Comments
Transcript
Endpoint Security 10.2 製品ガイド - Knowledge Center
製品ガイド McAfee Endpoint Security 10.2 著作権 © 2016 Intel Corporation 商標 Intel および Intel のロゴは、米国法人 Intel Corporation または米国またはその他の国の関係会社における登録商標です。McAfee および McAfee のロゴ、McAfee Active Protection、McAfee DeepSAFE、ePolicy Orchestrator、McAfee ePO、McAfee EMM、McAfee Evader、Foundscore、Foundstone、Global Threat Intelligence、マカフィー リブセーフ、Policy Lab、McAfee QuickClean、Safe Eyes、McAfee SECURE、McAfee Shredder、SiteAdvisor、McAfee Stinger、McAfee TechMaster、McAfee Total Protection、TrustedSource、VirusScan は、米国法人 McAfee, Inc. または米国またはその他の国の関係会社における商標登録または商標 です。その他すべての登録商標および商標はそれぞれの所有者に帰属します。 ライセンス情報 ライセンス条項 お客様へ:お客様がお買い求めになられたライセンスに従い、該当する契約書 (許諾されたソフトウェアの使用につき一般条項を定めるものです、以下「本契約」といいます) をよくお読みください。お買い求めになられたライセンスの種類がわからない場合は、販売およびライセンス関連部署にご連絡いただくか、製品パッケージに付随する注文 書、または別途送付された注文書 (パンフレット、製品 CD またはソフトウェア パッケージをダウンロードした Web サイト上のファイル) をご確認ください。本契約の規 定に同意されない場合は、製品をインストールしないでください。この場合、弊社またはご購入元に速やかにご返信いただければ、所定の条件を満たすことによりご購入額 全額をお返しいたします。 2 McAfee Endpoint Security 10.2 製品ガイド 目次 1 McAfee Endpoint Security 7 概要 9 Endpoint Security モジュール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Endpoint Security がシステムを保護する仕組み . . . . . . . . . . . . . . . . . . . . . . . 10 保護対策を最新の状態にする方法 . . . . . . . . . . . . . . . . . . . . . . . . . 10 Endpoint Security の使い方 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 McAfee システム トレイ アイコンからの Endpoint Security タスクの実行 . . . . . . . . . . 12 通知メッセージについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Endpoint Security クライアントについて . . . . . . . . . . . . . . . . . . . . . . 2 Endpoint Security クライアント の使用 14 19 Endpoint Security クライアント を開く . . . . . . . . . . . . . . . . . . . . . . . . . 19 ヘルプを見る . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 プロンプトに応答する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 脅威検出プロンプトに応答する . . . . . . . . . . . . . . . . . . . . . . . . . . 20 スキャン プロンプトに応答する . . . . . . . . . . . . . . . . . . . . . . . . . . 21 ファイル レピュテーション プロンプトに応答する . . . . . . . . . . . . . . . . . . . 21 保護対策に関する情報を取得する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 管理タイプ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 セキュリティ対策とソフトウェアを手動で更新する . . . . . . . . . . . . . . . . . . . . . . 更新対象 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 24 イベント ログ を表示する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 Endpoint Security のログ ファイル名と場所 . . . . . . . . . . . . . . . . . . . . . 25 Endpoint Security の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 管理者としてログオンする . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 クライアント インターフェースのロックを解除する . . . . . . . . . . . . . . . . . . . 28 機能を有効または無効にする . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 AMCore コンテンツのバージョンを変更する . . . . . . . . . . . . . . . . . . . . . 28 Extra.DAT ファイルを使用する . . . . . . . . . . . . . . . . . . . . . . . . . . 29 共通設定を行う . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 更新の動作を設定する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 クライアント インターフェース リファレンス - 共通設定 . . . . . . . . . . . . . . . . . . . 3 40 [イベント ログ] ページ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 共通設定 - オプション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 共通設定 - タスク . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 57 脅威対策 の使用 マルウェアをスキャンする . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 スキャンの種類 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 フル スキャンまたはクイック スキャンを実行する . . . . . . . . . . . . . . . . . . . 58 ファイルまたはフォルダーをスキャンする . . . . . . . . . . . . . . . . . . . . . . 60 脅威検出を管理する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 McAfee Endpoint Security 10.2 製品ガイド 3 目次 隔離項目を管理する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 検出名 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 隔離項目の再スキャン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 脅威対策 の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 除外対象の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 システムのアクセス ポイントの保護 . . . . . . . . . . . . . . . . . . . . . . . . 67 バッファー オーバーフロー エクスプロイトのブロック . . . . . . . . . . . . . . . . . . 75 不審なプログラムの検出 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 共通のスキャン設定を行う . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 McAfee GTI の機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 オンアクセス スキャンを設定する . . . . . . . . . . . . . . . . . . . . . . . . . 79 オンデマンド スキャン を設定する . . . . . . . . . . . . . . . . . . . . . . . . . 84 スキャン タスクとスケジュールを設定して実行する . . . . . . . . . . . . . . . . . . . 88 クライアント インターフェース リファレンス - 脅威対策 . . . . . . . . . . . . . . . . . . . 90 [隔離] ページ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90 脅威対策 - アクセス保護 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 脅威対策 - エクスプロイト防止 . . . . . . . . . . . . . . . . . . . . . . . . . 102 脅威対策 - オンアクセス スキャン . . . . . . . . . . . . . . . . . . . . . . . . 106 脅威対策 - オンデマンド スキャン . . . . . . . . . . . . . . . . . . . . . . . . 110 スキャンする場所 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . McAfee GTI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 115 アクション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 除外対象の追加または除外対象の編集 . . . . . . . . . . . . . . . . . . . . . . . 118 脅威対策 - オプション . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118 AMCore コンテンツのロールバック . . . . . . . . . . . . . . . . . . . . . . . . 120 4 121 ファイアウォール の使用 ファイアウォール の機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 McAfee システム トレイ アイコンでのファイアウォールの無効化をユーザーに許可する . . . . . . . . 121 McAfee システム トレイ アイコンからファイアウォール期限付きグループを表示したり、有効にします。 . . 122 期限付きグループについて . . . . . . . . . . . . . . . . . . . . . . . . . . . ファイアウォール の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ファイアウォール オプションを変更する . . . . . . . . . . . . . . . . . . . . . . 122 122 123 ファイアウォール ルールとグループを設定する . . . . . . . . . . . . . . . . . . . . 127 クライアント インターフェース リファレンス - ファイアウォール . . . . . . . . . . . . . . . . 136 ファイアウォール - オプション . . . . . . . . . . . . . . . . . . . . . . . . . 136 ファイアウォール — ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . 140 5 Web 管理の使用 149 Web 管理の機能について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 Web 管理がサイトとダウンロードをブロックまたは警告する方法 . . . . . . . . . . . . . 150 閲覧時に Web 管理のボタンが脅威の存在を表している場合 . . . . . . . . . . . . . . . 150 検索時に安全性アイコンが脅威の存在を表している場合 . . . . . . . . . . . . . . . . . 151 サイト レポートの詳細 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152 安全性評価をコンパイルする方法 . . . . . . . . . . . . . . . . . . . . . . . . . 152 Web 管理の機能にアクセスする . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153 ブラウザーで Web 管理プラグインを有効にする . . . . . . . . . . . . . . . . . . . 153 閲覧中にサイトの情報を表示する . . . . . . . . . . . . . . . . . . . . . . . . . 154 検索でサイト レポートを表示する . . . . . . . . . . . . . . . . . . . . . . . . . 155 Web 管理 の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155 Web 管理 オプションを設定する . . . . . . . . . . . . . . . . . . . . . . . . . 155 評価アクションを指定して、Web カテゴリに基づいてサイト アクションをブロックする . . . . . 158 クライアント インターフェース リファレンス - Web 管理 . . . . . . . . . . . . . . . . . . 159 Web 管理 - オプション . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159 4 McAfee Endpoint Security 10.2 製品ガイド 目次 Web 管理 — コンテンツによるアクション . . . . . . . . . . . . . . . . . . . . . 6 161 163 脅威情報 の使用 脅威情報 の機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163 脅威情報 の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164 脅威情報について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164 アプリケーションの動的隔離 . . . . . . . . . . . . . . . . . . . . . . . . . . . 170 脅威情報オプションを設定する . . . . . . . . . . . . . . . . . . . . . . . . . . 177 クライアント インターフェース リファレンス - 脅威情報 . . . . . . . . . . . . . . . . . . . 178 脅威情報 - アプリケーションの動的隔離 . . . . . . . . . . . . . . . . . . . . . . 178 脅威情報 - オプション . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180 索引 McAfee Endpoint Security 10.2 185 製品ガイド 5 目次 6 McAfee Endpoint Security 10.2 製品ガイド McAfee Endpoint Security ® McAfee Endpoint Security は、ネットワーク コンピューター上で実行され、脅威を自動的に識別・阻止する包括 的なセキュリティ管理ソリューションです。 このヘルプでは、基本的なセキュリティ機能の使用方法とトラブルシュ ーティングの方法について説明します。 はじめに • Endpoint Security モジュール9 ページの「」 • Endpoint Security がシステムを保護する仕組み10 ページの「」 • Endpoint Security の使い方11 ページの「」 よく実行されるタスク • Endpoint Security クライアント を開く 19 ページの「」 • セキュリティ対策とソフトウェアを手動で更新する23 ページの「」 • マルウェアをスキャンする57 ページの「」 • クライアント インターフェースのロックを解除する28 ページの「」 詳細情報 この製品の詳細については、次の情報を参照してください。 • 『McAfee Endpoint Security インストール ガイ ド』 • Endpoint Security ファイアウォール ヘルプ • 『McAfee Endpoint Security 移行ガイド』 • Endpoint Security Web 管理ヘルプ • 『McAfee Endpoint Security リリース ノート』 • Endpoint Security 脅威情報 ヘルプ • • McAfee サポート Endpoint Security 脅威対策 ヘルプ McAfee Endpoint Security 10.2 製品ガイド 7 McAfee Endpoint Security 8 McAfee Endpoint Security 10.2 製品ガイド 1 概要 Endpoint Security は、ネットワーク コンピューター上で実行され、脅威を自動的に識別・阻止する包括的なセキ ュリティ管理ソリューションです。 このヘルプでは、基本的なセキュリティ機能の使用方法とトラブルシューティン グの方法について説明します。 コンピューターが管理対象の場合、管理者が以下のいずれかの管理サーバーを使用して Endpoint Security のセッ トアップと設定を行います。 • McAfee ePolicy Orchestrator (McAfee ePO ) • McAfee ePolicy Orchestrator Cloud (McAfee ePO Cloud) ® ® ® ™ ® ™ 最新の Endpoint Security 管理ライセンスと使用権については、KB87057 を参照してください。 脅威情報は、McAfee ePO Cloud 管理システムで使用できません。 コンピューターが自社管理の場合、管理者またはユーザーが Endpoint Security クライアントを使用してソフトウ ェアの設定を行います。 目次 Endpoint Security モジュール Endpoint Security がシステムを保護する仕組み Endpoint Security の使い方 Endpoint Security モジュール 管理者は 1 つ以上の Endpoint Security モジュールを設定し、クライアント コンピューターにインストールできま す。 • 脅威対策 - 項目をスキャンし、ウイルス、スパイウェア、不審なプログラムなどの脅威の有無を確認します。ユ ーザーが項目にアクセスしたときにスキャンを自動的に実行することも、必要に応じて実行することもできます。 • ファイアウォール - ネットワークまたはインターネット上のリソースとコンピューターとの通信を監視します。 不審な通信を遮断します。 • Web 管理 - オンラインでの閲覧または検索中に Web サイトの安全性評価を表示し、レポートを作成します。 Web 管理では、サイト管理者が安全性評価またはコンテンツに従って Web サイトへのアクセスをブロックでき ます。 • 脅威情報 - コンテキスト情報を使用した適応型のセキュリティをネットワーク環境に提供します。 Endpoint Security 脅威情報は、Endpoint Security のオプション モジュールです。 脅威情報の情報源と機能 を追加するには、Threat Intelligence Exchange サーバーを配備します。 詳細については、販売店または営業 担当者に確認してください。 脅威情報は、McAfee ePO Cloud 管理システムで使用できません。 McAfee Endpoint Security 10.2 製品ガイド 9 1 概要 Endpoint Security がシステムを保護する仕組み また、共通設定モジュールでは、インターフェースのセキュリティやロギングなど、共通の機能を設定できます。 こ のモジュールは他のモジュールと一緒に自動的にインストールされます。 Endpoint Security がシステムを保護する仕組み 通常、管理者が Endpoint Security をセットアップし、クライアント コンピューターにソフトウェアをインストー ルします。さらに、セキュリティの状況を監視し、ポリシーというセキュリティ ルールをセットアップします。 クライアント コンピューターのユーザーは、コンピューターにインストールされたクライアント ソフトウェアを使 用して Endpoint Security を使用できます。 管理者がセットアップしたポリシーによって、コンピューターのモジ ュールと機能の動作や機能が変更可能かどうかが決まります。 Endpoint Security が自社管理の場合、モジュールと機能の動作を指定できます。 管理タイプは、[バージョン情報] ページで確認できます。 コンピューターにインストールされたクライアント ソフトウェアは、定期的にインターネット上のサイトに接続し、 コンポーネントを更新します。 同時に、コンピューターでの検出結果を管理サーバーに送信します。 このデータは、 コンピューターの検出結果とセキュリティ問題に関するレポートを生成するときに使用されます。 通常、クライアント ソフトウェアはバックグランドで動作し、ユーザーの操作は必要ありません。 ただし、ユーザ ーの操作が必要になる場合もあります。 たとえば、ソフトウェアの更新やマルウェアのスキャンを手動で実行しま す。 管理者が設定したポリシーによっては、ユーザーにセキュリティ設定の変更が許可されている場合があります。 管理者は、McAfee ePO または McAfee ePO Cloud を使用してクライアント ソフトウェアの設定と管理を一元的に 行うことができます。 最新の Endpoint Security 管理ライセンスと使用権については、KB87057 を参照してください。 関連トピック: 22 ページの「保護対策に関する情報を取得する」 保護対策を最新の状態にする方法 Endpoint Security を定期的に更新することで、新たに発生する脅威からコンピューターを保護することができま す。 クライアント ソフトウェアは、ローカルまたはリモートの McAfee ePO サーバーに接続するか、インターネット上 のサイトに直接アクセスして更新を実行します。Endpoint Security は、次のものを確認します。 • 脅威の検出に使用するコンテンツ ファイルの更新。 コンテンツ ファイルには、ウイルスやスパイウェアなどの 脅威が定義されています。新しい脅威が検出されると、これらの定義が更新されます。 • パッチや HotFix など、ソフトウェア コンポーネントのアップグレード。 説明を分かりやすくするため、このヘルプでは、更新とアップグレードの両方を更新と表します。 通常、更新はバックグラウンドで自動的に実行されます。 また、更新の有無を手動で確認しなければならない場合も あります。 設定によっては、 手動で更新できます。 をクリックして Endpoint Security クライアント の保護対策を 関連トピック: 23 ページの「セキュリティ対策とソフトウェアを手動で更新する」 10 McAfee Endpoint Security 10.2 製品ガイド 概要 Endpoint Security の使い方 1 コンテンツ ファイルの機能 スキャナーは、スキャンするファイルの内容と AMCore コンテンツ ファイルに記述されている脅威情報を比較して 感染の有無を確認します。 Exploit Prevention は、独自のコンテンツ ファイルを使用してエクスプロイトを阻止し ます。 AMCore コンテンツ McAfee Labs では、確認した脅威の情報 (シグネチャ) を コンテンツ ファイルに追加しています。 コンテンツ フ ァイルには、シグネチャの他に、ウイルスの駆除方法や被害からの回復方法が記述されています。 インストールされているコンテンツ ファイルにウイルスのシグネチャが定義されていない場合、スキャン エンジンは そのウイルスを検出できず、システムが攻撃を受けやすい状態になります。 新しい脅威は毎日発生しています。 McAfee Labs では、最新の調査結果を反映したエンジンの更新とコンテンツ フ ァイルを毎日午後 7 時 (GMT/UTC) にリリースしています。 新しい脅威の状況によっては、毎日の AMCore コン テンツ ファイルのリリース時間が前後する可能性があります。 遅延や重要な通知に関するアラートを受信するに は、Support Notification Service (SNS) を購読してください。 KnowledgeBase の記事 KB67828 を参照して ください。 Endpoint Security は、現在読み込まれているコンテンツ ファイルと前の 2 つのバージョンを Program Files \Common Files\McAfee\Engine\content フォルダーに保存します。 必要であれば、前のバージョンに戻すことが できます。 新しいマルウェアが出現し、コンテンツの定期更新以外に追加の検出定義を提供する必要がある場合、McAfee Labs は Extra.DAT ファイルをリリースします。 Extra.DAT ファイルのインストール方法については、脅威対策のヘルプ を参照してください。 エクスプロイト防止のコンテンツ エクスプロイト防止のコンテンツには次のものが含まれています。 • メモリー保護のシグネチャ - 汎用的なバッファー オーバーフロー対策 (GBOP)、呼び出し側の検証、汎用特権 昇格の防止 (GPEP)、対象の API モニタリング • アプリケーション保護リスト - エクスプロイト防止が保護するプロセス。 McAfee は、月に 1 回、新しいエクスプロイト防止コンテンツ ファイルを公開しています。 脅威情報 コンテンツ 脅威情報 のコンテンツには、エンドポイント上のファイルとプロセスのレピュテーションを動的に計算するルールが 含まれています。 McAfee は、2 か月ごとに新しい 脅威情報 コンテンツ ファイルをリリースしています。 Endpoint Security 脅威情報は、Endpoint Security のオプション モジュールです。 脅威情報の情報源と機能を追 加するには、Threat Intelligence Exchange サーバーを配備します。 詳細については、販売店または営業担当者に 確認してください。 Endpoint Security の使い方 Endpoint Security では、ビジュアルなコンポーネントを使用して Endpoint Security クライアントを操作できま す。 • Windows システム トレイの McAfee アイコン - Endpoint Security クライアントを開始し、セキュリティ ス テータスを表示できます。 • 通知メッセージ - ファイアウォールの侵入検知とレピュテーション不明のファイルを警告し、ユーザーに操作を 確認します。 McAfee Endpoint Security 10.2 製品ガイド 11 1 概要 Endpoint Security の使い方 • [オンアクセス スキャン] ページ - オンアクセス スキャナーが脅威を検出すると、脅威検出リストを表示しま す。 • Endpoint Security クライアント - 現在の保護状況が表示されます。機能にアクセスできます。 管理対象システムの場合、管理者がポリシーの設定と割り当てを行い、表示するコンポーネントを指定します。 関連トピック: 12 ページの「McAfee システム トレイ アイコンからの Endpoint Security タスクの実行」 13 ページの「通知メッセージについて」 61 ページの「脅威検出を管理する」 14 ページの「Endpoint Security クライアントについて」 McAfee システム トレイ アイコンからの Endpoint Security タスクの実行 Windows システム トレイの McAfee アイコンを使用すると、Endpoint Security クライアントと基本的なタスク にアクセスできます。 設定により、McAfee アイコンが使用可能かどうかが決まります。 McAfee システム トレイ アイコンを右クリックすると、次の操作を実行できます。 セキュリティ ステータスを確認 する。 [セキュリティ状況の表示] を選択して、[McAfee セキュリティ ステータス] ペ ージを表示する。 Endpoint Security クライアント [McAfee Endpoint Security] を選択する。 を開く。 セキュリティ対策とソフトウェア [セキュリティ対策の更新] を選択します。 を手動で更新する。 ファイアウォールを無効または再 [クイック設定] メニューから [Endpoint Security ファイアウォールを無効に 度有効にする。 する] を選択します。 ファイアウォールが無効になっている場合、[Endpoint Security ファイアウォ ールを有効にする] が表示されます。 ファイアウォール期限付きグルー [クイック設定] メニューからオプションを選択します。 プを表示し、有効または無効にす • [ファイアウォール期限付きグループを有効にする] - ファイアウォール期 る。 限付きグループを有効にし、所定の期間、アクセスを制限するルールを適用 する前にインターネット アクセスを許可します。 期限付きグループが有効 になっている場合、このオプションは [ファイアウォール期限付きグループを 無効にする] になります。 このオプションを選択するたびに、グループの期限がリセットされます。 設定によっては、ファイアウォールを有効にする理由を入力するように指示 される場合があります。 • [ファイアウォール期限付きグループを表示する] - 期限付きグループの名 前と各グループの残り時間を表示します。 設定によっては、これらのオプションが使用できない場合があります。 アイコンと Endpoint Security のステータス Endpoint Security の状態によって、表示されるアイコンが変わります。 アイコンの上にマウスを移動すると、状 態を表すメッセージが表示されます。 12 McAfee Endpoint Security 10.2 製品ガイド 概要 Endpoint Security の使い方 アイコ ン 1 意味... Endpoint Security がシステムを保護しています。問題はありません。 Endpoint Security がセキュリティの問題を検出しました。たとえば、モジュールまたは技術が無効にな っています。 • ファイアウォールが無効になっています。 • 脅威対策 — エクスプロイト防止、オンアクセス スキャンまたは ScriptScan が無効です。 Endpoint Security が問題を報告しています。報告されている問題は、管理タイプによって異なります。 • 自社管理: • 1 つ以上の技術が無効になっています。 • 1 つ以上の技術が応答しません。 • 管理対象: • 1 つ以上の技術が無効になっています。管理サーバーまたは Endpoint Security クライアントから のポリシー施行が原因ではありません。 • 1 つ以上の技術が応答しません。 問題が検出されると、無効になっているモジュールまたは技術が [McAfee セキュリティ ステータス] ペ ージに表示されます。 関連トピック: 24 ページの「更新対象」 通知メッセージについて Endpoint Security は、2 種類のメッセージを使用して、保護対策の問題を通知したり、ユーザーに入力を要求しま す。 設定によっては、一部のメッセージが表示されない場合があります。 Endpoint Security で通知メッセージを表示するには、McTray.exe プロセスが実行されている必要があります。 Endpoint Security は、次の 2 種類の通知を送信します。 • アラート。McAfee アイコンから 5 秒間ポップアップ表示されます。 脅威の検出を通知します。ファイアウォール侵入イベントや、オンデマンド スキャンの一時停止または再開を通 知します。 ユーザーにアクションを要求することはありません。 • プロンプト。画面の下部にページが開き、ユーザーがオプションを選択するまで表示されます。 例: • スケジュール スキャンが開始する前に、Endpoint Security のプロンプトが表示され、スキャンを延期する かどうか確認される場合があります。 • オンアクセス スキャナーが脅威を検出すると、Endpoint Security のプロンプトが表示され、検出に対する 対応が確認される場合があります。 • 脅威情報 がレピュテーションの不明なファイルを検出すると、Endpoint Security がファイルの処理 (許可 またはブロック) をユーザーに確認する場合があります。 Windows 8 と 10 は、トースト通知 (ポップアップされるメッセージ) を使用してアラートとプロンプトの両方を通 知します。 トースト通知をクリックすると、デスクトップ モードで通知が表示されます。 