サーバー脅威対策: デフォルト設定
サーバーの脅威対策のデフォルトポリシーには、以下の標準オプションが含まれます。
これらの設定は、オンにしたままにすることを推奨します。選択すると、複雑な管理設定なしで最適な保護対策が設定されます。
警告
ただし、セキュリティ低下を招く恐れがあるため、推奨設定を変更する前に慎重に検討してください。
制限事項
Windows サーバーでは、一部のオプションのみ使用できます。
ランタイム保護
ランタイム保護は、疑わしい動作や、悪意のある動作・トラフィックを検出することにより、脅威から防御する機能です。
ネットワークトラフィックを保護する
- C&C サーバーへの悪意のある接続を検出する: エンドポイントコンピュータとエンドポイントコンピュータを制御しようとしている兆候がみられるサーバーとの間のトラフィック (C&C 攻撃 (コマンドアンドコントロール攻撃)) を検知します。
- パケットインスペクション (IPS) で、悪意のあるネットワークトラフィックを防止する: ネットワーク通信をスキャンして、OS またはアプリケーションに影響を与える前に脅威を検出してブロックします。
Sophos Security Heartbeat を有効にする: これは、サーバーの「セキュリティステータス」を表す信号を Sophos Central アカウントに登録されている各 Sophos Firewall に送信します。複数のファイアウォールを登録している場合、最も近いところにあるアクセス可能なファイアウォールに信号を送信します。この信号から、感染の可能性があるとみなされた場合、問題のあるサーバーのアクセスをファイアウォールで制限することができます。
AMSI 保護 (スクリプトベースの脅威のスキャンを強化): AMSI (Microsoft Antimalware Scan Interface) を使用して、悪意のあるコード (例: PowerShell スクリプトなど) から保護します。AMSI 経由で転送されたコードは実行前にスキャンされ、コードの実行に使用されたアプリケーションに、脅威に関して通知が送信されます。脅威が検出されると、ログにイベントが記録されます。サーバー上の AMSI 登録が削除されないようにすることができます。詳細は、Antimalware Scan Interface (AMSI) を参照してください。
Live Protection
SophosLabs のデータベースに登録されている最新のマルウェアデータを照会して、疑わしいファイルをチェックします。
Sophos Live Protection で SophosLabs のオンラインデータベースを照会して最新の脅威情報をチェックする: リアルタイム検索時にファイルをチェックします。
- スケジュール検索で Live Protection を使用する
リアルタイム検索 - ローカルファイルおよびネットワーク共有フォルダ
リアルタイム検索は、ユーザーがファイルにアクセスしようとするとマルウェア検索を実行し、ファイルが感染していない場合にアクセスを許可します。
ローカルおよびリモート: 代わりに「ローカル」を選択した場合、ネットワーク共有内のファイルは検索されません。
ファイルを読み込んだとき: ファイルを開く際に検索が実行されます。
ファイルに書き込んだとき: ファイルを保存する際に検索が実行されます。
リアルタイム検索 - インターネット
リアルタイム検索では、ユーザーがインターネットのリソースにアクセスしようとするとスキャンが実行されます。
進行中のダウンロードをスキャンする:
悪意のある Web サイトへのアクセスをブロックする: マルウェアをホストしていることが確認されている Web サイトへのアクセスを拒否します。
レピュテーションの低いファイルを検出する: レピュテーションの低いファイルをダウンロードした場合に警告が表示されます。レピュテーションは、ファイルのソース、ダウンロードの頻度、およびその他の要因を基に構築されます。詳細は、ダウンロードレピュテーションを参照してください。
指定できるオプションは次のとおりです。
- レピュテーションの低いダウンロードに対して実行する処理: 「ユーザーに通知」を選択すると、ユーザーがレピュテーションの低いファイルをダウンロードしようとすると、警告が表示されます。このオプションはデフォルトで選択されています。
- レピュテーション レベル: 「高レベル」を選択すると、レピュテーションが低いファイルに加えて、中程度のファイルも検出されます。デフォルトの設定は、「推奨」です。
修復
マルウェアを自動クリーンアップする: 検出された脅威に対して自動クリーンアップを実行します。このオプションは、Windows Server、および Sophos Security VM で保護されているゲスト VM (Sophos Guest VM Agent がインストールされている場合のみ) でサポートされます。
注
自動クリーンアップをオフにした場合でも、アプリケーション、ライブラリ、システムファイルなどの PE (Portable Executable) ファイルは常にクリーンアップされます。PE ファイルは隔離され、復元することが可能です。
リアルタイム検索 - オプション
既知のアプリケーションの動作を検索から自動的に除外: 一般に広く使用されているアプリケーションの一部で使用されるファイルを Sophos Central で行われる検索から除外します。該当するアプリケーションの一覧は、ダウンロードレピュテーションを参照してください。「除外」オプションを使用して、他のアプリケーションによる動作を手動で除外できます。
悪意のある動作を検知する (HIPS): 未知の脅威から防御します。既知の悪意のある動作や疑わしい動作を検出・ブロックします。このオプションは段階的に終了される予定で、次のオプションによって置き換えられます。
悪意のある動作を検知する: 未知の脅威から防御します。既知の悪意のある動作や疑わしい動作を検出・ブロックします。
詳細設定
ここにある設定は、テスト用のまたはトラブルシューティング用の設定です。デフォルトの状態にしたままにすることを推奨します。