルトでは、ESM はルールに対して条件を適用しませ ん。条件を指定するには、Conditions[ 条件 ] タブを選択して ください。次に条件リストから条件を選択し、Add[ 追加 ] をクリックします。Selected Conditions[ 選択中の条件 ] リス トに条件が追加されます。必要に応じてさらに条件を追加 してください。条件リストに条件を追加する方法は、ルー ルの有効化の条件を定義をご参照ください。 Step 4 (任意)エージェント設定ルールを デフォルトでは、ESM は組織のすべてのオブジェクトに新 適用する対象オブジェクトを定義 規ルールを適用します。対象オブジェクトをより小さな範 囲に限定するには、Objects[ オブジェクト ] タブを選択し、 します。 Users[ ユーザー ]、Computers[ コンピューター ]、Groups[ グ ループ ]、Organizational units[ 組織ユニット ]、または Existing endpoints[ 既存のエンドポイント ] を Include[ 含有 ] または Exclude[ 除外 ] エリアに入力します。 Endpoint Security Manager は Active Directory にユーザー、コンピューター、組織ユニッ トを認証するクエリを送信するか、それまでの通信メッ セージから既存のエンドポイントを特定します。 Step 5 (任 意)ル ー ル の 名 前 と 説 明 を レ ESM コンソールはルールの詳細に基づいてルールの名前と 説明を自動生成します。自動生成された名前をオーバーラ ビューします。 イドするには、Name[ 名前 ] タブを選択し、Auto Description is Activated[ 概要の自動生成を有効 ] オプションの選択を解 除し、新しいルールの名前と説明を入力します。 Step 6 エージェント設定ルールを保存し 以下のいずれかを実行します。 ます。 • ルールを Save[ 保存 ] します。後からルールを有効化する には、Settings > Agent Settings[ 設定 > エージェント設定 ] ページからルールを選択し、Activate[ 有効化 ] をクリック します。 • ルールを Save & Apply[ 保存して適用 ] すると、すぐにルー ルが有効化されます。 保存したルールは Settings > Agent Settings[ 設定 > エージェン ト設定 ] ページに表示されます。同じ場所から適宜ルール をDelete[削除]またはDeactivate[無効化]することができます。 Advanced Endpoint Protection 管理者用ガイド 129 エージェント設定ルールの管理 130 エンドポイントの管理 Advanced Endpoint Protection 管理者用ガイド フォレンジック S フォレンジックの概要 S フォレンジックルールおよび設定の管理 S Chrome で URI 収集を有効化 Advanced Endpoint Protection 管理者用ガイド 131 フォレンジックの概要 フォレンジック フォレンジックの概要 S フォレンジックフロー S フォレンジックデータ型 フォレンジックフロー S 第 1 段階:防止イベントの発動 S 第 2 段階:分析の自動化 S 第 3 段階:自動検知 S 第 4 段階:フォレンジックデータの収集 第 1 段階:防止イベントの発動 攻撃者がソフトウェアの脆弱性を狙ってエクスプロイトを行おうとした際、Traps モジュールが 悪意のあるプロセスを未然に遮り、攻撃を完全にブロックします。例えば、あるファイルが完全 に信頼できないコードにより極めて重要な DLL のメタデータにアクセスしようとしているとし ます。この場合、組織の各プロセスを保護するよう DLL セキュリティモジュールを有効化して いるのであれば、DLL にアクセスしようと試みているプロセスを Traps が即座に停止させます。 さらに Traps により状況がイベントログに記録され、セキュリティイベントに関する情報がユー ザーに通知されます。構成により、Traps が表示する通知メッセージをカスタマイズすることも 可能です(詳細はカスタム防止メッセージの作成を参照)。 エクスプロイトを防いだ後、第 2 段階:分析の自動化に記載の通り、Traps はイベントに関する データの収集・分析を行います。 第 2 段階:分析の自動化 エンドポイントでセキュリティイベントが発生すると Traps はメモリの状態を維持し、メモリダ ンプと呼ばれるデータファイルに記録します。このメモリダンプは ESM コンソールにてカスタ マイズ可能で、サイズを小、中、大(全ての情報を含む)から設定でき、さらに Traps が自動的 にメモリダンプをフォレンジックフォルダにアップロードするのを許可するかどうかも指定で きます。詳細は、メモリダンプの設定をご参照ください。 メモリダンプの生成後、Traps はそのファイルを解読、情報を抽出してイベント発生の原因を特 定し、予防措置の有効性を確認します。分析結果を確認すれば、イベントの詳細を把握して診断 を行うことができます。 さらに第 3 段階:自動検知に記載の通り、イベントの種類によっては、Traps は自動検知ツール を使用して悪意のあるプログラムをスキャンします。 132 Advanced Endpoint Protection 管理者用ガイド フォレンジック フォレンジックの概要 第 3 段階:自動検知 メモリダンプの内容を分析した後、Traps は自動的に第 2 の分析を実行します。この分析結果は、 予防措置の有効性を検証する際に役立ちます。検知ツール(ROP チェーン検知、ヒープスプレー 検知など)を使用して行われるこの第 2 の分析ではイベントの性質についてより詳細な情報が得 られ、悪意のある他のプログラムの存在を明らかにすることができます。 検知ツールにより悪意のあるプログラムが見つかった場合、Traps は次のシンタックスによって情 報をシステムログファイルに保存します:Traps prefix-unique client ID-event ID。さらに Traps は、検 知が成功したことを ESM サーバーに報告します。各検知ツールが悪意のある他のプログラムを発 見したかどうかなど、 結果が ESM コンソールによって未然防止イベントレコードの Traps Automatic Dump Analysis[Traps 自動ダンプ解析 ] セクションに表示されます。Traps がメモリの内容をキャプ チャできなかった場合は不正なダンプファイルが生成されるか、あるいは第 2 の分析を完了でき ず、ESM コンソールによって防止イベントレコードのこのセクションが非表示にされます。 検知ツールが悪意のある他のプログラムを発見した場合、その防止イベントには実際の脅威が関 係している可能性がかなり高いと考えられます。 セキュリティイベントへの対応や分析をさらに進めるには、Traps が収集したフォレンジック データ(第 4 段階:フォレンジックデータの収集を参照)を確認します。 第 4 段階:フォレンジックデータの収集 ファイルの分析後、Traps はセキュリティイベントの情報を ESM に通知し、さらにフォレンジッ クフォルダにフォレンジックデータを送信できる状態になります。 フォレンジックデータを収集するというルールがセキュリティポリシーに含まれている場合、 Traps は指定されているタイプのデータを収集し、ファイルにしてフォレンジックフォルダに アップロードします。攻撃を受けたプロセスに関して、設定によっては、アクセスのあった URI、 ドライバ、ファイル、メモリに読み込まれた DLL、さらにセキュリティイベントを引き起こし た上位プロセスを Traps が収集することも可能です。詳細は、フォレンジックデータ収集を設定 をご参照ください。 デフォルトでは、Traps はウェブベースのバックグラウンド インテリジェント転送サービス (BITS)フォルダを利用し、使用されていないネットワーク帯域幅を通してデータをアップロー ドします。詳細は、デフォルトのフォレンジックフォルダの変更をご参照ください。 データを収集するようワンタイムのアクションルールを設定すれば、任意のセキュリティイベン トについてフォレンジックデータを手動で取得することも可能です。詳細は、セキュリティイベ ントについてのデータを取得をご参照ください。フォレンジックデータのアップロードに関する 状態を確認するには、Monitor > Forensics Retrieval[ 監視 > フォレンジック取得 ] を選択します。 フォレンジックデータ型 エンドポイントでセキュリティイベントが発生すると、Traps に次のような情報を収集させるこ とができます。 フォレンジックデータ型 内容 メモリダンプ イベント発生時にキャプチャされたメモリの内容 Advanced Endpoint Protection 管理者用ガイド 133 フォレンジックの概要 フォレンジック フォレンジックデータ型 内容 アクセスされたファイル 攻撃を受けたプロセスに関連してメモリに読み込まれた以下のようなファ イル(イベントの詳細な分析に使用)。 • アプリケーションの詳細なトレースログ • 関連する DLL の検索(パスを含む) • 「Temporary Internet Files」フォルダにある関連ファイル • 開いたファイル(実行ファイルおよびその他) 読み込まれたモジュール セキュリティイベント発生時にシステムに読み込まれたドライバ アクセスされた URI Uniform Resource Identifier(URI)により、リソースの特定、リソースとの やり取りが可能になります。 セキュリティイベント発生時にアクセスのあったネットワークリソース、 および以下を含む URI 情報。 • すべての主なブラウザからの URI(隠しリンク、および攻撃を受けた関 連スレッドのフレームを含む) • Java アプレットのソース URI、ファイル名、パス(親プロセスとその上 位プロセス、子プロセスを含む) • ブラウザプラグイン、メディアプレーヤー、メールクライアントからの URI の問い合わせリスト 上位プロセス 以下を含む、セキュリティイベント発生時の上位プロセスに関する(ブラ ウザ、ブラウザ以外、Java アプレットの子プロセスからの)情報。 • スレッドインジェクションの個々のソースと対象 • 制限された子プロセスの親とその上位プロセス 134 Advanced Endpoint Protection 管理者用ガイド フォレンジック フォレンジックルールおよび設定の管理 フォレンジックルールおよび設定の管理 S フォレンジックルール S デフォルトのフォレンジックフォルダの変更 S フォレンジックルールの作成 S メモリダンプの設定 S フォレンジックデータ収集を設定 S セキュリティイベントについてのデータを取得 フォレンジックルール フォレンジックルールにより、Traps がとらえたフォレンジックデータを中央から収集すること ができます。Policies > Forensics[ ポリシー > フォレンジック ] ページにてルールを作成し、次のよ うなフォレンジック設定を管理することができます。 エージェント設定ルール 内容 メモリダンプ設定 メモリダンプのサイズ変更といったファイル設定を行ったり、Traps が自動 的にメモリダンプをサーバーに送信する機能を有効化したりすることがで きます。この設定は、保護中のプロセスで発生した防止イベントにて収集 されたデータにのみ適用できます。詳細は、メモリダンプの設定をご参照 ください。 フォレンジックデータ アクセスされたファイル、メモリに読み込まれたモジュール、アクセスの 収集 あった URI、セキュリティイベントを発生させたプロセスの上位プロセス の情報といった、各セキュリティイベントが含有するフォレンジックデー タを Traps に収集させます。詳細は、フォレンジックデータ収集を設定を ご参照ください。 デフォルトのフォレンジックフォルダの変更 S ESM コンソールを使用してフォレンジックフォルダを変更する S DB 構成ツールを使用してフォレンジックフォルダを変更する ESM コンソールを使用してフォレンジックフォルダを変更する Traps がウェブベースのフォレンジックフォルダにフォレンジックデータをアップロードしては じめて、防止成功やクラッシュなどといったセキュリティイベントに対する対応や分析をさらに 進めることが可能になります。ESM コンソールのインストール中、インストーラーによりバック グラウンド インテリジェント転送サービス(BITS)が有効化されます。これにより、使用されて いないネットワーク帯域幅を通してデータをアップロードすることができるようになります。 セキュリティイベントの分析を行うには、アクションルールを作成し、エンドポイントからフォ レンジックデータを取得します(Traps が収集したデータの管理を参照) 。データを送信するよう リクエストを受け取った Traps は、ローカルか、あるいは初期インストールの際に指定したネッ トワークパス上に存在するフォレンジックフォルダ(Endpoint Security Manager では検疫フォルダ とも呼ばれる)にファイルをコピーします。 Advanced Endpoint Protection 管理者用ガイド 135 フォレンジックルールおよび設定の管理 フォレンジック Endpoint Security Manager あるいは DB 構成ツールを使用していつでもフォレンジックフォルダの パスを変更することができます(DB 構成ツールを使用してフォレンジックフォルダを変更する を参照) 。また、このフォルダの書き込み権限がすべてのエンドポイントに無ければなりません。 ESM コンソールを使用し、フォレンジックフォルダを変更する Step 1 Settings > General[ 設定 > 一般 ] を選択し、さらにドロップダウンリストから Server Configuration Step 2 BITS を使用してフォレンジックデータをアップロードするために、Forensic Folder URL[ フォレ ンジックフォルダ URL] 欄にウェブベースの URL を入力します。例: http://ESMserver:80/BitsUploads。 [ サーバー構成 ] を選択します。 SSL を使用する場合は、絶対ドメイン名(FQDN)を含めます。例: https://ESMserver.Domain.local:443/BitsUploads。 DB 構成ツールを使用してフォレンジックフォルダを変更する Traps がウェブベースのフォレンジックフォルダにフォレンジックデータをアップロードしては じめて、防止成功やクラッシュなどといったセキュリティイベントに対する対応や分析をさらに 進めることが可能になります。ESM コンソールのインストール中、インストーラーによりバック グラウンド インテリジェント転送サービス(BITS)が有効化されます。これにより、使用されて いないネットワーク帯域幅を通してデータをアップロードすることができるようになります。 セキュリティイベントの分析を行うには、アクションルールを作成し、エンドポイントからフォ レンジックデータを取得します(Traps が収集したデータの管理を参照) 。データを送信するよう リクエストを受け取った Traps は、ローカルか、あるいは初期インストールの際に指定したネッ トワークパス上に存在するフォレンジックフォルダ(Endpoint Security Manager では検疫フォルダ とも呼ばれる)にファイルをコピーします。 Endpoint Security Manager(ESM コンソールを使用してフォレンジックフォルダを変更するを参 照)あるいはデータベース(DB)構成ツールを使用していつでもフォレンジックフォルダのパ スを変更することができます ESM コンソールだけでなく、コマンドライン型のインターフェースを持つ DB 構成ツールでも サーバーの基本設定を管理することができます。Microsoft MS-DOS コマンドプロンプトを管理者 として実行すると、DB 構成ツールを使用できます。DB 構成ツールは、ESM サーバーの「Server」 フォルダに格納されています。 DB 構成ツールで実行するコマンドでは、大文字・小文字が区別されます。 DB 構成ツールを使用してフォレンジックフォルダを変更する Step 1 次のようにして、管理者としてコマンドプロンプトを開きます。 • Start > All Programs > Accessories[ スタート > すべてのプログラム > アクセサリー ] を選択しま す。Command prompt[ コマンドプロンプト ] を右クリックし、Run as administrator[ 管理者とし て実行 ] を選択します。 • Start[ 開始 ] を選択します。Start Search[ 検索開始 ] 入力ボックスに cmd と入力します。次に CTRL+SHIFT+ENTER を同時に押し、管理者としてコマンドプロンプトを開きます。 Step 2 DB 構成ツールを格納している次のフォルダに移動します。 C:\Users\Administrator>cd C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server 136 Advanced Endpoint Protection 管理者用ガイド フォレンジック フォレンジックルールおよび設定の管理 DB 構成ツールを使用してフォレンジックフォルダを変更する Step 3 (任意)既存のサーバー設定を表示します。 C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig server show PreventionsDestFolder = \\ESMServer\Quarantine InventoryInterval = 284 HeartBeatGracePeriod = 4200 NinjaModePassword = Password2 BitsUrl = https://CYVERASERVER.Domain.local:443/BitsUploads MaxActions = 5000 Step 4 ウェブベースのフォレンジックフォルダの URL を入力します。 C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig server BitsUrl http://ESMserver:80/BitsUploads SSL を使用する場合は、絶対ドメイン名(FQDN)を含めます。例: https://ESMserver.Domain.local:443/BitsUploads. Step 5 (任意)dbconfig server show コマンドを実行し、フォレンジックフォルダのパスを確認します: C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig server show PreventionsDestFolder = \\ESMServer-New\Quarantine InventoryInterval = 284 HeartBeatGracePeriod = 4200 NinjaModePassword = Password2 BitsUrl = HTTPS://ESMserver.Domain.local:443/BitsUploads MaxActions = 5000 フォレンジックルールの作成 フォレンジックルールを作成し、メモリダンプの定義やフォレンジックデータ収集の設定を行い ます。 フォレンジックルールの作成 Step 1 フォレンジックルールを開始しま Policies > Forensics[ ポリシー > フォレンジック ] の順に選択 す。 し、Add[ 追加 ] をクリックします。 Step 2 構成するルールの種類を選択しま Forensics[ フォレンジック ] のドロップダウンリストから以 す。 下のいずれかを選択し、ルールの種類に応じて設定を行い ます。 • Memory Dump[ メモリダンプ ]— 詳細はメモリダンプの設 定をご参照ください。 • Forensics Collection[ フォレンジックコレクション ]— 詳細 はフォレンジックデータ収集を設定をご参照ください。 Advanced Endpoint Protection 管理者用ガイド 137 フォレンジックルールおよび設定の管理 フォレンジック フォレンジックルールの作成(続) Step 3 (任意)ルールに条件を追加します。 デフォルトでは、ESM はルールに対して条件を適用しませ ん。条件を指定するには、Conditions[ 条件 ] タブを選択して ください。次に条件リストから条件を選択し、Add[ 追加 ] をクリックします。Selected Conditions[ 選択中の条件 ] リス トに条件が追加されます。必要に応じてさらに条件を追加 してください。条件リストに条件を追加する方法は、ルー ルの有効化の条件を定義をご参照ください。 Step 4 (任意)制限ルールを適用する対象 デフォルトでは、ESM は組織のすべてのオブジェクトに新 規ルールを適用します。対象オブジェクトをより小さな範 オブジェクトを定義します。 