McAfee Endpoint Security 10.2 製品ガイド 13 1 概要 Endpoint Security の使い方 関連トピック: 20 ページの「脅威検出プロンプトに応答する」 21 ページの「スキャン プロンプトに応答する」 21 ページの「ファイル レピュテーション プロンプトに応答する」 Endpoint Security クライアントについて Endpoint Security クライアントを使用すると、コンピューターの保護状態を確認し、機能にアクセスできます。 • [アクション] メニュー [設定] のオプションを使用すると、機能にアクセスできます。 機能を設定します。 このメニュー オプションは、次のいずれかの場合に使用できます。 • クライアント インターフェース モードが [フル アクセス] に設定されている。 • 管理者としてログオンしている。 [Extra.DAT の読み 込み] ダウンロードした Extra.DAT ファイルをインストールできます。 [AMCore コンテン ツのロールバック] AMCore コンテンツを以前のバージョンに戻します。 このメニュー オプションは、システムに AMCore コンテンツの前のバージョンが存在 し、次のいずれかの条件を満たす場合に使用できます。 • クライアント インターフェース モードが [フル アクセス] に設定されている。 • 管理者としてログオンしている。 [ヘルプ] ヘルプを表示します。 [サポート リンク] McAfee ServicePortal や Knowledge Center など、有益な情報が掲載されているペー ジへのリンクが表示されます。 [管理者としてログオ サイト管理者としてログオンします。 管理者の認証情報が必要です。 ン] このメニュー オプションは、クライアント インターフェース モード が [フル アクセ ス] に設定されていない場合に使用できます。 管理者としてログオンしていると、この オプションは [管理者としてログオフ] になります。 • [バージョン情報] Endpoint Security に関する情報が表示されます。 [終了] Endpoint Security クライアントを終了します。 ページの右上にあるボタンを使用すると、頻繁に実行するタスクにすぐにアクセスできます。 フル スキャンまたはクイック スキャンでマルウェアの有無を検査します。 このボタンは、脅威対策モジュールがインストールされている場合にのみ使用でき ます。 コンピューターでコンテンツ ファイルとソフトウェア コンポーネントを更新しま す。 設定によっては、このボタンが表示されない場合があります。 14 McAfee Endpoint Security 10.2 製品ガイド 概要 Endpoint Security の使い方 • 1 ページの左側にあるボタンを使用すると、保護対策の情報を確認できます。 [ステータス] メインの [ステータス] ページに戻ります。 [イベント ログ] このコンピューターで発生したすべての保護イベントと脅威イベントのログが表示されます。 [隔離] [隔離マネージャー] を開きます。 このボタンは、脅威対策モジュールがインストールされている場合にのみ使用できます。 • 脅威サマリー には、システムで Endpoint Security が過去 30 日間に検出した脅威の情報が表示されます。 関連トピック: 30 ページの「Extra.DAT ファイルを読み込む」 27 ページの「管理者としてログオンする」 57 ページの「マルウェアをスキャンする」 23 ページの「セキュリティ対策とソフトウェアを手動で更新する」 24 ページの「イベント ログ を表示する」 62 ページの「隔離項目を管理する」 27 ページの「Endpoint Security の管理」 15 ページの「脅威サマリーについて」 脅威サマリーについて Endpoint Security クライアント の [ステータス] ページには、過去 30 日間にシステムで検出された脅威のサマリ ーがリアルタイムで表示されます。 新しい脅威が検出されると、[ステータス] ページが更新され、下部ペインの [脅威サマリー] 領域に最新の情報が表 示されます。 脅威サマリーには次の情報が表示されます。 • 最後に脅威を排除した日付 • 上位 2 つの脅威ベクトル (カテゴリ別): [Web] Web ページまたはダウンロードに存在する脅威 [外部デバイスまたはメデ USB、1394 Firewire、eSATA、テープ、CD、DVD、ディスクなどの外部デバイス ィア] に存在する脅威 • [ネットワーク] ネットワークに存在する脅威 (ネットワーク ファイル共有を除く)。 [ローカル システム] ローカルのブート ファイル システム ドライブ (通常は C:) または外部デバイスま たはメディアとして分類されていないドライブに存在する脅威 [ファイル共有] ネットワーク ファイル共有に存在する脅威 [電子メール] 電子メールに存在する脅威 [インスタント メッセー ジ] インスタント メッセージに存在する脅威 [不明] エラー条件や他の障害で攻撃ベクトルが特定できない脅威。 脅威ベクトルごとに脅威の数が表示されます。 Endpoint Security クライアント がイベント マネージャーに接続できない場合、Endpoint Security クライアント が通信エラー メッセージを表示します。 この場合、システムを再起動して脅威サマリーを表示します。 McAfee Endpoint Security 10.2 製品ガイド 15 1 概要 Endpoint Security の使い方 設定によるクライアント アクセスの制御 コンピューターに割り当てられたクライアント インターフェース モードの設定によって、ユーザーがアクセス可能 なモジュールと機能が決まります。 共通設定の設定でクライアント インターフェース モードを変更します。 管理対象システムの場合、McAfee ePO からポリシーを変更すると、[設定] ページから行った変更が上書きされます。 クライアントのクライアント インターフェース モードのオプションは次のとおりです。 [フル アク セス] すべての機能に対するアクセスを許可します。次の操作を実行できます。 • 個々のモジュールの有効化と無効化 • [設定] ページにアクセスして Endpoint Security クライアントの設定を表示したり、変更できま す。 (デフォルト) [標準アクセ 保護状態が表示されます。ほとんどの機能にアクセスできます。 ス] • コンピューターのコンテンツ ファイルをソフトウェア コンポーネントを更新します (管理者が有 効にしている場合)。 • システムのすべての領域を徹底的に検査します (コンピューターで感染が疑われる場合に推奨)。 • システムで最も感染しやすい領域をすばやく検査します (2 分程度で完了します)。 • イベント ログにアクセスします。 • 隔離領域の項目を管理します。 インターフェース モードが [標準アクセス] に設定されている場合、管理者としてログインすると、 設定を含むすべての機能にアクセスできます。 [クライアン クライアントにアクセスするときに、パスワードの入力が要求されます。 ト インター クライアント インターフェースのロックを解除すると、すべての機能にアクセスできます。 フェースを ロック] Endpoint Security クライアントや、必要なタスクと機能にアクセスできない場合には、管理者に連絡してください。 関連トピック: 33 ページの「クライアント インターフェースに対するアクセス制御」 クライアントに対するインストール済みモジュールの影響 コンピューターにインストールされているモジュールによっては、クライアントの一部の機能が使用できない場合が あります。 次の機能は、脅威対策がインストールされている場合にのみ使用できます。 • ボタン • 16 [隔離] ボタン McAfee Endpoint Security 10.2 製品ガイド 概要 Endpoint Security の使い方 1 システムにインストールされている機能によって、表示される機能が異なります。 • イベント ログの [モジュールでフィルタリング] ドロップダウン リスト。 • [設定] ページ。 [共通設定] 任意のモジュールがインストールされている場合に表示されます。 [脅威対策] 脅威対策がインストールされている場合にのみ表示されます。 [ファイアウォール] ファイアウォールがインストールされている場合にのみ表示されます。 [Web 管理] Web 管理がインストールされている場合にのみ表示されます。 [脅威情報] 脅威情報と脅威対策がインストールされている場合にのみ表示されます。 脅威情報は、McAfee ePO Cloud 管理システムで使用できません。 クライアント インターフェース モードと管理者の設定によっては、機能の一部またはすべてが使用できない場合があ ります。 関連トピック: 16 ページの「設定によるクライアント アクセスの制御」 McAfee Endpoint Security 10.2 製品ガイド 17 1 概要 Endpoint Security の使い方 18 McAfee Endpoint Security 10.2 製品ガイド 2 Endpoint Security クライアント の使用 クライアントを標準アクセス モードで使用すると、システム スキャンや隔離項目の管理など、大半の機能を実行で きます。 目次 Endpoint Security クライアント を開く ヘルプを見る プロンプトに応答する 保護対策に関する情報を取得する セキュリティ対策とソフトウェアを手動で更新する イベント ログ を表示する Endpoint Security の管理 クライアント インターフェース リファレンス - 共通設定 Endpoint Security クライアント を開く Endpoint Security クライアント を開いて、コンピューターにインストールされている保護機能の状態を確認でき ます。 インターフェース モードが [クライアント インターフェースのロック] に設定されている場合には、管理者のパスワ ードを入力して Endpoint Security クライアント を開く必要があります。 タスク 1 2 Endpoint Security クライアント を表示するには、次のいずれかの方法を使用します。 • システム トレイ アイコンを右クリックして、[McAfee Endpoint Security] を選択します。 • [スタート] 、 [すべてのプログラム] 、 [McAfee] 、 [McAfee Endpoint Security] の順に選択します。 • Windows 8 と 10 の場合、[McAfee Endpoint Security] アプリを開始します。 1 Windows キーを押します。 2 検索領域で McAfee Endpoint Security と入力して、[McAfee Endpoint Security] アプリをダブル クリックまたはタッチします。 [管理者としてログオン] ページでプロンプトが表示されたら、管理者のパスワードを入力して [ログオン] をクリ ックします。 管理者が設定したインターフェース モードで Endpoint Security クライアント が開きます。 関連トピック: 28 ページの「クライアント インターフェースのロックを解除する」 McAfee Endpoint Security 10.2 製品ガイド 19 2 Endpoint Security クライアント の使用 ヘルプを見る ヘルプを見る クライアントでの作業中にヘルプを表示するには、[ヘルプ] メニュー オプションを使用するか、[?] アイコンをクリ ックします。 Internet Explorer で Endpoint Security のヘルプを表示するには、ブラウザーでアクティブ スクリプトを有効にす る必要があります。 タスク 1 Endpoint Security クライアントを開きます。 2 表示しているページによって操作が異なります。 • [ステータス]、[イベント ログ]、[隔離] ページ: [アクション] メニュー • [設定]、[更新]、[システムのスキャン]、[AMCore コンテンツのロールバック]、[Extra.DAT の読み込み] ペ ージ: インターフェースの [?] をクリックします。 から [ヘルプ] を選択します。 プロンプトに応答する 設定によっては、スケジュール スキャンの開始前に Endpoint Security が確認を行う場合があります。 タスク • 20 ページの「脅威検出プロンプトに応答する」 設定によっては、スキャナーが脅威を検出したときに Endpoint Security のプロンプトが表示され、処 理の続行が確認される場合があります。 • 21 ページの「スキャン プロンプトに応答する」 スケジュール スキャンが開始する前に、Endpoint Security のプロンプトが表示され、スキャンを実行 するかどうか確認される場合があります。 このプロンプトは、スキャンの延期、一時停止、再開または キャンセルを許可している場合にのみ表示されます。 • 21 ページの「ファイル レピュテーション プロンプトに応答する」 システムで特定のレピュテーションのファイルを実行すると、Endpoint Security がプロンプトを表示 し、入力が要求される場合があります。 プロンプトが表示されるのは、脅威情報が「プロンプト」に設 定されている場合だけです。 脅威検出プロンプトに応答する 設定によっては、スキャナーが脅威を検出したときに Endpoint Security のプロンプトが表示され、処理の続行が 確認される場合があります。 Windows 8 と 10 は、トースト通知 (ポップアップされるメッセージ) を使用してアラートとプロンプトの両方を通 知します。 トースト通知をクリックすると、デスクトップ モードで通知が表示されます。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 • [オンアクセス スキャン] ページで、脅威検出の管理オプションを選択します。 スキャン ページはいつでも再表示できます。 Endpoint Security サービスまたはシステムが再起動すると、オンアクセス スキャンの検出リストがクリアされ ます。 関連トピック: 61 ページの「脅威検出を管理する」 20 McAfee Endpoint Security 10.2 製品ガイド Endpoint Security クライアント の使用 プロンプトに応答する 2 スキャン プロンプトに応答する スケジュール スキャンが開始する前に、Endpoint Security のプロンプトが表示され、スキャンを実行するかどう か確認される場合があります。 このプロンプトは、スキャンの延期、一時停止、再開またはキャンセルを許可してい る場合にのみ表示されます。 オプションを選択しないと、スキャンが自動的に開始します。 管理対象システムで、コンピューターがアイドル状態のときにのみスキャンを実行するように設定している場合、ス キャンを一時停止すると Endpoint Security がダイアログを表示します。 一時停止したスキャンをアイドル状態の ときにのみ再開するように設定することもできます。 Windows 8 と 10 は、トースト通知 (ポップアップされるメッセージ) を使用してアラートとプロンプトの両方を通 知します。 トースト通知をクリックすると、デスクトップ モードで通知が表示されます。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 • プロンプトで、次のいずれかのオプションを選択します。 表示されるオプションは、スキャンの設定によって異なります。 [今すぐスキャン] スキャンをすぐに開始します。 [スキャン結果の表 示] 実行中のスキャン結果を表示します。 [スキャンを一時停 止] スキャンを一時停止します。 設定によっては、[スキャンを一時停止] をクリックして停 止したスキャンがアイドル状態にならないと再開しない場合があります。 [スキャンを 再開] をクリックします。アイドル状態になると、スキャンが再開します。 [スキャンを再開] 一時停止したスキャンを再開します。 [スキャンをキャンセ スキャンをキャンセルします。 ル] [スキャンを延期] 指定した時間、スキャンを延期します。 スケジュール スキャン オプションによって、1 時間以内にスキャンを延期できる回数が 決まります。 複数回スキャンを延期できる場合もあります。 [閉じる] スキャン ページを閉じます。 設定によっては、スキャナーが脅威を検出したときに Endpoint Security のプロンプトが表示され、処理の続行 が確認される場合があります。 ファイル レピュテーション プロンプトに応答する システムで特定のレピュテーションのファイルを実行すると、Endpoint Security がプロンプトを表示し、入力が要 求される場合があります。 プロンプトが表示されるのは、脅威情報が「プロンプト」に設定されている場合だけで す。 脅威情報は、McAfee ePO Cloud 管理システムで使用できません。 管理者が設定したレピュテーションしきい値を超えると、プロンプトが表示されます。 たとえば、レピュテーション しきい値が「不明」の場合、レピュテーションが「不明」以下のファイルを検出すると Endpoint Security がプロ ンプトを表示します。 McAfee Endpoint Security 10.2 製品ガイド 21 2 Endpoint Security クライアント の使用 保護対策に関する情報を取得する オプションを選択しないと、脅威情報は管理者が設定したデフォルトのアクションを実行します。 プロンプト、タイムアウト、デフォルトのアクションは、脅威情報の設定方法によって異なります。 Windows 8 と 10 は、トースト通知 (ポップアップされるメッセージ) を使用してアラートとプロンプトの両方を通 知します。 トースト通知をクリックすると、デスクトップ モードで通知が表示されます。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 (オプション) プロンプトで、管理者に送信するメッセージを入力します。 たとえば、ファイルを説明するメッセージを使用したり、システム上のファイルを許可またはブロックする条件 を記述します。 2 [許可] または [ブロック] をクリックします。 [許可] ファイルを許可します。 [ブロック] システム上でファイルをブロックします。 脅威情報が同じファイルで繰り返しプロンプトを表示しないようにするには、[この決定を記憶する] を選択しま す。 脅威情報は、ユーザーの選択またはデフォルトのアクションを実行し、プロンプト ウィンドウを終了します。 保護対策に関する情報を取得する 管理タイプ、保護対策のモジュール、機能、ステータス、バージョン番号、ライセンスなど、Endpoint Security に 関する情報を取得できます。 タスク 1 Endpoint Security クライアントを開きます。 2 [アクション] メニュー 3 左側にあるモジュールまたは機能の名前をクリックして、情報を表示します。 4 ブラウザーの [閉じる] ボタンをクリックして、[バージョン情報] ページを終了します。 から [バージョン情報] を選択します。 関連トピック: 22 ページの「管理タイプ」 19 ページの「Endpoint Security クライアント を開く」 管理タイプ 管理タイプは、Endpoint Security の管理方法を表します。 管理対象システムの場合、McAfee ePO からポリシーを変更すると、[設定] ページから行った変更が上書きされます。 22 McAfee Endpoint Security 10.2 製品ガイド Endpoint Security クライアント の使用 セキュリティ対策とソフトウェアを手動で更新する 2 管理タイプ 説明 McAfee ePolicy Orchestrator 管理者は、Endpoint Security (オンプレミス) を使用して McAfee ePO を管理します。 McAfee ePolicy Orchestrator Cloud 管理者は、Endpoint Security を使用して McAfee ePO Cloud を管理します。 最新の Endpoint Security 管理ライセンスと使用権については、KB87057 を参照して ください。 Endpoint Security は、Endpoint Security クライアントを使用してローカルで管理さ れます。 このモードは、管理対象外、スタンドアロンともいいます。 自己管理 セキュリティ対策とソフトウェアを手動で更新する 設定方法によっては、Endpoint Security クライアントからコンテンツ ファイルとソフトウェア コンポーネントの 更新を手動で確認し、ダウンロードすることができます。 手動更新はオンデマンド更新ともいいます。 McAfee システム トレイ アイコンから手動で更新を実行することもできます。 Endpoint Security では、更新されたコンテンツ ファイルを手動で取得し、クライアント システムにコピーできませ ん。 特定のコンテンツ バージョンに更新する必要がある場合には、 McAfee サポート に連絡してください。 タスク 1 Endpoint Security クライアントを開きます。 2 をクリックします。 このボタンがクライアントに表示されない場合には、設定で有効にできます。 Endpoint Security クライアントが更新を確認します。 • 更新をキャンセルするには、[キャンセル] をクリックします。 • システムが最新の状態になっている場合、このページには [使用可能な更新はありません] というメッセージ と前回の更新日時が表示されます。 • 更新が正常に完了すると、更新が完了した日時が表示されます。 メッセージまたはエラーは [メッセージ] 領域に表示されます。 詳細については、PackageManager_Activity.log または PackageManager_Debug.log を表示してください。 3 [閉じる] をクリックして、[更新] ページを終了します。 関連トピック: 12 ページの「McAfee システム トレイ アイコンからの Endpoint Security タスクの実行」 10 ページの「保護対策を最新の状態にする方法」 25 ページの「Endpoint Security のログ ファイル名と場所」 24 ページの「更新対象」 37 ページの「開始する更新のデフォルトの動作を設定する」 19 ページの「Endpoint Security クライアント を開く」 McAfee Endpoint Security 10.2 製品ガイド 23 2 Endpoint Security クライアント の使用 イベント ログ を表示する 更新対象 Endpoint Security は、セキュリティ コンテンツ、ソフトウェア (HotFix、パッチ)、ポリシー設定を管理タイプに 応じて別々の方法で更新します。 ボタンの表示と動作は変更可能です。 管理タイプ 更新方法 更新 McAfee ePO McAfee システム トレイ メニューの [セキュリティの更 コンテンツとソフトウェアのみで、ポリシ ー設定は除外されます。 新] オプション。 Endpoint Security クライアントの コンテンツ、ソフトウェア、ポリシー設定 (設定済みの場合)。 ボタン。 McAfee ePO Cloud McAfee システム トレイ メニューの [セキュリティの更 コンテンツ、ソフトウェア、ポリシー設 定。 新] オプション。 Endpoint Security クライアントの コンテンツ、ソフトウェア、ポリシー設定 (設定済みの場合)。 ボタン。 自社管理 McAfee システム トレイ メニューの [セキュリティの更 コンテンツとソフトウェアのみ 新] オプション。 Endpoint Security クライアントの コンテンツ、ソフトウェア、ポリシー設定 (設定済みの場合)。 ボタン。 関連トピック: 23 ページの「セキュリティ対策とソフトウェアを手動で更新する」 イベント ログ を表示する アクティビティ ログとデバッグ ログには、McAfee が保護するシステムで発生したイベントが記録されます。 イベ ント ログは、Endpoint Security クライアント から表示できます。 タスク ヘルプを利用するには、[アクション] メニュー から [ヘルプ] を選択します。 1 Endpoint Security クライアント を開きます。 2 ページの左側にある [イベント ログ] をクリックします。 このページには、過去 30 日に Endpoint Security がシステムで記録したイベントが表示されます。 Endpoint Security クライアント が イベント マネージャー に接続できない場合、通信エラー メッセージが表示 されます。 この場合、システムを再起動して イベント ログ を表示します。 3 上部ペインからイベントを選択すると、下部ペインに詳細が表示されます。 ペインの相対サイズを変更するには、ペインの境界にあるサッシュ ウィジェットをクリックしてドラッグします。 24 McAfee Endpoint Security 10.2 製品ガイド Endpoint Security クライアント の使用 イベント ログ を表示する 4 2 [イベント ログ] ページでは、イベントのソート、検索、フィルタリング、再読み込みを実行できます。 表示されるオプションは、スキャンの設定によって異なります。 操作... 手順 イベントを日付、機能、実行した テーブルの列見出しをクリックします。 アクション、重大度でソートする。 イベント ログを検索する。 [検索] フィールドに検索文字列を入力して Enter を押すか、[検索] をクリ ックします。 検索では大文字と小文字が区別されます。イベント ログのすべてのフィー ルドが検索対象になります。 条件に該当するすべての要素がイベント リス トに表示されます。 検索を取り消してすべてのイベントを表示するには、[検索] フィールドの [x] をクリックします。 重大度またはモジュールでイベン フィルターのドロップダウン リストからオプションを選択します。 トをフィルタリングする。 フィルターを削除してすべてのイベントを表示するには、ドロップダウン リ ストから [すべてのイベントを表示] を選択します。 新しいイベントが発生したら [イ ベント ログ] の画面を更新する。 ログ ファイルのあるフォルダー を開く。 5 をクリックします。 [ログ フォルダーの表示] をクリックします。 イベント ログ 内を移動します。 操作... 手順 前のページのイベントを表示する。 [前のページ] をクリックします。 次のページのイベントを表示する。 [次のページ] をクリックします。 ログの特定のページを表示する。 ページ番号を入力して Enter を押すか、[実行] をクリックします。 イベント ログ のデフォルトでは、1 ページに 20 件のイベントが表示されます。 1 ページに表示するイベント の件数を増やすには、[1 ページあたりのイベント数] ドロップダウン リストからオプションを選択します。 関連トピック: 25 ページの「Endpoint Security のログ ファイル名と場所」 19 ページの「Endpoint Security クライアント を開く」 Endpoint Security のログ ファイル名と場所 アクティビティ ログ、エラー ログとデバッグ ログには、Endpoint Security が有効になっているシステムで発生し たイベントが記録されます。 共通設定の設定でロギングを設定します。 アクティビティ ログ ファイルは、デフォルトのシステム ロケールで指定されている言語で表示されます。 アクティビティ ログとデバッグ ログは、以下のいずれかのデフォルトの場所に保存されます。保存場所はオペレー ティング システムによって異なります。 オペレーティング システム デフォルトの場所 Microsoft Windows 10 %ProgramData%\McAfee\Endpoint Security\Logs Microsoft Windows 8、8.1 McAfee Endpoint Security 10.2 製品ガイド 25 2 Endpoint Security クライアント の使用 イベント ログ を表示する オペレーティング システム デフォルトの場所 Microsoft Windows 7 Microsoft Vista C:\Documents and Settings\All Users\Application Data\McAfee\Endpoint Security\Logs それぞれのモジュール、機能または技術は、別のファイルにアクティビティ ログとデバッグ ログを記録します。 す べてのモジュールが同じ EndpointSecurityPlatform_Errors.log にエラーを記録します。 モジュールでデバッグ ロギングを有効にすると、自己保護などの共通設定モジュールのデバッグ ロギングも有効に なります。 表 2-1 ログ ファイル モジュール 機能または技術 ファイル名 EndpointSecurityPlatform_Activity.log 共通設定 EndpointSecurityPlatform_Debug.log 自己保護 SelfProtection_Activity.log SelfProtection_Debug.log 更新 PackageManager_Activity.log PackageManager_Debug.log エラー 脅威対策 EndpointSecurityPlatform_Errors.log 脅威対策でデバッグ ロギングを有 ThreatPrevention_Activity.log 効にすると、Endpoint Security ク ThreatPrevention_Debug.log ライアントのデバッグ ロギングも 有効になります。 アクセス保護 AccessProtection_Activity.log AccessProtection_Debug.log エクスプロイト防止 ExploitPrevention_Activity.log ExploitPrevention_Debug.log オンアクセス スキャン OnAccessScan_Activity.log OnAccessScan_Debug.log オンデマンド スキャン OnDemandScan_Activity.log • クイック スキャン OnDemandScan_Debug.log • フル スキャン • 右クリック スキャン Endpoint Security クライアント ファイアウォー ル MFEConsole_Debug.log Firewall_Activity.log Firewall_Debug.log FirewallEventMonitor.log 設定に従って、ブロックされたトラフィック イベントと許 可されたトラフィック イベントが記録されます。 Web 管理 WebControl_Activity.log WebControl_Debug.log 脅威情報 ThreatIntelligence_Activity.log ThreatIntelligence_Debug.log 26 McAfee Endpoint Security 10.2 製品ガイド Endpoint Security クライアント の使用 Endpoint Security の管理 2 表 2-1 ログ ファイル (続き) モジュール 機能または技術 ファイル名 アプリケーションの動的隔離 DynamicApplicationContainment_Activity.log DynamicApplicationContainment_Debug.log デフォルトでは、インストール ログ ファイルは次の場所にあります。 自社管理 %TEMP%\McAfeeLogs (Windows ユーザーの一時フォルダー) 管理対象 TEMP\McAfeeLogs (Window システムの一時フォルダー) Endpoint Security の管理 管理者は、Endpoint Security クライアント から Endpoint Security を管理できます。機能を有効または無効にし たり、コンテンツ ファイルを管理できます。また、クライアント インターフェースの動作を指定したり、共通の設 定を行うことができます。 管理対象システムの場合、McAfee ePO からポリシーを変更すると、[設定] ページから行った変更が上書きされます。 関連トピック: 27 ページの「管理者としてログオンする」 28 ページの「クライアント インターフェースのロックを解除する」 28 ページの「機能を有効または無効にする」 28 ページの「AMCore コンテンツのバージョンを変更する」 29 ページの「Extra.DAT ファイルを使用する」 31 ページの「共通設定を行う」 管理者としてログオンする Endpoint Security クライアントに管理者としてログオンして、機能を有効または無効にしたり、設定を行います。 開始する前に Endpoint Security クライアントのインターフェース モードを [標準アクセス] に設定する必要があり ます。 タスク ヘルプを利用するには、[アクション] メニュー から [ヘルプ] を選択します。 1 Endpoint Security クライアントを開きます。 2 [アクション] メニュー 3 [パスワード] フィールドに管理者のパスワードを入力して、[ログオン] をクリックします。 から [管理者としてログイン] を選択します。 Endpoint Security クライアントのすべての機能にアクセスできます。 ログオフするには、[アクション] 、 [管理者としてログオフ] の順に選択します。 クライアントのインターフェース モードが [標準アクセス] に戻ります。 McAfee Endpoint Security 10.2 製品ガイド 27 2 Endpoint Security クライアント の使用 Endpoint Security の管理 クライアント インターフェースのロックを解除する Endpoint Security クライアントのインターフェースがロックされた場合、管理者パスワードでインターフェースの ロックを解除すると、すべての設定にアクセスできます。 開始する前に Endpoint Security クライアントのインターフェース モードを [クライアント インターフェースをロ ック] に設定する必要があります。 タスク 1 Endpoint Security クライアントを開きます。 2 [管理者としてログオン] ページで、[パスワード] フィールドに管理者のパスワードを入力し、[ログオン] をクリ ックします。 Endpoint Security クライアントが開き、クライアントのすべての機能にアクセスできます。 3 ログオフしてクライアントを終了するには、[アクション] メニュー から [管理者としてログ] を選択します。 機能を有効または無効にする 管理者は、Endpoint Security クライアントから Endpoint Security の機能を有効または無効にすることができま す。 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 [ステータス] ページに、有効なモジュールが表示されますが、実際の状態が反映されているとは限りません。 機能の ステータスは、[設定] ページで確認できます。 たとえば、[ScriptScan を有効にする] の設定が正しく適用されてい ない場合、ステータスは (ステータス: 無効) になります。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 Endpoint Security クライアントを開きます。 2 メインの [ステータス] ページで、モジュール名 ([脅威対策]、[ファイアウォール] など) をクリックします。 あるいは、[アクション] メニュー 3 から [設定] を選択し、[設定] ページでモジュール名をクリックします。 モジュールまたは機能の [有効] オプションを選択または選択解除します。 脅威対策の任意の機能を有効にすると、脅威対策モジュールが有効になります。 関連トピック: 27 ページの「管理者としてログオンする」 AMCore コンテンツのバージョンを変更する Endpoint Security クライアント を使用して、システムの AMCore コンテンツのバージョンを変更します。 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 28 McAfee Endpoint Security 10.2 製品ガイド 2 Endpoint Security クライアント の使用 Endpoint Security の管理 Endpoint Security は、現在読み込まれているコンテンツ ファイルと前の 2 つのバージョンを Program Files \Common Files\McAfee\Engine\content フォルダーに保存します。 必要であれば、前のバージョンに戻すことが できます。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 Endpoint Security クライアントを開きます。 2 [アクション] メニューで、 3 読み込むバージョンをドロップダウンから選択します。 4 [適用] をクリックします。 [AMCore コンテンツのロールバック] を選択します。 読み込まれた AMCore コンテンツ ファイルの検出定義はすぐに有効になります。 関連トピック: 11 ページの「コンテンツ ファイルの機能」 27 ページの「管理者としてログオンする」 Extra.DAT ファイルを使用する Extra.DAT ファイルをインストールすると、次の AMCore コンテンツ更新がリリースされるまで、マルウェアの大 量発生からシステムを保護できます。 タスク • 30 ページの「Extra.DAT ファイルをダウンロードする」 Extra.DAT ファイルをダウンロードするには、McAfee Labs から提供されたダウンロード リンクをク リックします。 • 30 ページの「Extra.DAT ファイルを読み込む」 ダウンロードした Extra.DAT ファイルをインストールするには、Endpoint Security クライアント を 使用します。 関連トピック: 29 ページの「Extra.DAT ファイルについて」 Extra.DAT ファイルについて 新しいマルウェアが出現し、追加の検出定義が必要になると、McAfee Labs が Extra.DAT ファイルをリリースしま す。 Extra.DAT ファイルには、脅威対策 が新しいマルウェアを処理するために必要な情報が含まれています。 特定の脅威に対する Extra.DAT ファイルは、McAfee Labs Extra.DAT リクエスト ページからダウンロードできま す。 脅威対策 では、一度に 1 つの Extra.DAT ファイルしか使用できません。 Extra.DAT ファイルには有効期限が設定されています。 Extra.DAT ファイルが読み込まれると、この有効期限とシ ステムにインストールされている AMCore コンテンツの作成日が比較されます。 AMCore コンテンツの作成日が Extra.DAT の有効期限よりも新しい場合、Extra.DAT は期限切れと見なされ、システムに読み込まれません。 次の 更新で Extra.DAT がシステムから削除されます。 AMCore コンテンツの次の更新に Extra.DAT のシグネチャが含まれている場合、Extra.DAT が削除されます。 Endpoint Security は、Extra.DAT ファイルを c:\Program Files\Common Files\McAfee\Engine\content \avengine\extradat フォルダーに保存します。 McAfee Endpoint Security 10.2 製品ガイド 29 2 Endpoint Security クライアント の使用 Endpoint Security の管理 Extra.DAT ファイルをダウンロードする Extra.DAT ファイルをダウンロードするには、McAfee Labs から提供されたダウンロード リンクをクリックしま す。 タスク 1 ダウンロード リンクをクリックし、Extra.DAT ファイルの保存場所を指定して [保存] をクリックします。 2 必要であれば、EXTRA.ZIP ファイルを解凍します。 3 Endpoint Security クライアント で Extra.DAT ファイルを読み込みます。 Extra.DAT ファイルを読み込む ダウンロードした Extra.DAT ファイルをインストールするには、Endpoint Security クライアント を使用します。 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 Endpoint Security クライアントを開きます。 2 [アクション] メニュー 3 [参照] をクリックして、Extra.DAT ファイルをダウンロードした場所に移動し、[開く] をクリックします。 4 [適用] をクリックします。 から [Extra.DAT の読み込み] を選択します。 Extra.DAT の新しい検出定義がすぐに有効になります。 関連トピック: 27 ページの「管理者としてログオンする」 30 McAfee Endpoint Security 10.2 製品ガイド Endpoint Security クライアント の使用 Endpoint Security の管理 2 共通設定を行う Endpoint Security モジュールで、共通設定 のすべてのモジュールと機能に適用される設定を行います。 ここでは、 Endpoint Security クライアント インターフェースのセキュリティ、言語、ロギング、McAfee GTI のプロキシ サ ーバー、更新などを設定します。 タスク • 31 ページの「Endpoint Security リソースを保護する」 マルウェアが最初に行う攻撃の一つは、システムにインストールされているセキュリティ ソフトウェア の無効化です。 Endpoint Security のサービスとファイルが停止されたり、変更されないように、共通 設定で Endpoint Security の自己保護を設定します。 • 32 ページの「ロギングを設定する」 共通設定 の設定で Endpoint Security ロギングを設定する • 32 ページの「証明書による認証を許可する」 証明書を使用すると、McAfee プロセス内でのコードの実行をベンダーに許可できます。 • 33 ページの「クライアント インターフェースに対するアクセス制御」 Endpoint Security クライアントへのアクセスを制御するには、共通設定の設定でパスワードを設定し ます。 • 34 ページの「プロキシ サーバーを設定する McAfee GTI」 共通設定 の設定で、McAfee GTI のレピュテーションを取得するプロキシ サーバーのオプションを指定 します。 Endpoint Security リソースを保護する マルウェアが最初に行う攻撃の一つは、システムにインストールされているセキュリティ ソフトウェアの無効化で す。 Endpoint Security のサービスとファイルが停止されたり、変更されないように、共通設定で Endpoint Security の自己保護を設定します。 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 Endpoint Security 自己保護を無効にすると、システムが攻撃を受けやすくなります。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 Endpoint Security クライアントを開きます。 2 [アクション] メニュー 3 [詳細を表示] をクリックします。 4 [自己保護] で、[自己保護] が有効であることを確認します。 5 以下の Endpoint Security リソースにアクションを指定します。 6 から [設定] を選択します。 • [ファイルとフォルダー] - ユーザーが McAfee データベース、バイナリ、バイナリ、安全検索ファイル、設 定ファイルを変更できないようにします。 • [レジストリ] - ユーザーが McAfee レジストリの設定、COM コンポーネント、レジストリ値を使用した削 除を変更できないようにします。 • [プロセス] - McAfee プロセスの停止を防ぎます。 [適用] をクリックして変更を保存するか、[キャンセル] をクリックします。 McAfee Endpoint Security 10.2 製品ガイド 31 2 Endpoint Security クライアント の使用 Endpoint Security の管理 関連トピック: 27 ページの「管理者としてログオンする」 ロギングを設定する 共通設定 の設定で Endpoint Security ロギングを設定する 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 Endpoint Security クライアントを開きます。 2 [アクション] メニュー 3 [詳細を表示] をクリックします。 4 このページで [クライアント ロギング] を設定します。 5 [適用] をクリックして変更を保存するか、[キャンセル] をクリックします。 から [設定] を選択します。 関連トピック: 25 ページの「Endpoint Security のログ ファイル名と場所」 27 ページの「管理者としてログオンする」 証明書による認証を許可する 証明書を使用すると、McAfee プロセス内でのコードの実行をベンダーに許可できます。 プロセスが検出されると、証明書テーブルの情報がベンダー、サブジェクト、関連する公開鍵のハッシュで更新され ます。 この設定を使用すると、互換性の問題が発生し、セキュリティ レベルが低下する可能性があります。 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 タスク 1 Endpoint Security クライアントを開きます。 2 [アクション] メニュー 3 [詳細を表示] をクリックします。 4 [証明書] セクションで、[許可] を選択します。 5 [適用] をクリックして変更を保存するか、[キャンセル] をクリックします。 から [設定] を選択します。 証明書の情報がテーブルに表示されます。 32 McAfee Endpoint Security 10.2 製品ガイド Endpoint Security クライアント の使用 Endpoint Security の管理 2 クライアント インターフェースに対するアクセス制御 Endpoint Security クライアントへのアクセスを制御するには、共通設定の設定でパスワードを設定します。 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 [クライアント インターフェース モード]には、デフォルトで [フルアクセス] が設定されています。ユーザーはセキュ リティ設定を変更できますが、変更すると、システムはマルウェアの攻撃から保護されない可能性があります。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 Endpoint Security クライアントを開きます。 2 [アクション] メニュー 3 このページで [クライアント インターフェース モード] を設定します。 から [設定] を選択します。 ベストプラクティス: セキュリティを強化するため、[クライアント インターフェース モード] を [標準] または [クライアント インターフェースをロック] に変更してください。 この両方のオプションを使用すると、Endpoint Security クライアントの設定にアクセスするときにパスワードが必要になります。 4 [適用] をクリックして変更を保存するか、[キャンセル] をクリックします。 関連トピック: 33 ページの「管理者パスワードを設定した場合の影響」 27 ページの「管理者としてログオンする」 管理者パスワードを設定した場合の影響 インターフェース モードを標準アクセスに設定した場合、管理者パスワードも設定する必要があります。 Endpoint Security クライアント で管理者パスワードを設定すると、以下のユーザーに影響を及ぼします。 管理者以外 管理者以外のユーザーは次の操作を実行できます。 (管理者権限のない ユーザー) • 一部の設定パラメーターの表示 • スキャンの実行 • 更新を確認します (有効な場合)。 • 隔離領域を表示します。 • イベント ログを表示します。 • [設定] ページへのアクセス。ファイアウォール ルール (有効な場合) の表示と変更を実行 できます。 管理者以外のユーザーは次の操作を実行できません。 • 設定パラメーターの変更 • 設定を表示、作成、削除または変更します。 ただし、ファイアウォール ルール (有効な場合) の表示と変更は可能です。 管理者 (管理者権限のある ユーザー) McAfee Endpoint Security 10.2 保護された領域にアクセスしたり、設定を変更する場合にパスワードの入力が必要になりま す。 製品ガイド 33 2 Endpoint Security クライアント の使用 Endpoint Security の管理 プロキシ サーバーを設定する McAfee GTI 共通設定 の設定で、McAfee GTI のレピュテーションを取得するプロキシ サーバーのオプションを指定します。 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 Endpoint Security クライアントを開きます。 2 [アクション] メニュー 3 [詳細を表示] をクリックします。 4 このページで、[McAfee GTI のプロキシ サーバー] を設定します。 5 [適用] をクリックして変更を保存するか、[キャンセル] をクリックします。 から [設定] を選択します。 関連トピック: 34 ページの「McAfee GTI の機能」 27 ページの「管理者としてログオンする」 McAfee GTI の機能 オンアクセス スキャナーまたはオンデマンド スキャナーで McAfee GTI を有効にすると、スキャナーは不審なファ イルにヒューリスティック スキャンを実行します。 McAfee GTI サーバーには、Web 管理で使用するサイトの評価 とレポートが保存されます。 ダウンロード ファイルをスキャンするように Web 管理を設定すると、スキャナーは McAfee GTI から提供されるファイル レピュテーションを使用して不審なファイルを検出します。 スキャナーは、McAfee Labs がホスティングしている中央のデータベース サーバーにサンプルのフィンガープリン トまたはハッシュを送信し、マルウェアかどうかを判断します。 ハッシュを送信するので、McAfee Labs が次のコ ンテンツ ファイルで更新を公開する前に脅威を検出できる場合があります。 サンプルがマルウェアかどうか判断するときに McAfee GTI が使用する感度レベルを設定できます。 感度レベルを 高くすると、検出されるマルウェアの数は多くなります。 ただし、検出数が増えると、誤検知も増える可能性があり ます。 • 脅威対策の場合、McAfee GTI のデフォルトの感度レベルは中に設定されています。 脅威対策の設定でスキャナ ーごとに感度レベルを設定します。 • Web 管理の場合、McAfee GTI のデフォルトの感度レベルは非常に高に設定されています。 Web 管理の [オプ ション] 設定で、ダウンロード ファイルのスキャンの感度レベルを設定します。 共通設定の設定で McAfee GTI レピュテーション情報を取得するときにプロキシ サーバーに接続するように Endpoint Security を設定できます。 34 McAfee Endpoint Security 10.2 製品ガイド Endpoint Security クライアント の使用 Endpoint Security の管理 2 更新の動作を設定する 共通設定の設定で、Endpoint Security クライアント から開始する更新の動作を指定します。 タスク • 35 ページの「から更新のソール サイトを設定する」 共通設定の設定で Endpoint Security クライアントがセキュリティ ファイルの更新を取得するサイト を設定できます。 • 37 ページの「開始する更新のデフォルトの動作を設定する」 共通設定の設定で、Endpoint Security クライアントから開始する更新のデフォルトの動作を指定でき ます。 • 38 ページの「更新タスクとスケジュールを設定して実行する」 カスタム更新タスクを設定できます。また、[デフォルトのクライアント更新] タスクのスケジュールを 変更することもできます。これらの操作は、共通設定の Endpoint Security クライアントから行いま す。 • 39 ページの「ミラーリング タスクとスケジュールを設定して実行する」 Endpoint Security クライアント共通設定設定の で、ミラーリング タスクを変更したり、スケジュー ルを設定できます。 から更新のソール サイトを設定する 共通設定の設定で Endpoint Security クライアントがセキュリティ ファイルの更新を取得するサイトを設定できま す。 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 Endpoint Security クライアントを開きます。 2 [アクション] メニュー 3 [詳細を表示] をクリックします。 4 [共通設定] から [オプション] をクリックします。 5 このページで、[更新のソース サイト] を設定します。 から [設定] を選択します。 デフォルトのバックアップ ソース サイト ([McAfeeHttp]) と管理サーバー (管理対象システムの場合) を有効 または無効にできますが、これらを変更したり、削除することはできません。 サイトの順序によって、Endpoint Security が更新サイトを検索する順番が決まります。 McAfee Endpoint Security 10.2 製品ガイド 35 2 Endpoint Security クライアント の使用 Endpoint Security の管理 操作... 手順 リストにサイトを追加する。 1 [追加] をクリックします。 2 サイトの設定を指定して、[OK] をクリックします。 リストの先頭にサイトが表示されます。 既存のサイトを変更する。 1 サイト名をダブルクリックします。 2 設定を変更して、[OK] をクリックします。 サイトを削除する。 サイトを選択して、[削除] をクリックします。 ソース サイト リストからサイトを インポートする。 1 [インポート] をクリックします。 2 インポートするファイルを選択して、[OK] をクリックします。 サイト リスト ファイルが既存のソースサイト リストと置換されます。 ソース サイト リストを SiteList.xml ファイルにエクスポー トする。 1 [すべてエクスポート] をクリックします。 2 ソースサイト リストの保存先を選択して、[OK] をクリックします。 リスト内のサイトの順番を変更する。 要素を移動するには、次の手順に従います。 1 移動する要素を選択します。 移動可能な要素の左側にグリップ が表示されます。 2 ドラッグ アンド ドロップで要素を新し位置に移動します。 要素をドロップできる位置に青線が表示されます。 6 [適用] をクリックして変更を保存するか、[キャンセル] をクリックします。 関連トピック: 36 ページの「リポジトリ リストの内容」 37 ページの「デフォルトのクライアント更新 の機能」 27 ページの「管理者としてログオンする」 38 ページの「更新タスクとスケジュールを設定して実行する」 リポジトリ リストの内容 リポジトリ リストには、McAfee Agent が McAfee 製品 (エンジンと DAT ファイルを含む) の更新で使用するリポ ジトリの情報が表示されます。 リポジトリ リストには以下の情報が含まれます。 • リポジトリの情報および場所 • リポジトリの優先順位 • プロキシ サーバーの設定 (必要な場合) • 各リポジトリへのアクセスに必要な暗号化された資格情報 McAfee Agent 製品更新 クライアント タスクを実行すると、リポジトリ リストの中で最初に使用可能なリポジトリ (更新サイト) に接続します。 このリポジトリが使用不能な場合、リスト内の次のサイトに接続を試みます。この処 理は、接続に成功するかリストの最後に達するまで繰り返し実行されます。 ネットワークでプロキシ サーバーを使用している場合、使用するプロキシ設定、プロキシ サーバーのアドレス、お よび認証を使用するかどうかを指定できます。 プロキシ情報は、リポジトリ リストに保存されています。 ここで構 成するプロキシ設定は、リポジトリ リストにあるすべてのリポジトリに適用されます。 36 McAfee Endpoint Security 10.2 製品ガイド Endpoint Security クライアント の使用 Endpoint Security の管理 2 リポジトリ リストの場所はオペレーティング システムによって異なります。 オペレーティング システム リポジトリ リストの場所 Microsoft Windows 8 C:\ProgramData\McAfee\Common Framework\SiteList.xml Microsoft Windows 7 以前のバージョン C:\Documents and Settings\All Users\Application Data\McAfee\Common Framework\SiteList.xml 開始する更新のデフォルトの動作を設定する 共通設定の設定で、Endpoint Security クライアントから開始する更新のデフォルトの動作を指定できます。 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 次の設定を使用します。 • クライアントの • ボタンを表示または非表示にする。 ユーザーがボタンをクリックした場合またはデフォルトのクライアント更新タスクの実行時に更新する対象を指 定する。 デフォルトでは、デフォルトのクライアント更新タスクは毎日午前 1 時に実行されます。 さらに、午後 11 時 59 分まで 4 時間ごとに実行されます。 自社管理システムの場合、デフォルトのクライアント更新タスクを実行すると、すべてのコンテンツとソフトウェア が更新されます。 管理対象システムの場合、このタスクで更新されるのはコンテンツだけです。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 Endpoint Security クライアントを開きます。 2 [アクション] メニュー 3 [詳細を表示] をクリックします。 4 このページで [デフォルトのクライアント更新] を設定します。 5 [適用] をクリックして変更を保存するか、[キャンセル] をクリックします。 から [設定] を選択します。 関連トピック: 27 ページの「管理者としてログオンする」 35 ページの「から更新のソール サイトを設定する」 38 ページの「更新タスクとスケジュールを設定して実行する」 デフォルトのクライアント更新 の機能 デフォルトのクライアント更新 タスクは、最新の保護対策を Endpoint Security クライアントにダウンロードしま す。 デフォルトでは、Endpoint Security のデフォルトのクライアント更新タスクは毎日午前 1 時に実行されます。 さ らに、午後 11 時 59 分まで 4 時間ごとに実行されます。 McAfee Endpoint Security 10.2 製品ガイド 37 2 Endpoint Security クライアント の使用 Endpoint Security の管理 デフォルトのクライアント更新 タスク: 1 リスト内で最初に見つかった有効なソース サイトに接続します。 このサイトが使用できない場合、次のサイトに接続します。この操作は、接続に成功するか、リストの最後に達 するまで実行されます。 2 暗号化された CATALOG.Z ファイルをリポジトリからダウンロードします。 このファイルには、更新の実行に必要な情報 (使用可能なファイルや更新など) が含まれています。 3 ファイル内のソフトウェア バージョンとコンピューターのバージョンを比較し、使用可能な新しいソフトウェア 更新をダウンロードします。 デフォルトのクライアント更新 タスクが途中で中断した場合: 更新元... 割り込みが発生した場合... HTTP、UNC またはローカル サイト 次に更新タスクが開始すると、中断した場所から更新が再開し ます。 FTP ファイル (単一ファイルをダウンロードする 場合) 中断した場合には再開しません。 FTP ファイル (複数のファイルをダウンロードす る場合) 中断したときにダウンロード中のファイルの前から再開しま す。 関連トピック: 35 ページの「から更新のソール サイトを設定する」 38 ページの「更新タスクとスケジュールを設定して実行する」 36 ページの「リポジトリ リストの内容」 更新タスクとスケジュールを設定して実行する カスタム更新タスクを設定できます。また、[デフォルトのクライアント更新] タスクのスケジュールを変更すること もできます。これらの操作は、共通設定の Endpoint Security クライアントから行います。 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 クライアントで次の設定を使用して、[デフォルトのクライアント更新] タスクを実行する時間を設定します。 開始 するクライアント更新のデフォルトの動作を Endpoint Security クライアントから設定することもできます。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 38 1 Endpoint Security クライアントを開きます。 2 [アクション] メニュー 3 [詳細を表示] をクリックします。 4 [共通設定] から [タスク] をクリックします。 5 このページで更新タスクを設定します。 McAfee Endpoint Security 10.2 から [設定] を選択します。 製品ガイド Endpoint Security クライアント の使用 Endpoint Security の管理 操作... 手順 カスタム更新タスク を作成する。 1 [追加] をクリックします。 2 2 名前を入力して、[タスクの種類の選択] ドロップダウン リストから [更新] を選択し ます。 3 設定を行って [OK] をクリックし、タスクを保存します。 更新タスクを変更す る。 • タスクをダブルクリックして変更を行い、[OK] をクリックしてタスクを保存します。 カスタム更新タスク を削除する。 • タスクを選択して、[削除] をクリックします。 更新タスクのコピー を作成する。 1 タスクを選択して、[複製] をクリックします。 2 名前を入力して設定を行い、[OK] をクリックしてタスクを保存します。 [デフォルトのクライ 1 [デフォルトのクライアント更新]をダブルクリックします。 アント更新]タスクの スケジュールを変更 2 [スケジュール] タブをクリックしてスケジュールを変更し、[OK] をクリックしてタ する。 スクを保存します。 開始するクライアント更新のデフォルトの動作を Endpoint Security クライアントか ら設定することもできます。 更新タスクを実行す る。 • タスクを選択して、[今すぐ実行] をクリックします。 タスクがすでに実行中の場合 (一時停止と遅延も含む)、ボタンが [表示] に変わります。 変更を適用する前にタスクを実行すると、Endpoint Security クライアントがプロンプ トを表示し、設定を保存するかどうか確認します。 6 [適用] をクリックして変更を保存するか、[キャンセル] をクリックします。 関連トピック: 37 ページの「デフォルトのクライアント更新 の機能」 35 ページの「から更新のソール サイトを設定する」 37 ページの「開始する更新のデフォルトの動作を設定する」 ミラーリング タスクとスケジュールを設定して実行する Endpoint Security クライアント共通設定設定の で、ミラーリング タスクを変更したり、スケジュールを設定でき ます。 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 Endpoint Security クライアントを開きます。 2 [アクション] メニュー 3 [詳細を表示] をクリックします。 4 [共通設定] から [タスク] をクリックします。 McAfee Endpoint Security 10.2 から [設定] を選択します。 製品ガイド 39 2 Endpoint Security クライアント の使用 クライアント インターフェース リファレンス - 共通設定 5 このページでミラーリング タスクを設定します。 操作... 手順 ミラーリング タスクを 作成する。 1 [追加] をクリックします。 2 名前を入力して、[タスクの種類の選択] ドロップダウン リストから [ミラーリン グ] を選択します。 3 設定を行い、[OK] をクリックします。 ミラーリング タスクを 変更する。 • ミラーリング タスクをダブルクリックして変更を行い、[OK] をクリックします。 ミラーリング タスクを 削除する。 • タスクを選択して、[削除] をクリックします。 ミラーリング タスクの コピーを作成する。 1 タスクを選択して、[複製] をクリックします。 ミラーリング タスクの スケジュールを設定す る。 1 タスクをダブルクリックします。 ミラーリング タスクを 実行する。 • タスクを選択して、[今すぐ実行] をクリックします。 2 名前を入力して設定を行い、[OK] をクリックします。 2 [スケジュール] タブをクリックしてスケジュールを変更し、[OK] をクリックして タスクを保存します。 タスクがすでに実行中の場合 (一時停止と遅延も含む)、ボタンが [表示] に変わりま す。 変更を適用する前にタスクを実行すると、Endpoint Security クライアントがプロン プトを表示し、設定を保存するかどうか確認します。 6 [適用] をクリックして変更を保存するか、[キャンセル] をクリックします。 ミラーリング タスクの機能 ミラーリング タスクを実行すると、リポジトリ リストに定義されたダウンロード リポジトリの中で最初にアクセス 可能なサイトから、ネットワーク上のミラーリング サイトに更新ファイルが複製されます。 通常、このタスクを使用するのは、McAfee ダウンロード サイトのコンテンツをローカル サーバーにミラーリング する場合です。 更新ファイルが格納されている McAfee サイトを複製すると、ネットワーク上のコンピューターはこのミラーリング サイトからファイルをダウンロードできます。 これにより、インターネットにアクセス可能かどうかに関わらず、ネ ットワーク上のコンピューターを更新できます。 複製サイトを使用すると、McAfee のインターネット サイトより も近くにあるサーバーに接続するので、アクセス時間とダウンロード時間を短縮できます。 Endpoint Security は、自身の更新にディレクトリを使用します。 サイトをミラーリングする場合は、ディレクト リ構造全体を複製してください。 クライアント インターフェース リファレンス - 共通設定 インターフェース リファレンスのヘルプ トピックでは、クライアント インターフェースに表示されるページのコン テキスト ヘルプを提供します。 目次 [イベント ログ] ページ 共通設定 - オプション 共通設定 - タスク 40 McAfee Endpoint Security 10.2 製品ガイド Endpoint Security クライアント の使用 クライアント インターフェース リファレンス - 共通設定 2 [イベント ログ] ページ イベント ログのアクティビティとデバッグ イベントを表示します。 表 2-2 オプション オプション 定義 [イベント数] 過去 30 日に Endpoint Security がシステムで記録したイベントの数を表します。 新しいイベントが発生したらイベント ログの表示を更新します。 [ログ フォルダーの ログ ファイルのあるフォルダーを Windows エクスプローラーで開きます。 表示] [すべてのイベント を表示] 任意のフィルターを削除します。 [重大度でフィルタ リング] 重大度でイベントをフィルタリングします。 [モジュールでフィ ルタリング] [アラート] 重大度 1 のイベントのみを表示します。 [重大以上] 重大度 1 と 2 のイベントのみを表示します。 [警告以上] 重大度 1 ~ 3 のイベントのみを表示します。 [注意以上] 重大度 1 ~ 4 のイベントを表示します。 モジュールでイベントをフィルタリングします。 [共通設定] 共通設定のイベントだけを表示します。 [脅威対策] 脅威対策のイベントだけを表示します。 [ファイアウォール] ファイアウォールのイベントだけを表示します。 [Web 管理] Web 管理のイベントだけを表示します。 [脅威情報] 脅威情報のイベントだけを表示します。 イベント ログの表示時にシステムにインストールされている機能によって、ドロップダウン リストに表示される機能が異なります。 [検索] イベント ログ で文字列を検索します。 [1 ページあたりの イベント数] ページに表示するイベント数を選択します。 デフォルトは、1 ページあたり 20 件です。 [前のページ] イベント ログの前のページを表示します。 [次のページ] イベント ログの次のページを表示します。 [ページ] x [/] x イベント ログで移動するページを選択します。 [ページ] フィールドに数字を入力して Enter を押すか、[実行] をクリックしてページに移 動します。 