囲に限定するには、Objects[ オブジェクト ] タブを選択し、 Users[ ユーザー ]、Computers[ コンピューター ]、Groups[ グ ループ ]、Organizational units[ 組織ユニット ]、または Existing endpoints[ 既存のエンドポイント ] を Include[ 含有 ] または Exclude[ 除外 ] エリアに入力します。 Endpoint Security Manager は Active Directory にユーザー、コンピューター、組織ユニッ トを認証するクエリを送信するか、それまでの通信メッ セージから既存のエンドポイントを特定します。 Step 5 (任 意)ル ー ル の 名 前 と 説 明 を レ ESM コンソールはルールの詳細に基づいてルールの名前と ビューします。 説明を自動生成します。自動生成された名前をオーバーラ イドするには、Name[ 名前 ] タブを選択し、Auto Description is Activated[ 概要の自動生成を有効 ] オプションの選択を解 除し、新しいルールの名前と説明を入力します。 Step 6 フォレンジックルールを保存しま 以下のいずれかを実行します。 す。 • ルールを Save[ 保存 ] します。後からルールを有効化する には、 Policies > Forensics[ ポリシー > フォレンジック ] ペー ジからルールを選択し、 Enable[有効化]をクリックします。 • ルールを Save & Apply[ 保存して適用 ] すると、すぐにルー ルが有効化されます。 保存したルールは Policies > Forensics[ ポリシー > フォレン ジック ] ページに表示されます。同じ場所から適宜ルール を Activate[ 有効化 ] または Deactivate[ 無効化 ] できます。 メモリダンプの設定 保護中のプロセスがクラッシュ、あるいは異常終了した場合、メモリの内容やイベントに関する その他のデータなどが Traps によってメモリダンプに記録されます。 メモリダンプのサイズを小、中、大(全ての情報を含む)に変更したり、Traps が自動的にメモ リダンプをフォレンジックフォルダにアップロードさせるかどうかを指定するなど、Traps によ るプロセスのメモリダンプの管理方法をカスタマイズするには、フォレンジックルールを作成し ます。 メモリダンプの設定 Step 1 138 フォレンジックルールを開始しま Policies > Forensics[ ポリシー > フォレンジック ] の順に選択 す。 し、Add[ 追加 ] をクリックします。 Advanced Endpoint Protection 管理者用ガイド フォレンジック フォレンジックルールおよび設定の管理 メモリダンプの設定(続) Step 2 エンドポイント上で防止イベント 1. が発生した際のメモリダンプを定 義します。 Forensics[ フォレンジック ] のドロップダウンリストか ら Memory Dump[ メモリダンプ ] を選択し、次のいずれ かを行います。 • Send the memory dumps automatically[ メモリダンプを自 動送信 ] を選択し、メモリダンプをサーバーに自動 送信させます。 • Memory dump size[ メモリダンプのサイズ ] オプション を選択し、次にドロップダウンリストから Small[ 小 ]、 Medium[ 中 ]、Full[ 大 ] のいずれかを選び、メモリダ ンプのファイルサイズを指定します。 2. アプリケーションを選択します。Traps により、選択中 のアプリケーションに設定が適用されます。 Step 3 (任意)ルールに条件を追加します。 デフォルトでは、ESM はルールに対して条件を適用しませ ん。条件を指定するには、Conditions[ 条件 ] タブを選択して ください。次に条件リストから条件を選択し、Add[ 追加 ] をクリックします。Selected Conditions[ 選択中の条件 ] リス トに条件が追加されます。必要に応じてさらに条件を追加 してください。条件リストに条件を追加する方法は、ルー ルの有効化の条件を定義をご参照ください。 Step 4 (任意)制限ルールを適用する対象 デフォルトでは、ESM は組織のすべてのオブジェクトに新 規ルールを適用します。対象オブジェクトをより小さな範 オブジェクトを定義します。 囲に限定するには、Objects[ オブジェクト ] タブを選択し、 Users[ ユーザー ]、Computers[ コンピューター ]、Groups[ グ ループ ]、Organizational units[ 組織ユニット ]、または Existing endpoints[ 既存のエンドポイント ] を Include[ 含有 ] または Exclude[ 除外 ] エリアに入力します。 Endpoint Security Manager は Active Directory にユーザー、コンピューター、組織ユニッ トを認証するクエリを送信するか、それまでの通信メッ セージから既存のエンドポイントを特定します。 Step 5 (任 意)ル ー ル の 名 前 と 説 明 を レ ESM コンソールはルールの詳細に基づいてルールの名前と ビューします。 説明を自動生成します。自動生成された名前をオーバーラ イドするには、Name[ 名前 ] タブを選択し、Auto Description is Activated[ 概要の自動生成を有効 ] オプションの選択を解 除し、新しいルールの名前と説明を入力します。 Step 6 フォレンジックルールを保存しま 以下のいずれかを実行します。 す。 • ルールを Save[ 保存 ] します。後からルールを有効化する には、 Policies > Forensics[ ポリシー > フォレンジック ] ペー ジからルールを選択し、 Enable[有効化]をクリックします。 • ルールを Save & Apply[ 保存して適用 ] すると、すぐにルー ルが有効化されます。 保存したルールは Policies > Forensics[ ポリシー > フォレン ジック ] ページに表示されます。同じ場所から適宜ルール を Activate[ 有効化 ] または Deactivate[ 無効化 ] できます。 Advanced Endpoint Protection 管理者用ガイド 139 フォレンジックルールおよび設定の管理 フォレンジック フォレンジックデータ収集を設定 フォレンジックデータ収集オプションを設定することで、エンドポイントでセキュリティイベン トが発生した際にイベントの性質を正しく見極め、より正確な理解を得ることができるようにな ります。セキュリティイベント発生時にアクセスされたファイル、メモリに読み込まれたモ ジュール、アクセスのあった URI、セキュリティイベントを発生させたプロセスの上位プロセス などについての情報を、Traps に報告させることができます。 フォレンジックデータ収集を設定 Step 1 フォレンジックルールを開始しま Policies > Forensics[ ポリシー > フォレンジック ] の順に選択 す。 し、Add[ 追加 ] をクリックします。 Step 2 フォレンジックデータ収集を設定 Forensics[ フォレンジック ] のドロップダウンリストから します。 Forensics Collection[ フォレンジックコレクション ] を選択し、 次のいずれかの項目を設定します。 • Report Accessed Files[ アクセスされたファイルを報告 ]— 攻撃を受けたプロセスに関して、セキュリティイベント の発生に関与したファイルやメモリに読み込まれた DLL などの情報を収集してイベントをより詳細に検証したい 場合は Enabled[ 有効 ] を選択します。 • Report Loaded Modules[ ロードされたモジュールを報告 ]— セキュリティイベント発生時にシステムに読み込まれた モジュールはどれかを報告させる場合は Enabled[ 有効 ] を選択します。 • Report Accessed URI[ アクセスされた URI を報告 ]— ウェ ブプラグイン、メディアプレーヤー、メールクライアン トからの URI 情報を収集する場合は Enabled[ 有効 ] を選 択します。 • Report Ancestor Processes[ 上位プロセスを報告 ]— アプリ ケーションの中には、Java アプレットを子、孫、ひ孫 ... といった具合に下位プロセスとして実行するものがあり ます。ブラウザ、ブラウザ以外、Java アプレットの子プ ロセスから得られる下位プロセスについての情報を記録 し、イベントの根元を探く探りたい場合は Enabled[ 有効 ] を選択します。 別の方法として、各データタイプとも、デフォルトのセキュ リティポリシーの設定内容を無効化したり、引き継いだり することができます。 Step 3 (任意)ルールに条件を追加します。 デフォルトでは、ESM はルールに対して条件を適用しませ ん。条件を指定するには、Conditions[ 条件 ] タブを選択して ください。次に条件リストから条件を選択し、Add[ 追加 ] をクリックします。Selected Conditions[ 選択中の条件 ] リス トに条件が追加されます。必要に応じてさらに条件を追加 してください。条件リストに条件を追加する方法は、ルー ルの有効化の条件を定義をご参照ください。 140 Advanced Endpoint Protection 管理者用ガイド フォレンジック フォレンジックルールおよび設定の管理 フォレンジックデータ収集を設定(続) Step 4 (任意)制限ルールを適用する対象 デフォルトでは、ESM は組織のすべてのオブジェクトに新 規ルールを適用します。対象オブジェクトをより小さな範 オブジェクトを定義します。 囲に限定するには、Objects[ オブジェクト ] タブを選択し、 Users[ ユーザー ]、Computers[ コンピューター ]、Groups[ グ ループ ]、Organizational units[ 組織ユニット ]、または Existing endpoints[ 既存のエンドポイント ] を Include[ 含有 ] または Exclude[ 除外 ] エリアに入力します。 Endpoint Security Manager は Active Directory にユーザー、コンピューター、組織ユニッ トを認証するクエリを送信するか、それまでの通信メッ セージから既存のエンドポイントを特定します。 Step 5 (任 意)ル ー ル の 名 前 と 説 明 を レ ESM コンソールはルールの詳細に基づいてルールの名前と ビューします。 説明を自動生成します。自動生成された名前をオーバーラ イドするには、Name[ 名前 ] タブを選択し、Auto Description is Activated[ 概要の自動生成を有効 ] オプションの選択を解 除し、新しいルールの名前と説明を入力します。 Step 6 フォレンジックルールを保存しま 以下のいずれかを実行します。 す。 • ルールを Save[ 保存 ] します。後からルールを有効化する には、 Policies > Forensics[ ポリシー > フォレンジック ] ペー ジからルールを選択し、 Enable[有効化]をクリックします。 • ルールを Save & Apply[ 保存して適用 ] すると、すぐにルー ルが有効化されます。 保存したルールは Policies > Forensics[ ポリシー > フォレン ジック ] ページに表示されます。同じ場所から適宜ルール を Activate[ 有効化 ] または Deactivate[ 無効化 ] できます。 セキュリティイベントについてのデータを取得 エンドポイントでセキュリティイベントが発生すると、Traps はメモリの内容をはじめとした各 種フォレンジックデータを収集し、エンドポイント上に保存します。フォレンジックデータを活 用すれば、デバッグを行ったり、アプリケーションが抱える問題を調べたりすることができま す。このオプションを選択すると、Traps が収集した情報を取得するよう、エージェント設定ルー ルが生成されます。Traps がエージェント設定ルールを受信した後は、エージェントによりすべ てのログが指定済みのフォレンジックフォルダに送信されます。 一般的なルールを作成してエンドポイントからデータを取得する方法については、Traps が収集 したデータの管理をご参照ください。 Advanced Endpoint Protection 管理者用ガイド 141 フォレンジックルールおよび設定の管理 フォレンジック セキュリティイベントについてのデータを取得 Step 1 ESM コンソールにて Security Events > Threats[ セキュリティイベント > 脅威 ] を選択して保護中の プロセスに対するセキュリティイベントを表示するか、あるいは Monitor > Provisional Mode[ 監視 > 一時的保護モード ] を選択して一時的保護のプロセスに関連したセキュリティイベントを表示 します。 Step 2 データを取得するセキュリティイベントを選択します。セキュリティイベントに関する詳細情 報、アクションが表示されます。 Step 3 Retrieve[ 取得 ] をクリックします。ESM コンソールがエージェント設定ルールの事前設定を行い Step 4 ルールの詳細を確認し、Save and Apply[ 保存して適用 ] をクリックしてルールをすぐに有効化す るか、Save[ 保存 ] して後からルールを有効化します。次のハートビートの際、Traps エージェン トが新しいルールを受信し、防御データをフォレンジックフォルダに送信します。フォレンジッ クデータのアップロードに関する状態を確認するには、Monitor > Forensics Retrieval[ 監視 > フォレ ンジック取得 ] を選択します。 ます。 エージェントにより、プロセスのメモリダンプを含むイベント関連のすべてのデータが指定さ れたフォレンジックフォルダに送信されます。 Step 5 142 防御データを確認するには、フォレンジックフォルダに移動します。 Advanced Endpoint Protection 管理者用ガイド フォレンジック Chrome で URI 収集を有効化 Chrome で URI 収集を有効化 他のブラウザと異なり、Chrome はすべてのタブの URI を一つのプロセスで記録しています。そ のため、Chrome で URI 収集を有効化するには、Chrome エクステンションをインストールする必 要があります。これにより、当該ブラウザに対するエクスプロイトを Traps が未然に防げるよう になります。エクステンションをインストールすると Chrome は各ウェブリクエストに対しコー ルバックを登録し、URI をリングバッファで記録するようになります。これは他の Traps の URI 収集メカニズムと類似の手法です。 URI 収集を有効化するには、エクステンションをエンドポイント上でインストールするか、GPO 管理ソフトウェアを使用してインストールします。Chrome エクステンションをオンライン / オ フラインで構成する際の流れを以下にも示してあります。 S エンドポイントに Chrome エクステンションをインストール S GPO を使用して Chrome エクステンションをインストール エンドポイントに Chrome エクステンションをインストール エンドポイントに Chrome エクステンションをインストール Step 1 「Palo Alto Networks Traps Chrome Monitor」エクステンションファイルをダウンロードし、ファイ ルを展開します。 Step 2 エクステンションファイルの編集 • オンライン:ファイル名 Ext.reg の最後の行を、traps.crx.xml の完全パスに書き換えます。 "1"="mobnfjmemnepjkflncmogkbnhafgblic;https://clients2.google.com/service/update2/crx" • オフライン: 1. ファイル名 Ext.reg の最後の行を、traps.crx.xml の完全パスに書き換えます。 "1"="mobnfjmemnepjkflncmogkbnhafgblic;file:c:/....../traps.crx.xml" 2. ファイル名 traps.crx.xml にて、updatecheck codebase へのパスを traps.crx の完全パスに書 き換えます。 <updatecheck codebase='file:c:/ChromeExtension/traps.crx' version='1.4' /> Step 3 Step 4 保存後、reg ファイルをダブルクリックし、ローカルに自動インストールします。 Chrome エクステンションのインストール状態を確認します。Chrome ブラウザで と入力し、Enter キーを押します。エクステンションのリストに「Palo Alto Networks Traps Chrome Monitor」が表示されているはずです。 chrome://extensions GPO を使用して Chrome エクステンションをインストール エンドポイントに Chrome エクステンションをインストール Step 1 エクステンションファイルを展開 1. 「Palo Alto Networks Traps Chrome Monitor」エクステン します。 ションファイルをダウンロードし、ファイルを展開し ます。 Advanced Endpoint Protection 管理者用ガイド 143 Chrome で URI 収集を有効化 フォレンジック エンドポイントに Chrome エクステンションをインストール Step 1 chrome.admをテンプレートとしてド 1. メイン コントローラに追加します。 2. 3. 4. Step 2 デスクトップ上で Start[ スタート ] を選択し、検索ボッ クスに gpmc.msc と入力して Enter キーを押します。 GPO を作成します。Group Policy Manager にて Forest > Domains[ フォレスト>ドメイン ] を選択します。ドメイ ンを右クリックし、Create GPO in this Domain[ このドメ インに GPO を作成 ] を選択します。GPO の名前を TrapsChromeExtention[TrapsChromeExtention] に 変 更 し、 Save[ 保存 ] をクリックします。 GPO を編集します。GPO を右クリックし、Edit[ 編集 ] を選択します。GPO の Copmputer Settings(コンピュータ の構成)セクションを展開します。Policies > Administrative Templates[ ポリシー > 管理用テンプレート ] をクリック し、さらに Administrative Templates[ 管理用テンプレート ] を右クリックします。Add/Remove Templates[ テンプレー トを追加 / 削除 ] を選択します。 Chrome テンプレートを追加します。Add[ 追加 ] をク リックし、Browse[ 選択 ] でファイル名 chrome.adm を探 し、ダブルクリックします。テンプレートのウィンド ウに「chrome」ファイルが読み込まれます。Close[ 閉じ る ] をクリックします。 GPO にテンプレートを追加します。 1. Computer Settings(コンピューターの構成)のセクション で Policies > Administrative Templates > Classic administrative Templates > Google > Google Chrome(デフォルト設定でな い)> Extensions[ ポリシー > 管理用テンプレート > 従来 型管理者用テンプレート > Google > Google Chrome > エ クステンション ] を選択します。 2. ディスプレイの右側に GPO ルールが 5 つ表示されま す。Configure the list of force-installed extensions[ 強制イン ストールされたエクステンションのリストを構成]をダ ブルクリックします。 3. GPO が有効になっていることを確認し、Show[ 表示 ] (ディスプレイ右側中央)をクリックします。 • オンライン:白くなっている行に次のコマンドを入 力します。 mobnfjmemnepjkflncmogkbnhafgblic;https://clients 2.google.com/service/update2/crx • オフライン:白くなっている行に次の文字列を入力 します(ディレクトリを編集してフォレンジック フォルダになるようにします。例: //servername/…/forensic)。 mobnfjmemnepjkflncmogkbnhafgblic;file:c:/…………/tr aps.crx.xml 4. Step 3 144 OK をクリックします。 Chrome エクステンションのインス エ ン ド ポ イ ン ト 上 で Chrome ブ ラ ウ ザ を 開 き、 トール状態を確認します。 