列見出し イベント リストのソート条件... [日付] イベントの発生日 [機能] イベントを記録した機能 McAfee Endpoint Security 10.2 製品ガイド 41 2 Endpoint Security クライアント の使用 クライアント インターフェース リファレンス - 共通設定 列見出し イベント リストのソート条件... [実行された アクション] イベントに対して Endpoint Security が実行したアクション アクションは設定で指定します。 [許可] ファイル アクセスが許可されています。 [アクセス拒否] ファイル アクセスが拒否されています。 [削除] ファイルが自動的に削除されています。 [続行] [重大度] [駆除] ファイルから脅威が自動的に駆除されています。 [移動] ファイルが隔離フォルダーに移動しました。 [ブロック] ファイルに対するアクセスがブロックされました。 [ブロックの可能 性] アクセス保護ルールが施行されている場合、ファイルに対するアクセスがブ ロックされます。 イベントの重大度 [重大] 1 [メジャー] 2 [マイナー] 3 [警告] 4 [情報] 5 関連トピック: 24 ページの「イベント ログ を表示する」 共通設定 - オプション Endpoint Security クライアントのインターフェース、自己保護、アクティビティ ログとデバッグ ログ、プロキシ サーバーを設定します。 表 2-3 オプション セクション オプション [クライアント イ ンターフェース モード] [フル アクセス] すべての機能に対するアクセスを許可します。 (デフォルト) [標準アクセス] 定義 保護状態を表示し、更新やスキャンの実行など、ほとんどの機能に対するア クセスを許可します。 モードに [標準アクセス] を選択した場合、Endpoint Security クライアン トの [設定] ページで設定を表示または変更するときにパスワードが必要に なります。 [クライアント インターフェー スをロック] 42 McAfee Endpoint Security 10.2 Endpoint Security クライアントにアクセスするときに、パスワードの入力 が要求されます。 製品ガイド Endpoint Security クライアント の使用 クライアント インターフェース リファレンス - 共通設定 2 表 2-3 オプション (続き) セクション オプション 定義 [管理者パスワー [標準アクセス] と [クライアント インターフェースをロックする] の場合、 ドの設定] Endpoint Security クライアント インターフェースのすべての機能にアク セスする管理者のパスワードを指定します。 • [パスワード] - パスワードを指定します。 • [パスワードの確認] - 確認のため、同じパスワードを再度入力します。 [アンインストー ル] [クライアントを Endpoint Security クライアントを削除するときにパスワードを要求しま 削除するときに、 す。 パスワードを要 デフォルトのパスワードは、mcafee です。 求する] デフォルトは無効です。 • [パスワード] - パスワードを指定します。 • [パスワードの確認] - 確認のため、同じパスワードを再度入力します。 表 2-4 詳細オプション セクション オプション [クライアン [自動] ト インターフ ェースの言 言語 語] 定義 クライアント システムの言語に従って、Endpoint Security クライアント イン ターフェースの言語を自動的に選択します。 Endpoint Security クライアント インターフェースのテキストに使用する言語 を指定します。 管理対象システムの場合、Endpoint Security クライアントで言語を変更する と、管理サーバーで行ったポリシーの変更は無効になります。 言語の変更は、 Endpoint Security クライアントの再起動後に適用されます。 クライアントの言語は、ログ ファイルに影響を及ぼしません。 ログ ファイル は、デフォルトのシステム ロケールで指定されている言語で表示されます。 [自己保護] [自己保護を有効 にする] 不正な操作から Endpoint Security システム リソースを保護します。 [アクション] 不正なアクティビティが発生したときに実行するアクションを指定します。 • [ブロックして報告] - アクティビティをブロックして McAfee ePO に報告 します。 (デフォルト) • [ブロックのみ] - アクティビティをブロックしますが、McAfee ePO に報告 しません。 • [報告のみ] - McAfee ePO に報告しますが、アクティビティをブロックしま せん。 [ファイルとフォ ルダー] McAfee システム ファイルとフォルダーの変更または削除を防ぎます。 [レジストリ] McAfee レジストリ キーと値の変更または削除を防ぎます。 [プロセス] McAfee プロセスの停止を防ぎます。 McAfee Endpoint Security 10.2 製品ガイド 43 2 Endpoint Security クライアント の使用 クライアント インターフェース リファレンス - 共通設定 表 2-4 詳細オプション (続き) セクション オプション 定義 [次のプロセスを 除外] 指定したプロセスへのアクセスが許可されます。 ワイルドカードを使用できます。 [追加] - プロセスを除外リストに追加します。 [追加] をクリックして、正確 なリソース名 (avtask.exe など) を入力します。 項目をダブルクリックします。 — 選択した項目を変更します。 [削除] - 選択した項目を削除します。リソースを選択して、[削除] をクリック します。 [証明書] 証明書オプションを指定します。 [許可] McAfee プロセス内でのコードの実行をベンダーに許可します。 この設定を使用すると、互換性の問題が発生し、セキュリティ レベルが低下す る可能性があります。 [ベンダー] [サブジェクト] 証明書に署名して発行している機関の共通名 (CN) を指定します。 証明書に関連する組織の署名者の識別名 (SDN) を指定します。 次の情報を指定できます。 • [CN] - 共通名 • [OU] - 組織単位 • [O] - 組織 • [L] - 地域 • [ST] - 州/都道府県 • [C] - 国コード [ハッシュ] [クライアン ト ロギング] 関連するパブリック キーのハッシュを指定します。 [ログ ファイルの ログ ファイルの場所を指定します。 場所] デフォルトの場所は次のとおりです。 <SYSTEM_DRIVE>:\ProgramData\McAfee\Endpoint\Logs 場所を入力するか、[参照] をクリックして場所を選択します。 [アクティビ ティ ロギン グ] [アクティビティ ロギングを有効 にする] すべての Endpoint Security アクティビティのロギングを有効にします。 [各アクティビテ アクティビティ ログ ファイルの最大サイズ (1 MB から 999 MB) を指定しま ィ ログ ファイル す。 デフォルトは 10 MB です。 のサイズ制限 ログ ファイルのサイズがこの制限を超えると、ファイル内で古い順に 25% の (MB)] 項目が削除され、新しいデータが記録されます。 ログ ファイルのサイズを制限しない場合には、このオプションを無効にします。 [デバッグ ロ ギング] モジュールでデバッグ ロギングを有効にすると、自己保護などの共通設定モジ ュールのデバッグ ロギングも有効になります。 ベストプラクティス: テスト段階とパイロット段階の最初の 24 時間は、デバッ グ ロギングを有効にしてください。 この間に問題が発生しなければ、クライア ント システムのパフォーマンス低下を避けるため、デバッグ ロギングを無効に してください。 44 McAfee Endpoint Security 10.2 製品ガイド Endpoint Security クライアント の使用 クライアント インターフェース リファレンス - 共通設定 2 表 2-4 詳細オプション (続き) セクション オプション 定義 [脅威対策で有効 にする] 脅威対策と個々の保護技術で冗長ロギングを有効にします。 [アクセス保護で有効にする] - AccessProtection_Debug.log に記録します。 [エクスプロイト防止で有効にする] - ExploitPrevention_Debug.log に記録 します。 [オンアクセス スキャンで有効にする] - OnAccessScan_Debug.log に記録 します。 [オンデマンド スキャンで有効にする] - OnDemandScan_Debug.log に記 録します。 脅威対策でデバッグ ロギングを有効にすると、Endpoint Security クライアン トのデバッグ ロギングも有効になります。 [ファイアウォー ルで有効にする] ファイアウォール アクティビティの冗長ロギングを有効にします。 [Web 管理で有 効にする] Web 管理アクティビティの冗長ロギングを有効にします。 [脅威情報で有効 にする] 脅威情報 アクティビティの冗長ロギングを有効にします。 [各デバッグ ログ デバッグ ログ ファイルの最大サイズ (1 MB から 999 MB) を指定します。 ファイルのサイ デフォルトは 50 MB です。 ズ制限 (MB)] ログ ファイルのサイズがこの制限を超えると、ファイル内で古い順に 25% の 項目が削除され、新しいデータが記録されます。 ログ ファイルのサイズを制限しない場合には、このオプションを無効にします。 [イベント ロ ギング] [McAfee ePO に Endpoint Security クライアントの [イベント ログ] に記録されたすべてのイ イベントを送信 ベントを McAfee ePO に送信します。 する] このオプションは、McAfee ePO 管理対象システムにのみ使用できます。 [Windows アプ リケーション ロ グにイベントを 記録する] Endpoint Security クライアントの [イベント ログ] に記録されたイベントを すべて Windows アプリケーション ログに送信します。 重大度レベル Endpoint Security クライアントの [イベント ログ] に記録するイベントの重 大度レベルを指定します。 Windows アプリケーション ログにアクセスするには、Windows で [イベント ビューアー] 、 [Windows ログ] 、 [アプリケーション] の順に選択します。 • [なし] - アラートを送信しません。 • [アラートのみ] - アラート レベル 1 のみを送信します。 • [重大とアラート] - アラート レベル 1 と 2 を送信します。 • [警告、重大、アラート] - アラート レベル 1 ~ 3 を送信します。 • [情報を除くすべて] - アラート レベル 1 から 4 を送信します。 • [すべて] - アラート レベル 1 から 5 を送信します。 • 1 - アラート • 2 - 重大 • 3 - 警告 • 4 - 注意 • 5 - 情報 McAfee Endpoint Security 10.2 製品ガイド 45 2 Endpoint Security クライアント の使用 クライアント インターフェース リファレンス - 共通設定 表 2-4 詳細オプション (続き) セクション オプション 定義 [ログに記録する 脅威対策イベン ト] それぞれの脅威対策機能でログに記録するイベントの重大度レベルを指定しま す。 [アクセス保護] - AccessProtection_Activity.log に記録します。 アクセス保護でイベント ロギングを有効にすると、自己保護のイベント ロギン グも有効になります。 [エクスプロイト防止] - ExploitPrevention_Activity.log に記録します。 [オンアクセス スキャン] - OnAccessScan_Activity.log に記録します。 [オンデマンド スキャン] - OnDemandScan_Activity.log に記録します。 [ログに記録する ファイアウォー ル イベント] ログに記録するファイアウォール イベントの重大度レベルを指定します。 [ログに記録する Web 管理イベン ト] ログに記録する Web 管理イベントの重大度レベルを指定します。 [記録する脅威情 報] 記録する 脅威情報 イベントの重大度レベルを指定します。 [McAfee GTI [プロキシ サーバ のプロキシ サ ーを使用しない] ーバー] [システムのプロ キシ設定を使用 する] 管理対象システムがプロキシ サーバー経由ではなくインターネットから直接 McAfee GTI レピュテーション情報を取得します。 (デフォルト) クライアント システムのプロキシ設定を使用します。HTTP プロキシ認証を有 効にすることもできます。 [プロキシ サーバ プロキシ設定をカスタマイズします。 ーを設定する] • [アドレス] - HTTP プロキシ サーバーの IP アドレスまたは完全修飾ドメイ ン名を指定します。 • [ポート] - 指定したポートへのアクセスを制限します。 • [次のアドレスを除外] - 指定した項目で始まる Web サイトまたは IP アド レスに HTTP プロキシ サーバーを使用しません。 [追加] をクリックして、除外するアドレス名を入力します。 [HTTP プロキシ 認証を有効にす る] HTTP プロキシ サーバーで認証が必要なことを指定します。 このオプションを 使用できるのは、HTTP プロキシ サーバーを選択した場合のみです。 HTTP プ ロキシの認証情報を入力します。 • [ユーザー名] - HTTP プロキシ サーバーへのアクセスが許可されているユ ーザー アカウントのユーザー名を指定します。 • [パスワード] - [ユーザー名] のパスワードを指定します。 • [パスワードの確認] - 確認のため、同じパスワードを再度入力します。 [デフォルト のクライアン ト更新] 46 [クライアントで [今すぐ更新] ボ タンを有効にす る] McAfee Endpoint Security 10.2 Endpoint Security クライアントのメイン ページで タンを表示または非表示にします。 ボ クライアント システムでコンテンツ ファイルとソフトウェア コンポーネント の更新を手動で確認し、ダウンロードする場合に、このボタンをクリックしま す。 製品ガイド 2 Endpoint Security クライアント の使用 クライアント インターフェース リファレンス - 共通設定 表 2-4 詳細オプション (続き) セクション オプション 定義 [更新対象] ボタンをクリックしたときの更新対象を指定します。 • [セキュリティ コンテンツ、HotFix、パッチ] - すべてのセキュリティ コン テンツ (エンジン、AMCore とエクスプロイト防止のコンテンツを含む)、 HotFix、パッチを最新のバージョンに更新します。 • [セキュリティ コンテンツ] - セキュリティ コンテンツだけを更新します。 (デフォルト) • [HotFix とパッチ] - HotFixe とパッチのみを更新します。 [更新のソー スサイト] コンテンツ ファイルとソフトウェア コンポーネントの更新を取得するソース サイトを設定します。 デフォルトのバックアップ ソース サイト ([McAfeeHttp]) と管理サーバー (管理対象システムの場合) を有効または無効にできますが、これらを変更した り、削除することはできません。 リストで移動可能な要素を表示します。 要素を選択してドラッグし、新しい位置にドロップします。 要素をドロップで きる位置に青線が表示されます。 [追加] ソースサイト リストにサイトを追加します。 項目をダブルク リックします。 選択した項目を変更します。 [削除] 選択したサイトをソースサイト リストから削除します。 [インポート] ソースサイト リストからサイトをインポートする。 インポートするファイルを選択して、[OK] をクリックします。 サイト リスト ファイルが既存のソースサイト リストと置換されます。 [すべてエクスポ ート] [ソースサイ トのプロキシ サーバー] ソースサイト リストを SiteList.xml ファイルにエクスポートする。 ソースサイト リストの保存先を選択して、[OK] をクリックします。 [プロキシ サーバ 管理対象システムがプロキシ サーバー経由ではなくインターネットから直接 ーを使用しない] McAfee GTI レピュテーション情報を取得します。 (デフォルト) [システムのプロ キシ設定を使用 する] McAfee Endpoint Security 10.2 クライアント システムのプロキシ設定を使用します。HTTP または FTP プロ キシ認証を有効にすることもできます。 製品ガイド 47 2 Endpoint Security クライアント の使用 クライアント インターフェース リファレンス - 共通設定 表 2-4 詳細オプション (続き) セクション オプション 定義 [プロキシ サーバ プロキシ設定をカスタマイズします。 ーを設定する] • [HTTP/FTP アドレス] - HTTP または FTP プロキシ サーバーの DNS、 IPv4 または IPv6 アドレスを指定します。 • [ポート] - 指定したポートへのアクセスを制限します。 • [次のアドレスを除外] - McAfee GTI の評価取得でプロキシ サーバーを使 用しない Endpoint Security クライアント システムのアドレスを指定しま す。 [追加] をクリックして、除外するアドレス名を入力します。 [HTTP/FTP プロ HTTP または FTP プロキシ サーバーで認証が必要なことを指定します。 この キシ認証を有効 オプションを使用できるのは、HTTP または FTP プロキシ サーバーを選択した にする] 場合のみです。 プロキシの認証情報を入力します。 • [ユーザー名] - プロキシ サーバーへのアクセスが許可されているユーザー アカウントのユーザー名を指定します。 • [パスワード] - [ユーザー名] に指定したユーザーのパスワードを指定しま す。 • [パスワードの確認] - 確認のため、同じパスワードを再度入力します。 関連トピック: 31 ページの「Endpoint Security リソースを保護する」 32 ページの「ロギングを設定する」 33 ページの「クライアント インターフェースに対するアクセス制御」 34 ページの「プロキシ サーバーを設定する McAfee GTI」 37 ページの「開始する更新のデフォルトの動作を設定する」 35 ページの「から更新のソール サイトを設定する」 48 ページの「サイトの追加またはサイトの編集」 サイトの追加またはサイトの編集 ソースサイト リストにサイトを追加したり、リスト内のサイトを編集します。 表 2-5 オプションの定義 48 オプション 定義 [名前] 更新ファイルが存在するソース サイトの名前。 [有効] 更新ファイルのダウンロードでソース サイトの使用を有効または無効にします。 [ファイルの取 得先] ファイルの取得場所を指定します。 McAfee Endpoint Security 10.2 製品ガイド 2 Endpoint Security クライアント の使用 クライアント インターフェース リファレンス - 共通設定 表 2-5 オプションの定義 (続き) オプション 定義 [HTTP リポジ トリ] 指定した HTTP リポジトリからファイルを取得します。 HTTP サイトでは、ネットワークのセキュリティとは独立して更新を実行できますが、FTP よりも 高レベルな同時接続がサポートされます。 [URL] • [DNS 名] - URL がドメイン名であることを表します。 • [IPv4] - URL が IPv4 アドレスであることを表します。 • [IPv6] - URL が IPv6 アドレスであることを表します。 [http://] - 更新ファイルがある HTTP サーバーとフォルダーを指定します。 [ポート] - HTTP サーバーのポート番号を指定します。 [認証を 使用] 認証を使用する場合に選択し、更新ファイル フォルダーにアクセスする認証情報を 指定します。 • [ユーザー名] - 更新ファイル フォルダーに読み取りアクセスが許可されている ユーザー アカウントを指定します。 • [パスワード] - [ユーザー名] に指定したユーザーのパスワードを指定します。 • [パスワードの確認] - 確認のため、同じパスワードを再度入力します。 McAfee Endpoint Security 10.2 製品ガイド 49 2 Endpoint Security クライアント の使用 クライアント インターフェース リファレンス - 共通設定 表 2-5 オプションの定義 (続き) オプション 定義 [FTP リポジト 指定した FTP リポジトリからファイルを取得します。 リ] FTP サイトには、ネットワーク セキュリティのアクセス許可を順守せずに更新できる柔軟性があり ます。 FTP は、HTTP よりも不審なコードの攻撃を受ける可能性が少ないため、脅威に対する抵抗 力が増す場合があります。 [URL] • [DNS 名] - URL がドメイン名であることを表します。 • [IPv4] - URL が IPv4 アドレスであることを表します。 • [IPv6] - URL が IPv6 アドレスであることを表します。 [ftp://] - 更新ファイルがある FTP サーバーとフォルダーを指定します。 [ポート] - FTP サーバーのポート番号を指定します。 [匿名ロ グインを 使用] 更新ファイル フォルダーへのアクセスに匿名 FTP を使用する場合に選択します。 認証情報を指定する場合には、このオプションの選択を解除します。 • [ユーザー名] - 更新ファイル フォルダーに読み取りアクセスが許可されている ユーザー アカウントを指定します。 • [パスワード] - [ユーザー名] に指定したユーザーのパスワードを指定します。 • [パスワードの確認] - 確認のため、同じパスワードを再度入力します。 [UNC パス] ま 指定した UNC またはローカル パスからファイルを取得します。 たは [ローカル パス] UNC サイトは、最も迅速にまた簡単にセットアップできます。 ドメイン間で UNC 更新を行うに は、各ドメインでセキュリティのアクセス許可が必要で、更新の設定が複雑になります。 [パス] • [UNC パス] - UNC 表記でパスを指定します (\\servername\path\)。 • [ローカル パス] - ローカル ドライブまたはネットワーク ドライブ上のフォルダ ーのパスを指定します。 [ログオ ン アカ ウント の使用] ログオン アカウントで更新ファイルにアクセスします。 このアカウントには、更新フ ァイルのあるフォルダーに読み取り権限が必要です。 認証情報を指定する場合には、このオプションの選択を解除します。 • [ドメイン] - ユーザー アカウントのドメインを指定します。 • [ユーザー名] - 更新ファイル フォルダーに読み取りアクセスが許可されているユ ーザー アカウントを指定します。 • [パスワード] - [ユーザー名] に指定したユーザーのパスワードを指定します。 • [パスワードの確認] - 確認のため、同じパスワードを再度入力します。 共通設定 - タスク Endpoint Security クライアント タスクとスケジュールを設定します。 管理対象システムの場合、[管理]タスクの開始、停止または削除はできません。 50 McAfee Endpoint Security 10.2 製品ガイド Endpoint Security クライアント の使用 クライアント インターフェース リファレンス - 共通設定 表 2-6 2 オプション セクショ ン オプション [タスク] 定義 現在定義済みのスケジュール タスクを表示します。 • [名前] - スケジュール タスクの名前。 • [機能] - タスクが関連付けられているモジュールまたは機能。 • [スケジュール] - タスクのスケジュールが設定されている場合、無効かどうか。 たとえば、管理対象システムの場合、管理者がデフォルトのクライアント更新タスク を無効にしている場合があります。 • [ステータス] - 最後に実行したタスクのステータス: • (ステータスなし) - 実行されてい ません。 • [完了] - 正常に完了しました。 • [実行中] - 現在実行中か再開して います。 • [完了 (エラー)] - 完了しました が、エラーが発生しています。 • [一時停止] - ユーザーが一時停止 しました (スキャンなど)。 • [失敗] - 完了できませんでした。 • [延期] - ユーザーが延期しました (スキャンなど)。 • [前回の実行] - タスクを最後に実行した日付と時間。 • [作成元] - タスクの作成者: • [McAfee] - McAfee が提供。 • [管理者] - (管理対象システムの場合のみ) 管理者が定義。 • [ユーザー] - Endpoint Security クライアントで定義。 作成元によっては、タスクの変更または削除ができない場合があります。 たとえば、 デフォルトのクライアント更新タスクを変更できるのは、自社管理のシステムだけで す。 管理対象システムで管理者が定義した[管理]タスクは、Endpoint Security クラ イアントで変更または削除できません。 項目をダブ ルクリック します。 選択した項目を変更します。 [追加] スキャン、更新、ミラーリングのタスクを作成します。 [削除] 選択したタスクを削除します。 McAfee Endpoint Security 10.2 製品ガイド 51 2 Endpoint Security クライアント の使用 クライアント インターフェース リファレンス - 共通設定 表 2-6 オプション (続き) セクショ ン オプション 定義 [複製] 選択したタスクのコピーを作成します。 [今すぐ実 行] 選択したタスクを実行します。 タスクがすでに実行中の場合 (一時停止と遅延も含む)、ボタンが [表示] に変わります。 • [クイック スキャン] - [クイック スキャン] ダイアログを表示して、ス キャンを開始します。 • [デフォルトのクライアント更新] - [更新] ダイアログ ボックスを開き、 更新を開始します。 • [フル スキャン] - [フル スキャン] ダイアログを表示して、スキャンを 開始します。 • [更新] - [カスタム更新] ダイアロ グ ボックスを開き、更新を開始しま す。 • [カスタム スキャン] - [カスタム スキャン] ダイアログを表示して、ス キャンを開始します。 • [ミラーリング] - [ミラーリング] ダイアログ ボックスを開き、リポジ トリの複製を開始します。 変更を適用する前にタスクを実行すると、Endpoint Security クライアントがプロンプ トを表示し、設定を保存するかどうか確認します。 関連トピック: 58 ページの「フル スキャンまたはクイック スキャンを実行する」 23 ページの「セキュリティ対策とソフトウェアを手動で更新する」 39 ページの「ミラーリング タスクとスケジュールを設定して実行する」 52 ページの「タスクの追加」 タスクの追加 カスタム スキャン タスク、ミラーリング タスク、更新タスクを追加します。 オプション 定義 [名前] タスクの名前を指定します。 [タスクの種 類の選択] タスクの種類を指定します。 • [カスタム スキャン] - 毎日のメモリー スキャンなどのカスタム スキャンとスケジュールを設 定します。 • [ミラーリング] - 更新されたコンテンツ とエンジン ファイルを最初にアクセス可能なリポジ トリからネットワーク上のミラーリング サイトに複製します。 • [更新] - コンテンツ ファイル、スキャン エンジンまたは製品の更新とスケジュールを設定しま す。 関連トピック: 53 ページの「スキャン タスクの追加またはスキャン タスクの編集」 54 ページの「ミラーリング タスクの追加またはミラーリング タスクの編集」 53 ページの「更新タスクの追加または更新タスクの編集」 52 McAfee Endpoint Security 10.2 製品ガイド Endpoint Security クライアント の使用 クライアント インターフェース リファレンス - 共通設定 2 スキャン タスクの追加またはスキャン タスクの編集 フル スキャン タスクまたはクイック スキャン タスクのスケジュールを設定します。また、クライアント システム で実行するカスタム スキャン タスクとスケジュールを設定します。 表 2-7 オプション タブ オプション 定義 [設定] スキャン タスクを設定します。 [名前] タスク名を表示します。 オプション オンデマンド スキャンを設定します。 自社管理システムの場合には、[フル スキャン] と [クイック スキャン] のタスクを 設定できます。 [スケジュール] 指定した時間にタスクを実行するようにスケジュールを設定します。 関連トピック: 88 ページの「スキャン タスクとスケジュールを設定して実行する」 84 ページの「オンデマンド スキャン を設定する」 58 ページの「フル スキャンまたはクイック スキャンを実行する」 110 ページの「脅威対策 - オンデマンド スキャン」 54 ページの「スケジュール」 更新タスクの追加または更新タスクの編集 [デフォルトのクライアント更新] のスケジュールを設定します。また、クライアント システムで実行するカスタム 更新タスクとスケジュールを設定します。 表 2-8 オプション タブ オプション 定義 [設定] 更新タスクを設定します。 [名前] タスク名を表示します。 [更新対象] 更新対象を指定します。 • セキュリティ コンテンツ、HotFix、パッチ • セキュリティ コンテンツ • HotFix とパッチ この設定は自社管理のシステムにのみ設定できます。 [スケジュ ール] 指定した時間にタスクを実行するようにスケジュールを設定します。 デフォルトでは、[デフォルトのクライアント更新] タスクは、毎日午前 0 時に実行され、 以降は午後 11 時 59 分まで 4 時間ごとに実行されます。 関連トピック: 42 ページの「共通設定 - オプション」 37 ページの「開始する更新のデフォルトの動作を設定する」 38 ページの「更新タスクとスケジュールを設定して実行する」 54 ページの「スケジュール」 McAfee Endpoint Security 10.2 製品ガイド 53 2 Endpoint Security クライアント の使用 クライアント インターフェース リファレンス - 共通設定 ミラーリング タスクの追加またはミラーリング タスクの編集 ミラーリング タスクとスケジュールを設定します。 表 2-9 オプション タブ オプション 定義 [設定] [名前] タスク名を表示します。 [ミラーリングの場所] リポジトリの複製を保存するフォルダーを指定します。 [スケジュール] 指定した時間にタスクを実行するようにスケジュールを設定します。 関連トピック: 39 ページの「ミラーリング タスクとスケジュールを設定して実行する」 54 ページの「スケジュール」 スケジュール スキャン、更新、ミラーリング タスクのスケジュールを設定します。 表 2-10 オプション カテゴリ オプション 定義 [スケジュー ル] [スケジュール を有効にする] 指定した時間にタスクを実行するようにスケジュールを設定します。 デフォルト は有効です。 タスクをスケジュールするには、このオプションを選択します。 [スケジュール の種類] タスクの実行間隔を指定します。 • [毎日] - タスクを毎日、指定した時間に実行します。あるいは、指定した時間 の範囲内で繰り返し実行します。 • [毎週] - タスクを毎週実行します。 • 平日、週末、曜日の組み合わせで実行日を指定できます。 • 選択した複数の日付で指定した時間に実行したり、選択した複数の日付で指定 した時間内に繰り返し実行できます。 • [毎月] - タスクを毎月実行します。 • 月の特定の日付 • 特定の曜日 - 第 1、第 2、第 3、第 4、最終 • [一回のみ] - 指定した日時にタスクを開始します。 • [システム起動時] - システム起動時にタスクを実行します。 • [ログイン時] - ユーザーが次にシステムにログオンしたときにタスクを開始し ます。 • [すぐに実行] - タスクをただちに開始します。 54 [頻度] [毎日] または [毎週] のタスクに頻度を指定します。 [実行日] [毎週] または [毎月] のタスクを実行する曜日を指定します。 [実行月] [毎月] タスクを実行する月を指定します。 [このタスクを 1 日 1 回実行 する] [システム起動時] と [ログイン時] の場合には、1 日 1 回タスクを実行します。 [タスクを遅ら せる期間] [システム起動時] と [ログイン時] の場合に、タスクの実行を遅らせる時間を分単 位で指定します。 [開始日] [毎日]、[毎週]、[毎月]、[一回のみ] の場合に開始日を指定します。 McAfee Endpoint Security 10.2 製品ガイド Endpoint Security クライアント の使用 クライアント インターフェース リファレンス - 共通設定 表 2-10 2 オプション (続き) カテゴリ オプション 定義 [終了日] [毎日]、[毎週]、[毎月] の場合に終了日を指定します。 [開始時間] タスクを開始する時間を指定します。 • [指定した時間に一回だけ実行] - [開始時間] に指定した時簡にタスクを 1 回 だけ実行します。 • [指定した時間に実行し、終了時間まで繰り返す] - [開始時間] に指定した時簡 にタスクを実行します。 その後は、指定した終了時間になるまで、[タスクの開 始間隔] に指定した間隔 (時間/分) でタスクを繰り返し実行します。 • [指定した時間に実行し、指定した期間繰り返す] - [開始時間] に指定した時簡 にタスクを実行します。 その後は、指定した時間が経過するまで、[タスクの開 始間隔] に指定した間隔 (時間/分) でタスクを繰り返し実行します。 [オプション] [協定世界時で タスク スケジュールを管理対象システムのローカルのシステム時刻に合わせて実 タスクを実行す 行するか、世界協定時 (UTC) に合わせて実行するかを指定します。 る] [次の時間実行 指定した時間が経過したらタスクを停止します。 が続く場合は停 タスクが完了する前に中断されると、次回開始時には中断したところからタスクを 止する] 再開します。 [タスクをラン ダムに開始す る] 指定した時間内でタスクをランダムに実行するように指定します。 選択を解除すると、他のクライアント タスクが同時に実行されるようにスケジュ ールされていても、このタスクがスケジュールされた時間に開始します。 [開始されなか 管理対象システムを再起動して [タスクを遅らせる時間] に指定した時間が経過し ったタスクを実 たらタスクを実行します。 行する] [アカウント] タスクの実行に使用する認証情報を指定します。 認証情報を指定しないと、ローカル システムの管理者アカウントでタスクが実行 されます。 [ユーザー名] ユーザー アカウントを指定します。 [パスワード] 指定したユーザー アカウントのパスワードを指定します。 [パスワードの 確認] 指定したユーザー アカウントのパスワードを確認します。 [ドメイン] 指定したユーザー アカウントのドメインを指定します。 