chrome://extensions と入力します。エクステンションのリ ストに「Palo Alto Networks Traps Chrome Monitor」が表示さ れていることを確認します。 Advanced Endpoint Protection 管理者用ガイド レポートとログ Endpoint Security Manager には、組織内のエンドポイントをモニタリングする際に役立つレポート機 能とログ機能があります。ログをモニタリングして情報をフィルタリングし、ネットワーク内の 異常な活動を正しく解釈することができます。セキュリティイベントの分析後、当該エンドポイ ントあるいはプロセス用のカスタムルールを作成することもできます。ここでは、エンドポイン トのセキュリティの状態に関するレポートを確認・モニタリングする方法についてご説明します。 S エンドポイントおよび Traps の保守 S Endpoint Security Manager ダッシュボードの使用 S セキュリティイベントの監視 S エンドポイントの安全状態を確認 S ルールを監視 S フォレンジックデータ取得を監視 S エージェント通知を監視 S サーバー通知を監視 S レポート機能およびログ機能の設定を管理 Advanced Endpoint Protection 管理者用ガイド 145 エンドポイントおよび Traps の保守 レポートとログ エンドポイントおよび Traps の保守 日ごと、あるいは週ごとに次の作業を行います。 ダッシュボードを確認し、インストール済みの Traps エージェントがすべてのエンドポイント で有効になっていることを確認します。Endpoint Security Manager ダッシュボードの使用をご 参照ください。 Notifications[ 通知 ] ページを確認し、クラッシュやセキュリティイベントについてのレポート を閲覧します。セキュリティイベントの分析後に行う可能性があるタスクには、以下のよう なものがあります。 – 保護されていないアプリケーションに対する保護を有効化する。プロセスの表示、変更、 削除をご参照ください。 – 日々の業務に支障をきたすルールを一時的に無効化する。セキュリティイベントが攻撃 の可能性が無いことを示しており、さらに日々の業務に支障をきたしている場合は、任 意のエンドポイント上のエクスプロイト阻止ルールあるいは制限ルールを無効化するこ とができます。エクスプロイト阻止ルールからエンドポイントを除外するをご参照くだ さい。 – 異常な挙動や脆弱性の存在を示唆するソフトウェアのバグを修復する、あるいはパッチを 当てる / アップグレードを行う。サードパーティーのアプリケーションにパッチを当てる / アップグレードを施す、あるいは自社開発のアプリケーションのバグを直すことで、 Endpoint Security Manager に報告されるセキュリティイベントの数は減ることでしょう。 Process Management[ プロセス管理 ] ビューで保護されていないプロセスを確認し、保護するか どうか決定する。プロセスの表示、変更、削除をご参照ください。 組織の変化、あるいは利用可能な Traps ソフトウェアのバージョンが変化された後は、以下の事 を行えます。 新しくインストールしたアプリケーションを、保護対象のリストに追加する。Protected[ 保護 中 ]、Provisional[ 一時的保護 ]、Unprotected[ 未保護 ] のプロセスを追加をご参照ください。 新しいエンドポイントにTrapsをインストールする。エンドポイントにTrapsをインストールを ご参照ください。 エンドポイント上の Traps エージェントのバージョンをアップグレードする。エンドポイン ト上の Traps のアンインストールまたはアップグレードをご参照ください。 エンドポイント上のエージェントライセンスを更新する。エンドポイント上の Traps ライセン スの更新または取り消しをご参照ください。 146 Advanced Endpoint Protection 管理者用ガイド レポートとログ Endpoint Security Manager ダッシュボードの使用 Endpoint Security Manager ダッシュボードの使用 Endpoint Security Manager にログイン後、最初に表示される画面がダッシュボードです。トップメ ニューにある Dashboard[ ダッシュボード ] をクリックすることでもアクセス / 更新を行えます。 ダッシュボードにはいくつかのチャートが表示され、Traps エージェントのインスタンスに関す る統計データを確認できます。また、ダッシュボードは設定変更できません。 以下の表で、各チャートについて説明します。 ダッシュボード チャート 内容 サービスステータス エンドポイントにインストールされた Traps エージェントのインスタンス のステータスを、数値とパーセント値で示します。以下のようなステータ スがあります。 • Running[ 運転中 ]— エージェントが稼働中です。 • Stopped[ 停止 ]— エージェントサービスが停止しています。 • Disconnected[ 未接続 ]— 事前に設定済みの期間、サーバーがエージェント からハートビートによるメッセージを受信していません。 • Shutdown[シャットダウン]—エンドポイントがシャットダウンしています。 クライアント側の導入状 エンドポイントにインストールされた Traps エージェントのインスタンス のバージョンを、数値とパーセント値で示します。 況とバージョン ライセンス数 サーバーおよびクライアント用の Traps のライセンス使用状況を、数値と パーセント値で示します。 ターゲットにされやすい 防御回数が多いアプリケーションを表示します。 アプリケーション ターゲットにされやすい 防御回数が多いエンドポイントを表示します。 マシン ターゲットにされやすい エンドユーザーごとに回数が多い防御について表示します。 ユーザー Advanced Endpoint Protection 管理者用ガイド 147 セキュリティイベントの監視 レポートとログ セキュリティイベントの監視 Security Events[ セキュリティイベント ] ページおよびタブを利用してアラートを管理し、新しい 脅威を発見します。 S セキュリティイベント ダッシュボードの使用 S あるエンドポイントのセキュリティイベントの履歴を表示 S エクスプロイト阻止ルールからエンドポイントを除外する セキュリティイベント ダッシュボードの使用 セキュリティイベントダッシュボードでは、組織内のエンドポイントで発生したセキュリティイベ ントについての詳細情報を監視できます。またこのビューでは、前の週 / 月に発生したイベント の数も確認できます。セキュリティイベント ダッシュボードには、エクスプロイトの試みをブ ロックしたイベントと、通知を発行しただけのイベントの両方が表示されます。ダッシュボード には以下の情報が表示されます。 ダッシュボードのコン ポーネント 内容 脅威 ネットワーク内で発生した、保護中のプロセスおよび実行ファイルに関連 する脅威をすべて表示します。Summary[ 概要 ] ページに表示される脅威の 種類のいずれかを選択すると表示がフィルタリングされ、閲覧しやすくな ります。詳細は、脅威の詳細情報を表示をご参照ください。 148 Advanced Endpoint Protection 管理者用ガイド レポートとログ セキュリティイベントの監視 ダッシュボードのコン ポーネント 内容 一時的保護モード Security Events[ セキュリティイベント ] ダッシュボードの Provisional Mode [ 一時的保護モード ] セクションには、一時的保護ルールに関連のあるイベ ントについて、よくまとまった概要が表示されます。Provisional Mode[ 一時 的保護モード ] セクションでイベントをクリックすると Monitor > Provisional Mode[ 監視 > 一時的保護モード ] ページの表示がフィルタリングされ、そ のタイプのイベントのみが表示されるようになります。デフォルトでは、 Provisional Mode[ 一時的保護モード ] ページには以下のモジュールに関連し たイベントが表示されるようになっています。 • ProcessCrash • WildFireUnknown • WildFirePostUnknownDetection • DLL ハイジャックの防止 • Java • スレッド インジェクション • サスペンドガード 詳細は、一時的保護モードの詳細情報を表示をご参照ください。 セキュリティエラー ログ 組織内のエンドポイントが報告したエラーや最近の問題がすべて表示され ます。Summary[ 概要 ] ページでいずれかのエラータイプを選択すると、そ のタイプで表示がフィルタリングされます。詳細は、セキュリティエラー ログの詳細情報を表示をご参照ください。 脅威の詳細情報を表示 セキュリティイベント > 脅威 ] を選択し、ネットワーク内で発生した脅威 のリストを表示します。このページでは、セキュリティイベントの詳細情報を確認したり、イベ ントに関するメモを作成 / 閲覧したり、イベントに関するログデータをエンドポイントから取得 したり、特定のエンドポイントにのみプロセス実行を許可する除外ルールを作成したりできま す。デフォルト設定の場合、Threats[ 脅威 ] ページの通常の詳細表示では、上部に項目名が並ん だセキュリティイベントに関する表が表示されます。Threats[ 脅威 ] ページの表でイベントを選 択すると、セキュリティイベントに関する詳細な情報が表示されます。さらに、メニューアイコ ン をクリックして Export Logs[ ログをエクスポート ] を選択すれば、ログを CSV ファイルにエ クスポートすることもできます。 Security Events > Threats[ Advanced Endpoint Protection 管理者用ガイド 149 セキュリティイベントの監視 レポートとログ 各脅威について表示される項目、行える操作は以下の表の通りです。 項目 内容 通常の詳細表示 日時 防止イベントが発生した日時。 コンピューター 防止イベントが発生したエンドポイントのホスト名。 ユーザー OS (イベントを発生させた)プロセスを実行しているユーザーの名前。 エンドポイントにインストールされているオペレーションシステム。 エージェント(Traps バー エンドポイントにインストールされている Traps のバージョン。 ジョン) プロセス イベントを発生させたプロセスの名前。 EPM 防止措置の引き金となった Exploit Prevention Module(EPM)あるいは制限 ルール。 より細かな詳細表示 イベント タイプ 脅威の種類(Wildfire ポスト検出、ロジック、マルウェア、疑わしい活動、 メモリ破損のいずれか) 防止モード 当該ルールが実行するアクション(プロセスを終了させるか、ユーザーに 通知を行うかのどちらか) アーキテクチャ オペレーティングシステム(OS)のアーキテクチャの種類。例:x64 防止イベント ID セキュリティイベント固有の ID。Traps はイベントについてのデータの取 得後、防止イベント ID をファイル名にしたログファイルを生成します。 トリガー セキュリティイベントを発生させたファイル。 View Notes[ ノートを表示 ] セキュリティイベントについてのノートを表示します。ノートが存在しな い場合、このボタンはクリックできなくなります。 ボタン Create Note[ ノートを作成 セキュリティイベントについてのノートを作成し、後から確認できるよう にします。 ] ボタン Retrieve[ 取得 ] ボタン エンドポイントから防御データを取得します。防止イベント ID およびイ ベント発生時の情報を使用してルールを作成し、防止イベントに関する データをエージェントにリクエストします。さらにその情報はフォレン ジックフォルダに送信されます。 Create[ 作成 ] ボタン 防止措置を適用させない除外ルールを作成します。このルールは特定のエ ンドポイントに対し、エクスプロイト阻止ルールによる保護なしでアプリ ケーションを実行する許可を与えます。 Block[ ブロック ] ボタン (WildFire による防止についてのみ)デフォルトのハッシュ向けの終了モー ドをオーバーライドし、ファイルをブロックします。 Allow[ 許可 ] ボタン (WildFire による防止についてのみ)デフォルトのハッシュ向けの終了モー ドをオーバーライドし、ファイルを許可します。 詳細表示を格納するには、再び行をクリックします。 150 Advanced Endpoint Protection 管理者用ガイド レポートとログ セキュリティイベントの監視 一時的保護モードの詳細情報を表示 監視 > 一時的保護モード ] を選択し、一時的保護モジュールに関連した セキュリティイベントのリストを表示します。デフォルトで構成済みである一時的保護モジュー ルには、ProcessCrash、WildFireUnknown、WildFirePostUnknownDetection、DLL hijacking protection、 Java、Thread Injection、および Suspend Guard が含まれます。 Monitor > Provisional Mode[ 一時的保護モード ] ページでは、セキュリティイベントの詳細情報を確認したり、 イベントに関するメモを作成 / 閲覧したり、イベントに関するログデータをエンドポイントから 取得したり、特定のエンドポイントにのみプロセス実行を許可する除外ルールを作成したりでき ます。デフォルト設定の場合、Provisional Mode[ 一時的保護モード ] ページの通常の詳細表示では、 上部に項目名が並んだセキュリティイベントに関する表が表示されます。Provisional Mode[ 一時 的保護モード ] ページの表でイベントを選択すると、セキュリティイベントに関する詳細な情報 をクリックして Export Logs[ ログをエクスポート が表示されます。さらに、メニューアイコン ] を選択すれば、ログを CSV ファイルにエクスポートすることもできます。 Provisional Mode[ 一時的保護モードにおける各セキュリティイベントについて表示される項目、行える操作は以下 の表の通りです。 項目 内容 通常の詳細表示 日時 防止イベントが発生した日時。 コンピューター 防止イベントが発生したエンドポイントの名称。 ユーザー OS (イベントを発生させた)プロセスを実行しているユーザーの名前。 エンドポイントにインストールされているオペレーションシステム。 エージェント(Traps バー エンドポイントにインストールされている Traps のバージョン。 ジョン) プロセス イベントを発生させたプロセスの名前。 EPM 防止措置の引き金となった Exploit Prevention Module(EPM)あるいは制限 ルール。 より細かな詳細表示 イベント タイプ 脅威の種類(Wildfire ポスト検出、ロジック、マルウェア、疑わしい活動、 メモリ破損のいずれか) Advanced Endpoint Protection 管理者用ガイド 151 セキュリティイベントの監視 レポートとログ 項目 内容 防止モード 当該ルールが実行するアクション(プロセスを終了させるか、ユーザーに 通知を行うかのどちらか) アーキテクチャ オペレーティングシステム(OS)のアーキテクチャの種類。例:x64 防止イベント ID あるセキュリティイベントを表す固有の ID。Traps はイベントについての データの取得後、防止イベント ID をファイル名にしたログファイルを生 成します。 トリガー セキュリティイベントを発生させたファイル。 View Notes[ ノートを表示 ] セキュリティイベントについてのノートを表示します。ノートが存在しな い場合、このボタンはクリックできなくなります。 ボタン Create Note[ ノートを作成 セキュリティイベントについてのノートを作成し、後から確認できるよう にします。 ] ボタン Retrieve[ 取得 ] ボタン エンドポイントから防御データを取得します。防止イベント ID およびイ ベント発生時の情報を使用してルールを作成し、防止イベントに関する データをエージェントにリクエストします。さらにその情報はフォレン ジックフォルダに送信されます。 Create[ 作成 ] ボタン 防止措置を適用させない除外ルールを作成します。このルールは特定のエ ンドポイントに対し、エクスプロイト阻止ルールによる保護なしでアプリ ケーションを実行する許可を与えます。 Block[ ブロック ] ボタン (WildFire による防止についてのみ)デフォルトのハッシュ向けの終了モー ドをオーバーライドし、ファイルをブロックします。 Allow[ 許可 ] ボタン (WildFire による防止についてのみ)デフォルトのハッシュ向けの終了モー ドをオーバーライドし、ファイルを許可します。 セキュリティエラー ログの詳細情報を表示 Security Events > Security Error Log[ セキュリティイベント > セキュリティエラーログ ] を選択し、 エー ジェントの振る舞いに関連したイベントと、エンドポイントのセキュリティについての情報を表 示します。開始・停止といったサービスの状態の変化もこのイベントに含まれます。また、挿入 失敗やクラッシュなど、プロセスの保護段階で生じた問題についての情報もセキュリティエラー ログに表示されることが稀にあります。 152 Advanced Endpoint Protection 管理者用ガイド レポートとログ セキュリティイベントの監視 セキュリティエラー ログに表示される項目は以下の表の通りです。 項目 内容 ID あるセキュリティエラーを表す固有の ID 番号。 マシン名 防止イベントが発生したエンドポイントの名称。 メッセージ 通知メッセージのテキスト。 重要度 レポートタイプによって異なる、エラーの重要度。 • High[ 高 ] • Medium[ 中 ] • Low[ 低 ] レポートタイプ 通知の原因となったエラーの種類。以下のようなものがあります。 • OneTimeActionCompletionStatus— エンドポイント上でアクションが完了。 重要度は、アクションが完了すると Low に、失敗すると Medium になり ます。 • ProcessCrash— エンドポイント上でプロセスがクラッシュ。重要度:Low • ProcessInjectionTimedOut— プロセスへの挿入がタイムアウト。重要度: Medium • ServiceAlive— エージェントサービスが開始。重要度:Low • ServiceStopped— エージェントサービスが停止。重要度:Low • SystemShutdown— エンドポイントがシャットダウン。重要度:Low • UnallocatedDEPAccess— 命令ポインタが未割り当てのメモリ位置へジャン プ。これは通常アプリケーションのバグによって発生しますが、エクス プロイトの試み(失敗)の可能性もあります。重要度:Medium • NativeReportingServiceStartFailed— レポートサービスの開始失敗。重要度: High 日時 Traps がエラーを報告した日時。 あるエンドポイントのセキュリティイベントの履歴を表示 エンドポイントでユーザーがプロセスを実行した際、Traps は当該プロセスに Exploitation Prevention Module(EPM)と呼ばれる保護モジュールを挿入します。各プロセスにどの EPM を 挿入するのかは、エンドポイントのセキュリティポリシールールにより決定されます。挿入の 際、プロセスの名前がコンソールに赤字で表示されます。挿入が正常に完了すると、コンソール は Events[ イベント ] タブにセキュリティイベントについてのログを残します。 Advanced Endpoint Protection 管理者用ガイド 153 セキュリティイベントの監視 レポートとログ Events[ イベント ] タブでは、イベントの日時、影響を受けたプロセスの名前、プロセスに挿入さ れた EPM がそれぞれのセキュリティイベントに対し表示されます。通常、モードによって示唆 されることは、Traps がプロセスを終了させたか、あるいはユーザーに対してイベントに関する 通知のみを行ったかということです。 あるエンドポイントのセキュリティイベントの履歴を表示 Step 1 次のようにして Traps コンソールを起動します。 • Windows のタスクトレイにある Traps のアイコン を右クリックしてから Console[ コンソール ] を選択するか、アイコンをダブルクリックします。 • Traps がインストールされているフォルダから CyveraConsole.exe を実行します。 Traps コンソールが起動します。 Step 2 セキュリティイベントを表示します。 1. Advanced > Events[ 詳細 > イベント ] を選択し、エンドポイント上のセキュリティイベントを表 示します。 2. 上下の矢印を使用してイベントのリストをスクロールします。 154 Advanced Endpoint Protection 管理者用ガイド レポートとログ エンドポイントの安全状態を確認 エンドポイントの安全状態を確認 S エンドポイントの安全状態の詳細を表示 S Traps のステータスの詳細情報を表示 S あるエンドポイントのルールの履歴を表示 S セキュリティポリシーの変更をエンドポイント上で確認 S エンドポイントのサービスステータスの履歴を表示 S Health[ 安全状態 ] ページからエンドポイントを削除 エンドポイントの安全状態の詳細を表示 ESM Console にて Monitor > Health[ 監視 > 安全状態 ] を選択し、組織内のエンドポイントのリスト と、それぞれの安全状態とを表示します。 Health[ 安全状態 ] ページに表示されたエンドポイントについて表示される項目、行える操作は以 下の表の通りです。デフォルト設定の場合、Health[ 安全状態 ] ページの通常の詳細表示では、上 部に項目名が並んだエンドポイントに関する表が表示されます。Health[ 安全状態 ] ページの表で エンドポイントを選択すると、エンドポイントに関する詳細な情報と実行できるアクションが表 をクリックして Export Logs[ ログをエクスポート ] を 示されます。さらに、メニューアイコン 選択すれば、ログを CSV ファイルにエクスポートすることもできます。 項目 内容 通常の詳細表示 ステータス エージェントの状態(Running[ 運転中 ]、Stopped[ 停止 ]、Disconnected[ 未接 続 ]、Shut down[ シャットダウン ] のいずれか) ハートビート エージェントから最後にハートビートのメッセージが送信された日時。 コンピューター エンドポイントの名称。 最終ユーザー エンドポイントに最後にログインしたユーザーの名前。 エージェント インストールされている Traps エージェントのバージョン。 IP エンドポイントの IP アドレス。 Advanced Endpoint Protection 管理者用ガイド 155 エンドポイントの安全状態を確認 レポートとログ 項目 内容 ドメイン エンドポイントのドメイン名。 OS エンドポイントにインストールされているオペレーションシステム。 より細かな詳細表示 アーキテクチャ オペレーティングシステム(OS)のアーキテクチャの種類。例:x64 最後のハートビート サーバーが最後に Traps と通信を行った日時。 ライセンスの有効期限日 エンドポイント上のライセンスが失効する日付。 ベース DN エンドポイントの Lightweight Directory Access Protocol(LDAP)のパス。 Details[ 詳細 ] ボタン ドロップダウンリストから Agent Policy[ エージェントポリシー ] あるいは Service Status[ サービスステータス ] ログを選択して Details[ 詳細 ] をクリッ クすると、そのエンドポイントについて、すべての情報が表示されます。 詳細は、あるエンドポイントのルールの履歴を表示およびエンドポイント のサービスステータスの履歴を表示をご参照ください。 詳細表示を格納するには、再び行をクリックします。 Traps のステータスの詳細情報を表示 コンソールはサービスタイプの左側に あるいは マークを添え、有効・無効のサービスを表 示します。Advanced[ 詳細 ] タブを選択し、コンソール上部に追加のタブを表示させます。このタ ブから、セキュリティイベント、保護中のプロセス、セキュリティポリシーの更新についての詳 細情報を確認できるページを表示させることができます。通常、ユーザーが Traps コンソールを 起動する必要はありませんが、ここで利用できる情報はセキュリティ関連のイベントを分析する 際に役立ちます。コンソールを立ち上げるトレイのアイコンを非表示にする、あるいはコンソー ルが起動しないようにすることも可能です。詳細は、Traps コンソールへのアクセスを非表示または 制限をご参照ください。 システムエレメント 内容 エクスプロイト防御 エンドポイントのセキュリティポリシーでエクスプロイト阻止ルー ルが有効になっているかどうかを示します。 マルウェア防御 エンドポイントのセキュリティポリシーで制限モジュールおよび / ま たはマルウェア防止モジュールが有効になっているかどうかを示し ます。 156 Advanced Endpoint Protection 管理者用ガイド レポートとログ システムエレメント エンドポイントの安全状態を確認 内容 フォレンジック データ収 WildFire の統合が有効になっているかどうかを示します。 集 Status[ ステータス ] タブ エンドポイントの Connection[ 接続 ] 状態と保護レベルを示します。デ フォルトでは、Traps コンソールを開いた際は Status[ ステータス ] タ ブが選択されています。 Events[ イベント ] タブ エンドポイントで発生したセキュリティイベントを表示します。 Protection[ 保護 ] タブ 現在エンドポイントで実行されているプロセスのうち、Trapsエージェ ントが保護するプロセスを表示します。 Policy[ ポリシー ] タブ 更新の日時など、エンドポイントのセキュリティポリシーに対する変 更について表示します。 Verdict Updates[ 判定の更 エンドポイント上で開いている実行ファイルに対する判定の変化に ついて表示します。 新 ] タブ 設定 Trapsコンソールの言語を変更する際に利用できる言語を表示します。 Check-in now[ す ぐ に セキュリティポリシーをただちに更新します。 チェックイン ] リンク 接続 Traps と ESM サーバー間の接続ステータスを表示します。 最終チェックイン Traps が最後にハートビートのメッセージを受信した日時を表示しま す。 ログファイルを開く ... エンドポイント上で最新のトレースファイルを開きます。 サポートファイルの送信 トレースファイルを zip で作成し、フォレンジックフォルダに送信し ます。 あるエンドポイントのルールの履歴を表示 デフォルト設定の場合、Health[ 安全状態 ] ページの通常の詳細表示では、上部に項目名が並んだ エンドポイントに関する表が表示されます。Health[ 安全状態 ] ページの表で Endpoint を選択す ると、エンドポイントに関する詳細な情報が表示され、組織内のオブジェクトに関するルールの 履歴を閲覧できます。Agent Policy[ エージェントポリシー ] では、Traps がルールを適用した日時、 ポリシールールのソース(ローカルあるいはリモート)、ルール名と説明、そのルールの現在の ステータスが、各ルールに対し表示されます。 あるエンドポイントのルールの履歴を表示 Step 1 Endpoint Security Manager を開き、Monitor > Health[ 監視 > 安全状態 ] を選択します。 Step 2 ルールの履歴を閲覧したいエンドポイントの行を選択します。行が拡張し、詳細な情報、実行で きるアクションが表示されます。 Step 3 右側のドロップダウンリストから Agent Policy[ エージェントポリシー ] を選択します。最近のス テータス情報が、ページ内の Agent Policy[ エージェントポリシー ] および Logs[ ログ ] セクション に表示されます。 Advanced Endpoint Protection 管理者用ガイド 157 エンドポイントの安全状態を確認 レポートとログ あるエンドポイントのルールの履歴を表示 Step 4 Details[ 詳細 ] をクリックし、ルールの全履歴を確認します。ステータスには以下のようなものが あります。 • Active[ 有効 ]— エンドポイントのセキュリティポリシーでルールが有効になっています。 • Historic[ 旧バージョン ]— エンドポイントのセキュリティポリシーで現在有効になっている ルールの古いバージョンです。 • Disabled[ 無効 ]— セキュリティポリシーでルールが無効にされました。 セキュリティポリシーの変更をエンドポイント上で確認 Traps コンソールの Policy[ ポリシー ] タブには、エンドポイントのセキュリティポリシーに対す る変更についての情報が表示されます。固有の ID 番号、ルールの名称、そのルールを含む更新 されたセキュリティポリシーを Traps が受信した日時、概要が各ルールについて表示されます。 ルールタイプごとに専用の管理ページがあり、そのページで組織のルールを閲覧・管理するこ とができます。エンドポイントに対する有効なセキュリティポリシーを含むテキストファイル を作成するには、コマンドプロンプトから以下を実行します。 cyveraconsole.exe export(641980) c:\{TargetFolder}\policy.txt セキュリティポリシーの変更をエンドポイント上で確認 Step 1 以下のいずれかを実行し、エンドポイント上で Traps コンソールを起動します。 • Windows のタスクトレイにある Traps のアイコン を右クリックしてから Console[ コンソール ] を選択するか、アイコンをダブルクリックします。 • Traps コンソールがインストールされているフォルダから CyveraConsole.exe を実行します。 Step 2 セキュリティポリシーを表示します。 1. 必要に応じて、Advanced[ 詳細 ] をクリックして追加のタブを表示させます。次に Policy[ ポリ シー ] タブをクリックし、現在エンドポイントで実行中の保護ルールを表示します。 2. 上下の矢印を使用して保護ルールのリストをスクロールします。 エンドポイントのサービスステータスの履歴を表示 デフォルト設定の場合、Health[ 安全状態 ] ページの通常の詳細表示では、上部に項目名が並んだ エンドポイントに関する表が表示されます。Health[ 安全状態 ] ページの表でエンドポイントを選 択すると、エンドポイントに関する詳細な情報が表示され、エンドポイント上の Traps エージェ ントのステータスの履歴を閲覧できます。[Agent Policy] および [Service Status] セクションにある 158 Advanced Endpoint Protection 管理者用ガイド レポートとログ エンドポイントの安全状態を確認 ドロップダウンリストにより、Service Status[ サービスステータス ] イベントのリストの一部を表 示させることができます。このセクションにて、サービスステータスの全履歴を閲覧することも 可能です。サービスの変更日時、エンドポイントで起動中の Traps エージェントのバージョンお よびステータス(切断、起動、シャットダウン、停止のいずれか)の変化についての情報が、ロ グの各イベントについて表示されます。 エンドポイントのサービスステータスの履歴を表示 Step 1 ESM コンソールから、Monitor > Health[ 監視 > 安全状態 ] を選択します。 Step 2 ルールの履歴を閲覧したいエンドポイントの行を選択します。行が拡張し、詳細な情報、実行で きるアクションが表示されます。 Step 3 右側のドロップダウンリストから Service Status[ サービスステータス ] を選択します。最近のス テータス情報が、ページ内の Agent Policy[ エージェントポリシー ] および Logs[ ログ ] セクション に表示されます。 Step 4 Details[ 詳細 ] をクリックし、サービスステータスの全履歴を確認します。 Health[ 安全状態 ] ページからエンドポイントを削除 Health[ 安全状態 ] ページには、Endpoint Security Manager との接続に成功したことがあるエンドポ イントをすべて記載した表が表示されます。Endpoint Security Manager からエンドポイントを削除 しなければならない際、例えば重複しているエンドポイントを整理したり、今後使用しないエン ドポイントを削除したい場合は、表の上部にあるメニューにある Delete selected[ 選択中のものを削 除 ] オプションを利用します。 Health[ 安全状態 ] ページからエンドポイントを削除 Step 1 ESM コンソールから、Monitor > Health[ 監視 > 安全状態 ] を選択します。 Step 2 削除したいエンドポイントの行(複数可)を選択します。 Step 3 Health[ 安全状態 ] の表の上部にある メニューから Delete selected[ 選択中のものを削除 ] を選択 します。OK をクリックして削除を確定します。 ESM コンソールによって Health[ 安全状態 ] ページからエンドポイントが削除されます。当該エン ドポイントへのハートビート通信の後、Traps は No connection to server[ サーバーと未接続 ] と報告 します。 Advanced Endpoint Protection 管理者用ガイド 159 ルールを監視 レポートとログ ルールを監視 各ルールの概要および管理ページには、組織の有効・無効なルール、およびルールの管理用ツー ルが表示されます。 S ルールの概要を表示 S ルールの詳細情報を表示 ルールの概要を表示 各ルールタイプには、そのタイプ固有の概要および管理ページが存在します。あるタイプのルー ルの概要を表示するには、以下のようにします。 ルールの概要を表示 Step 1 ESM コンソールにて、目的のタイプのルールの管理ページを開きます。例:Policies > Exploit > Protection Modules[ ポリシー > エクスプロイト > 保護モジュール ]。 Step 2 表の各項目を閲覧するには、各ページの右上にあるページ送り機能を使用して非表示になってい るセクションを表示します。 Step 3 (任意)表の項目を並び替えたい場合は、基準にしたい列の見出しを選択するとその項目を基準 にして昇順に並べ替えられます。降順に並び替えたい場合は、再度列の見出しを選択します。 Step 4 (任意)表の項目をフィルタリングしたい場合、列の右側にあるアイコン をクリックすれば、 フィルタリング基準を 2 つまで結果に適用できます。 Step 5 (任意)ルールの項目を展開するには、ルールの右側にある矢印をクリックします。項目を展開 すると、ルールの詳細情報を確認したり、ルールの管理に関する何らかのアクションを実行した りできます。ルールの保存をご参照ください。 ルールの詳細情報を表示 ESM コンソールにある各ルールの概要および管理ページには、組織のセキュリティポリシーの 一部であるルールについての詳細情報が表示されます。 以下の表にある通り、各ルールの管理ページに表示される項目、行える操作にはエクスプロイト 阻止、マルウェア防止、制限、WildFire 設定、アクション、エージェント設定、フォレンジック ルールなどがあります。通常の詳細表示では、各ルールについての概要と、上部に項目名が並ん だルールのリストが表示されます。表でルールを選択すると、そのルールについての詳細な情報 と実行できるアクションが表示されます。 項目 内容 通常の詳細表示 ID ルール固有の ID 番号。 ステータス • — 有効 • — 無効 160 Advanced Endpoint Protection 管理者用ガイド レポートとログ ルールを監視 項目 内容 種類 • エクスプロイト防御 • 制限 • マルウェア防御 • WildFire • エージェントアクション • エージェント設定 • フォレンジック 変更日時 ルールが作成された、あるいは最後に変更された日時。 名前 ルールの名称。 内容 ルールの概要。 適用対象 ルールが適用されるオブジェクト。 条件 ルールを適用する上で必要となる条件(存在する場合のみ)。 より細かな詳細表示 作成者 ルールを作成したユーザー。 作成日時 ルールが作成された日時。 変更者 ルールを最後に変更したユーザーアカウント(明らかになっている場合の み)。 プロセス (エクスプロイト阻止ルールのみ)ルールの対象となるプロセス。 EPM (エ ク ス プ ロ イ ト 阻 止 ル ー ル の み)プ ロ セ ス を 保 護 す る Prevention Module(EPM)。 ワンタイム アクション (アクションルールのみ)エンドポイント上で行うアクション。 制限 (制限ルールのみ)悪意のある実行ファイルを阻止する際の制限方法。 エージェント設定 (エージェント設定ルールのみ)Traps ソフトウェア上で行うアクション。 重複 (アクションルールのみ)アクションルールの再実行 Exploitation 削除 ルールを削除。 有効化 ルールを有効化(無効になっているルールのみ)。 無効化 ルールを無効化(有効になっているルールのみ)。 編集 ルールを編集(エクスプロイト阻止ルール、制限ルール、エージェント設 定ルールのみ)。 Advanced Endpoint Protection 管理者用ガイド 161 フォレンジックデータ取得を監視 レポートとログ フォレンジックデータ取得を監視 監視 > フォレンジック取得 ] ページでは、ログ、WildFire のアップデー ト、メモリダンプの収集などについての情報を確認でき、中央からデータファイルを管理するこ とができます。 Monitor > Forensics Retrieval[ 各フォレンジックデータ ファイルについて表示される項目、行える操作は以下の表の通りです。 Forensics Retrieval[ フォレンジック取得 ] ページでは上部に項目名が並んだ表とともに、フォレン ジックデータ取得を管理するためのアクションが表示されます。 項目 内容 ファイル名 ルール固有の ID 番号。 アップロード状況 アップロードの状態(Failed[ 失敗 ]、In Progress[ 進行中 ] など)。 マシン名 フォレンジックデータの提供元となったマシンの名前。 ファイルタイプ フォレンジックデータの種類(例:ログ、WildFire、ダンプ)。 ファイルサイズ フォレンジックデータのファイルサイズ。 作成日時 取得ルールが作成された、あるいは最後に変更された日時。 Download[ ダウンロード ] フォレンジックデータ ファイルをダウンロードします。 ボタン Delete[ 削除 ] ボタン フォレンジックデータ ファイルを削除します。 列の見出しを選択すると、その項目を基準にして表の項目を昇順に並べ替えられます。表の項目 を降順に並び替えるには、再度列の見出しを選択します。表示項目を絞るには、列の右側にある をクリックしてフィルタリング基準を 2 つまで選択します。さらに、メニューアイコン を クリックして Export Logs[ ログをエクスポート ] を選択すれば、ログを CSV ファイルにエクスポー トすることもできます。 162 Advanced Endpoint Protection 管理者用ガイド レポートとログ エージェント通知を監視 エージェント通知を監視 S エージェントステータスの変化についての通知を表示 S エージェントログの詳細情報を表示 エージェントステータスの変化についての通知を表示 エージェントログ ] ページでは、サービス、システム、プロセスの開始 / 停止など、 エージェントステータスの変化についての通知を確認できます。 Agent Logs[ エージェントステータスの変化についての通知を表示 Step 1 ESM コンソールから、Monitor > Agent Logs[ 監視 > エージェントログ ] を選択します。 Step 2 表の各項目を閲覧するには、各ページの右上にあるページ送り機能を使用して非表示になってい るセクションを表示します。 Step 3 (任意)表の項目を並び替えたい場合は、基準にしたい列の見出しを選択するとその項目を基準 にして昇順に並べ替えられます。降順に並び替えたい場合は、再度列の見出しを選択します。 Step 4 (任意)表の項目をフィルタリングしたい場合、列の右側にあるアイコン をクリックすれば、 フィルタリング基準を 2 つまで結果に適用できます。 Step 5 (任意)ログを CSV ファイルにエクスポートするには、メニューアイコン Logs[ ログをエクスポート ] を選択します。 をクリックし、Export エージェントログの詳細情報を表示 エージェントログ ] ページには、サービス、システム、プロセスの開始 / 停止など、 エージェントステータスの変化についての通知が表示されます。 Agent Logs[ Monitor > Agent Logs[ 監視 > エージェントログ ] ページに表示される項目は以下の表の通りです。 項目 内容 ID 通知メッセージ固有の ID 番号。 マシン名 通知を発行したエンドポイントの名称。 メッセージ 通知メッセージのテキスト。 Advanced Endpoint Protection 管理者用ガイド 163 エージェント通知を監視 レポートとログ 項目 内容 重要度 レポートタイプによって異なる、通知の重要度。 • High[ 高 ] • Medium[ 中 ] • Low[ 低 ] レポートタイプ 通知の原因となったイベントの種類。 • One time action completion status[ ワンタイムアクション完了ステータス ]— エン ドポイント上でアクションが完了。