関連トピック: 53 ページの「スキャン タスクの追加またはスキャン タスクの編集」 53 ページの「更新タスクの追加または更新タスクの編集」 54 ページの「ミラーリング タスクの追加またはミラーリング タスクの編集」 McAfee Endpoint Security 10.2 製品ガイド 55 2 Endpoint Security クライアント の使用 クライアント インターフェース リファレンス - 共通設定 56 McAfee Endpoint Security 10.2 製品ガイド 3 脅威対策 の使用 脅威対策 は、コンピューターをスキャンし、ウイルス、スパイウェア、不審なプログラムなどの脅威を検出します。 目次 マルウェアをスキャンする 脅威検出を管理する 隔離項目を管理する 脅威対策 の管理 クライアント インターフェース リファレンス - 脅威対策 マルウェアをスキャンする コンピューターでマルウェアをスキャンするには、Endpoint Security クライアント または Windows エクスプロ ーラーでオプションを選択します。 タスク • 58 ページの「フル スキャンまたはクイック スキャンを実行する」 Endpoint Security クライアントでは、コンピューターでフル スキャンまたはクイック スキャンを手 動で実行できます。 • 60 ページの「ファイルまたはフォルダーをスキャンする」 感染が疑われるファイルやフォルダーを Windows エクスプローラーで右クリックすると、すぐにスキ ャンを実行できます。 関連トピック: 57 ページの「スキャンの種類」 スキャンの種類 Endpoint Security は、オンアクセス スキャンとオンデマンド スキャンの 2 種類のスキャンを実行します。 • オンアクセス スキャン - 管理者は、管理対象のコンピューターでオンアクセス スキャンが実行されるように設 定できます。 自社管理のコンピューターの場合、[設定] ページでオンアクセス スキャナーを設定します。 ファイル、フォルダー、プログラムにアクセスすると、オンアクセス スキャナーがこれらの操作を中断し、設定 で定義した基準に従ってスキャンを実行します。 • オンデマンド スキャン McAfee Endpoint Security 10.2 製品ガイド 57 3 脅威対策 の使用 マルウェアをスキャンする 手 動 管理者 (または自社管理システムのユーザー) は、ユーザーが管理対象コンピューターで実行できるオンデ マンド スキャン (事前定義またはカスタム) を設定します。 • Endpoint Security クライアント で をクリックし、スキャンの種類を選択 すると、事前定義のオンデマンド スキャンをいつでも実行できます。 [クイック スキャン] を選択すると、システムで最も感染しやすい領域がすばやく検査されます。 [フル スキャン] を実行すると、システム全体に徹底したスキャンが実行されます。コンピューターの感 染が疑われる場合には、このスキャンを実行してください。 • Windows エクスプローラーでファイルまたはフォルダーを右クリックして、ポップアップ メニューか ら [脅威のスキャン] を選択すると、該当するファイルまたはフォルダーをいつでもスキャンできます。 • 管理者として Endpoint Security クライアント からカスタム オンデマンド スキャンを設定して実行 します。 1 [設定] 、 [共通設定] 、 [タスク] の順に選択します。 2 実行するタスクを選択します。 3 [今すぐ実行] をクリックします。 ス ケ ジ ュ ー ル 管理者 (または自社管理システムのユーザー) は、ユーザーがコンピューターで実行できるオンデマンド スキャンのスケジュールを設定できます。 スケジュール スキャンを開始する前に、Endpoint Security が画面下部にプロンプトを表示します。 ス キャンをすぐに開始することも、延期することもできます (設定されている場合)。 事前定義のオンデマンド スキャン (クイック スキャン と フル スキャン) にスケジュールを設定するに は、次の手順に従います。 1 [設定] 、 [オンデマンド スキャン] 、 [フル スキャン] の順に移動するか、[クイック スキャン] に移 動して、オンデマンド スキャンを設定します。 2 [設定] 、 [共通] 、 [タスク] の順に選択します。 関連トピック: 88 ページの「スキャン タスクとスケジュールを設定して実行する」 21 ページの「スキャン プロンプトに応答する」 フル スキャンまたはクイック スキャンを実行する Endpoint Security クライアントでは、コンピューターでフル スキャンまたはクイック スキャンを手動で実行でき ます。 開始する前に 脅威対策モジュールをインストールする必要があります。 設定によって [フル スキャン] と [クイック スキャン] の動作が変わります。 管理者の認証情報があれば、[オンデ マンド スキャン] の設定を変更したり、スケジュールを設定できます。 58 McAfee Endpoint Security 10.2 製品ガイド 脅威対策 の使用 マルウェアをスキャンする 3 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 Endpoint Security クライアントを開きます。 2 をクリックします。 3 [システムのスキャン] ページで、実行するスキャンの [今すぐスキャン] をクリックします。 [フル スキャン] システムのすべての領域を徹底的に検査します (コンピューターで感染が疑われる場合に 推奨)。 [クイック スキャン] システムで最も感染しやすい領域をすばやく検査します。 スキャンを開始すると、[今すぐスキャン] ボタンが [スキャン結果の表示] に変わります。 オンアクセス スキャンの場合、設定によっては脅威検出時に [検出結果の表示] ボタンが表示されます。 このボ タンをクリックすると、[オンアクセス スキャン] ページが開き、検出結果を管理することができます。 Endpoint Security クライアントでは、新しいページにスキャンの状況が表示されます。 ベストプラクティス: AMCore コンテンツ作成日 は、コンテンツが最後に更新された日時を表します。 コンテン ツ作成日から 3 日以上経過している場合には、スキャンの実行前に保護対策を更新します。 4 5 ステータス ページの上部にあるボタンをクリックして、スキャンを制御します。 [スキャンを一時停止] スキャンを一時停止します。 [スキャンを再開] 一時停止したスキャンを再開します。 [スキャンをキャンセル] 実行中のスキャンをキャンセルします。 スキャンが完了すると、スキャンされたファイル数、経過時間、検出項目が表示されます。 [検出名] 検出したマルウェアの名前が表示されます。 [種類] 脅威の種類が表示されます。 [ファイル] 感染ファイルの名前が表示されます。 [実行されたアクション] 感染ファイルに対する前回のアクションが表示されます。 • [アクセス拒否] • [駆除] • [削除] • [なし] 次のオンデマンド スキャンが開始すると、オンデマンド スキャンの検出リストがクリアされます。 6 テーブルから検出項目を選択します。感染ファイルを駆除するには [駆除] を選択します。感染ファイルを削除 するには [削除] をクリックします。 脅威の種類とスキャンの設定によって、アクションが使用できない場合があります。 7 [閉じる] をクリックして、ページを終了します。 McAfee Endpoint Security 10.2 製品ガイド 59 3 脅威対策 の使用 マルウェアをスキャンする 関連トピック: 57 ページの「スキャンの種類」 63 ページの「検出名」 23 ページの「セキュリティ対策とソフトウェアを手動で更新する」 61 ページの「脅威検出を管理する」 84 ページの「オンデマンド スキャン を設定する」 88 ページの「スキャン タスクとスケジュールを設定して実行する」 ファイルまたはフォルダーをスキャンする 感染が疑われるファイルやフォルダーを Windows エクスプローラーで右クリックすると、すぐにスキャンを実行で きます。 開始する前に 脅威対策モジュールをインストールする必要があります。 設定によって [右クリック スキャン] の動作が変わります。 管理者の認証情報があれば、[オンデマンド スキャン] の設定でスキャンを変更できます。 タスク 1 Windows エクスプローラーで、スキャンするファイルまたはフォルダーを右クリックし、ポップアップ メニュ ーから [脅威をスキャン] を選択します。 Endpoint Security クライアント では、[脅威をスキャン] ページにスキャンの状況が表示されます。 2 3 ページの上部にあるボタンをクリックして、スキャンを制御します。 [スキャンを一時停止] スキャンを一時停止します。 [スキャンを再開] 一時停止したスキャンを再開します。 [スキャンをキャンセル] 実行中のスキャンをキャンセルします。 スキャンが完了すると、スキャンされたファイル数、経過時間、検出項目が表示されます。 [検出名] 検出したマルウェアの名前が表示されます。 [種類] 脅威の種類が表示されます。 [ファイル] 感染ファイルの名前が表示されます。 [実行されたアクション] 感染ファイルに対する前回のアクションが表示されます。 • [アクセス拒否] • [駆除] • [削除] • [なし] 次のオンデマンド スキャンが開始すると、オンデマンド スキャンの検出リストがクリアされます。 4 テーブルから検出項目を選択します。感染ファイルを駆除するには [駆除] を選択します。感染ファイルを削除 するには [削除] をクリックします。 脅威の種類とスキャンの設定によって、アクションが使用できない場合があります。 5 60 [閉じる] をクリックして、ページを終了します。 McAfee Endpoint Security 10.2 製品ガイド 脅威対策 の使用 脅威検出を管理する 3 関連トピック: 57 ページの「スキャンの種類」 63 ページの「検出名」 84 ページの「オンデマンド スキャン を設定する」 脅威検出を管理する 設定によっては、Endpoint Security クライアント で脅威検出を管理できます。 開始する前に 脅威対策モジュールをインストールする必要があります。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 Endpoint Security クライアントを開きます。 2 [今すぐスキャン] をクリックして [システムのスキャン] ページを表示します。 3 [オンアクセス スキャン] から [検出結果の表示] をクリックします。 リストに検出結果がない場合またはユーザーのメッセージ オプションが無効になっている場合、このオプションは 使用できません。 Endpoint Security サービスまたはシステムが再起動すると、オンアクセス スキャンの検出リストがクリアされ ます。 4 [オンアクセス スキャン] ページで、次のいずれかのオプションを選択します。 [駆除] 項目 (ファイル、レジストリ項目) から脅威を駆除し、隔離領域に移動します。 Endpoint Security は、コンテンツ ファイルの情報を使用してファイルを駆除します。 コンテン ツ ファイルに駆除ツールが記述されていない場合やファイルが破損していて修復できない場合、 スキャナーはファイルへのアクセスを拒否します。 McAfee では、隔離領域からファイルを削除 し、安全なバックアップ コピーから復元することをお勧めします。 [削除] 脅威を含む項目を削除します。 [項目の削除] 検出リストから項目を削除します。 [閉じる] スキャン ページを閉じます。 脅威に実行できないアクションのオプションは表示されません。 たとえば、ファイルがすでに削除されている場 合、[駆除] は使用できません。 Endpoint Security サービスまたはシステムが再起動すると、オンアクセス スキャンの検出リストがクリアされ ます。 McAfee Endpoint Security 10.2 製品ガイド 61 3 脅威対策 の使用 隔離項目を管理する 隔離項目を管理する Endpoint Security は、脅威を検出した項目を隔離領域に保存します。 隔離項目に対してアクションを実行できま す。 開始する前に 脅威対策モジュールをインストールする必要があります。 駆除に必要な情報を含む最新のコンテンツをダウンロードした後で、隔離項目を復元することもできます。 隔離領域には様々なオブジェクトが隔離されます。たとえば、ファイル、レジストリの項目、Endpoint Security がマ ルウェアと認識した項目が含まれます。 タスク ヘルプを利用するには、[アクション] メニュー から [ヘルプ] を選択します。 1 Endpoint Security クライアントを開きます。 2 ページの左側にある [隔離] をクリックします。 隔離された項目が表示されます。 Endpoint Security クライアント が Quarantine Manager に接続できない場合、通信エラー メッセージが表示 されます。 この場合、システムを再起動して [隔離] ページを表示してください。 62 McAfee Endpoint Security 10.2 製品ガイド 3 脅威対策 の使用 隔離項目を管理する 3 4 上部ペインから項目を選択すると、下部ペインに詳細が表示されます。 操作... 操作 ペインの相対サイズを変更する。 ペインの境界にあるサッシュ ウィジェットをクリックして ドラッグします。 テーブルの項目を脅威名またはタイプでソート する。 テーブルの列見出しをクリックします。 [隔離] ページで、選択した項目にアクションを実行します。 操作... 手順 隔離領域から項目 項目を選択して [削除] をクリックします。確認のため、[削除] をもう一度クリックしま を削除する。 す。 削除された項目は復元できません。 隔離領域から項目 項目を選択して [復元] をクリックします。確認のため、[復元] をもう一度クリックしま を復元する。 す。 Endpoint Security は、項目を元の場所に復元し、隔離領域から削除します。 項目にまだ脅威が存在している場合、この項目が次にアクセスされたときに Endpoint Security が項目を隔離領域に戻します。 項目を再スキャン 項目を選択して、[再スキャン] をクリックします。 する。 たとえば、保護対策の更新後に項目の再スキャンを実行します。 項目に脅威が存在しない 場合、項目を元の場所に復元し、隔離領域から削除できます。 イベント ログに 項目を選択し、詳細ペインで [イベント ログを表示する] リンクをクリックします。 項目を表示する。 [イベント ログ] ページが開き、選択した項目に関連するイベントが強調表示されます。 脅威に関する詳細 項目を選択し、詳細ペインで [この脅威の詳細を見る] リンクをクリックします。 情報を入手する。 McAfee Labs の Web サイトが新しいブラウザー ウィンドウで開き、隔離の原因となった 脅威の詳細が表示されます。 関連トピック: 63 64 19 23 ページの「検出名」 ページの「隔離項目の再スキャン」 ページの「Endpoint Security クライアント を開く」 ページの「セキュリティ対策とソフトウェアを手動で更新する」 検出名 隔離レポートは脅威を検出名で報告します。 検出名 説明 アドウ ェア ユーザーを対象とした広告を表示します。 アドウェアの利用者は、ベンダーまたはベンダーのパートナ ーから報酬を得ています。 アドウェアの中には個人情報を収集したり、転送するものがあります。 ダイヤ ラー ユーザーのデフォルトの ISP 以外の相手にインターネット接続をリダイレクトします。 ダイヤラーは、 コンテンツ プロバイダーやベンダーなどの接続料金を増やすために使用されます。 ジョー ク プロ グラム コンピューターを攻撃すると脅かすプログラム。実際には不正なペイロードを送信したり、使用すること はありません。 ジョーク プログラムは、セキュリティやプライバシーを侵害するものではありませんが、 迷惑な存在です。 キーロ ガー ユーザーが入力するデータを傍受し、アプリケーションが受信する前に取得します。 キーロガーの機能 は、トロイの木馬でも不審なプログラムでも変わりません。 McAfee ソフトウェアは、両方のタイプを検 出し、プライバシー侵害を防ぎます。 McAfee Endpoint Security 10.2 製品ガイド 63 3 脅威対策 の使用 隔離項目を管理する 検出名 説明 パスワ ード ク ラッカ ー パスワードを紛失したり、忘れた場合、このツールを使用するとアカウントまたはデータ ファイルから パスワードを復元できます。 攻撃者に悪用されると、機密情報が不正にアクセスされ、セキュリティと プライバシーが侵害される可能性があります。 不審な プログ ラム マルウェアでない正規のソフトウェアも含まれます。システムのセキュリティ状態やプライバシーの保 護状況を変更する可能性があります。 このソフトウェアは、ユーザーがインストールする他のプログラ ムの一緒にダウンロードされる場合があります。 スパイウェア、アドウェア、キーロガー、パスワード クラッカー、ハッキング ツール、ダイヤラーなどが含まれている可能性があります。 リモー ト管理 ツール システムをリモートから管理できます。 攻撃者に悪用されると、大きなセキュリティ脅威となります。 スパイ ウェア ユーザーの許可なく、あるいはユーザーに気付かれずに個人情報を第三者に送信します。 スパイウェア は、次の方法でコンピューターを攻撃し、金銭的な収益を獲得します。 • 未請求のポップアップ広告を表示する • クレジットカードなどの財務情報を含む個人情報を盗み出す。 • マーケティング目的で Web の閲覧状況を監視する。 • HTTP 要求を広告サイトにルーティングする。 「不審なプログラム」と比較してください。 ステル ス型 ウイルス対策ソフトウェアによる検出を回避しようとするウイルスの一種。 割り込み傍受ともいいます。 多くのステルス型ウイルスは、ディスク アクセス要求を傍受します。 ウイルス対策がウイルスを検出す るためにファイルまたはブートセクターの読み込みを試みると、このウイルスは要求された項目の正常な 画像を表示します。 感染ファイルの実際のサイズを隠し、感染前のファイル サイズを表示するウイルス もあります。 トロイ の木馬 正規のアプリケーションを装う不正なプログラムです。 トロイの木馬は自身を複製しませんが、コンピ ューターに被害を及ぼしたり、セキュリティを侵害します。 次のような場合にコンピューターに感染します。 • ユーザーが電子メールに添付されたトロイの木馬を開いた場合。 • ユーザーが Web サイトからトロイの木馬をダウンロードした場合。 • ピアツーピア ネットワーク。 トロイの木馬は自己複製を行わないため、ウイルスとは見なされません。 ウイル ス ディスクまたは他のファイルに付着し、ユーザーに気付かれずに自己複製を繰り返します。 一部のウイルスはファイルに感染します。感染したファイルを実行すると、ウイルスも実行されます。 コンピューターのメモリーに常駐するウイルスも存在します。このウイルスは、コンピューターでファイ ルのオープン、変更、作成が実行されるとファイルに感染します。 感染の兆候を示すものも、ファイル やコンピューター システムを破壊するものもあります。 隔離項目の再スキャン 隔離項目を再度スキャンする場合、Endpoint Security は最大限の保護に必要なスキャン設定を使用します。 ベストプラクティス: 隔離項目は、復元前に必ず再スキャンしてください。 たとえば、保護対策の更新後に項目の再ス キャンを実行します。 項目に脅威が存在しない場合、項目を元の場所に復元し、隔離領域から削除できます。 脅威を最初に検出してから再スキャンを実行するまでに、スキャン条件が変わり、隔離項目の検出に影響を及ぼす可 能性があります。 64 McAfee Endpoint Security 10.2 製品ガイド 3 脅威対策 の使用 脅威対策 の管理 隔離項目を再スキャンすると、Endpoint Security は常に次の操作を実行します。 • MIME 形式のファイルをスキャンする。 • 圧縮されたアーカイブ ファイルをスキャンする。 • 項目に McAfee GTI 検索を強制的に実行します。 • McAfee GTI の感度レベルを [非常に高] に設定します。 スキャン設定を使用しても、隔離項目の再スキャンが失敗し、脅威が検出できない場合があります。 たとえば、項目 のメタデータ (パスやレジストリの場所など) が変更された場合、項目が感染していなくても、再スキャンを実行する と誤検知が発生します。 脅威対策 の管理 管理者は、脅威対策 の設定を指定し、スキャンの設定を行って脅威を阻止できます。 管理対象システムの場合、McAfee ePO からポリシーを変更すると、[設定] ページから行った変更が上書きされます。 除外対象の設定 脅威対策では、除外対象を指定して保護機能を調整することができます。 たとえば、データベースやサーバーが使用しているファイルをスキャナーがロックしないように、特定のタイプのフ ァイルを除外します。 このようなファイルがロックされると、データベースやサーバーで障害やエラーが発生する可 能性があります。 除外リスト内の除外対象は相互に排他的です。 それぞれの除外対象は、リスト内の他の属性と別に表示されます。 Windows でフォルダーを除外するには、パスの最後にバックスラッシュ (\) を付けてください。 機能... 除外対象 設定場所 除外条件 ワイルドカ ードの使用 アクセス保護 プロセス (すべてのル ールまたは特定のルー ル) [アクセス保護] の設定 プロセスのファイル名またはパ MD5 ハッ ス、MD5 ハッシュあるいは署名 シュを除く 者 すべて エクスプロイト防止 プロセス [エクスプロイト プロセスのファイル名またはパ MD5 ハッ ス、MD5 ハッシュあるいは署名 シュを除く 防止]の設定 者 すべて 呼び出し側モジュールのファイ ル名またはパス、MD5 ハッシュ あるいは署名者 API すべてスキャン 検出名 不審なプログラム [オプション]設 定 検出名 (大文字と小文字を区 別) はい 名前 はい • [デフォルト] ファイル、ファイルの種 [オンアクセス ファイル名またはフォルダー、 はい 類、フォルダー スキャン]の設定 ファイルの種類、ファイルの経 過時間 • [危険度高] ScriptScan の URL オンアクセス スキャン URL 名 いいえ • [危険度低] McAfee Endpoint Security 10.2 製品ガイド 65 3 脅威対策 の使用 脅威対策 の管理 機能... 除外対象 オンデマンド スキャン ファイル、フォルダー、 [オンデマンド ドライブ スキャン]設定 • [クイック スキャン] 設定場所 除外条件 ワイルドカ ードの使用 ファイル名またはフォルダー、 はい ファイルの種類、ファイルの経 過時間 • [フル スキャン] • [右クリック スキャ ン] カスタム オンデマンド スキャン ファイル、フォルダー、 [共通設定] 、 [タ ファイル名またはフォルダー、 はい ドライブ スク] 、 [タスク ファイルの種類、ファイルの経 の追加] 、 [カス 過時間 タム スキャン] 関連トピック: 66 ページの「除外対象でのワイルドカードの使用」 除外対象でのワイルドカードの使用 ファイル、フォルダー、検出名、不審なプログラムの除外対象を指定するときに、ワイルドカードを使用できます。 表 3-1 有効なワイルドカード ワイルドカ 名前 ード文字 意味 ? 1 文字を表します。 疑問符 このワイルドカードは、文字数がファイル名またはフォルダー名の長さに一致した場合 にのみ適用されます。 例: W?? と指定すると、WWW は除外されますが、WW や WWWW は除外されません。 * アスタリスク 複数の文字を表します。ただし、バックスラッシュ (\) は除きます。 ファイル パスの先頭に *\ は使用できません。 代わりに **\ を使用してください。 例: **\ABC\*. ** 二重アスタリ 0 個以上の文字を表します。バックスラッシュ (\) も含みます。 スク このワイルドカードは、ゼロまたは複数の文字に一致します。 C:\ABC\**\XYZ は、 C:\ABC\DEF\XYZ や C:\ABC\XYZ に一致します。 ワイルドカードは、パスのバックスラッシュ (\) の前で使用できます。 例: C:\ABC\*\XYZ は C:\ABC\DEF\XYZ と 一致します。 ルート レベルの除外対象 脅威対策でルート レベルの除外対象を指定する場合には、絶対パスを使用する必要があります。 先頭にワイルドカ ード (\、?:\) を使用しても、ルート レベルのドライブ名には一致しません。 この動作は、VirusScan Enterprise と異なります。 KnowledgeBase の記事 KB85746 と『McAfee Endpoint Security 移行ガイド』を参照してください。 脅威対策でルート レベルの除外対象を指定するときに、先頭に **\ ワイルドカードを使用すると、ドライブとサブ フォルダーに一致します。 たとえば、**\test は次のパスと一致します。 C:\test D:\test C:\temp\test D:\foo\test 66 McAfee Endpoint Security 10.2 製品ガイド 脅威対策 の使用 脅威対策 の管理 3 システムのアクセス ポイントの保護 マルウェアに対する最初の防御線となるのがクライアント システムのアクセス ポイントです。 アクセス保護は、指 定されたファイル、共有、レジストリのキーと値、プロセスへのアクセスを制限し、コンピューターに対する不要な 変更を阻止します。 アクセス保護は、McAfee 定義ルールとユーザー定義ルール (カスタム ルール) の両方を使用して、項目に対するア クセスを報告またはブロックします。 アクセス保護は、要求されたアクションとルールのリストを比較し、ルールに 従って処理を実行します。 ファイル、共有、レジストリのキーと値、プロセスに対するアクセスを検出するには、アクセス保護を有効にする必 要があります。 アクセス保護は、デフォルトで有効になっています。 脅威の侵入方法 脅威は、様々なアクセス ポイントを使用してシステムへのアクセスを試みます。 アクセス ポイント 説明 マクロ ワープロ文書や表計算アプリケーションの一部として 実行ファイル 安全に見えるプログラムでも、正規のプログラム以外にウイルスが潜んでいる可能性がありま す。一般的な拡張子としては、.EXE、.COM、.VBS、.BAT、.HLP、.DLL などがあります。 スクリプト Web ページや電子メールで実行が許可されている場合、ActiveX や JavaScript などのスクリ プトにウイルスが感染している場合があります。 インターネット リ これらのメッセージと一緒に送信されるファイルにはマルウェアを簡単に組み込むことができ ます。たとえば、自動開始プロセスにワームやトロイの木馬が潜んでいる可能性があります。 レー チャット (IRC) メッセージ ブラウザーとアプ リケーションのヘ ルプ ファイル これらのヘルプ ファイルをダウンロードすると、これらのファイルに埋め込まれたウイルスや 実行ファイルによってシステムが攻撃される危険性があります。 Email Jokes, games, and images as part of email messages with attachments. これらのアクセス ポイントの組み合 わせ 巧妙なマルウェアの作成者は、これらすべての手段を組み合わせて、マルウェアを別のマルウ ェアに埋め込んで、管理対象のコンピューターにアクセスを試みます。 アクセス保護が脅威を阻止する方法 アクセス保護は、McAfee 定義とユーザー定義の保護ルールに従ってアクションを管理し、潜在的な脅威を阻止しま す。 脅威対策 は、基本的なプロセスに従い、アクセス保護を提供します。 脅威の検出時 ユーザーまたはプロセスが処理を行った場合: 1 アクセス保護は、定義済みのルールに従ってアクションを検査します。 2 アクションがルールに違反している場合、アクセス保護は設定済みのルールの情報に従ってアクションを管理し ます。 3 アクセス保護はログ ファイルを更新し、イベントを生成して管理サーバーに送信します (サーバーで管理されて いる場合)。 McAfee Endpoint Security 10.2 製品ガイド 67 3 脅威対策 の使用 脅威対策 の管理 アクセス脅威の例 1 ユーザーが、マルウェアでない正規のプログラム (MyProgram.exe) をインターネットからダウンロードしま す。 2 ユーザーが MyProgram.exe を起動します。プログラムは正常に起動しれたように見えます。 3 MyProgram.exe が AnnoyMe.exe という子プロセスを実行します。 4 自身が起動時に常に読み込まれるように、AnnoyMe.exe がオペレーティング システムを変更しようとします。 5 アクセス保護が要求を処理し、既存のブロック/レポート ルールとアクションを比較します。 6 アクセス保護が AnnoyMe.exe によるオペレーティング システムの変更を防止して詳細をログに記録します。 また、アクセス保護はアラートを生成して、管理サーバーに送信します。 アクセス保護ルールについて McAfee 定義とユーザー定義のアクセス保護ルールを使用して、システムのアクセス ポイントを保護します。 McAfee 定義ルールは常に、ユーザー定義ルールよりも前に適用されます。 ルール タイプ 説明 McAfee 定義 ルール • このルールは、使用頻度の高いファイルや設定の変更を防止します。 ユーザー定義 ルール • このルールは、McAfee 定義ルールで提供される保護機能を補います。 • McAfee 定義ルールを有効または無効にしたり、変更することはできますが、削除することはで きません。 • [実行ファイル]のテーブルに何も指定しないと、すべての実行ファイルにルールが適用されま す。 • [ユーザー名]のテーブルに何も指定しないと、すべてのユーザーにルールが適用されます。 • これらのルールを追加して有効にしたり、無効にして削除することができます。また、ルールの 設定を変更することもできます。 除外対象 ルール レベルで、指定したルールに除外対象と追加対象が適用されます。 ポリシー レベルで、すべてのルールに除 外対象が適用されます。 除外対象はオプションです。 関連トピック: 74 ページの「アクセス保護からプロセスを除外する」 McAfee 定義のアクセス保護ルールを設定する McAfee 定義ルールは、使用頻度の高いファイルや設定の変更を防止します。 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 次の操作が可能です。 68 • これらのルールの設定 (ブロックまたは報告) を変更する。 • これらのルールに対象または除外対象の実行ファイルを追加する。 McAfee Endpoint Security 10.2 製品ガイド 脅威対策 の使用 脅威対策 の管理 3 次のことはできません。 • これらのルールを削除する。 • これらのルールで保護されたファイルまたは設定を変更する。 • これらのルールにサブルールまたはユーザー名を追加する。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 Endpoint Security クライアントを開きます。 2 メインの [ステータス] ページで [脅威対策] をクリックします。 あるいは、[アクション] メニュー 3 [詳細を表示] をクリックします。 4 [アクセス保護] をクリックします。 5 次の手順でルールを変更します。 a 6 から [設定] を選択し、[設定] ページで [脅威対策] をクリックします。 [ルール] セクションで、ルールに [ブロック]、[報告] またはその両方を選択します。 • すべてをブロックまたは報告するには、最初の行で [ブロック] または [報告] を選択します。 • ルールを無効にするには、[ブロック] と [報告] の選択を解除します。 b 編集する McAfee 定義ルールをダブルクリックします。 c [McAfee 定義ルールの編集] ページで設定を行います。 d [実行ファイル] セクションで [追加] をクリックし、[保存] を 2 回クリックしてルールを保存します。 [適用] をクリックして変更を保存するか、[キャンセル] をクリックします。 関連トピック: 69 ページの「McAfee 定義のアクセス保護ルール」 27 ページの「管理者としてログオンする」 74 ページの「アクセス保護からプロセスを除外する」 McAfee 定義のアクセス保護ルール McAfee 定義のアクセス保護ルールを使用して、コンピューターを未承認の変更から保護します。 McAfee 定義ルール 説明 [登録済み拡張子の変 更] ファイルの拡張子が登録されている HKEY_CLASSES_ROOT のレジストリ キーを保護 します。 このルールはマルウェアによる登録済み拡張子の改ざんを防ぎます。マルウェアは、拡張 子の登録を改ざんすることで検出を回避しようとします。 ベストプラクティス: レジストリの拡張子登録を変更する正規のアプリケーションをイン ストールする場合には、このルールを無効にしてください。 このルールは [EXE またはその他の実行ファイルの乗っ取り] と同等ですが、制限は厳し くなります。 [ユーザー権限ポリシー の変更] McAfee Endpoint Security 10.2 Windows のセキュリティ情報が保存されているレジストリ値を保護します。 ワームが管理者権限のあるアカウントを変更できないようにします。 製品ガイド 69 3 脅威対策 の使用 脅威対策 の管理 McAfee 定義ルール 説明 [Program Files フォル Program Files フォルダーで新しい実行ファイルの作成を禁止します。 ダーでの新しい実行フ このルールにより、アドウェアやスパイウェアが Program Files フォルダーで新し ァイルの作成] い .EXE ファイルや .DLL ファイルを作成できなくなります。また、新しい実行ファイル のインストールもできません。 ベストプラクティス: このルールを有効にする前にアプリケーションをインストールする か、ブロックされたプロセスを除外リストに追加してください。 [Windows フォルダー での新しい実行ファイ ルの作成] ネットワーク経由だけでなく、プロセスによるファイルの作成を防止します。 このルールにより、Windows フォルダーで .EXE ファイルと .DLL ファイルが作成でき なくなります。 ベストプラクティス: Windows フォルダーに必要なプロセスは除外リストに追加してく ださい。 [レジストリ エディター Windows レジストリの項目を保護し、レジストリ エディターとタスク マネージャーの とタスク マネージャー 無効化を防ぎます。 の無効化] アウトブレーク中は、このルールを無効にしてレジストリの変更を可能にするか、タスク マネージャーを開いてアクティブなプロセスを停止してください。 [Windows スクリプト ホスト (CScript.exe または Wscript.exe) による一時フォルダー からのスクリプトの実 行] [.EXE または他の実行 ファイルの拡張子の変 更] 名前に temp を含むフォルダーで Windows スクリプティング ホストが VBScript や JavaScript を実行できないようにします。 