重要度は、アクションが完了すると Low に、失敗すると Medium になります。 • Process crash[ プロセスがクラッシュ]— エンドポイント上でプロセスがクラッ シュ。重要度:Low • Process injection timed out[ プロセスへの挿入タイムアウト ]— プロセスへの挿 入がタイムアウト。重要度:Medium • Service alive[ サービス続行中 ]— エージェントサービスが開始。重要度:Low • Service stopped[ サービス停止 ]— エージェントサービスが停止。重要度:Low • System shutdown[ システムシャットダウン ]— エンドポイントがシャットダウ ン。重要度:Low • Unallocated DEP access[ 未割当ての DEP アクセス ]— 命令ポインタが未割り当 てのメモリ位置へジャンプ。これは通常アプリケーションのバグによって発 生しますが、エクスプロイトの試み(失敗)の可能性もあります。重要度: Medium • Native reporting service start failed[ ネイティブの通知サービス開始失敗 ]— レ ポートサービスの開始失敗。重要度:High 日時 164 通知が送信された日時。 Advanced Endpoint Protection 管理者用ガイド レポートとログ サーバー通知を監視 サーバー通知を監視 S ESM サーバーについての通知を表示 S ESM サーバーのログについての詳細情報を表示 ESM サーバーについての通知を表示 ESM サーバーについての通知を表示 Step 1 ESM コンソールから、Monitor > ESM Logs[ 監視 > ESM ログ ] を選択します。 Step 2 表の各項目を閲覧するには、各ページの右上にあるページ送り機能を使用して非表示になってい るセクションを表示します。 Step 3 (任意)表の項目を並び替えたい場合は、基準にしたい列の見出しを選択するとその項目を基準 にして昇順に並べ替えられます。降順に並び替えたい場合は、再度列の見出しを選択します。 Step 4 (任意)表の項目をフィルタリングしたい場合、列の右側にあるアイコン をクリックすれば、 フィルタリング基準を 2 つまで結果に適用できます。 Step 5 (任意)ログを CSV ファイルにエクスポートするには、メニューアイコン Logs[ ログをエクスポート ] を選択します。 をクリックし、Export ESM サーバーのログについての詳細情報を表示 ログ ] ページでは、ファイルのアップロード失敗、ESM サーバーによって行われた アクションといった ESM サーバーに関する通知が表示されます。Monitor > ESM Logs[ 監視 > ESM ログ ] ページに表示される項目は以下の表の通りです。 ESM Logs[ESM 項目 内容 ID 通知メッセージ固有の ID 番号。 メッセージ 通知メッセージのテキスト。 重要度 レポートタイプによって異なる、通知の重要度。 • High[ 高 ] • Medium[ 中 ] • Low[ 低 ] レポートタイプ 通知の原因となったイベントの種類。 • ファイル アップロード失敗 • 保護の有効化 • 保護の無効化 日時 通知が送信された日時。 Advanced Endpoint Protection 管理者用ガイド 165 レポート機能およびログ機能の設定を管理 レポートとログ レポート機能およびログ機能の設定を管理 S ESM コンソールで外部レポート機能を有効化 S DB 構成ツールで外部レポート機能を有効化 S ESM コンソールで通信設定を定義 S DB 構成ツールで通信設定を定義 ESM コンソールで外部レポート機能を有効化 Endpoint Security Manager は、ログを内部に保存できるだけでなく、SIEM(Security Information and Event Management)、Service Organization Control (SOC)、syslog など、外部ロギング プラットフォー ムにログを書き込むこともできます。外部ロギングプラットフォームを指定すると、すべての ESM サーバーからのログを集約して表示することができます。外部レポート機能は、データベー ス(DB)構成ツール(DB 構成ツールで外部レポート機能を有効化を参照)あるいは Endpoint Security Manager で変更できます。デフォルトでは、外部レポート機能は無効になっています。 ESM コンソールで外部レポート機能を有効化 Step 1 [ 外部レポート ] ページに移動しま Settings > General[ 設定 > 一般 ] を選択し、さらにドロップダ ウンリストから External Reporting[ 外部レポート ] を選択し す。 ます。 Step 2 外部レポート機能の設定を行いま • Enable Syslog[Syslog を有効化 ] のドロップダウンリストか ら、true を選択します。 す。 • Syslog server[Syslog サーバー ] のホスト名および IP アドレ スを入力します。 • (任意)Syslog port[Syslog ポート ] の欄に syslog サーバー用 の通信ポートを 1 ∼ 65535 の範囲(デフォルトでは 514) で入力します。 • Enable event log[ イベントログを有効化 ] のドロップダウン リストから、true を選択します。 • (任意)Keep alive timeout[ キープアライブのタイムアウト ] 欄に、エンドポイントがログあるいはレポートに対し キープアライブメッセージを送信する時間(分)を 0 以 上の値(デフォルトでは 0)で入力します。 • (任意)Send reports interval[ レポート送信間隔 ] 欄に、エ ンドポイントがレポートを送る頻度を分単位で 0 以上の 値(デフォルトでは 10)で入力します。 エンドポイントからレポートを受け取らない場合 は 0 を入力します。 DB 構成ツールで外部レポート機能を有効化 Endpoint Security Manager は、ログを内部に保存できるだけでなく、SIEM (Security Information and Event Management)、Service Organization Control (SOC)、syslog など、外部ロギング プラットフォー ムにログを書き込むこともできます。外部ロギングプラットフォームを指定すると、すべての ESM サーバーからのログを集約して表示することができます。外部レポート機能は、ESM コン ソール(ESM コンソールで外部レポート機能を有効化を参照)あるいはデータベース(DB)構 成ツールで有効化できます。 166 Advanced Endpoint Protection 管理者用ガイド レポートとログ レポート機能およびログ機能の設定を管理 ESM コンソールだけでなく、コマンドライン型のインターフェースを持つ DB 構成ツールでも サーバーの基本設定を管理することができます。Microsoft MS-DOS コマンドプロンプトを管理者 として実行すると、DB 構成ツールを使用できます。DB 構成ツールは、ESM サーバーの「Server」 フォルダに格納されています。 DB 構成ツールで実行するコマンドでは、大文字・小文字が区別されます。 デフォルトでは、外部レポート機能は無効になっています。 DB 構成ツールで外部レポート機能を有効化 Step 1 次のようにして、管理者としてコマンドプロンプトを開きます。 • Start > All Programs > Accessories[ スタート > すべてのプログラム > アクセサリー ] を選択しま す。Command prompt[ コマンドプロンプト ] を右クリックし、Run as administrator[ 管理者とし て実行 ] を選択します。 • Start[ 開始 ] を選択します。Start Search[ 検索開始 ] 入力ボックスに cmd と入力します。次に CTRL+SHIFT+ENTER を同時に押し、管理者としてコマンドプロンプトを開きます。 Step 2 DB 構成ツールを格納している次のフォルダに移動します。 C:\Users\Administrator>cd C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server Step 3 (任意)既存のレポート設定を表示します。 C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig reporting show EnableSyslog = True SyslogServer = CyveraServer SyslogPort = 514 EnableEventLog = True KeepAliveTimeout = 0 SendReportsInterval = 10 MaximumReportsCount = 5000 MinReportsCount = 4000 Step 4 Syslog レポート機能を有効化します。 C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig server enablesyslog true Step 5 Syslog サーバーの IP アドレスを入力します。 C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig server syslogserver <ipaddress> Step 6 Syslog サーバー用の通信ポートを 1 ∼ 65535 の範囲(デフォルトでは 514)で指定します。 C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig server syslogport <portnumber> Step 7 (任意)イベントロギング機能を有効化し、Traps が直面したセキュリティイベントを Windows Event Log に送信します。 C:\Program Files\Palo enableeventlog true Alto Advanced Endpoint Protection 管理者用ガイド Networks\Endpoint Security Manager\Server>dbconfig server 167 レポート機能およびログ機能の設定を管理 レポートとログ DB 構成ツールで外部レポート機能を有効化(続) Step 8 (任意)エンドポイントがログあるいはレポートに対しキープアライブメッセージを送信する時 間(分)を 0 以上の値(デフォルトでは 0)で指定します。 C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig reporting keepalivetimeout <value> Step 9 (任意)エンドポイントがレポートを送る頻度を分単位で 0 以上の値(デフォルトでは 10)で指 定します。 C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig reporting sendreportsinterval <value> エンドポイントからレポートを受け取らない場合は 0 を入力します。 Step 10 (任意)データベースに保存するレポート通知の最小数を 0 以上の値(デフォルトでは 5000)で 指定します。 C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig reporting minreportscount <value> 例えば、レポートの最小数を 1000 に設定すると、Endpoint Security Manager はレポートを整理し た上で最新の通知 1000 個を保持します。 Step 11 (任意)データベースに保存するレポート通知の最大数を 0 以上の値(デフォルトでは 4000)で 指定します。 C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig reporting maximumreportscount <value> 例えば、レポートの最大数を 5000 に指定すると、Endpoint Security Manager は 5000 番目のものよ りも古い通知を削除します。 ESM コンソールで通信設定を定義 Traps サービスは定期的に Endpoint Security Manager (ESM) サーバーにメッセージを送信し、エー ジェントの稼働状態、エンドポイント上で実行されているプロセスの情報を通知するとともに、 最新のセキュリティポリシーをリクエストします。データベース(DB)構成ツール(DB 構成 ツールで通信設定を定義を参照)あるいは ESM コンソールを使用して、サーバーとエンドポイ ント間の通信頻度を変更することができます。 ESM コンソールで通信設定を定義 Step 1 Settings > General[ 設定 > 一般 ] を選択し、さらにドロップダウンリストから Server Configuration[ サーバー構成 ] を選択します。 Step 2 (任意)Inventory interval in minutes[ インベントリ送信間隔(分)] 欄に、エンドポイント上で実行 されているアプリケーションのリストを Traps が Endpoint Security Manager に送信する頻度(分) を入力します。 Step 3 (任意)ハートビート期間(秒) 欄に、応答なしのデバイスに対し許容できる待機時間(秒)を入 力します。デフォルトのハートビート間隔は 5 分です。 168 Advanced Endpoint Protection 管理者用ガイド レポートとログ レポート機能およびログ機能の設定を管理 DB 構成ツールで通信設定を定義 Traps サービスは定期的に ESM サーバーにメッセージを送信し、エージェントの稼働状態、エン ドポイント上で実行されているプロセスの情報を通知するとともに、最新のセキュリティポリ シーをリクエストします。Endpoint Security Manager(ESM コンソールで通信設定を定義を参照) あるいはデータベース(DB)構成ツールを使用して、サーバーとエンドポイント間の通信頻度 を変更することができます。 ESM コンソールだけでなく、コマンドライン型のインターフェースを持つ DB 構成ツールでも サーバーの基本設定を管理することができます。Microsoft MS-DOS コマンドプロンプトを管理者 として実行すると、DB 構成ツールを使用できます。DB 構成ツールは、ESM サーバーの「Server」 フォルダに格納されています。 DB 構成ツールで実行するコマンドでは、大文字・小文字が区別されます。 DB 構成ツールで通信設定を定義 Step 1 次のようにして、管理者としてコマンドプロンプトを開きます。 • Start > All Programs > Accessories[ スタート > すべてのプログラム > アクセサリー ] を選択しま す。Command prompt[ コマンドプロンプト ] を右クリックし、Run as administrator[ 管理者とし て実行 ] を選択します。 • Start[ 開始 ] を選択します。Start Search[ 検索開始 ] 入力ボックスに cmd と入力します。次に CTRL+SHIFT+ENTER を同時に押し、管理者としてコマンドプロンプトを開きます。 Step 2 DB 構成ツールを格納している次のフォルダに移動します。 C:\Users\Administrator>cd C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server Step 3 (任意)既存のサーバー設定を表示します。 C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig server show PreventionsDestFolder = \\ESMServer\Quarantine InventoryInterval = 284 HeartBeatGracePeriod = 300 NinjaModePassword = Password2 Step 4 (任意)エンドポイント上で実行されているアプリケーションのリストを Traps が Endpoint Security Manager に送信する頻度を定義するリスト送付間隔(分)を指定します。 C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig server inventoryinterval <value> 例えば値を 120 に設定すると、エンドポイントは 2 時間ごと(120 分)に情報を送信するように なります。 Step 5 (任意)応答なしのデバイスに対し許容できる待機時間(秒)を指定します。 C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig server heartbeatgraceperiod <value> 例えば値を 300 に設定すると、ESM サーバーがエンドポイントから通信を受信しない時間が 5 分 間(300 秒)を経過した後で、Endpoint Security Manager によりそのエンドポイントが切断状態で あると報告されます。 Advanced Endpoint Protection 管理者用ガイド 169 レポート機能およびログ機能の設定を管理 170 レポートとログ Advanced Endpoint Protection 管理者用ガイド トラブルシューティング S Advanced Endpoint Protection トラブルシューティングのためのリソース S データベース構成ツール S Cytool S Traps の問題のトラブルシュート S ESM コンソールの問題のトラブルシュート Advanced Endpoint Protection 管理者用ガイド 171 Advanced Endpoint Protection トラブルシューティングのためのリソース トラブルシューティング Advanced Endpoint Protection トラブルシューティングの ためのリソース Traps や Endpoint Security Manager など、Advanced Endpoint Protection の構成要素のトラブルシュー ティングには、以下のリソースを活用できます。 リソース 内容 Endpoint Security Manager レポートやログを提供する Web インタフェース。この情報は、ネットワー ク上の不可解な挙動を解釈するためにログをモニタリング、フィルタリン グするのに役に立ちます。セキュリティイベントの分析後、当該エンドポ イントあるいはプロセス用のカスタムルールを作成することもできます。 DebugWeb ログ Endpoint Security Manager に関連する情報、警告、およびエラーを表示しま す。DebugWeb ログは ESM サーバの %ProgramData%\Cyvera\Logs フォルダ 内にあります。 サーバーログ エンドポイントデータベースおよび ESM サーバーに関連する情報、警告、 およびエラーを表示します。サーバーログは ESM サーバの %ProgramData%\Cyvera\Logs フォルダ内にあります。 サービスログ Traps サービスに関連する情報、警告、およびエラーを表示します。サー ビスログはエンドポイントの以下のフォルダにあります。 • Windows Vista 以降:%ProgramData%\Cyvera\Logs • Windows XP:C:\Document and Settings\All Users\Application Data\Cyvera\Logs コンソールログ Traps コンソールに関連する情報、警告、およびエラーを表示します。コン ソールログはエンドポイントの以下のフォルダにあります。 • Windows Vista 以降:C:\Users\< ユーザ名 >\AppData\Roaming\Cyvera • Windows XP:C:\Document and Settings\< ユーザ名 >\Application Data\Cyvera\Logs データベース(DB)構成 サーバーの基本設定を管理することができる、ESM コンソールを使用しな ツール(dbconfig.exe) いコマンドライン型のインターフェース。Microsoft MS-DOS コマンドプロ ンプトを管理者として実行すると、DB 構成ツールを使用できます。詳細 は、データベース構成ツールをご参照ください。 スーパーバイザーコマン 保護されたプロセスのエミュレーション、保護機能の有効化 / 無効化、お ド ラ イ ン ツ ー ル よび Traps の管理アクションの有効化 / 無効化を、コマンドラインインタ フェースから実行できます。詳細は、Cytool をご参照ください。 (cytool.exe) 172 Advanced Endpoint Protection 管理者用ガイド トラブルシューティング データベース構成ツール データベース構成ツール ESM コンソールだけでなく、コマンドライン型のインターフェースを持つ DB 構成ツールでも サーバーの基本設定を管理することができます。Microsoft MS-DOS コマンドプロンプトを管理者 として実行すると、DB 構成ツールを使用できます。DB 設定ツールは Endpoint Security Manager (ESM)サーバーのサービスフォルダ内にあります。 DB 設定ツールは、以下の機能を実行する際に使用します。 S データベース構成ツールへのアクセス S DB 構成ツールによる Endpoint Security Manager ライセンス管理 S Endpoint Security Manager への管理権限付きのアクセスを DB 構成ツールでセットアップ S ニンジャモードのパスワードを DB 構成ツールで変更 S DB 構成ツールで通信設定を定義 S DB 構成ツールで外部レポート機能を有効化 データベース構成ツールへのアクセス ESM サーバーのサービスフォルダから DB 構成ツールを起動し、シンタックスや利用例を表示 します。 DB 構成ツールで実行するコマンドでは、大文字・小文字が区別されます。 データベース構成ツールへのアクセス Step 1 Step 2 次のようにして、管理者としてコマンドプロンプトを開きます。 • Start > All Programs > Accessories[ スタート > すべてのプログラム > アクセサリー ] を選択しま す。Command prompt[ コマンドプロンプト ] を右クリックし、Run as administrator[ 管理者とし て実行 ] を選択します。 • Start[ 開始 ] を選択します。Start Search[ 検索開始 ] 入力ボックスに cmd と入力します。次に CTRL+SHIFT+ENTER を同時に押し、管理者としてコマンドプロンプトを開きます。 DB 構成ツールを格納している次のフォルダに移動します。 C:\Users\Administrator>cd C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server Advanced Endpoint Protection 管理者用ガイド 173 データベース構成ツール トラブルシューティング データベース構成ツールへのアクセス Step 3 DB 構成ツールの使用方法およびオプションを表示します。 c:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig 使用方法: > DBConfig.exe importLicense [1] データベースに新規ライセンスを追加します。 1) CyveraLicense.xml full path > DBConfig.exe [1] [2] [3] データベースに設定を書き込みます。 1) 設定タイプ(サーバー、リフレクタ、ユーザー管理、レポート) 2) キー名 3) 値 > DBConfig.exe [1] show 特定の設定の値を表示します。 1) 設定タイプ(サーバー、リフレクタ、ユーザー管理、レポート) 例: > DBConfig.exe importLicense c:\Foldername\CyveraLicense.xml > DBConfig.exe server inventoryinterval 200 > DBConfig.exe server show 174 Advanced Endpoint Protection 管理者用ガイド トラブルシューティング Cytool Cytool Cytool は Traps に統合されたコマンドラインインタフェースであり、Traps の基本的機能を問い合 わせたり、管理を行ったりすることができます。Cytool を用いて行った変更は、Traps が ESM サーバーから次回のハートビート通信を受け取るまで有効です。 管理者としてマイクロソフトの MS-DOS コマンドプロンプトを起動することで Cytool にアクセ スすることができます。Cytool はエンドポイントの Traps フォルダにあります。 Cytool は、以下の機能を実行する際に使用します。 S Cytool へのアクセス S Traps により現在保護されているプロセスを表示 S エンドポイントの保護設定の管理 S エンドポイントの Traps ドライバおよびサービスの管理 S エンドポイント上のセキュリティポリシーの表示および比較 Cytool へのアクセス Cytool コマンドの構文や使用例を表示するには、確認したいコマンドの後に /? オプションを加 えます。 Cytool へのアクセス Step 1 次のようにして、管理者としてコマンドプロンプトを開きます。 • Start > All Programs > Accessories[ スタート > すべてのプログラム > アクセサリー ] を選択しま す。Command prompt[ コマンドプロンプト ] を右クリックし、Run as administrator[ 管理者とし て実行 ] を選択します。 • Start[ 開始 ] を選択します。Start Search[ 検索開始 ] 入力ボックスに cmd と入力します。次に CTRL+SHIFT+ENTER を同時に押し、管理者としてコマンドプロンプトを開きます。 Step 2 Cytool のあるフォルダに移動します。 C:\Users\Administrator>cd C:\Program Files\Palo Alto Networks\Traps Step 3 Cytool コマンドの使用方法およびオプションを表示します。 c:\Program Files\Palo Alto Networks\Traps>cytool /? Traps (R) supervisor tool 3.1 Copyright ©2015, Palo Alto Networks, Inc. All rights reserved. 使用方法:CYTOOL [/?][/a] [command [options]] Options: /? このヘルプメッセージを表示します。 /a スーパーバイザーとして認証します。 command enum | protect | startup | runtime | policy 特定のコマンドに対するより詳細な情報を参照するには、以下のコマンドを実行します。 CYTOOL command /? Advanced Endpoint Protection 管理者用ガイド 175 トラブルシューティング Cytool Traps により現在保護されているプロセスを表示 Traps が現在保護しているプロセスを表示するには、enum コマンドを Cytool で実行するか、Traps コンソールの [ 保護 ] タブを表示します(Traps により現在保護されているプロセスを表示を参 照)。デフォルトでは、Traps コンソールおよび Cytool は共に現在のユーザーが開始した保護プロ セスのみを表示します。すべてのユーザーが開始した保護プロセスを表示するには、/a オプショ ンを指定します。 すべてのユーザーが開始した防御プロセスを表示するには、スーパーバイザー(アンインストー ル)パスワードを入力する必要があります。 Traps が現在保護しているプロセスを表示 Step 1 管理者としてコマンドプロンプトを起動し、Traps フォルダに移動します(Cytool へのアクセス を参照)。 Step 2 cytool enum コマンドを入力し、現在のユーザーが開始した保護プロセスを表示します。そのエ ンドポイントのすべてのユーザーに対する保護プロセスを表示するには、/a オプションを指定 し、返答を待ってからスーパーバイザーパスワードを入力します。 c:\Program Files\Palo Alto Networks\Traps>cytool /a enum Enter supervisor password: Process ID 1000 1468 452 [...] Agent Version 3.1.1546 3.1.1546 3.1.1546 エンドポイントの保護設定の管理 デフォルトでは、Traps はセキュリティポリシーによって定義されたサービス保護ルールに従っ て、コアプロセス、レジストリキー、Traps ファイル、および Traps サービスに対して保護を適 用します(Endpoint Security Manager でのサービス保護ルールの設定についての詳細は、サービス 保護の管理をご参照ください)。Cytool を使用し、セキュリティルールをオーバーライドして、 Traps がエンドポイントに適用する以下の各層を管理することができます。 S エンドポイントでのコアプロセス保護の有効化 / 無効化 S エンドポイントでのレジストリ保護設定の有効化 / 無効化 S エンドポイントでの Traps ファイル保護設定の有効化 / 無効化 S エンドポイントでのサービス保護設定の有効化 / 無効化 S サービス保護の管理のためのセキュリティポリシーの利用 エンドポイントでのコアプロセス保護の有効化 / 無効化 デフォルトでは、Traps はローカルセキュリティポリシーで定義されたサービス保護ルールに基 づいて、Cyserver.exe および CyveraService.exe を含むコアプロセスを保護します。必要に応じて、 cytool protect [enable|disable] process コマンドを使用してコアプロセス保護の挙動をオーバー ライドすることができます。 保護設定を変更するには、スーパーバイザー(アンインストール)パスワードを入力する必要が あります。 176 Advanced Endpoint Protection 管理者用ガイド トラブルシューティング Cytool エンドポイントでのコアプロセス保護の有効化 / 無効化 Step 1 管理者としてコマンドプロンプトを起動し、Traps フォルダに移動します(Cytool へのアクセス を参照)。 Step 2 エンドポイントでのコアプロセスの保護設定を管理するには、以下のコマンドを使用します。 C:\Program Files\Palo Alto Networks\Traps>cytool protect [enable|disable] process 以下は、コアプロセス保護を有効化した際に表示される出力の例です。Mode[ モード ] 列は変更し た保護ステータスを Enabled[ 有効 ] または Disabled[ 無効 ] で表示するか、もしくはコアプロセ スを保護するのにローカルセキュリティポリシーを使用している場合は Policy[ ポリシー ] と表 示します。 C:\Program Files\Palo Alto Networks\Traps>cytool protect enable process Enter supervisor password: Protection Mode State Process Enabled Enabled Registry Policy Disabled File Policy Disabled Service Policy Disabled エンドポイントでのコアプロセスの防御にデフォルトポリシールール設定を使用する方法につ いては、サービス保護の管理のためのセキュリティポリシーの利用をご参照ください。 エンドポイントでのレジストリ保護設定の有効化 / 無効化 攻撃者が Traps のレジストリキーを改ざんするのを防ぐために、cytool protect enable registry コ マンドを使用して、HKLM\SYSTEM\Cyvera に保存されているレジストリキーへのアクセスを制 限します。レジストリキー保護を無効にするには、cytool protect disable registry コマンドを使 用します。 レジストリ保護設定を変更するには、返答を待ってからスーパーバイザーパスワードを入力する 必要があります。 エンドポイントでのレジストリ保護設定の有効化 / 無効化 Step 1 管理者としてコマンドプロンプトを起動し、Traps フォルダに移動します(Cytool へのアクセス を参照)。 Advanced Endpoint Protection 管理者用ガイド 177 トラブルシューティング Cytool エンドポイントでのレジストリ保護設定の有効化 / 無効化(続) Step 2 エンドポイントでのレジストリキーの防御設定を管理するには、以下のコマンドを使用します。 C:\Program Files\Palo Alto Networks\Traps>cytool protect [enable|disable] registry 以下は、レジストリキー保護を有効化した際に表示される出力の例です。Mode 列は変更した保護 ステータスを Enabled または Disabled で表示するか、もしくはレジストリキーを保護するのに ローカルセキュリティポリシーを使用している場合は Policy と表示します。 C:\Program Files\Palo Alto Networks\Traps>cytool protect enable registry Enter supervisor password: Protection Mode State Process Policy Disabled Registry Enabled Enabled File Policy Disabled Service Policy Disabled エンドポイントでのレジストリキー保護にローカルセキュリティポリシー内の設定を使用する 方法については、サービス保護の管理のためのセキュリティポリシーの利用をご参照ください。 エンドポイントでの Traps ファイル保護設定の有効化 / 無効化 攻撃者が Traps ファイルを改ざんするのを防ぐために、cytool protect enable file コマンドを使 用して、%Program Files%\Palo Alto Networks\Traps and %ProgramData%\Cyvera に保存されている システムファイルへのアクセスを制限します。Traps ファイルの保護を無効にするには、cytool protect disable file コマンドを使用します。 Traps ファイルの保護設定を変更するには、返答を待ってからスーパーバイザーパスワードを入 力する必要があります。 エンドポイントでの Traps ファイル保護設定の有効化 / 無効化 Step 1 178 管理者としてコマンドプロンプトを起動し、Traps フォルダに移動します(Cytool へのアクセス を参照)。 Advanced Endpoint Protection 管理者用ガイド トラブルシューティング Cytool エンドポイントでの Traps ファイル保護設定の有効化 / 無効化(続) Step 2 エンドポイントでの Traps ファイルの保護設定を管理するには、以下のコマンドを使用します。 C:\Program Files\Palo Alto Networks\Traps>cytool protect [enable|disable] file 以下は、ファイル保護を有効化した際に表示される出力の例です。Mode[ モード ] 列は変更した保 護ステータスを、Enabled[ 有効 ] または Disabled[ 無効 ] で表示するか、もしくは Traps ファイル を保護するのにローカルセキュリティポリシーを使用している場合は Policy[ ポリシー ] と表示 します。 C:\Program Files\Palo Alto Networks\Traps>cytool protect enable file Enter supervisor password: Protection Mode State Process Policy Disabled Registry Policy Disabled File Enabled Enabled Service Policy Disabled エンドポイントでの Traps ファイルの保護にデフォルトポリシールール設定を使用する方法につ いては、サービス保護の管理のためのセキュリティポリシーの利用をご参照ください。 エンドポイントでのサービス保護設定の有効化 / 無効化 Traps セキュリティポリシーを回避するために、攻撃者は Traps サービスの無効化やステータス 変更を試みます。cytool protect enable service コマンドを使用して Traps サービスを保護します。 Traps サービス保護を無効にするには、cytool protect disable service コマンドを使用します。 サービス保護設定を変更するには、返答を待ってからスーパーバイザーパスワードを入力する必 要があります。 エンドポイントでのサービス保護設定の有効化 / 無効化 Step 1 管理者としてコマンドプロンプトを起動し、Traps フォルダに移動します(Cytool へのアクセス を参照)。 Advanced Endpoint Protection 管理者用ガイド 179 トラブルシューティング Cytool エンドポイントでのサービス保護設定の有効化 / 無効化(続) Step 2 エンドポイントでの Traps サービスの保護設定を管理するには、以下のコマンドを使用します。 C:\Program Files\Palo Alto Networks\Traps>cytool protect [enable|disable] service 以下は、サービス保護を有効化した際に表示される出力の例です。Mode[ モード ] 列は変更した保 護ステータスを、Policy[ ポリシー ]、Enabled[ 有効 ] または Disabled[ 無効 ] で表示するか、もし くは Traps ファイルを防御するのにローカルセキュリティポリシーを使用している場合は Policy[ ポリシー ] と表示します。 C:\Program Files\Palo Alto Networks\Traps>cytool protect enable service Enter supervisor password: Protection Mode State Process Policy Disabled Registry Policy Disabled File Policy Disabled Service Enabled Enabled エンドポイントでの Traps サービスの保護にデフォルトポリシールール設定を使用する方法につ いては、サービス保護の管理のためのセキュリティポリシーの利用をご参照ください。 サービス保護の管理のためのセキュリティポリシーの利用 Cytool で保護設定を変更した後でも、cytool protect policy <feature> コマンドを利用することで いつでもデフォルトセキュリティポリシーを復元することができます。 サービス保護の管理のためのセキュリティポリシーの利用 Step 1 管理者としてコマンドプロンプトを起動し、Traps フォルダに移動します(Cytool へのアクセス を参照)。 Step 2 サービス保護を管理するためにセキュリティポリシー内のルールを使用する場合は、以下のコマ ンドを使用します。 C:\Program Files\Palo Alto Networks\Traps>cytool protect policy <feature> <feature> には process[ プロセス ]、 registry[ レジストリ ]、 file[ ファイル ]、 または service[ サー ビス ] を指定します。 以下は、ローカルセキュリティポリシーを使用して Traps ファイルに対する保護を管理した際に 表示される出力の例です。Mode[ モード ] 列は変更した保護ステータスを Policy[ ポリシー ] と表 示しています。 C:\Program Files\Palo Alto Networks\Traps>cytool protect policy file Enter supervisor password: 180 Protection Mode State Process Enabled Enabled Registry Enabled Enabled File Policy Disabled Service Enabled Enabled Advanced Endpoint Protection 管理者用ガイド トラブルシューティング Cytool エンドポイントの Traps ドライバおよびサービスの管理 エンドポイントが起動すると、Traps はデフォルトでドライバ(Cyverak、 Cyvrmtgn、および Cyvrfsfd) およびサービス(Cyvera および CyveraService)を開始します。Cytool を使用して、デフォルトの 挙動をオーバーライドし、ドライバおよびサービスの起動ステータスまたは現在のステータスを 全体で、もしくは個別に管理することができます。デフォルトの起動時の挙動に対する変更は、 エンドポイントの再起動時に反映されます。ランタイム時の挙動に対する変更は即座に反映され ます。 