トロイの木馬だけでなく、アドウェアとスパイウェアが使用する不審な Web インストー ルを阻止できます。 このルールを有効にすると、正規のスクリプトやサードパーティ アプリケーションのイ ンストールや実行ができなくなる可能性があります。 HKEY_CLASSES_ROOT の下にある .EXE、.BAT、他の実行ファイルのレジストリ キー を保護します。 このルールはマルウェアによるレジストリ キーの変更を阻止します。このキーが改ざん されると、他の実行ファイルと一緒にウイルスの実行が可能になります。 このルールは [登録済みの拡張子の変更] と同等ですが、制限は緩くなります。 [ブラウザー ヘルパー オブジェクトまたはシ ェル拡張機能のインス トール] アドウェア、スパイウェア、トロイの木馬がブラウザー ヘルパー オブジェクトとしてホ スト コンピューターにインストールされないようにします。 システムにアドウェアやスパイウェアがインストールされないようにします。 ベストプラクティス: 正規のカスタムまたはサードパーティ アプリケーションがこれら のオブジェクトをインストールする場合、これらのアプリケーションを除外リストに追加 してください。 インストール後、ルールを再度有効にしてください。インストールしたブ ラウザー ヘルパー オブジェクトの動作がこのルールの影響を受けることはありません。 [新しい CLSID、 新しい COM サーバーのインストールまたは登録を防ぎます。 APPID、TYPELIB のイ Internet Explorer や Microsoft Office の COM アドオンとして自身をインストールす ンストール] るアドウェアとスパイウェアの侵入を阻止します。 ベストプラクティス: COM アドオンを登録する正規のアプリケーションを除外リストに 追加して許可してください (Adobe Flash などの共通アプリケーションも含む)。 70 McAfee Endpoint Security 10.2 製品ガイド 脅威対策 の使用 脅威対策 の管理 McAfee 定義ルール 説明 [Internet Explorer に よる Downloaded Program Files フォル ダーからのファイルの 起動] Web ブラウザー経由でのソフトウェアのインストールを防止します。 これは、 Microsoft Internet Explorer 固有のルールです。 3 このルールを使用すると、正規のソフトウェアもインストールがブロックされる可能性が あります。このルールを有効にする前にアプリケーションをインストールするか、インス トール プロセスを除外対象に追加してください。 デフォルトでは、このルールに [報告] が設定されています。 このルールを使用すると、アドウェアとスパイウェアはこのフォルダーで実行ファイルを 実行できなくなります。 [Windows コア プロセ なりすましによるファイルの作成または実行を阻止します。 スの変更] Windows のプロセス名を悪用したウイルスやトロイの木馬の実行を防ぎます。 本物の Windows ファイルには適用されません。 [Internet Explorer の 設定の変更] プロセスが Internet Explorer の設定を変更できないようにします。 [ネットワーク設定の変 更] 除外リストにないプロセスはシステムのネットワーク設定を変更できなくなります。 トロイの木馬、アドウェア、スパイウェアによるブラウザー設定の改ざんを阻止します。 たとえば、スタート ページの変更や、お気に入りのインストールを防ぎます。 ネットワーク トラフィックをキャプチャしてサードパーティのサイトに送信し、ブラウ ザーの動作などのデータを転送する複数層サービス プロバイダーから保護します。 ベストプラクティス: ネットワーク設定の変更が必要になるプロセスを除外リストに追加 するか、変更中はルールを無効にしてください。 [自動実行するプログラ ムの登録] システム起動時に自動実行を試みるアドウェア、スパイウェア、トロイの木馬、ウイルス をブロックします。 このルールにより、除外リストにないプロセスは、システム起動時に実行するプロセスを 登録できなくなります。 ベストプラクティス: 正規のアプリケーションは除外リストに追加するか、ルールを有効 にする前にインストールしてください。 [ローカル ファイルまた リモート コンピューターからの読み取りアクセスと書き込みアクセスを阻止します。 はフォルダーに対する 共有に潜伏するワークの拡散を防ぎます。 リモート アクセス] 一般的な環境の場合、このルールはサーバーではなくワークステーションに有効です。ま た、実際に攻撃を受けている場合にのみ効力を発揮します。 ファイルがプッシュされる管理対象のコンピューターの場合、更新やパッチのインストー ルができなくなります。 このルールは、McAfee ePO の管理機能に影響を及ぼしません。 [リモートからの自動実 行ファイルの作成] 他のコンピューターからの接続を阻止し、自動実行ファイル (autorun.inf) の作成や変更 を防ぎます。 自動実行ファイルはプログラム ファイルを自動的に実行します。たとえば、CD にあるセ ットアップ ファイルなどが該当します。 このルールは、CD からスパイウェアやアドウェアが実行されないようにします。 デフォルトでは、このルールに [ブロック] と [報告] が選択されています。 McAfee Endpoint Security 10.2 製品ガイド 71 3 脅威対策 の使用 脅威対策 の管理 McAfee 定義ルール 説明 [リモートからのファイ ルまたはフォルダーの 作成または変更] すべての共有に対する書き込みをブロックします。 このルールを有効にすると、書き込みアクセスを阻止し、感染の拡大を防ぐことができま す。アウトブレークの発生時に有効です。 コンピューターやネットワークの使用を制限 するマルウェアもブロックされます。 一般的な環境の場合、このルールはサーバーではなくワークステーションに有効です。ま た、実際に攻撃を受けている場合にのみ効力を発揮します。 ファイルがプッシュされる管理対象のコンピューターの場合、更新やパッチのインストー ルができなくなります。 このルールは、McAfee ePO の管理機能に影響を及ぼしません。 [リモートからのポータ ブル実行可能ファイ ル、.INI、.PIF ファイ ル、コア システムの場 所の作成または変更] 他のコンピューターからの接続を阻止し、実行ファイル (Windows フォルダー内のファ イルなど) の変更を防ぎます。 このルールは、ウイルスに感染する可能性が高いファイル の種類にのみ適用されます。 ウイルスやワームがネットワーク上のオープン共有や管理共有を介して短時間で拡散し ないようにします。 このルールは、[すべての共有を読み取り専用にする] と同等ですが、制限は緩くなりま す。 [一時フォルダーからの ファイルの実行] 名前に temp を含むフォルダーからの実行ファイルの起動をブロックします。 このルールは、ユーザーまたはシステムの一時フォルダーに侵入し、実行を試みるマルウ ェアを阻止します。 このようなマルウェアは、電子メールの添付ファイルやダウンロー ドしたプログラムに感染している可能性があります。 保護レベルは最高になりますが、正規のアプリケーションもインストールできなくなる可 能性があります。 [共通プログラムによる 一時フォルダーからの ファイルの実行] ブラウザーまたは電子メール クライアントからソフトウェアをインストールするアプリ ケーションをブロックします。 このルールにより、電子メールの添付ファイルや実行ファイルが Web ページ上で実行で きなくなります。 ベストプラクティス: 一時フォルダーを使用するアプリケーションをインストールするに は、プロセスを除外リストに追加してください。 関連トピック: 68 ページの「McAfee 定義のアクセス保護ルールを設定する」 ユーザー定義のアクセス保護ルールを設定する ユーザー定義のルールは、McAfee 定義ルールで提供される保護機能を補います。 これらのルールを追加して有効に したり、無効にして削除することができます。また、ルールの設定を変更することもできます。 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 ベストプラクティス: アクセス保護ルールを作成してランサムウェアから保護する方法については、PD25203 を参照 してください。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 Endpoint Security クライアントを開きます。 2 メインの [ステータス] ページで [脅威対策] をクリックします。 あるいは、[アクション] メニュー 72 McAfee Endpoint Security 10.2 から [設定] を選択し、[設定] ページで [脅威対策] をクリックします。 製品ガイド 脅威対策 の使用 脅威対策 の管理 3 [詳細を表示] をクリックします。 4 [アクセス保護] をクリックします。 5 ルールを作成します。[ルール] セクションで [追加] をクリックします。 3 [ルールの追加] ページで設定を行います。 a [実行ファイル] セクションで [追加] をクリックし、実行ファイルのプロパティを設定します。[保存] を 2 回クリックします。 [実行ファイル]のテーブルに何も指定しないと、すべての実行ファイルにルールが適用されます。 b [ユーザー名] セクションで [追加] をクリックし、ユーザー名のプロパティを設定します。 [ユーザー名]のテーブルに何も指定しないと、すべてのユーザーにルールが適用されます。 c [サブルール] セクションで [追加] をクリックして、サブルールのプロパティを設定します。 ベストプラクティス: パフォーマンスの低下を防ぐため、[読み取り] 操作は選択しないでください。 [対象] セクションで [追加] をクリックし、対象の情報を設定します。[保存] を 2 回クリックします。 6 7 [ルール] セクションで、ルールに [ブロック]、[報告] またはその両方を選択します。 • すべてをブロックまたは報告するには、最初の行で [ブロック] または [報告] を選択します。 • ルールを無効にするには、[ブロック] と [報告] の選択を解除します。 [適用] をクリックして変更を保存するか、[キャンセル] をクリックします。 関連トピック: 74 ページの「アクセス保護からプロセスを除外する」 アクセス保護でサブルールの対象が評価される方法 各対象には、対象または除外ディレクティブが追加されます。 McAfee Endpoint Security 10.2 製品ガイド 73 3 脅威対策 の使用 脅威対策 の管理 サブルールでシステム イベントを評価する場合、次の条件を満たすと true と評価されます。 • 1 つ上の追加が true と評価されます。 かつ • すべての除外が false と評価されている。 除外は対象よりも優先します。 例: • 1 つのサブルールで C:\marketing\jjohns が対象と除外に設定されていると、このファイルにサブルールはト リガーされません。 • サブルールにすべてのファイルが指定され、C:\marketing\jjohns が除外されていると、ファイルが C: \marketing\jjohns でない場合にサブルールがトリガーされます。 • サブルールで対象に C:\marketing\* が設定され、C:\marketing\jjohns が除外されている場合、C: \marketing\anyone にサブルールがトリガーされますが、C:\marketing\jjohns ではトリガーされません。 アクセス保護からプロセスを除外する 信頼されたプログラムがブロックされた場合には、ポリシー別またはルール別の除外対象を作成してプロセスを除外 します。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 Endpoint Security クライアントを開きます。 2 メインの [ステータス] ページで [脅威対策] をクリックします。 あるいは、[アクション] メニュー から [設定] を選択し、[設定] ページで [脅威対策] をクリックします。 3 [詳細を表示] をクリックします。 4 [アクセス保護] をクリックします。 5 アクセス保護が有効になっていることを確認します。 アクセス保護は、デフォルトで有効になっています。 6 次のいずれかを実行します。 操作... 手順... ポリシーで除 外対象を作成 する。 1 [除外対象] セクションで [追加] をクリックして、すべてのルールから除外するプロセスを 追加します。 2 [実行ファイルの追加] ページで実行ファイルのプロパティを設定します。 3 [保存]、[適用] の順にクリックして、設定を保存します。 ルールで除外 対象を作成す る。 1 既存のルールを編集するか、新しいルールを追加します。 2 [ルールの追加] または [ルールの編集] ページで [追加] をクリックして、除外する実行ファ イルを追加します。 3 [実行ファイルの追加] ページで実行ファイルのプロパティを設定します。 4 [保存] をクリックして、除外対象を保存します。 74 McAfee Endpoint Security 10.2 製品ガイド 脅威対策 の使用 脅威対策 の管理 3 バッファー オーバーフロー エクスプロイトのブロック エクスプロイト防止は、バッファー オーバーフローを悪用した任意のコードの実行を阻止します。この機能は、ユー ザー モードの API 呼び出しを監視し、バッファー オーバフローの結果として発生した呼び出しを検知します。 脅威を検出すると、設定に従って情報がアクティビティ ログに記録され、クライアント システムに表示されます。 また、管理サーバーに送信されます。 脅威対策 は、エクスプロイト防止コンテンツ ファイルを使用して、Microsoft Internet Explorer、Microsoft Outlook、Outlook Express、Microsoft Word、MSN Messenger などのアプリケーションを保護します。 Host Intrusion Prevention 8.0 は、Endpoint Security 10.2 と同じシステムにインストールできます。 McAfee Host IPS を有効にすると、エクスプロイト防止が無効になります。ポリシー設定で有効になっていても無効になりま す バッファー オーバーフロー エクスプロイトの仕組み 攻撃者は、バッファー オーバーフローの弱点を突き、入力プロセス用に予約された固定サイズのメモリー バッファ ーをあふれさせ、任意のコードを実行しようとします。コードの実行に成功すると、攻撃先のコンピューターが乗っ 取られたり、データが不正にアクセスされる可能性があります。 マルウェアによる攻撃の 25% 以上はバッファー オーバーフローを悪用し、スタック領域の隣接メモリーを上書きし ようとしています。 バッファー オーバーフロー エクスプロイトには次の 2 種類があります。 • スタック ベースの攻撃では、スタック メモリー オブジェクトを使用してユーザー入力を保存します。ほとんど の攻撃はこのタイプです。 • ヒープ ベースの攻撃では、プログラムに予約されているメモリー領域を上書きします。このタイプの攻撃は稀で す。 固定サイズのスタック メモリー オブジェクトは通常は、ユーザーからの入力が渡されるまで空の状態になっていま す。プログラムがユーザー入力を受け取ると、スタックの最上位にデータが保管され、そのデータに戻りアドレスが 割り当られます。スタックが処理されると、プログラムが指定した戻りアドレスにユーザーの入力値が渡されます。 次のプロセスでは、スタック ベースのバッファー オーバーフロー攻撃を説明します。 1 スタックのオーバーフロー プログラムが実行されると、特定のメモリー領域がデータ用に予約されます。書き込まれるデータがメモリー ス タック内の予約領域よりも大きいと、スタック オーバーフローが発生します。この状況が問題となるのは、攻撃 目的の入力を伴う場合のみです。 2 オーバーフローの悪用 プログラムがユーザーからの入力を待機します。ここで、スタック サイズを超えるコマンドを入力すると、この コマンドは予約領域以外にも保存されます。 3 マルウェアの実行 コマンドがスタック バッファーを超えても、すぐに実行されるわけではありません。まず、バッファー オーバー フローが発生し、プログラムがクラッシュします。攻撃者が不正なコマンドを参照する戻りアドレスを渡すと、 プログラムはこの戻りアドレスを使用して回復を試みます。戻りアドレスが有効であれば、不正なコマンドが実 行されます。 4 権限の悪用 この段階で、攻撃を受けたアプリケーションと同じ権限でマルウェアが実行されます。プログラムは通常、カー ネル モードで実行されるか、サービス アカウントから継承した権限で実行されます。この場合、攻撃者はオペレ ーティング システムを自由に操作することができます。 McAfee Endpoint Security 10.2 製品ガイド 75 3 脅威対策 の使用 脅威対策 の管理 エクスプロイト防止を設定する コンピューターで任意のコードの実行を防止するには、エクスプロイト防止を設定します。 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 Endpoint Security クライアントを開きます。 2 メインの [ステータス] ページで [脅威対策] をクリックします。 あるいは、[アクション] メニュー から [設定] を選択し、[設定] ページで [脅威対策] をクリックします。 3 [詳細を表示] をクリックします。 4 [エクスプロイト防止] をクリックします。 5 ページで設定を行い、[適用] をクリックして変更を保存するか、[キャンセル] をクリックします。 関連トピック: 27 ページの「管理者としてログオンする」 エクスプロイト防止からのプロセスの除外 エクスプロイト防止の違反イベントが発生した場合、関連するプロセスが存在します。また、呼び出し側のモジュー ルまたは API が存在する可能性があります。 違反イベントが誤検知の可能性がある場合、そのプロセス、呼び出し側のモジュールまたは API を指定して除外リス トに追加できます。 1 つの除外項目では、プロセス、モジュール、API が論理積で結合されます。 違反イベントが繰り返し発生しないよ うに、違反イベントに関連するプロセス、モジュール、API と比較され、すべての項目が一致すると除外対象となり ます。 それぞれの除外項目は独立した存在です。複数の除外項目は論理輪で結合されます。1 つでも除外項目が一致する と、脅威イベントは発生しません。 不審なプログラムの検出 不審なプログラムから管理対象コンピューターを保護するには、環境内で検出するファイルとプログラムを指定し、 検出を有効にします。 不審なプログラムは迷惑行為を行うソフトウェアです。セキュリティの状態を変更したり、システムのプライバシー ポリシーを改ざんする場合もあります。不審なプログラムは、ユーザーがダウンロードしたプログラムに埋め込まれ ている場合があります。スパイウェア、アドウェア、ダイヤラーなどが不審なプログラムです。 76 1 オンアクセス スキャナーとオンデマンド スキャナーが検出する不審なプログラムを指定するには、オプションを 使用します。 2 不審なプログラムの検出を有効にして、検出時に実行するアクションを次のポリシーに指定します。 • オンアクセス スキャン • オンデマンド スキャン McAfee Endpoint Security 10.2 製品ガイド 脅威対策 の使用 脅威対策 の管理 3 関連トピック: 77 ページの「検出する不審なプログラムを指定する」 77 ページの「不審なプログラムの検出を有効にして応答を設定する」 79 ページの「オンアクセス スキャンを設定する」 84 ページの「オンデマンド スキャン を設定する」 検出する不審なプログラムを指定する オンアクセス スキャナーとオンデマンド スキャナーが不審なプログラムとして処理するプログラムを指定するに は、オプションを使用します。 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 スキャナーは、ユーザーが指定したプログラムと AMCore コンテンツ ファイルに指定したプログラムを検出します。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 Endpoint Security クライアントを開きます。 2 メインの [ステータス] ページで [脅威対策] をクリックします。 あるいは、[アクション] メニュー から [設定] を選択し、[設定] ページで [脅威対策] をクリックします。 3 [詳細を表示] をクリックします。 4 [オプション] をクリックします。 5 [不審なプログラムの検出] で次の操作を行います。 • [追加] をクリックして、不審なプログラムとして識別されるファイルまたはプログラムの名前を入力します。 オプションで説明を指定することもできます。 脅威が検出されると、検出名が [説明] に表示されます。 • 変更する不審なプログラムの名前または説明をダブルクリックします。 • 既存の不審なプログラムを選択して [削除] をクリックし、プログラムをリストから削除します。 関連トピック: 27 ページの「管理者としてログオンする」 不審なプログラムの検出を有効にして応答を設定する オンアクセス スキャナーとオンデマンド スキャナーで不審なプログラムの検出を有効にして、検出時の応答を指定 します。 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 McAfee Endpoint Security 10.2 製品ガイド 77 3 脅威対策 の使用 脅威対策 の管理 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 オンアクセス スキャン設定します。 a Endpoint Security クライアントを開きます。 b メインの [ステータス] ページで [脅威対策] をクリックします。 あるいは、[アクション] メニュー す。 2 から [設定] を選択し、[設定] ページで [脅威対策] をクリックしま c [詳細を表示] をクリックします。 d [オンアクセス スキャン] をクリックします。 e [プロセス設定] で、オンアクセス スキャン ポリシー に [不審なプログラムを検出] を選択します。 f [アクション] で、不審なプログラムに対する応答を設定します。 オンデマンド スキャン を設定します。 a Endpoint Security クライアントを開きます。 b メインの [ステータス] ページで [脅威対策] をクリックします。 あるいは、[アクション] メニュー す。 から [設定] を選択し、[設定] ページで [脅威対策] をクリックしま c [詳細を表示] をクリックします。 d [オンデマンド スキャン] をクリックします。 e スキャンの種類 ([フル スキャン]、[クイック スキャン]、[右クリック スキャン]) ごとに次の操作を行いま す。 • [不審なプログラムを検出] を選択します。 • [アクション] で、不審なプログラムに対する応答を設定します。 関連トピック: 79 ページの「オンアクセス スキャンを設定する」 84 ページの「オンデマンド スキャン を設定する」 27 ページの「管理者としてログオンする」 共通のスキャン設定を行う オンアクセス スキャンとオンデマンド スキャンの両方に適用される設定を指定するには、脅威対策 の オプションを 設定します。 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 次の設定はすべてのスキャンに適用されます。 78 • 隔離場所と隔離項目の保存期間。この期間を過ぎると、隔離項目は自動的に削除されます。 • スキャン対象から除外する検出名 McAfee Endpoint Security 10.2 製品ガイド 脅威対策 の使用 脅威対策 の管理 • 検出する不審なプログラム (スパイウェア、アドウェアなど) • McAfee GTI ベースの利用統計のフィードバック 3 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 Endpoint Security クライアントを開きます。 2 メインの [ステータス] ページで [脅威対策] をクリックします。 あるいは、[アクション] メニュー から [設定] を選択し、[設定] ページで [脅威対策] をクリックします。 3 [詳細を表示] をクリックします。 4 [オプション] をクリックします。 5 ページで設定を行い、[適用] をクリックして変更を保存するか、[キャンセル] をクリックします。 関連トピック: 27 ページの「管理者としてログオンする」 79 ページの「オンアクセス スキャンを設定する」 84 ページの「オンデマンド スキャン を設定する」 McAfee GTI の機能 オンアクセス スキャナーまたはオンデマンド スキャナーで McAfee GTI を有効にすると、スキャナーは不審なファ イルにヒューリスティック スキャンを実行します。 McAfee GTI サーバーには、Web 管理で使用するサイトの評価 とレポートが保存されます。 ダウンロード ファイルをスキャンするように Web 管理を設定すると、スキャナーは McAfee GTI から提供されるファイル レピュテーションを使用して不審なファイルを検出します。 スキャナーは、McAfee Labs がホスティングしている中央のデータベース サーバーにサンプルのフィンガープリン トまたはハッシュを送信し、マルウェアかどうかを判断します。 ハッシュを送信するので、McAfee Labs が次のコ ンテンツ ファイルで更新を公開する前に脅威を検出できる場合があります。 サンプルがマルウェアかどうか判断するときに McAfee GTI が使用する感度レベルを設定できます。 感度レベルを 高くすると、検出されるマルウェアの数は多くなります。 ただし、検出数が増えると、誤検知も増える可能性があり ます。 • 脅威対策の場合、McAfee GTI のデフォルトの感度レベルは中に設定されています。 脅威対策の設定でスキャナ ーごとに感度レベルを設定します。 • Web 管理の場合、McAfee GTI のデフォルトの感度レベルは非常に高に設定されています。 Web 管理の [オプ ション] 設定で、ダウンロード ファイルのスキャンの感度レベルを設定します。 共通設定の設定で McAfee GTI レピュテーション情報を取得するときにプロキシ サーバーに接続するように Endpoint Security を設定できます。 オンアクセス スキャンを設定する 脅威検出時に送信するメッセージなど、オンアクセス スキャンの設定を行います。プロセスの種類別に異なる設定を 行うことができます。 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 スキャン設定オプションの詳細については、ヘルプで脅威対策の [オプション] 設定を確認してください。 McAfee Endpoint Security 10.2 製品ガイド 79 3 脅威対策 の使用 脅威対策 の管理 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 Endpoint Security クライアントを開きます。 2 メインの [ステータス] ページで [脅威対策] をクリックします。 あるいは、[アクション] メニュー から [設定] を選択し、[設定] ページで [脅威対策] をクリックします。 3 [詳細を表示] をクリックします。 4 [オンアクセス スキャン] をクリックします。 5 [オンアクセス スキャンを有効にする] を選択して、オンアクセス スキャナーを有効にし、オプションを変更し ます。 6 すべてのプロセスに標準の設定を使用するか、危険度高と危険度低のプロセスに別の設定を使用するかどうかを 指定します。 7 • 標準設定 — [標準] タブでスキャンの設定を行います。 • プロセスの種類別に異なる設定を使用する場合 - タブ ([標準]、[危険度高]、[危険度低]) を選択して、プロ セスの種類別にスキャンを設定します。 [適用] をクリックして変更を保存するか、[キャンセル] をクリックします。 関連トピック: 27 ページの「管理者としてログオンする」 78 ページの「共通のスキャン設定を行う」 オンアクセス スキャンの機能 オンアクセス スキャナーは、システムの最下位層 (ファイル システムのフィルター ドライバー) と連携し、システ ムに入っていくる最初の段階でファイルをスキャンします。 オンアクセス スキャナーは、脅威を検出すると、サービス インターフェースに通知します。 ファイルのオープンまたっはクローズが試行されると、スキャナーはその操作をブロックし、次のアクションを実行 します。 1 次の条件に従って、ファイルがスキャン対象かどうかを判断します。 • ファイルの拡張子が設定と一致している。 • ファイルがキャッシュにないか、除外対象になっていない。あるいは以前にスキャンされていない。 McAfee GTI を設定すると、スキャナーはヒューリスティック スキャンを実行し、不審なファイルを検出します。 2 80 ファイルがスキャン条件に一致すると、現在読み込まれている AMCore コンテンツ ファイルのシグネチャとフ ァイル内の情報を比較します。 • ファイルが感染していない場合、結果をキャッシュし、読み取りまたは書き込み操作を許可します。 • ファイルで脅威を検出した場合、操作を拒否し、設定されているアクションを実行します。 McAfee Endpoint Security 10.2 製品ガイド 脅威対策 の使用 脅威対策 の管理 3 たとえば、アクションにファイルの駆除が指定されている場合、スキャナーは次の処理を実行します。 1 現在読み込まれている AMCore コンテンツ ファイルの情報を使用してファイルを駆除します。 2 結果をアクティビティ ログに記録します。 3 ファイルに脅威が存在することをユーザーに通知し、実行するアクション (ファイルの駆除または削除) を 確認します。 Windows 8 と 10 - インストール済みの Windows ストア アプリのパスで脅威が検出されると、スキャ ナーはそのオブジェクトに改ざんというマークを付けます。 Windows は、アプリのタイトルに改ざんフラグ を追加します。 このアプリを実行すると、Windows は問題を通知し、Windows ストアにリダイレクトして 再インストールを指示します。 3 ファイルがスキャン要件を満たしていない場合、ファイルをキャッシュに保存し、操作を許可します。 Endpoint Security サービスまたはシステムが再起動すると、オンアクセス スキャンの検出リストがクリアされま す。 次の場合、脅威対策はグローバル スキャン キャッシュをクリアします。すべてのファイルを再スキャンします。 • オンアクセス スキャン の設定が変更された場合 • Extra.DAT ファイルが追加された場合 ディスクへの書き込み、ディスクからの読み取りまたは McAfee の判断によるスキャン オンアクセス スキャナーの実行条件を指定できます。ディスクへの書き込み、ディスクからの読み取り、McAfee の 判断によるスキャン、から選択できます。 McAfee Endpoint Security 10.2 製品ガイド 81 3 脅威対策 の使用 脅威対策 の管理 ファイルがディスクに書き込まれるときに、オンアクセス スキャナーは次のファイルをスキャンします。 • ローカル ハード ドライブに書き込まれようとしている受信ファイル。 • 新規作成、変更、ドライブ間の移動で、ローカル ドライブまたはネットワーク ドライブ (有効な場合) に作成さ れるファイル。 ディスクからファイルを読み取るときに、オンアクセス スキャナーは次のファイルをスキャンします。 • ローカル ドライブまたはネットワーク ドライブ (有効な場合) から読み取られる送信ファイル。 • ローカル ドライブ上でプロセスの実行を試みるファイル。 • ローカル ドライブで開いているファイル。 McAfee の判断でスキャンを実行するように設定すると、オンアクセス スキャナーは 信頼ロジックを使用してスキ ャンを最適化します。 信頼ロジックで不要なスキャンを排除することで、セキュリティとパフォーマンスを強化しま す。 たとえば、McAfee は一部のプログラムを信頼できるプログラムと見なします。 McAfee が、これらのプログ ラムが改ざんされていないことを確認すると、スキャナーは最適化されたスキャンを実行します。 ベストプラクティス: 保護機能とパフォーマンスを最高の状態にするため、このオプションを有効にしてください。 ScriptScan について 脅威対策 スクリプト スキャナーは、ネイティブ Windows スクリプト ホストのプロキシ コンポーネントとして動 作し、実行前にスクリプトをスキャンします。 82 • スクリプトに脅威が存在しない場合、スクリプトをネイティブ Windows スクリプト ホストに渡します。 • スクリプトで潜在的な脅威が検出された場合、スクリプト スキャナーがスクリプトの実行を阻止します。 McAfee Endpoint Security 10.2 製品ガイド 脅威対策 の使用 脅威対策 の管理 3 ScriptScan の除外対象 スクリプト数の多いサイトや Web アプリケーションの場合、ScriptScan を有効にするとパフォーマンスが低下す る可能性があります。 ScriptScan を無効にするのではなく、信頼サイトの URL を除外対象に指定することをお勧 めします。たとえば、イントラネット内のサイトや、安全性が確認されている Web アプリケーションを除外対象に 設定します。 URL 除外対象を作成する場合: • ワイルドカード文字を使用しないでください • ポート番号を指定しないでください。 • 完全修飾ドメイン名 (FQDN) と NetBIOS 名以外は使用しないでください。 Windows Server 2008 の場合、ScriptScan URL の除外対象を Internet Explorer で機能させるには、サードパー ティ製のブラウザー拡張を有効にしてシステムを再起動する必要があります。 KnowledgeBase の記事 KB69526 を参照してください。 ScriptScan と Internet Explorer 脅威対策 のインストール後に初めて Internet Explorer を起動すると、プロンプトが表示され、1 つ以上の McAfee アドオンを有効にするように指示されます。 ScriptScan でスクリプトをスキャンするには: • ScriptScan を有効にする を選択する必要があります。 • アドオンをブラウザーで有効にする必要があります。 Internet Explorer の起動後に ScriptScan を有効にしても、Internet Explorer のこのインスタンスでは不審なスク リプトが検出されません。 不正なスクリプトを検出するには、ScriptScan を有効にした後で Internet Explorer を 再起動する必要があります。 プロセスのスキャン設定を決める方法 次のプロセスに従って、プロセス タイプごとに異なる設定を行うかどうかを判断してください。 