S エンドポイントでの Traps の起動時の要素の表示 S エンドポイントでの Traps 要素の起動の有効化 / 無効化 S エンドポイントでの Traps のランタイムの要素の表示 S エンドポイントでの Traps のランタイム時の要素の開始 / 停止 エンドポイントでの Traps の起動時の要素の表示 コマンドを使用して、エンドポイントの起動時の要素のステータスを表示し ます。サービスまたはドライバが無効になっていると、Cytool はその要素を Disabled と表示しま す。ドライバが有効になっていると、Cytool はその要素を System[ システム ] と表示します。サー ビスが有効になっていると、Cytool はその要素の Startup[ 起動 ] を Automatic[ 自動 ] と表示します。 cytool startup query エンドポイントでの Traps の起動時の要素の表示 Step 1 管理者としてコマンドプロンプトを起動し、Traps フォルダに移動します(Cytool へのアクセス を参照)。 Step 2 Traps ドライバおよびサービスの現在の起動時の挙動を表示するには、以下のコマンドを使用し ます。 C:\Program Files\Palo Alto Networks\Traps>cytool startup query Service Startup cyverak System cyvrmtgn System cyvrfsfd System cyserver Automatic CyveraService Automatic エンドポイントでの Traps 要素の起動の有効化 / 無効化 コマンド(オプションとして要素名を続けて入力できます)を使 用して、エンドポイントでの Traps ドライバおよびサービスの起動のためのデフォルトの挙動を オーバーライドします。 cytool startup [enable|disable] 起動時の挙動を変更するには、返答を待ってからスーパーバイザーパスワードを入力する必要が あります。 Traps ドライバおよびサービスに対する変更は、システムが再起動するまで反映されません。 Traps ドライバおよびサービスに対する変更を即座に反映させる方法については、エンドポイ ントでの Traps のランタイム時の要素の開始 / 停止をご参照ください。 Advanced Endpoint Protection 管理者用ガイド 181 トラブルシューティング Cytool エンドポイントでの Traps 要素の起動の有効化 / 無効化 Step 1 管理者としてコマンドプロンプトを起動し、Traps フォルダに移動します(Cytool へのアクセス を参照)。 Step 2 特定のドライバまたはサービスの起動時の挙動をを変更するには、以下のコマンドを使用しま す: C:\Program Files\Palo Alto Networks\Traps>cytool startup [enable|disable] <component> <component> には、cyverak、cyvrmtgn、cyvrfsfd のいずれかのドライバまたは cyserver、 のいずれかのサービスを入力します。 CyveraService または、<component> をコマンドから省略して、すべてのドライバおよびサービスに対して起動 時の挙動を変更することが可能です。 以下は、cyvrmtgn ドライバの起動時の挙動を無効化した際の出力の例です。Startup[ 起動 ] 列は、 変更した挙動を Disabled[ 無効 ] と表示します。 C:\Program Files\Palo Alto Networks\Traps>cytool startup disable cyvrmtgn Enter supervisor password: Service Startup cyverak System cyvrmtgn Disabled cyvrfsfd System cyserver Automatic CyveraService Automatic エンドポイントでの Traps のランタイムの要素の表示 コマンドを使用して、Traps の要素のステータスを表示します。サービスま たはドライバが有効になっていると、Cytool はその要素を Running[ 稼働中 ] と表示します。サー ビスまたはドライバが実行されていない場合は、Cytoolはその要素を Stopped[停止]と表示します。 cytool runtime query エンドポイントでの Traps の起動時の要素の表示 Step 1 管理者としてコマンドプロンプトを起動し、Traps フォルダに移動します(Cytool へのアクセス を参照)。 Step 2 Traps ドライバおよびサービスの現在のランタイムを表示するには、以下のコマンドを使用しま す。 C:\Program Files\Palo Alto Networks\Traps>cytool runtime query 182 Service State cyverak Running cyvrmtgn Running cyvrfsfd Running cyserver Running CyveraService Stopped Advanced Endpoint Protection 管理者用ガイド トラブルシューティング Cytool エンドポイントでの Traps のランタイム時の要素の開始 / 停止 Endpoint Security Manager から Traps の挙動を変更する権限がなく、Traps ドライバおよびサービス にかかわる問題を速やかに解決する必要がある状況では、cytool startup [enable|disable] コマン ドを使用して、デフォルトのランタイムの挙動をオーバーライドすることができます。このコマ ンドは、すべての Traps の要素を開始または停止、または特定のドライバやサービスを開始また は停止するアクションを即座に行う必要がある場合に役立ちます。 Traps ドライバおよびサービスのランタイム時の挙動に対する変更は、システム再起動時にリ セットされます。Traps ドライバおよびサービスの起動時の挙動を変更する方法については、エ ンドポイントでの Traps 要素の起動の有効化 / 無効化をご参照ください。 ランタイム時の挙動を変更するには、返答を待ってからスーパーバイザーパスワードを入力する 必要があります。 エンドポイントでの Traps のランタイム時の要素の開始 / 停止 Step 1 Step 2 管理者としてコマンドプロンプトを起動し、Traps フォルダに移動します(Cytool へのアクセス を参照)。 ドライバまたはサービスを開始または停止するには、以下のコマンドを使用します。 C:\Program Files\Palo Alto Networks\Traps>cytool runtime start <component> <component> には、cyverak、cyvrmtgn、cyvrfsfd のいずれかのドライバまたは cyserver、 のいずれかのサービスを入力します。 CyveraService または、<component> をコマンドから省略して、すべてのドライバおよびサービスに対してラン タイム時の挙動を変更することが可能です。 以下は、cyserver サービスを停止した際に表示される出力の例です。Startup[ 起動 ] 列は変更し た要素のステータスを Running[ 稼働中 ] または Stopped[ 停止 ] と表示します。 C:\Program Files\Palo Alto Networks\Traps>cytool runtime stop cyserver Enter supervisor password: Service Startup cyverak Running cyvrmtgn Running cyvrfsfd Running cyserver Stopped CyveraService Running エンドポイント上のセキュリティポリシーの表示および比較 Cytool を使用して、エンドポイント上のセキュリティポリシーの詳細を表示することができます。 S 有効なポリシーの詳細表示 S ポリシーの比較 Advanced Endpoint Protection 管理者用ガイド 183 トラブルシューティング Cytool 有効なポリシーの詳細表示 cytool policy query <process> コマンドを使用して、特定のプロセスに関するポリシーの詳細を表 示します。この出力は、意図した設定内容でポリシーが実装されているかどうか確認したいとき に役立ちます。 ポリシーの詳細を表示するには、返答を待ってからスーパーバイザーパスワードを入力する必要 があります。 有効なポリシーの詳細表示 Step 1 Step 2 管理者としてコマンドプロンプトを起動し、Traps フォルダに移動します(Cytool へのアクセス を参照)。 プロセスに対する有効なポリシーを表示するには、以下のコマンドを使用します。 C:\Program Files\Palo Alto Networks\Traps>cytool policy query <process> には、プロセス名またはプロセス ID(PID)を入力します。例えば、notepad に対する ポリシーの詳細を表示するには、cytool policy query notepad と入力します。以下は、PID 1234 のプロセスに対するポリシーの詳細の表示例です。 <process> C:\Program Files\Palo Alto Networks\Traps>cytool policy query 1234 Enter supervisor password: Generic Enable 0x00000001 SuspendOnce 0x00000001 AdvancedHooks 0x00000001 [...] ポリシーの比較 定期的に、Traps は更新されたセキュリティーポリシーを Endpoint Security Manager に要求し、シ ステムレジストリに保存します。ユーザーがプロセスを開始すると、Traps はセキュリティポリ シーの設定に基づいてそのプロセスを保護するかどうかを判断します。 Traps が期待通りの挙動を示さない場合、cytool policy compare コマンドを使用して、エンドポイ ントで実行中のプロセスに適用されている各ポリシーの相違を表示します。このコマンドを使用 すると、プロセス用のポリシーをデフォルトセキュリティポリシーと、あるいは別のプロセス用 のポリシーと比較することができます。いずれの場合も、プロセス名あるいはプロセス ID(PID) を指定することができます。プロセス名を指定すると、そのプロセスに対するポリシーの適用状 況をシミュレートします。PID を指定すると、実行中のプロセスに対する有効なポリシーを問い 合わせます。Cytool はポリシーを並べて表示し、ポリシー間の相違点を赤色で示します。 ポリシーを比較するには、返答を待ってからスーパーバイザーパスワードを入力する必要があり ます。 ポリシーの比較 Step 1 184 管理者としてコマンドプロンプトを起動し、Traps フォルダに移動します(Cytool へのアクセス を参照)。 Advanced Endpoint Protection 管理者用ガイド トラブルシューティング Cytool ポリシーの比較(続) Step 2 2 つのポリシーの詳細を比較します。 • ポリシーをデフォルトポリシーと比較するには、以下のコマンドを使用します。 C:\Program Files\Palo Alto Networks\Traps>cytool policy compare <process> default には、プロセス名またはプロセス ID(PID)を入力します。 以下は、notepad に適用されているポリシーをデフォルトポリシーと比較したときの出力の例 です。2 つのポリシーの相違点は赤色で表示されます。 <process> C:\Program Files\Palo Alto Networks\Traps>cytool policy compare notepad default Enter supervisor password: Generic Enable SuspendOnce AdvancedHooks 0x00000001 0x00000001 0x00000001 0x00000001 0x00000001 0x00000001 0x00000001 0x00000001 0x00000000 0x000000011 [...] DllSec Enable Optimize [...] • 2 つのプロセスのポリシーを比較するには、以下のコマンドを使用します。 C:\Program Files\Palo Alto Networks\Traps>cytool policy compare <process1> <process2> <process1> および <process2> にはいずれもプロセス名またはプロセス ID(PID)を入力しま す。例えば、iexplorer に適用されているポリシーを Chrome 用のポリシーと比較するには、 cytool policy compare iexplorer chrome と入力します。2 つの PID 用のポリシーの比較、ま たはあるプロセス用のポリシーとある PID 用のポリシーの比較も可能です。 以下は、2 つの PID、1592 および 1000 に適用されているポリシーを比較したときの出力の例 です。2 つのポリシーの相違点は赤色で表示されます。 C:\Program Files\Palo Alto Networks\Traps>cytool policy compare 1592 1000 Enter supervisor password: Generic Enable SuspendOnce AdvancedHooks 0x00000001 0x00000001 0x00000001 0x00000001 0x00000001 0x00000001 0x00000001 0x00000001 0x00000000 0x000000011 [...] DllSec Enable Optimize [...] Advanced Endpoint Protection 管理者用ガイド 185 Traps の問題のトラブルシュート トラブルシューティング Traps の問題のトラブルシュート このトピックでは、Traps に関連する以下の問題を扱います。 S Traps がインストールできない S Traps をアップグレードまたはアンインストールできない S Traps が ESM サーバーに接続できない S Traps サーバー証明書エラーを修復できない Traps がインストールできない 症状 Traps セットアップが以下のエラーを表示する。「Traps」(CyveraService)サービスが起動に失敗 しました。必要な権限があることを確認してください。 考えられる原因 z エンドポイントでサービスを起動する管理者権限を持っていない。 ソリューション 以下の手続きの各ステップで、Traps をインストールできるか確認します。それでも Traps がエ ラーを表示する場合は、問題が解決するまでさらにステップを進めます。 ソリューション:Traps がインストールできない Step 1 エンドポイントで管理者権限を持っていることを確認します。 • Windows 7:Start > Control Panel > User Accounts > Manage User Accounts[ スタート > コントロール パネル > ユーザーアカウント > ユーザーアカウントを管理 ] をクリックします。ユーザータ ブで、管理者グループに自分のユーザー名が表示されていることを確認します。 • Windows 8:Start > Control Panel > User Accounts > Change User Accounts[ スタート > コントロール パネル > ユーザーアカウント > ユーザーアカウントを変更 ] をクリックします。自分のユー ザー名が管理者として表示されていることを確認します。 有効な管理者としてエンドポイントにログインします。 186 Advanced Endpoint Protection 管理者用ガイド トラブルシューティング Traps の問題のトラブルシュート ソリューション:Traps がインストールできない Step 2 サービスログには、Traps サービスに関連する情報、警告、およびエラーが含まれています。 Traps サービスに関連する問題の詳細なトラブルシュートを行うには、 C:\ProgramData\Cyvera\Logs\Service.log ファイルをテキストエディタで開き、問題発生時のエ ラーをログファイルで確認します。 デフォルトでは、ProgramData フォルダは非表示になっています。Windows エクスプローラで 隠しファイルを表示するには、 Organize > Folder and Search Options > View > Show hidden files and folders[ 組織 > フォルダと検索オプション > 表示 > 隠しファイルとフォルダを表示 ] を選択します。 Step 3 問題が解決しない場合は、Palo Alto Networks のサポートチームまでお問い合わせください。 Traps をアップグレードまたはアンインストールできない 症状 Traps セットアップが以下のエラーを表示する。「Traps」(CyveraService)サービスが起動に失敗 しました。必要な権限があることを確認してください。 考えられる原因 古いバージョンの Traps では、サービス保護機能によって Traps のシステムファイルの変更や改 ざんができなくなっています。 ソリューション ソリューション:Traps をアップグレードできない Step 1 サービス保護を無効化するアクションルールを作成します(サービス保護の管理を参照)。 Step 2 Traps のインストールまたはアンインストールができることを確認します。 Step 3 アクションルールを削除します(ルールの保存を参照)。 Step 4 Traps のアップグレードを試します。Traps サービスに関連する問題の詳細なトラブルシュートを 行うには、Traps が特定のエラーを報告していないかログで確認します。 • Traps コンソールで Open Log File[ ログファイルを開く ] を選択します。 • Traps コンソールで Send Support File[ サポートファイルを送信 ] を選択して、ESM サーバーに ログを送信します。 • エンドポイントからログを取得するアクションルールを作成します(Traps が収集したデータ の管理を参照)。 Step 5 問題が解決しない場合は、Palo Alto Networks のサポートチームまでお問い合わせください。 Advanced Endpoint Protection 管理者用ガイド 187 Traps の問題のトラブルシュート トラブルシューティング Traps が ESM サーバーに接続できない 症状 Traps が ESM サーバに接続して最新のセキュリティポリシーを取得できず、No connection to server![ サーバーと未接続です ] とステータスを報告する。 考えられる原因 z サーバーもしくはエンドポイントの仕様が、インストールの要件、基本的な要件に合致して いません。 z エンドポイントの Traps サービスがダウンしています。 z ESM サーバーの Endpoint Security Manager コアサービスがダウンしています。 z エンドポイントがネットワークに接続していません。 z ESM サーバーのポート(デフォルトでは 2125)にインバウンドトラフィックが許可されてい ません。 z WindowsファイアウォールがESMサーバー上で有効になっており、サーバーがクライアントと 通信するのを阻害しています。 z エンドポイントの証明書が ESM サーバーの証明書と合致していません(Traps サーバー証明書 エラーを修復できないを参照)。 ソリューション 以下の手順の各ステップの後に、 Check-in now[ すぐにチェックイン ] を選択して Traps が ESM サー バーと接続できるか確認します。それでも Traps がサーバーと接続できない場合は、問題が解決 するまでさらにステップを進めます。 ソリューション:Traps が ESM サーバーに接続できない Step 1 188 サーバーおよびエンドポイントが 前提条件をご参照ください。 共に要件を満たしていることを確 認します。 Advanced Endpoint Protection 管理者用ガイド トラブルシューティング Traps の問題のトラブルシュート ソリューション:Traps が ESM サーバーに接続できない(続) Step 2 エンドポイントの Traps サービスが 1. 実行されていることを確認します。 サービスマネージャーを開きます: • Windows XP:スタートメニューから、Control Panel > Administrative Tools > Services[ コントロールパネル ] > 管理ツール > サービス ] を選択します。 • Windows Vista 以降:スタートメニューから、Control Panel > System and Security > Administrative Tools > Services[ コントロールパネル ] > システムとセキュリ ティ > 管理ツール > サービス ] を選択します。 2. 3. Step 3 ESM サーバーで Endpoint Security 1. Manager コアサービスが実行されて いることを確認します。 Traps サービスを探し(旧バージョンの Traps では CyveraService という名前)、サービスの状態が Started[ 開 始 ] であることを確認します。 サービスの状態が Stopped[ 停止 ] の場合は、サービスを ダブルクリックし、Start[ 開始 ] を選択します。Close[ 閉 じる ] をクリックします。 サービスマネージャーを開きます: • Windows Server 2008:スタートメニューから、Control Panel > Administrative Tools > Services[ コントロールパ ネル ] > 管理ツール > サービス ] を選択します。 • Windows Server 2012:スタートメニューから、Control Panel > System and Security > Administrative Tools > Services[ コントロールパネル ] > システムとセキュリ ティ > 管理ツール > サービス ] を選択します。 2. 3. Endpoint Security Manager コアサービス(古いバージョ ンの Endpoint Security Manager では CyveraServer)を探 し、 サービスステータスが Started[ 開始(Windows ] Server 2008)あるいは Running[ 運転中 ](Windows Server 2012) であることを確認します。 サーバーステータスが Stopped[ 停止 ] あるいは Paused [ 一時停止 ] の場合は、当該サービスをダブルクリック し、Start[ 開始 ] を選択します。Close[ 閉じる ] をクリッ クします。 Step 4 エンドポイントがESMサーバーにア エンドポイント上でコマンドプロンプトを開き、ESM サー バーの IP アドレスまたはホスト名に対して ping を打ちま クセスできることを確認します。 す。ESM サーバーに到達できない場合は、デバイス間の ネットワーク接続設定を調べます。 Step 5 ESMサーバーからエンドポイントに ESM サーバーからコマンドプロンプトを開き、エンドポイ ントの IP アドレスまたはホスト名に対して ping を打ちま 到達できることを確認します。 す。エンドポイントに到達できない場合は、デバイス間の ネットワーク接続設定を調べます。 Advanced Endpoint Protection 管理者用ガイド 189 Traps の問題のトラブルシュート トラブルシューティング ソリューション:Traps が ESM サーバーに接続できない(続) Step 6 ESM サーバーのポートが Windows 1. ファイアウォール上で開いている か 確 認 し ま す(デ フ ォ ル ト で は 2125) 。 次の方法でエンドポイントからポートアクセスを確認 します。 a. 管理者としてコマンドプロンプトを開きます。 b. 以下のコマンドを入力し、ESM サーバーの 2125 番 ポートに対し telnet を実行します。 C:\>telnet <esmservername> 2125 <esmservername> には ESM サーバーのホスト名また は IP アドレスを入力します。 2. 2125番ポートに対しtelnetを実行できない場合、 そのポー トを開くためのインバウンドルールを作成します。 a. Windows ファイアウォールの高度な設定を開きます: – Windows Server 2008:スタートメニューから、Control Panel > Windows Firewall > Advanced Settings[ コント ロールパネル [ > Windows ファイアウォール > 高度 な設定 ] を選択します。 – Windows Server 2012:スタートメニューから、Control Panel > System and Security > Windows Firewall > Advanced Settings[ コントロールパネル [ > Windows ファイアウォール > 高度な設定 ] を選択します。 b. Inbound Rules[ インバウンドルール ] を選択します。 c. Traps に 2125 番ポートで Endpoint Security Manager と の通信を許可する新しいルールを作成します。New Rule[ 新規ルール ] ウィザードを選択し、指示に従っ てください。 3. Step 7 Windows ファイアウォールを一時的 1. に無効にします。 エンドポイントから ESM サーバの 2125 番ポートに対 し telnet を実行できることを確認します。 Change Action Center settings[ アクションセンターの設定 変更 ] を開きます。 • Windows Server 2008:スタートメニューから、Control Panel[ コントロールパネル ] を選択します。Action Center[ アクションセンター ] をダブルクリックし、 Change Action Center settings[ アクションセンターの設 定変更 ] を選択します。 • Windows Server 2012:スタートメニューから、Control Panel > System and Security[ コントロールパネル > シス テムとセキュリティ] を選択します。Action Center[ ア クションセンター ] をダブルクリックし、Change Action Center settings[アクションセンターの設定変更] を選択します。 2. 3. Step 8 190 Network firewall[ ネットワークファイアウォール ] の選 択を解除します。 OK をクリックします。 Traps と ESM サーバーの接続が復元 Traps コンソールから、Check-in now[ すぐにチェックイン ] を ク リ ッ ク し ま す。接 続 が 確 立 す る と、接 続 状 態 が されたことを確認します。 Successful[ 成功 ] と表示されます。 Advanced Endpoint Protection 管理者用ガイド トラブルシューティング Traps の問題のトラブルシュート ソリューション:Traps が ESM サーバーに接続できない(続) Step 9 あるエラーを Traps が報告している • Traps コンソールで Open Log File[ ログファイルを開く ] を 選択します。 かどうか確認するにはログを開き ます。 • Traps コンソールで Send Support File[ サポートファイルを 送信 ] を選択して、ESM サーバーにログを送信します。 • エンドポイントからログを取得するアクションルールを 作成します(Traps が収集したデータの管理を参照)。 Step 10 問題が解決しない場合は、Palo Alto Networks のサポートチームまでお問 い合わせください。 Traps サーバー証明書エラーを修復できない 症状 エンドポイントのサービスログに以下のエラーが表示される。 「https://<hostname>:2125/CyveraServer/ への HTTP リクエスト送信中にエラーが発生しました。 この問題は、HTTPS の場合に HTTP.SYS でサーバー証明書が適切に設定されていないことが原因 になっているかもしれません。また、クライアント、サーバー間のセキュリティバインディング の不一致が原因の可能性もあります。 考えられる原因 ESM サーバーソフトウェアをインストールする際、以下の証明書設定をすることができます。証 。Traps をインストールするには、ESM サーバーソ 明書なし(No SSL)および外部証明書(SSL) フトウェアのインストールの際に External Certificate[ 外部証明書 ] を選択した場合は SSL[SSL] を、 No Certificate[ 証明書なし ] を選択した場合は No SSL[SSL なし ] を選択する必要があります。設定 に不一致があると、service.log にエラーが報告されます。 ソリューション ソリューション:Traps サーバー証明書エラーを修復できない Step 1 Traps ソフトウェアを再インストー ESM サーバーの SSL 設定を確認し、エンドポイントに Traps を再インストールします。インストールする際には、適切 ルします。 な SSL 設定を選択するようにします(エンドポイントに Traps をインストールを参照)。 Step 2 ログにエラーが表示されないこと Traps コンソールから、Open Log File[ ログファイルを開く ] を選択するか、エンドポイント上で services.log を開き、直 を確認します。 近のエラーを確認します。サーバー証明書エラーが解決し ない場合は、Palo Alto Networks のサポートチームまでお問 い合わせください。 Advanced Endpoint Protection 管理者用ガイド 191 ESM コンソールの問題のトラブルシュート トラブルシューティング ESM コンソールの問題のトラブルシュート このトピックでは、 Endpoint Security Manager(ESM)コンソールに関連する以下の問題を扱います。 S ESM コンソールにログインできない S ESM コンソールを起動した際にサーバエラーになる S すべてのエンドポイントが ESM コンソールで切断と表示される ESM コンソールにログインできない 症状 Endpoint Security Manager(ESM)コンソールに、ユーザー名またはパスワードが無効であるとい うエラーメッセージが表示される。 考えられる原因 z ユーザー名またはパスワードが正しく入力されていません。 z 初回インストール時に指定したユーザーが DB オーナー権限を持っていません。 z ユーザーが管理者として追加されていません。 z サーバーをインストールしたユーザーが、サーバーのローカル管理者になっていません。 ソリューション ソリューション:ESM コンソールにログインできない Step 1 ユーザー名およびパスワードが正しく入力されていることを確認します。 Step 2 ユーザーが DB オーナー権限を持っていることを確認します(MS-SQL サーバーデータベースの 構成を参照) 。 192 Advanced Endpoint Protection 管理者用ガイド トラブルシューティング ESM コンソールの問題のトラブルシュート ソリューション:ESM コンソールにログインできない Step 3 管理者としてログインし、認証モードが正しいこと、およびユーザーアカウントが User Management [ ユーザー管理 ] ページに表示されていることを確認します。管理者ユーザーを追加する方法につ いては、Endpoint Security Manager への管理権限付きのアクセスを ESM コンソールでセットアッ プをご参照ください。または、データベース構成ツールを使用して管理者を追加することもできま す(Endpoint Security Manager への管理権限付きのアクセスを DB 構成ツールでセットアップを参 照) 。 Step 4 管理者としてログインできない場合は、ローカルの管理者として Endpoint Security Manager を再イ ンストールします。 Step 5 IIS を再起動します。Start > Run[ スタート > 実行 ] をクリックし、[IISReset] と入力し、続けて OK をクリックします。 Step 6 そのアカウントで Endpoint Security Manager コンソールにログインできることを確認します。問題 が解決しない場合は、Palo Alto Networks のサポートチームまでお問い合わせください。 ESM コンソールを起動した際にサーバエラーになる 症状 Endpoint Security Manager(ESM)コンソールを開くと、ブラウザ上で「/CyveraManagement」また は「/EndpointSecurityManager」のアプリケーション内でのサーバエラーを示すエラーメッセージ が表示される。 考えられる原因 サーバーが KB2468871 の更新パッチを当てた .NET Framework 4.0 の要件を満たしていません。 ソリューション .NET Framework 4.0 および KB2468871 パッチをインストールします。 Advanced Endpoint Protection 管理者用ガイド 193 ESM コンソールの問題のトラブルシュート トラブルシューティング すべてのエンドポイントが ESM コンソールで切断と表示される 症状 ESM サーバとの接続ができているにもかかわらず、すべてのエンドポイントが切断されている と Endpoint Security Manager(ESM)コンソールの Health[ 安全状態 ] ページに表示される。 考えられる原因 z ESM サーバーが要件を満たしていません。 z Endpoint Security Manager コアサービスが停止しており、再起動を必要としています。この問題 は、ESM コンソールソフトウェアの初回インストール後、1 時間以上ライセンスキーをイン ストールしなかった場合に発生します。 z ESM サーバーのポート(デフォルトでは 2125)にインバウンドトラフィックが許可されてい ません。 ソリューション 以下の手順の各ステップの後に、 Check-in now[ すぐにチェックイン ] を選択して Traps が ESM サー バーと接続できるか確認します。それでも Traps がサーバーと接続できない場合は、問題が解決 するまでさらにステップを進めます。 ソリューション:すべてのエンドポイントが ESM コンソールで切断と表示される Step 1 サーバーが要件を満たしているこ ESM サーバーをインストールする際の前提条件をご参照く ださい。 とを確認します。 Step 2 エンドポイントの Traps サービスが 1. 実行されていることを確認します。 サービスマネージャーを開きます: • Windows XP:スタートメニューから、Control Panel > Administrative Tools > Services[ コントロールパネル ] > 管理ツール > サービス ] を選択します。 • Windows Vista 以降:スタートメニューから、Control Panel > System and Security > Administrative Tools > Services[ コントロールパネル ] > システムとセキュリ ティ > 管理ツール > サービス ] を選択します。 2. 3. 194 Traps サービスを探し(旧バージョンの Traps では CyveraService という名前)、サービスの状態が Started[ 開 始 ] であることを確認します。 サービスの状態が Stopped[ 停止 ] の場合は、サービスを ダブルクリックし、Start[ 開始 ] を選択します。Close[ 閉 じる ] をクリックします。 Advanced Endpoint Protection 管理者用ガイド トラブルシューティング ESM コンソールの問題のトラブルシュート ソリューション:すべてのエンドポイントが ESM コンソールで切断と表示される(続) Step 3 ESM サーバーで Endpoint Security 1. Manager コアサービスが実行されて いることを確認します。 サービスマネージャーを開きます: • Windows Server 2008:スタートメニューから、Control Panel > Administrative Tools > Services[ コントロールパ ネル ] > 管理ツール > サービス ] を選択します。 • Windows Server 2012:スタートメニューから、Control Panel > System and Security > Administrative Tools > Services[ コントロールパネル ] > システムとセキュリ ティ > 管理ツール > サービス ] を選択します。 2. 3. Step 4 ESM サーバーのポートが Windows 1. ファイアウォール上で開いている か 確 認 し ま す(デ フ ォ ル ト で は 2125)。 Endpoint Security Manager コアサービス(古いバージョ ンの Endpoint Security Manager では CyveraServer)を探し、 サービスステータスが Started[ 開始 ](Windows Server 2008)あるいは Running[ 運転中 ](Windows Server 2012) であることを確認します。 サーバーステータスが Stopped[ 停止 ] あるいは Paused [ 一時停止 ] の場合は、当該サービスをダブルクリック し、Start[ 開始 ] を選択します。Close[ 閉じる ] をクリッ クします。 次の方法でエンドポイントからポートアクセスを確認 します。 a. 管理者としてコマンドプロンプトを開きます。 b. 以下のコマンドを入力し、ESM サーバーの 2125 番 ポートに対し telnet を実行します。 C:\>telnet <esmservername> 2125 <esmservername> には ESM サーバーのホスト名また は IP アドレスを入力します。 2. 2125 番ポートに対し telnet を実行できない場合、その ポートを開くためのインバウンドルールを作成します。 a. Windows ファイアウォールの高度な設定を開きます: – Windows Server 2008:スタートメニューから、Control Panel > Windows Firewall > Advanced Settings[ コント ロールパネル [ > Windows ファイアウォール > 高度 な設定 ] を選択します。 – Windows Server 2012:スタートメニューから、Control Panel > System and Security > Windows Firewall > Advanced Settings[ コントロールパネル [ > Windows ファイアウォール > 高度な設定 ] を選択します。 b. Inbound Rules[ インバウンドルール ] を選択します。 c. Traps に 2125 番ポートで Endpoint Security Manager と の通信を許可する新しいルールを作成します。New Rule[ 新規ルール ] ウィザードを選択し、指示に従っ てください。 3. Advanced Endpoint Protection 管理者用ガイド エンドポイントから ESM サーバの 2125 番ポートに対 し telnet を実行できることを確認します。 195 ESM コンソールの問題のトラブルシュート トラブルシューティング ソリューション:すべてのエンドポイントが ESM コンソールで切断と表示される(続) Step 5 Windows ファイアウォールを一時的 1. に無効にします。 Change Action Center settings[ アクションセンターの設定 変更 ] を開きます。 • Windows Server 2008:スタートメニューから、Control Panel[ コントロールパネル ] を選択します。Action Center[ アクションセンター ] をダブルクリックし、 Change Action Center settings[ アクションセンターの設 定変更 ] を選択します。 • Windows Server 2012:スタートメニューから、Control Panel > System and Security[ コントロールパネル > シス テムとセキュリティ] を選択します。Action Center[ ア クションセンター ] をダブルクリックし、Change Action Center settings[ アクションセンターの設定変更 ] を選択します。 2. 3. Step 6 196 Network firewall[ ネットワークファイアウォール ] の選択 を解除します。 OK をクリックします。 Traps と ESM サーバーの接続が復元 Traps コンソールから、Check-in now[ すぐにチェックイン ] を ク リ ッ ク し ま す。接 続 が 確 立 す る と、接 続 状 態 が されたことを確認します。 Successful[ 成功 ] と表示されます。 問題が解決しない場合は、 Palo Alto Networks のサポートチームまでお問い合わせくだ さい。 Advanced Endpoint Protection 管理者用ガイド
© Copyright 2024 Paperzz