McAfee Endpoint Security 10.2 製品ガイド 83 3 脅威対策 の使用 脅威対策 の管理 オンデマンド スキャン を設定する この設定では、フル スキャン、クイック スキャン、右クリック スキャンの 3 つのオンデマンド スキャンの動作を 定義します。 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 スキャン設定オプションの詳細については、ヘルプで脅威対策の [オプション] 設定を確認してください。 84 McAfee Endpoint Security 10.2 製品ガイド 3 脅威対策 の使用 脅威対策 の管理 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 Endpoint Security クライアント を開きます。 2 メインの [ステータス] ページで [脅威対策] をクリックします。 あるいは、[アクション] メニュー から [設定] を選択し、[設定] ページで [脅威対策] をクリックします。 3 [詳細を表示] をクリックします。 4 [オンデマンド スキャン] をクリックします。 5 タブをクリックして、指定したスキャンの設定を行います。 6 • [フル スキャン] • [クイック スキャン] • [右クリック スキャン] ページで設定を行い、[適用] をクリックして変更を保存するか、[キャンセル] をクリックします。 関連トピック: 27 ページの「管理者としてログオンする」 78 ページの「共通のスキャン設定を行う」 88 ページの「スキャン タスクとスケジュールを設定して実行する」 オンデマンド スキャンの機能 オンデマンド スキャナーは、ファイル、フォルダー、メモリー、レジストリをスキャンし、マルウェア感染の有無を 確認します。 オンデマンド スキャンを実行するタイミングと頻度を設定します。手動でシステムをスキャンすることも、実行スケ ジュールを設定することもできます。また、システム起動時に実行することもできます。 1 オンデマンド スキャナーは、次の条件に従ってスキャン対象の項目を判断します。 • ファイルの拡張子が設定と一致している。 • ファイルがキャッシュ内にないか、実行またはスキャンされていない (スキャナーがスキャン キャッシュを使 用している場合)。 McAfee GTI を設定すると、スキャナーはヒューリスティック スキャンを実行し、不審なファイルを検出します。 2 ファイルがスキャン条件に一致すると、現在読み込まれている AMCore コンテンツ ファイルのマルウェア シグ ネチャとファイル内の情報を比較します。 • ファイルが感染していない場合、結果をキャッシュに保存し、次の項目をスキャンします。 • ファイルで脅威を検出した場合、設定されているアクションを実行します。 たとえば、アクションにファイルの駆除が指定されている場合、スキャナーは次の処理を実行します。 1 現在読み込まれている AMCore コンテンツ ファイルの情報を使用してファイルを駆除します。 2 結果をアクティビティ ログに記録します。 3 ファイルで脅威を検出したことをユーザーに通知します。項目名と実行したアクションも通知します。 McAfee Endpoint Security 10.2 製品ガイド 85 3 脅威対策 の使用 脅威対策 の管理 Windows 8 と 10 - インストール済みの Windows ストア アプリのパスで脅威が検出されると、スキャ ナーはそのオブジェクトに改ざんというマークを付けます。 Windows は、アプリのタイトルに改ざんフラグ を追加します。 このアプリを実行すると、Windows は問題を通知し、Windows ストアにリダイレクトして 再インストールを指示します。 3 項目がスキャン要件を満たしていない場合、スキャナーはその項目をチェックしません。すべてのデータをスキ ャンするまで処理を継続します。 次のオンデマンド スキャンが開始すると、オンデマンド スキャンの検出リストがクリアされます。 Extra.DAT が読み込まれると、脅威対策 はグローバル スキャン キャッシュをクリアします。すべてのファイルを再 スキャンします。 ユーザーに対するスキャンの影響を最小限に抑える方法 システムに対するオンデマンド スキャンの影響を最小限に抑えるには、スキャンの設定でパフォーマンス オプショ ンを指定します。 システムがアイドル状態の場合にのみスキャンする ユーザーに影響を及ぼさないようにスキャンを実行する最も簡単な方法は、コンピューターがアイドル状態のときに だけオンデマンド スキャンを行う方法です。 このオプションを選択すると、ディスキーボード操作やマウス操作などのディスクまたはユーザー アクティビティを 検出したときに脅威対策がスキャンを一時停止します。 脅威対策は、ユーザーが 3 分間システムにアクセスしない と、スキャンを再開します。 86 McAfee Endpoint Security 10.2 製品ガイド 脅威対策 の使用 脅威対策 の管理 3 以下の操作が可能です。 • ユーザーのアクティビティで一時停止したスキャンの再開をユーザーに許可します。 • システムがアイドル状態の場合にのみスキャンを再開します。 サーバー システムでは、このオプションを無効にすることをお勧めします。また、ユーザーがリモート デスクトッ プ接続 (RDP) だけでアクセスしているシステムでも無効にしてください。 脅威対策は McTray を使用してシステ ムがアイドル状態かどうかを判断します。 RDP だけで接続されているシステムの場合、McTray は開始しません。 オンデマンド スキャナーは実行されません。 この問題を回避するには、RDP でログオンするときに McTray を手動 で実行します (デフォルトでは C:\Program Files\McAfee\Agent\mctray.exe)。 [スキャン タスク]の設定タブにあるパフォーマンス セクションで、システムがアイドル状態の場合にのみスキャン を選択します。 スキャンを自動的に一時停止する システムがバッテリで動作している場合には、スキャン タスクを一時停止すると、パフォーマンスを改善できます。 ブラウザー、メディア プレイヤー、プレゼンテーションなどのアプリケーションが全画面表示で実行されているとき にスキャンを一時停止することもできます。 システムを電源に接続したり、全画面モードを解除するとすぐにスキャ ンが再開します。 スキャン タスクの設定タブにあるパフォーマンス セクションで、次のオプションを選択します。 • [システムがバッテリーで動作している場合にスキャンを実行しない] • [システムがプレゼンテーション モードの場合にスキャンを実行しない] ([いつでもスキャン] を選択した場合に 使用可能) ユーザーにスキャンの延期を許可する [いつでもスキャン] を選択すると、スケジュール スキャンの延期を 1 時間単位 (最大 24 時間まで) または無制限 に許可することができます。 1 回に延期できる時間は 1 時間です。 たとえば、[ユーザーが延期できる最大回数] オ プションを 2 に設定すると、ユーザーはスキャンを 2 回 (2 時間) 延期できます。 指定した最大時間を経過すると、 スキャンが続行します。 このオプションを 0 に設定して無期限の延期を許可した場合、ユーザーはスキャンの延期 を無期限で行うことができます。 [スキャン タスク]の設定タブにあるパフォーマンス セクションで、ユーザーにスキャンの延期を許可 を選択します。 差分スキャンを実行してスキャン アクティビティを制限する 差分 (再開可能な) スキャンを実行して、オンデマンド スキャンのアクティビティを制限します。システム全体は複 数のセッションでスキャンします。 差分スキャンを実行するには、スケジュール スキャンに制限時間を追加します。 制限時間に達すると、スキャンが停止します。 このタスクを次に開始すると、前回のスキャンが停止した位置 (ファ イルとフォルダー構造) からスキャンが再開します。 [スキャン タスク]のスケジュール タブにあるオプション セクションで、次の時間実行が続く場合は停止する を選択 します。 システム使用率を設定する システム使用率 とは、スキャン中にスキャナーに割り当てられる CPU 時間の量を表します。 システムでエンドユー ザーが操作を行っている場合には、システム使用率を [低] に設定します。 [スキャン タスク]の設定タブにあるパフォーマンス セクションで、システム使用率 を選択します。 関連トピック: 84 ページの「オンデマンド スキャン を設定する」 88 ページの「スキャン タスクとスケジュールを設定して実行する」 McAfee Endpoint Security 10.2 製品ガイド 87 3 脅威対策 の使用 脅威対策 の管理 システム使用率の機能 オンデマンド スキャナーは、Windows の [優先度の設定] を使用して、スキャン プロセスと脅威の優先度を判断し ます。システム使用率 (スロットル) の設定を使用すると、スキャン プロセス中にオンデマンド スキャナーに割り当 てられる CPU 時間を指定できます。 スキャンのシステム使用率を「低」に設定すると、他の実行中アプリケーションのパフォーマンスが向上します。エ ンド ユーザーが作業中のシステムでは「低」が適切な設定です。逆に、システム使用率を「標準」に設定すると、ス キャン速度が向上します。エンド ユーザーの作業量が殆どなく、ボリュームが大きいシステムの場合、「標準」が適 切な設定になります。 それぞれのタスクは、他のタスクの制限に関係なく、個別に実行されます。 表 3-2 デフォルトのプロセス設定 Windows の [優先度 の設定] の値 脅威対策 プロセ ス設定 オプションの結果... [低] 実行中の他のアプリケーションのパフォーマンスが向上します。エ 低 ンドユーザーが作業中の場合には、このオプションを選択してくださ い。 [標準以下 ] スキャンのシステム使用率が McAfee ePO のデフォルト値に設定さ れます。 [標準] (デフォル ト) スキャン速度が速くなります。エンド ユーザーの作業量が殆どなく、 標準 ボリュームが大きいシステムの場合には、このオプションを選択して ください。 標準以下 リモート ストレージ スキャンの機能 リモート ストレージが管理するファイルのコンテンツをスキャンするように、オンデマンド スキャナーを設定でき ます。 リモート ストレージは、ローカル システムで使用可能なストレージ容量を監視します。 リモート ストレージは、必 要に応じてファイルのコンテンツ (データ) をクライアント システムからストレージ デバイス (テープ ライブラリ など) に自動的に移行します。 移行されたファイルをユーザーが開くと、リモート ストレージはストレージ デバイ ス上のデータを自動的に呼び出します。 リモート ストレージが管理するファイルをスキャンするようにオンデマンド スキャナーを設定するには、[ストレー ジに移動したファイル] オプションを選択します。 コンテンツが移行されたファイルを検出すると、スキャナーはロ ーカル システムにファイルを復元してからスキャンを実行します。 詳細については、「リモート ストレージとは」を参照してください。 スキャン タスクとスケジュールを設定して実行する Endpoint Security クライアントの 共通設定で、[フル スキャン] と [クイック スキャン] のデフォルト タスクの スケジュールを設定したり、カスタム スキャン タスクを作成できます。 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 88 McAfee Endpoint Security 10.2 製品ガイド 脅威対策 の使用 脅威対策 の管理 3 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 Endpoint Security クライアントを開きます。 2 [アクション] メニュー 3 [詳細を表示] をクリックします。 4 [共通設定] から [タスク] をクリックします。 5 このページでスキャン タスクを設定します。 操作... から [設定] を選択します。 手順 カスタム スキャン タ 1 [追加] をクリックします。 スクを作成する。 2 名前を入力して、ドロップダウン リストから [カスタム スキャン] を選択し、[次へ] をクリックします。 3 スキャン タスクとスケジュールを設定して、[OK] をクリックしてタスクを保存しま す。 スキャン タスクを変 更する。 • タスクをダブルクリックして変更を行い、[OK] をクリックしてタスクを保存します。 カスタム スキャン タ • タスクを選択して、[削除] をクリックします。 スクを削除する。 スキャン タスクのコ ピーを作成する。 1 タスクを選択して、[複製] をクリックします。 2 名前を入力して設定を行い、[OK] をクリックしてタスクを保存します。 [フル スキャン] また 1 [フル スキャン] または [クイック スキャン] をダブルクリックします。 は [クイック スキャ ン] タスクのスケジュ 2 [スケジュール] タブをクリックしてスケジュールを変更し、[OK] をクリックしてタ ールを変更する。 スクを保存します。 自社管理システムの場合には、[フル スキャン] と [クイック スキャン] のタスクを設 定できます。 デフォルトでは、毎週水曜日の午前 0 時に [フル スキャン] が実行されます。 [クイッ ク スキャン] は、毎日午後 7 時に実行されます。 スケジュールは有効です。 スキャン タスクを実 行する。 • タスクを選択して、[今すぐ実行] をクリックします。 タスクがすでに実行中の場合 (一時停止と遅延も含む)、ボタンが [表示] に変わります。 変更を適用する前にタスクを実行すると、Endpoint Security クライアントがプロンプ トを表示し、設定を保存するかどうか確認します。 6 [適用] をクリックして変更を保存するか、[キャンセル] をクリックします。 関連トピック: 27 ページの「管理者としてログオンする」 84 ページの「オンデマンド スキャン を設定する」 58 ページの「フル スキャンまたはクイック スキャンを実行する」 McAfee Endpoint Security 10.2 製品ガイド 89 3 脅威対策 の使用 クライアント インターフェース リファレンス - 脅威対策 クライアント インターフェース リファレンス - 脅威対策 インターフェース リファレンスのヘルプ トピックでは、クライアント インターフェースに表示されるページのコン テキスト ヘルプを提供します。 目次 [隔離] ページ 脅威対策 - アクセス保護 脅威対策 - エクスプロイト防止 脅威対策 - オンアクセス スキャン 脅威対策 - オンデマンド スキャン スキャンする場所 McAfee GTI アクション 除外対象の追加または除外対象の編集 脅威対策 - オプション AMCore コンテンツのロールバック [隔離] ページ 隔離領域の項目を管理します。 表 3-3 オプション オプション 定義 [削除] 選択した項目を隔離領域から削除します。 削除された項目は復元できません。 [復元] 隔離領域から項目を復元します。 Endpoint Security は、項目を元の場所に復元し、隔離領域から削除します。 復元する項目に脅威が存在している場合、Endpoint Security は項目をすぐに隔離領域に戻します。 [再スキャン] 隔離領域で選択した項目を再度スキャンします。 項目に脅威が存在しない場合、Endpoint Security は項目を元の場所に復元し、隔離領域から削除 します。 列見出し 隔離リストのソート条件... [検出名] 検出名 [種類] 脅威の種類。[トロイの木馬] や [アドウェア] など。 [隔離期日] 項目を隔離している期間 [オブジェクト数] 検出結果のオブジェクト数 [AMCore コンテンツのバージョン] 脅威を識別した AMCore コンテンツのバージョン番号 [再スキャンのステータス] 再スキャンのステータス (項目が再スキャンされた場合): • [正常] - 再スキャンの結果、脅威は見つかりませんでした。 • [感染] - 再スキャンで Endpoint Security が脅威を検出しました。 関連トピック: 62 ページの「隔離項目を管理する」 63 ページの「検出名」 64 ページの「隔離項目の再スキャン」 90 McAfee Endpoint Security 10.2 製品ガイド 脅威対策 の使用 クライアント インターフェース リファレンス - 脅威対策 3 脅威対策 - アクセス保護 設定したルールに従って、システムのアクセス ポイントを保護します。 ロギングの設定については、共通設定モジュールの設定を参照してください。 アクセス保護は、要求されたアクションとルールのリストを比較し、ルールに従って処理を実行します。 ベストプラクティス: アクセス保護ルールを作成してランサムウェアから保護する方法については、PD25203 を参照 してください。 表 3-4 オプション セクション オプション 定義 [アクセス保護] [アクセス保護を有効にする] アクセス保護の機能を有効にします。 表 3-5 詳細オプション セクショ ン オプシ 説明 ョン [除外対 象] すべてのルールで、指定したプロセス (実行ファイル) へのアクセスが許可されます。 • [追加] - プロセスを除外リストに追加します。 • 項目をダブルクリックします。 — 選択した項目を変更します。 • [削除] - 選択した項目を削除します。 • [複製] - 選択した項目のコピーを作成します。 [ルール] アクセス保護ルールを設定します。 McAfee 定義ルールを有効または無効にしたり、変更することはできますが、削除することは できません。 • [追加] - カスタム ルールを作成し、リ ストに追加します。 • [ブロック] (のみ) - ログに記録せずに アクセスをブロックします。 • 項目をダブルクリックします。 — 選択 した項目を変更します。 • [報告] (のみ) - アクセスをブロックせ ずに警告します。 • [削除] - 選択した項目を削除します。 • [ブロック] と [報告] - アクセスをブ ロックして、ログに記録します。 • [複製] - 選択した項目のコピーを作成 します。 ベストプラクティス: ルールによる影響が分からない場合には、[ブロック] ではなく [報告] を 選択してください。これにより、アクセスをブロックせずに警告を表示します。 ログとレポー トをモニタリングして、アクセスをブロックするかどうか判断してください。 すべてをブロックまたは報告するには、最初の行で [ブロック] または [報告] を選択します。 ルールを無効にするには、[ブロック] と [報告] の選択を解除します。 関連トピック: 68 ページの「McAfee 定義のアクセス保護ルールを設定する」 72 ページの「ユーザー定義のアクセス保護ルールを設定する」 92 ページの「[ルールの追加] または [ルールの編集]」 69 ページの「McAfee 定義のアクセス保護ルール」 McAfee Endpoint Security 10.2 製品ガイド 91 3 脅威対策 の使用 クライアント インターフェース リファレンス - 脅威対策 [ルールの追加] または [ルールの編集] ユーザー定義のアクセス保護ルールを追加または編集します。 表 3-6 オプション セク オプ ショ ショ ン ン 定義 [オ [名 プシ 前] ョ ン] ルール名を指定または表示します。 (必須) [アク ショ ン] ルールのアクションを指定します。 • [ブロック] (のみ) - ログに記録せずにアクセスをブロックします。 • [報告] (のみ) - アクセスをブロックせずに警告します。 • [ブロック] と [報告] - アクセスをブロックして、ログに記録します。 ベストプラクティス: ルールによる影響が分からない場合には、[ブロック] ではなく [報告] を選択し てください。これにより、アクセスをブロックせずに警告を表示します。 ログとレポートをモニタリ ングして、アクセスをブロックするかどうか判断してください。 すべてをブロックまたは報告するには、最初の行で [ブロック] または [報告] を選択します。 ルールを無効にするには、[ブロック] と [報告] の選択を解除します。 [実行 ファ イル] ルールの実行ファイルを指定します。 • [追加] - 新しい実行ファイルを作成し、リストに追加します。 • 項目をダブルクリックします。 — 選択した項目を変更します。 • [削除] - 選択した項目を削除します。 • [複製] - 選択した項目のコピーを作成します。 • [対象ステータスを切り替える] - 項目の対象ステータスが [対象] または [除外] に変わります。 [ユー ザー 名] ルールを適用するユーザー名を指定します (ユーザー定義のルールの場合のみ)。 • [追加] - ユーザー名を選択してリストに追加します。 • 項目をダブルクリックします。 — 選択した項目を変更します。 • [削除] - 選択した項目を削除します。 • [複製] - 選択した項目のコピーを作成します。 • [対象ステータスを切り替える] - 項目の対象ステータスが [対象] または [除外] に変わります。 [サブ ルー ル] サブルールを設定します (ユーザー定義のルールの場合のみ)。 • [追加] - 新しいサブルールを作成し、リストに追加します。 • 項目をダブルクリックします。 — 選択した項目を変更します。 • [削除] - 選択した項目を削除します。 • [複製] - 選択した項目のコピーを作成します。 [メ モ] 92 項目の補足情報を入力します。 McAfee Endpoint Security 10.2 製品ガイド 脅威対策 の使用 クライアント インターフェース リファレンス - 脅威対策 3 関連トピック: 101 ページの「実行ファイルの追加 または 実行ファイルの編集」 93 ページの「ユーザー名の追加またはユーザー名の編集」 94 ページの「サブルールの追加またはサブルールの編集」 ユーザー名の追加またはユーザー名の編集 ルールを適用するユーザーを追加または編集します (ユーザー定義のルールの場合のみ)。 表 3-7 オプション オプショ ン 定義 [名前] ルールを適用するユーザー名を指定します。 次の形式でユーザーを指定します。 • ローカル ユーザー - 有効な項目は次のとおりです。 <マシン名>\<ローカル ユーザー名> .\<ローカル ユーザー名> .\administrator (ローカル管理者の場合) • ドメイン ユーザー — <ドメイン名>\<ドメイン ユーザー名> • ローカル システム - <ローカル\システム> の形式でシステムの NT AUTHORITY\System アカ ウントを指定します。 [対象ステ ータス] ユーザーの対象ステータスを表します。 • [対象] - 指定したユーザーによって実行されたファイルがサブルールに違反すると、ルールがトリ ガーします。 • [除外] - 指定したユーザーによって実行されたファイルがサブルールに違反しても、ルールはトリ ガーされません。 関連トピック: 92 ページの「[ルールの追加] または [ルールの編集]」 McAfee Endpoint Security 10.2 製品ガイド 93 3 脅威対策 の使用 クライアント インターフェース リファレンス - 脅威対策 サブルールの追加またはサブルールの編集 サブルールを追加または編集します (ユーザー定義のルールの場合のみ)。 表 3-8 オプション セクショ オプシ ン ョン 定義 [説明] [名前] サブルールの名前を指定します。 [プロパ ティ] [サブル ールの 種類] サブルールの種類を指定します。 サブルールの種類を変更すると、[対象] テーブルで以前に定義した項目は削除されます。 • [ファイル] - ファイルまたはディレクトリを保護します。 たとえば、アクセスをブロック または報告するカスタム ルールを作成し、重要な情報を含む Excel シートを削除します。 • [レジストリ キー] - 指定したキーを保護します。 レジストリ キーは、レジストリ値を格 納するコンテナーです。 例: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run • [レジストリ キー] - 指定した値を保護します。 レジストリ値はレジストリ キーに格納さ れ、レジストリ キーとは別に参照されます。 例: HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows\CurrentVersion\Run\Autorun • [プロセス] - 指定したプロセスを保護します。 たとえば、プロセスで試行された操作をブ ロックまたは報告するカスタム ルールを作成します。 94 McAfee Endpoint Security 10.2 製品ガイド 3 脅威対策 の使用 クライアント インターフェース リファレンス - 脅威対策 表 3-8 オプション (続き) セクショ オプシ ン ョン [操作] 定義 サブルールの種類で許可された操作が表示されます。 サブルールに適用する操作を 1 つ以上 指定する必要があります。 ベストプラクティス: パフォーマンスの低下を防ぐため、[読み取り] 操作は選択しないでくだ さい。 • [ファイル]: • [読み取り専用属性または隠し属性の変更] - 指定したフォルダー内でのこれらのファイ ル属性の変更をブロックまたは報告します。 • [作成] - 指定したフォルダー内でのファイルの作成をブロックまたは報告します。 • [削除] - 指定したフォルダー内でのファイルの削除をブロックまたは報告します。 • [実行] - 指定したフォルダー内でのファイルの実行をブロックまたは報告します。 • [権限の変更] - 指定したフォルダー内でのファイルに対する権限の変更をブロックまた は報告します。 • [読み取り] - 指定したファイルに対する読み取りをブロックまたは報告します。 • [名前の変更] - 指定したファイルに対する名前の変更をブロックまたは報告します。 McAfee Endpoint Security 10.2 製品ガイド 95 3 脅威対策 の使用 クライアント インターフェース リファレンス - 脅威対策 表 3-8 オプション (続き) セクショ オプシ ン ョン 定義 [宛先ファイル] の対象を指定した場合、有効な操作は [名前の変更] だけです。 • [書き込み] - 指定したファイルに対する書き込みをブロックまたは報告します。 • [レジストリ キー]: • [書き込み] - 指定したキーに対する書き込みをブロックまたは報告します。 • [作成] - 指定したキーの作成をブロックまたは報告します。 • [削除] - 指定したキーの削除をブロックまたは報告します。 • [読み取り] - 指定したキーに対する読み取りをブロックまたは報告します。 • [列挙] - 指定したレジストリ キーのサブキーの列挙をブロックまたは報告します。 • [読み込み] - 指定したレジストリ キーとそのサブキーのアップロードをブロックまた は報告します。 • [置換] - 指定したレジストリ キーとサブキーの置換をブロックまたは報告します。 • [復元] - 指定したファイルへのレジストリ情報の保存や、指定したキーのコピーをブロ ックまたは報告します。 • [権限の変更] - 指定したレジストリ キーとサブキーに対する権限の変更をブロックま たは報告します。 • [レジストリ値]: • [書き込み] - 指定した値に対する書き込みをブロックまたは報告します。 • [作成] - 指定した値の作成をブロックまたは報告します。 • [削除] - 指定した値の削除をブロックまたは報告します。 • [読み取り] - 指定した値に対する読み取りをブロックまたは報告します。 • [プロセス]: • [任意のアクセス権] - 任意のアクセス権でのプロセスの開始をブロックまたは報告しま す。 • [スレッド作成] - スレッド作成権限でのプロセスの開始をブロックまたは報告します。 • [変更] - 変更権限でのプロセスの開始をブロックまたは報告します。 • [終了] - 終了権限でのプロセスの開始をブロックまたは報告します。 • [実行] - 指定した実行ファイルの実行をブロックまたは報告します。 ルールに対象の実行ファイルを 1 つ以上追加する必要があります。 [実行] の場合、対象プロセスの実行が試行されたときにイベントが生成されます。 その 他の操作の場合には、対象プロセスが実行されたときにイベントが生成されます。 [対象] • [追加] - ルールの対象を指定します。 対象は、選択したルールの種類によって変わりま す。 サブルールに 1 つ以上の対象を追加する必要があります。 [追加] をクリックして対象ステータスを選択し、追加または除外する対象を入力または選択 します。 • 項目をダブルクリックします。 — 選択した項目を変更します。 • [削除] - 選択した項目を削除します。 96 McAfee Endpoint Security 10.2 製品ガイド 脅威対策 の使用 クライアント インターフェース リファレンス - 脅威対策 3 関連トピック: 92 ページの「[ルールの追加] または [ルールの編集]」 98 ページの「対象」 101 ページの「実行ファイルの追加 または 実行ファイルの編集」 McAfee Endpoint Security 10.2 製品ガイド 97 3 脅威対策 の使用 クライアント インターフェース リファレンス - 脅威対策 対象 対象のステータスと定義を指定します。 表 3-9 オプション セク オプション ショ ン [対 象] 定義 対象がサブルールに一致するかどうかを決定します。 対象のステータスも指定します。 • [対象] - サブルールが指定した対象に一致します。 • [除外] - サブルールが指定したサブルールに一致しません。 [ファイル] サ [ファイル] サブルールにファイル名、フォルダー名、パス、ドライブ タイプを指定します。 ブルール タイ • [ファイル パス] - ファイルを参照して選択します。 プを選択した 場合... • [宛先ファイル] - [名前の変更] 操作の対象となるファイル名またはパスを参照して選択 します。 [宛先ファイル] の対象を選択すると、[名前の変更] 操作 (のみ) が選択されます。 • [ドライブの種類] - ドロップダウン リストから対象となるドライブの種類を選択しま す。 • [リムーバブル] - USB ドライブ上のファイルまたは USB ポートで接続されている他 のリムーバブル ドライブ上のファイル。Windows To Go がインストールされている ドライブも該当します。 CD、DVD またはフロッピーディスク上のファイルはこの種類 に該当しません。 この種類のドライブをブロックすると、Windows To Go がインストールされたドライ ブもブロックされます。 • [ネットワーク] - ネットワーク共有上のファイル • [固定] - ローカル ハードドライブなどの固定ハードディスク上のファイル • [CD/DVD] - CD または DVD 上のファイル • [フロッピー] - フロッピー ディスク上のファイル ワイルドカードとして ?、*、** を使用できます。 ファイル サブルールの対象のベストプラクティス 例: • c:\testap という名前のファイルまたはフォルダーを保護する場合、c:\testap または c: \testap\ を対象に指定します。 • フォルダーのコンテンツを使用する場合には、ワイルドカードとしてアスタリスクを使用 します (c:\testap\*)。 • フォルダーとサブフォルダーのコンテンツを保護する場合には、アスタリスクを 2 つ使用 します (c:\testap\**)。 システム環境変数を使用できます。 環境変数は以下のいずれかの形式で指定できます。 • $(EnvVar) - $(SystemDrive), $(SystemRoot) • %EnvVar% - %SystemRoot%, %SystemDrive% システム定義の環境変数の中には、$(var) 構文でアクセスできない場合があります。特に or 文字を含む変数はアクセスできません。 %var% 構文を使用すると、この問題を回避でき ます。 ユーザー環境変数を使用できません。 98 McAfee Endpoint Security 10.2 製品ガイド 脅威対策 の使用 クライアント インターフェース リファレンス - 脅威対策 表 3-9 3 オプション (続き) セク オプション ショ ン 定義 サブルール タ root キーを使用してレジストリ キーを定義します。 次の root キーを使用できます。 イプに [レジ • HKLM または HKEY_LOCAL_MACHINE ストリ キー] を選択した場 • HKCU または HKEY_CURRENT_USER 合... • HKCR または HKEY_CLASSES_ROOT • HKCCS は、HKLM/SYSTEM/CurrentControlSet と HKLM/SYSTEM/ControlSet00X に一致します。 • HKLMS は HKLM/Software (32 ビット/64 ビット システム) と HKLM/Software/ Wow6432Node (64 ビット システムのみ) に一致します。 • HKCUS は HKCU/Software (32 ビット/64 ビット システム) と HKCU/Software/ Wow6432Node (64 ビット システムのみ) に一致します。 • HKULM は HKLM または HKCU として処理されます。 • HKULMS は HKLMS または HKCUS として処理されます。 • HKALL は HKLM または HKU として処理されます。 ワイルドカードとして ?、*、** を使用できます。また、エスケープ文字として | (パイプ) を使用できます。 レジストリ キー サブルールの対象のベストプラクティス 例: • HKLM\SOFTWARE\testap という名前のレジストリ キーの場合、対象として HKLM \SOFTWARE\testap または HKLM\SOFTWARE\testap\ を使用します。 • レジストリ キーのコンテンツの場合には、ワイルドカードとしてアスタリスクを使用しま す (HKLM\SOFTWARE\testap\*)。 • レジストリ キーとサブキーのコンテンツの場合には、アスタリスクを 2 つ使用します (HKLM\SOFTWARE\testap\**)。 • レジストリ キーとそのキーの値の場合、[書き込み] 操作を有効にします。 McAfee Endpoint Security 10.2 製品ガイド 99 3 脅威対策 の使用 クライアント インターフェース リファレンス - 脅威対策 表 3-9 オプション (続き) セク オプション ショ ン 定義 サブルール タ root キーを使用してレジストリ値を定義します。 次の root キーを使用できます。 イプに [レジ • HKLM または HKEY_LOCAL_MACHINE ストリ値] を 選択した場 • HKCU または HKEY_CURRENT_USER 合... • HKCR または HKEY_CLASSES_ROOT • HKCCS は、HKLM/SYSTEM/CurrentControlSet と HKLM/SYSTEM/ControlSet00X に一致します。 • HKLMS は HKLM/Software (32 ビット/64 ビット システム) と HKLM/Software/ Wow6432Node (64 ビット システムのみ) に一致します。 • HKCUS は HKCU/Software (32 ビット/64 ビット システム) と HKCU/Software/ Wow6432Node (64 ビット システムのみ) に一致します。 • HKULM は HKLM または HKCU として処理されます。 • HKULMS は HKLMS または HKCUS として処理されます。 • HKALL は HKLM または HKU として処理されます。 ワイルドカードとして ?、*、** を使用できます。また、エスケープ文字として | (パイプ) を使用できます。 レジストリ値サブルールの対象のベストプラクティス 例: • HKLM\SOFTWARE\testap という名前のレジストリ値の場合、対象として HKLM \SOFTWARE\testap を使用します。 • レジストリ キーのレジストリ値の場合には、ワイルドカードとしてアスタリスクを使用し ます (HKLM\SOFTWARE\testap\*)。 • レジストリ キーとサブキーのレジストリ値の場合には、アスタリスクを 2 つ使用します (HKLM\SOFTWARE\testap\**)。 サブルール タ [プロセス] サブルールのファイル名またはパス、MD5 ハッシュ、署名者の対象が表示され イプに [プロ ます。 セス] を選択 MD5 ハッシュ以外では、ワイルドカードとして ?、* または ** を使用できます。 した場合... プロセス サブルールの対象のベストプラクティス 例: • c:\testap.exe という名前のプロセスの場合、対象のファイル名またはパスとして c: \testap.exe を使用します。 • フォルダー内のすべてのプロセスの場合、ワイルドカードとしてアスタリスクを使用しま す (c:\testap\*)。 • フォルダーとサブフォルダー内のすべてのプロセスの場合、アスタリスクを 2 つ使用しま す (c:\testap\**)。 関連トピック: 94 ページの「サブルールの追加またはサブルールの編集」 100 McAfee Endpoint Security 10.2 製品ガイド 3 脅威対策 の使用 クライアント インターフェース リファレンス - 脅威対策 実行ファイルの追加 または 実行ファイルの編集 対象に追加または除外する実行ファイルを追加または編集します。 脅威対策のアクセス保護の場合、ポリシー レベルで実行ファイルを除外したり、ルール レベルで追加または除外で きます。 脅威情報のアプリケーションの動的隔離の場合、実行ファイルをポリシー レベルで除外できます。 対象と除外を指定する場合には、次の点に注意してください。 • 1 つ以上の識別子を指定する必要がります。たとえば、[ファイル名またはパス]、[MD5 ハッシュ] または [署名 者] を使用します。 • 複数の識別子を指定すると、すべての識別子が適用されます。 • 複数の識別子を使用して一致する識別子がない場合 (たとえば、ファイル名と MD5 ハッシュが同じファイルに適 用されていない場合など)、追加または除外の対象は無効になります。 • 追加または場外の対象は、大文字と小文字が区別されません。 • MD5 ハッシュを除き、すべての ID にワイルドカードを使用できます。 表 3-10 オプション オプション 定義 [名前] 実行ファイルの名前を指定します。 このフィールドは、[ファイル名またはパス]、[MD5 ハッシュ] または [署名者]と一緒に使用する 必要があります。 [対象ステータ 実行ファイルの対象ステータスを表します。 ス] • [対象] - 実行ファイルがサブルールに違反すると、ルールがトリガーします。 • [除外] - 実行ファイルがサブルールに違反すると、ルールがトリガーされません。 ルールまたはプロセス サブルールの対象に実行ファイルを追加するときに [対象ステータス] が 表示されるのは、 脅威対策のアクセス保護だけです。 [ファイル名ま 追加または編集する実行ファイルの名前あるいはパスを指定します。 たはパス] [参照] をクリックして、実行ファイルを選択してください。 ファイルのパスにワイルドカードを使用できます。 [MD5 ハッシ ュ] プロセスの MD5 ハッシュ (32 桁の 16 進数) を指定します。 McAfee Endpoint Security 10.2 製品ガイド 101 3 脅威対策 の使用 クライアント インターフェース リファレンス - 脅威対策 表 3-10 オプション (続き) オプション 定義 [署名者] [デジタル署名検査を有効にする] — この検査により、暗号化ハッシュで署名された後、コードが 改ざんされたり、壊れていないことが保証されます。 有効にする場合、次のオプションを指定します。 • [任意の署名を許可する] - 任意のプロセス署名者が署名したファイルを許可します。 • [署名者] - 指定したプロセス署名者が署名したファイルだけを許可します。 実行ファイルに署名者の識別名 (SDN) が必要です。カンマとスペースも含めて、該当するフィ ールドの項目と完全に一致させる必要があります。 Endpoint Security クライアントのイベント ログと McAfee ePO 脅威イベント ログのイベン トで、プロセスの署名者が正しい形式で表示されます。 例: C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR, CN=MICROSOFT WINDOWS 実行ファイルの SDN を取得するには: 1 実行ファイルを右クリックし、[プロパティ] を選択します。 2 [デジタル署名] タブで署名者を選択して、[詳細] をクリックします。 3 [全般] タブで [証明書の表示] をクックします。 4 [詳細] タブで、[サブジェクト] フィールドを選択します。 署名者の識別名が表示されます。 Firefox の場合、この署名者の識別名は次のようになります。 • CN = Mozilla Corporation • OU = Release Engineering • O = Mozilla Corporation • L = Mountain View • S = California • C = US [メモ] 項目の補足情報を入力します。 関連トピック: 92 ページの「[ルールの追加] または [ルールの編集]」 脅威対策 - エクスプロイト防止 バッファー オーバーフロー エクスプロイトがコンピューター上で任意のコードを実行しないように、エクスプロイ ト防止を有効にして設定します。 ロギングの設定については、共通設定モジュールの設定を参照してください。 Host Intrusion Prevention 8.0 は、Endpoint Security 10.2 と同じシステムにインストールできます。 McAfee Host IPS を有効にすると、エクスプロイト防止が無効になります。ポリシー設定で有効になっていても無効になりま す 表 3-11 オプション セクション オプション 定義 [エクスプロイト防 止] [エクスプロイト防止を 有効にする] エクスプロイト防止の機能を有効にします。 このオプションンを有効にしないと、システムがマルウェアの 攻撃を受ける可能性があります。 102 McAfee Endpoint Security 10.2 製品ガイド 3 脅威対策 の使用 クライアント インターフェース リファレンス - 脅威対策 表 3-12 詳細オプション セクション オプション [保護レベ ル] 定義 エクスプロイト防止の保護レベルを指定します。 [標準] エクスプロイト防止コンテンツ ファイルの中で重大度が高いバッファー オーバーフ ロー エクスプロイトだけをブロックし、検出された脅威を停止します。 [標準] モードの機能を短時間使用します。 その期間中にログ ファイルを参照して、 [最大]モードに変更するかどうかを決定してください。 [最大] エクスプロイト防止コンテンツ ファイルの中で重大度が高または中レベルのバッフ ァー オーバーフロー エクスプロイトだけをブロックし、検出された脅威を停止しま す。 この設定では誤検知が発生する可能性があります。 [汎用特権昇 格の防止] [汎用特権昇 格の防止を 有効にする] 汎用特権昇格の防止 (GPEP) サポートを有効にします。 デフォルトは無効です。 GPEP は、エクスプロイト防止コンテンツの GPEP シグネチャを使用して、カーネル モードまたはユーザー モードの特権昇格エクスプロイトを阻止します。 GPEP は大量の誤検知を報告する可能性があるため、このオプションはデフォルトで 無効になっています。 [Windows データ実行 防止] [Windows データ実行 防止を有効 にする] Windows データ実行防止 (DEP) 統合を有効にします。 デフォルトは無効です。 次のオプションを選択します。 • McAfee アプリケーション保護リストで 32 ビット アプリケーションに DEP を有 効にし (まだ有効になっていない場合)、汎用的なバッファー オーバーフロー対策 (GBOP) の代わりに使用します。 呼び出し側の検証と対象の API モニタリングは引き続き施行されます。 • DEP を有効にした 32 ビット アプリケーションで DEP 検出をモニタリングしま す。 • McAfee アプリケーション保護リストにある 64 ビット アプリケーションの DEP 検出をモニタリングします。 • すべての DEP 検出を記録し、イベントを McAfee ePO に送信します。 このオプションを無効にしても、Windows DEP ポリシーで DEP が有効になってい るプロセスに影響を及ぼしません。 [アクショ ン] エクスプロイト防止のアクションとして、[ブロック] または [報告] を指定します。 Windows データ実行防止が有効な場合、[報告] は使用できません。 [ブロック] 指定されたプロセスをブロックします。 エクスプロイト防止を有効にするには、[ブ ロック] を選択します。エクスプロイト防止を無効にするには、選択を解除します。 ログ記録を行わずにアクセスの試みをブロックするには、[ブロック] オプションを選 択し、[レポート] オプションは選択しないでください。 McAfee Endpoint Security 10.2 製品ガイド 103 3 脅威対策 の使用 クライアント インターフェース リファレンス - 脅威対策 表 3-12 詳細オプション (続き) セクション オプション 定義 [レポート] エクスプロイト防止に対する違反を報告します。 侵害の試行が検出された場合、情報 は動作ログに記録されます。 ベストプラクティス: ルールによる影響が分からない場合には、[ブロック] ではなく [報告] を選択してください。これにより、アクセスをブロックせずに警告を表示しま す。 ログとレポートをモニタリングして、アクセスをブロックするかどうか判断して ください。 [除外対象] 実行するプロセス、呼び出し側モジュールまたは API を指定します。 呼び出し側モジュールまたは API を含む除外対象は DEP に適用されません。 • [追加] - 除外対象を作成してリストに追加します。 • 項目をダブルクリックします。 — 選択した項目を変更します。 • [削除] - 選択した項目を削除します。 • [複製] - 選択した項目のコピーを作成します。 関連トピック: 76 ページの「エクスプロイト防止を設定する」 104 ページの「除外対象の追加または除外対象の編集」 除外対象の追加または除外対象の編集 エクスプロイト防止の除外対象を追加または編集します。 [プロセス]、[呼び出し側モジュール] または [API] を 1 つ以上指定する必要があります。 呼び出し側モジュールま たは API を含む除外対象は DEP に適用されません。 除外対象を指定する場合には、次の点に注意してください。 • 1 つ以上の識別子を指定する必要がります。たとえば、[ファイル名またはパス]、[MD5 ハッシュ] または [署名 者] を使用します。 • 複数の識別子を指定すると、すべての識別子が除外対象に適用されます。 • 複数の識別子を使用して一致する識別子がない場合 (たとえば、ファイル名と MD5 ハッシュが同じファイルに適 用されていない場合など)、除外対象は無効になります。 • 除外対象では大文字と小文字は区別されません。 • MD5 ハッシュを除き、すべての ID にワイルドカードを使用できます。 表 3-13 オプション セクション オプション 定義 [プロセス] [名前] 除外するプロセス名を指定します。 エクスプロイト防止は、場所に関係なくプロセスを 除外します。 このフィールドは、[ファイル名またはパス]、[MD5 ハッシュ] または [署名者]と一緒 に使用する必要があります。 104 [ファイル名 またはパス] 追加または編集する実行ファイルの名前あるいはパスを指定します。 [MD5 ハッ シュ] プロセスの MD5 ハッシュ (32 桁の 16 進数) を指定します。 [参照] をクリックして、実行ファイルを選択してください。 McAfee Endpoint Security 10.2 製品ガイド 3 脅威対策 の使用 クライアント インターフェース リファレンス - 脅威対策 表 3-13 オプション (続き) セクション オプション [署名者] 定義 [デジタル署名検査を有効にする] — この検査により、暗号化ハッシュで署名された後、 コードが改ざんされたり、壊れていないことが保証されます。 有効にする場合、次のオプションを指定します。 • [任意の署名を許可する] - 任意のプロセス署名者が署名したファイルを許可しま す。 • [署名者] - 指定したプロセス署名者が署名したファイルだけを許可します。 実行ファイルに署名者の識別名 (SDN) が必要です。カンマとスペースも含めて、該 当するフィールドの項目と完全に一致させる必要があります。 Endpoint Security クライアントのイベント ログと McAfee ePO 脅威イベント ロ グのイベントで、プロセスの署名者が正しい形式で表示されます。 例: C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR, CN=MICROSOFT WINDOWS 実行ファイルの SDN を取得するには: 1 実行ファイルを右クリックし、[プロパティ] を選択します。 2 [デジタル署名] タブで署名者を選択して、[詳細] をクリックします。 3 [全般] タブで [証明書の表示] をクックします。 4 [詳細] タブで、[サブジェクト] フィールドを選択します。 署名者の識別名が表示さ れます。 Firefox の場合、この署名者の識別名は次のようになります。 • CN = Mozilla Corporation • OU = Release Engineering • O = Mozilla Corporation • L = Mountain View • S = California • C = US [呼び出し [名前] 側モジュー ル] 呼び出し側の書き込み可能メモリーを所有しているモジュール名を指定します。 このフィールドは、[ファイル名またはパス]、[MD5 ハッシュ] または [署名者]と一緒 に使用する必要があります。 [ファイル名 またはパス] 追加または編集する実行ファイルの名前あるいはパスを指定します。 [MD5 ハッ シュ] プロセスの MD5 ハッシュ (32 桁の 16 進数) を指定します。 McAfee Endpoint Security 10.2 [参照] をクリックして、実行ファイルを選択してください。 製品ガイド 105 3 脅威対策 の使用 クライアント インターフェース リファレンス - 脅威対策 表 3-13 オプション (続き) セクション オプション [署名者] 定義 [デジタル署名検査を有効にする] — この検査により、暗号化ハッシュで署名された後、 コードが改ざんされたり、壊れていないことが保証されます。 有効にする場合、次のオプションを指定します。 • [任意の署名を許可する] - 任意のプロセス署名者が署名したファイルを許可しま す。 • [署名者] - 指定したプロセス署名者が署名したファイルだけを許可します。 実行ファイルに署名者の識別名 (SDN) が必要です。カンマとスペースも含めて、該 当するフィールドの項目と完全に一致させる必要があります。 Endpoint Security クライアントのイベント ログと McAfee ePO 脅威イベント ロ グのイベントで、プロセスの署名者が正しい形式で表示されます。 例: C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR, CN=MICROSOFT WINDOWS 実行ファイルの SDN を取得するには: 1 実行ファイルを右クリックし、[プロパティ] を選択します。 2 [デジタル署名] タブで署名者を選択して、[詳細] をクリックします。 3 [全般] タブで [証明書の表示] をクックします。 4 [詳細] タブで、[サブジェクト] フィールドを選択します。 署名者の識別名が表示さ れます。 Firefox の場合、この署名者の識別名は次のようになります。 • CN = Mozilla Corporation • OU = Release Engineering • O = Mozilla Corporation • L = Mountain View • S = California • C = US [API] [名前] 呼び出される API (アプリケーション プログラミング インターフェース) の名前を指 定します。 [メモ] 項目の補足情報を入力します。 関連トピック: 102 ページの「脅威対策 - エクスプロイト防止」 76 ページの「エクスプロイト防止からのプロセスの除外」 脅威対策 - オンアクセス スキャン オンアクセス スキャンを有効にして、設定を行います。 ロギングの設定については、共通設定モジュールの設定を参照してください。 106 McAfee Endpoint Security 10.2 製品ガイド 3 脅威対策 の使用 クライアント インターフェース リファレンス - 脅威対策 表 3-14 オプション セクション オプション 定義 [オンアクセス ス キャン] [オンアクセス スキャ ンを有効にする] オンアクセス スキャン を有効にします。 [システム起動時にオ ンアクセス スキャン を有効にする] コンピューターの起動時にオンアクセス スキャンを有効にします。 [各ファイル スキャン の最大秒数を指定] 1 つのファイルをスキャンする制限時間を秒単位で指定します。 デフォルトは有効です。 デフォルトは有効です。 デフォルトは有効です。 デフォルト値は 45 秒です。 制限時間を超えると、スキャンを停止し、メッセージをログに記録し ます。 [ブート セクターをス キャン] ディスクのブート セクターを調査します。 デフォルトは有効です。 ベストプラクティス: ディスクにスキャン不能なブート セクターが 存在する場合には、ブート セクター スキャンを無効にしてくださ い。 [サービスのスタート 次の場合に、メモリー内に存在するすべてのプロセスをスキャンしま アップ時とコンテンツ す。 の更新時にプロセスを • オンアクセス スキャンを再度有効にした後 スキャンする] • コンテンツ ファイルの更新後 • システムの起動後 • McShield.exe プロセスの開始後 ベストプラクティス: 一部のプログラムまたは実行ファイルは、シス テムの開始時に自動的に起動します。システムのスタートアップ時 間を短縮するには、このオプションを無効にしてください。 デフォルトは無効です。 オンアクセス スキャナーを有効にすると、すべてのプロセスが実行時 にスキャンされます。 [信頼されたインスト ーラーをスキャン] MSI ファイル (msiexec.exe がインストールし、McAfee または Microsoft が署名したファイル) または Windows Trusted Installer サービス ファイルをスキャンします。 デフォルトは無効です。 ベストプラクティス: Microsoft アプリケーション インストーラー のパフォーマンスを改善する場合には、このオプションを無効にし てください。 [ローカル フォルダー ユーザーがローカル フォルダー間でコピーを行ったときにファイル 間でコピーが実行され をスキャンします。 たときにスキャンす このオプション: る] • 無効 - 宛先フォルダー内の項目だけがスキャンされます。 • 有効 - ソース (読み取り) フォルダーと宛先 (書き込み) フォルダ ーの両方の項目がスキャンされます。 デフォルトは無効です。 McAfee Endpoint Security 10.2 製品ガイド 107 3 脅威対策 の使用 クライアント インターフェース リファレンス - 脅威対策 表 3-14 オプション (続き) セクション オプション 定義 [McAfee GTI] [ScriptScan] McAfee GTI を有効にして設定を行います。 [ScriptScan を有効 にする] JavaScript と VBScript のスキャンを有効にして、不審なスクリプト の実行を防ぎます。 デフォルトは有効です。 Internet Explorer の起動後に ScriptScan を有効にしても、 Internet Explorer のこのインスタンスでは不審なスクリプトが検 出されません。 不正なスクリプトを検出するには、ScriptScan を 有効にした後で Internet Explorer を再起動する必要があります。 [次の URL を除外] ScriptScan の除外対象を URL で指定します。 [追加] - URL を除外リストに追加します。 [削除] - 除外リストから URL を削除します。 URL にワイルドカードは使用できません。 除外された URL を含む URL も除外されます。 たとえば、msn.com を除外すると、次の URL も除外されます。 • http://weather.msn.com • http://music.msn.com Windows Server 2008 の場合、ScriptScan URL の除外対象を Internet Explorer で機能させるには、サードパーティ製のブラウ ザー拡張を有効にしてシステムを再起動する必要があります。 KnowledgeBase の記事 KB69526 を参照してください。 表 3-15 詳細オプション セクション オプション 定義 [脅威検出 [脅威の検出時にオンア 脅威が検出されたときに、クライアント ユーザーに対するメッセージを [オ 時のユーザ クセス スキャン ウィン ンアクセス スキャン] ページに表示します。 ー メッセ ドウをユーザーに表示] デフォルトは有効です。 ージ] このオプションを選択すると、検出リストに脅威が存在する場合に、このペ ージを [今すぐスキャン] ページから表示できます。 Endpoint Security サービスまたはシステムが再起動すると、オンアクセス スキャンの検出リストがクリアされます。 [メッセージ] 脅威が検出されたときにクライアント ユーザーに表示するメッセージを指 定します。 デフォルトのメッセージは McAfee Endpoint Security が脅威を検出しまし た です。 [プロセス の設定] [すべてのプロセスに標 オンアクセス スキャンの実行時に、すべてのプロセスに同じ設定が適用され 準設定を使用する] ます。 [危険度高と危険度低の プロセスの種類ごとに異なるスキャン設定を行います。 プロセスに別の設定を 使用する] [標準] 危険度高、危険度低のいずれでもないプロセスを設定します。 デフォルトは有効です。 108 [危険度高] 危険度高のプロセスを設定します。 [危険度低] 危険度低のプロセスを設定します。 McAfee Endpoint Security 10.2 製品ガイド 3 脅威対策 の使用 クライアント インターフェース リファレンス - 脅威対策 表 3-15 詳細オプション (続き) セクション オプション 定義 [追加] [危険度高] または [危険度低] リストにプロセスを追加します。 [削除] [危険度高] または [危険度低] リストからプロセスを削除します。 [スキャン] [スキャンのタイミング] [ディスクへの書き込み コンピューターまたは他のデータ ストレージで書き込み操作または変更操 時] 作が実行されたときに、ファイルをスキャンします。 [ディスクからの読み取 コンピューターまたは他のデータ ストレージで読み取り操作が実行された り時] ときに、ファイルをスキャンします。 [McAfee が選択する] McAfee がスキャン対象のファイルを選択します。信頼ロジックでスキャン を最適化します。 信頼ロジックで不要なスキャンを排除することで、セキュ リティとパフォーマンスを強化します。 ベストプラクティス: 保護機能とパフォーマンスを最高の状態にするため、 このオプションを有効にしてください。 [ディスクの読み取り/ 書き込み時にスキャン しない] [危険度低] のプロセスのみをスキャンの対象外にします。 [スキャン対象] [すべてのファイル] 種類に関係なく、すべてのファイルをスキャンします。 [すべてのファイル] を有効にしないと、システムがマルウェアの攻撃を受 ける可能性があります。 [デフォルトと指定した スキャン: ファイルの種類] • 現在の AMCore コンテンツ ファイルに定義されている拡張子のデフォル ト リスト (拡張子のないファイルも含む) • ユーザーが指定する追加の拡張子 複数の拡張子を指定する場合にはカンマで区切ってください。 • (オプション) デフォルトのリストにある既知のマクロ脅威と指定した拡 張子のファイル [指定したファイルの種 次のいずれかまたは両方をスキャンします。 類のみ] • 指定した拡張子のファイルのみ (カンマ区切りの拡張子リスト) • 拡張子のないすべてのファイル [ネットワーク ドライ ブ上をスキャンする] ネットワーク ドライブ上のリソースをスキャンします。 ベストプラクティス: パフォーマンスを向上させるには、このオプションを 無効にしてください。 [バックアップ用に開い バックアップ ソフトウェアがアクセスしたときにファイルをスキャンしま たファイル] す。 ベストプラクティス: ほとんどの環境では、この設定を有効にする必要はあ りません。 McAfee Endpoint Security 10.2 製品ガイド 109 3 脅威対策 の使用 クライアント インターフェース リファレンス - 脅威対策 表 3-15 詳細オプション (続き) セクション オプション 定義 [圧縮されたアーカイブ .jar ファイルなどのアーカイブ ファイル (圧縮ファイル) 内のコンテンツを ファイル] スキャンします。 圧縮ファイルをスキャンすると、システムのパフォーマンスが低下する可能 性があります。 [圧縮された MIME 形 式のファイル] MIME (Multipurpose Internet Mail Extensions) 形式のファイルを検出 し、デコードしてスキャンします。 [追加のスキャン オプション] [不審なプログラムを検 スキャナーで不審なプログラムを検出します。 出] スキャナーは、脅威対策のオプション設定を使用して、不審なプログラムを 検出します。 [未知のプログラム脅威 McAfee GTI を使用して、実行ファイルを装うマルウェアを検出します。 を検出する] [未知のマクロ脅威を検 McAfee GTI を使用して、未知のマクロ ウイルスを検出します。 出する] [アクショ ン] 脅威を検出したときのスキャナーのアクションを指定します。 [除外対象] スキャン対象から除外するファイル、フォルダー、ドライブを指定します。 [追加] 除外リストに項目を追加します。 [削除] 除外リストから項目を削除します。 関連トピック: 79 ページの「オンアクセス スキャンを設定する」 115 ページの「McAfee GTI」 116 ページの「アクション」 118 ページの「除外対象の追加または除外対象の編集」 脅威対策 - オンデマンド スキャン システムで実行される事前設定とカスタムのオンデマンド スキャンを設定します。 ロギングの設定については、共通設定モジュールの設定を参照してください。 これにより、次の操作を行った場合のスキャナーの動作が決まります。 110 • Endpoint Security クライアントの [今すぐスキャン] ページで [フル スキャン] または [クイック スキャン] を選択した場合 • 管理者権限がある場合には、Endpoint Security クライアントで [設定] 、 [共通設定] 、 [タスク] の順に移動 して、カスタム オンデマンド スキャン タスクを実行します。 • ファイルまたはフォルダーを右クリックして、ポップアップ メニューから [脅威のスキャン] を選択した場合 McAfee Endpoint Security 10.2 製品ガイド 3 脅威対策 の使用 クライアント インターフェース リファレンス - 脅威対策 表 3-16 オプション セクション オプション 定義 [スキャン対象] [ブート セクタ ー] ディスクのブート セクターを調査します。 ベストプラクティス: ディスクにスキャン不能なブート セクターが存在する 場合には、ブート セクター スキャンを無効にしてください。 [ストレージに 移動したファイ ル] リモート ストレージが管理しているファイルをスキャンします。 オフラインのデータ ストレージ ソリューションによってファイルがスタブ フ ァイルに置換される場合があります。 スタブが存在すると、ファイルが以降済 みであることを意味します。スキャナーがスタブ ファイルを検出すると、スキ ャン前にローカル システムにファイルをリストアします。 このオプションを無効にすることをお勧めします。 [圧縮された MIME (Multipurpose Internet Mail Extensions) 形式のファイルを検出し、 MIME 形式のフ デコードしてスキャンします。 ァイル] [圧縮されたア .jar ファイルなどのアーカイブ ファイル (圧縮ファイル) 内のコンテンツをス ーカイブ ファイ キャンします。 ル] ベストプラクティス: このスキャン オプションは、システムが使用されていな い業務時間外に実行してください。圧縮ファイルをスキャンすると、システム のパフォーマンスが低下する可能性があります。 [サブフォルダ 指定したフォルダーのすべてのサブフォルダーがスキャンされます。 ー] ([右クリッ ク スキャン] の み) [追加のスキャ ン オプション] [不審なプログ ラムを検出] スキャナーで不審なプログラムを検出します。 [未知のプログ ラム脅威を検出 する] McAfee GTI を使用して、実行ファイルを装うマルウェアを検出します。 [未知のマクロ 脅威を検出す る] McAfee GTI を使用して、未知のマクロ ウイルスを検出します。 スキャナーは、脅威対策のオプション設定を使用して、不審なプログラムを検 出します。 [スキャンする 場所] ([フル スキャ スキャン対象の場所を指定します。 ン] と [クイッ これらのオプションは、[フル スキャン]、[クイック スキャン]、カスタム ス ク スキャン] の キャンにのみ適用されます。 み) [スキャンする ファイルの種 類] [すべてのファ イル] 種類に関係なく、すべてのファイルをスキャンします。 McAfee では、[すべてのファイル] オプションを有効にすることを強くお勧め します。 [すべてのファイル] を有効にしないと、システムがマルウェアの攻撃を受け る可能性があります。 McAfee Endpoint Security 10.2 製品ガイド 111 3 脅威対策 の使用 クライアント インターフェース リファレンス - 脅威対策 表 3-16 オプション (続き) セクション オプション 定義 [デフォルトと 指定したファイ ルの種類] スキャン: • 現在の AMCore コンテンツ ファイルに定義されている拡張子のデフォルト リスト (拡張子のないファイルも含む) • ユーザーが指定する追加の拡張子 複数の拡張子を指定する場合にはカンマで区切ってください。 • (オプション) デフォルトのリストにある既知のマクロ脅威と指定した拡張 子のファイル [指定したファ イルの種類の み] 次のいずれかまたは両方をスキャンします。 • 指定した拡張子のファイルのみ (カンマ区切りの拡張子リスト) • 拡張子のないすべてのファイル [McAfee GTI] McAfee GTI を有効にして設定を行います。 [除外対象] スキャン対象から除外するファイル、フォルダー、ドライブを指定します。 [追加] 除外リストに項目を追加します。 [削除] 除外リストから項目を削除します。 [アクション] [パフォーマン ス] 脅威を検出したときのスキャナーのアクションを指定します。 [スキャン キャ ッシュを使用] スキャナーで既存のスキャン結果を使用します。 [システムの使 用率] スキャン中にスキャナーに割り当てられる CPU 時間を指定できます。 このオプションを選択すると、重複スキャンを少なくし、パフォーマンスが向 上します。 それぞれのタスクは、他のタスクの制限に関係なく、個別に実行されます。 • [低] - 実行中の他のアプリケーションのパフォーマンスが向上します。 ベストプラクティス: エンドユーザーが作業中の場合には、このオプション を選択してください。 • [標準以下] - スキャンのシステム使用率が McAfee ePO のデフォルト値 に設定されます。 • [標準] (デフォルト) - スキャン速度が速くなります。 ベストプラクティス: エンド ユーザーの作業量が殆どなく、ボリュームが大 きいシステムの場合には、このオプションを選択してください。 [スケジュール スキャン オプシ ョン] これらのオプションは、[フル スキャン]、[クイック スキャン]、カスタム ス キャンにのみ適用されます。 [システムがア イドル状態の場 合にのみスキャ ンする] システムがアイドル状態の場合にのみスキャンを実行します。 脅威対策は、システムでキーボード操作やマウス操作が発生すると、スキャン を一時停止します。 脅威対策は、ユーザー (と CPU) が 5 分間アイドル状態に なると、スキャンを再開します。 サーバー システムでは、このオプションを無効にすることをお勧めします。ま た、ユーザーがリモート デスクトップ接続 (RDP) だけでアクセスしているシ ステムでも無効にしてください。 脅威対策は McTray を使用してシステムが アイドル状態かどうかを判断します。 RDP だけで接続されているシステムの 場合、McTray は開始しません。オンデマンド スキャナーは実行されません。 この問題を回避するには、RDP でログオンするときに McTray を手動で実行し ます (デフォルトでは C:\Program Files\McAfee\Agent\mctray.exe)。 112 McAfee Endpoint Security 10.2 製品ガイド 脅威対策 の使用 クライアント インターフェース リファレンス - 脅威対策 表 3-16 3 オプション (続き) セクション オプション 定義 [いつでもスキ ャン] ユーザーの操作中もスキャンを実行します。次のオプションを指定できます。 [ユーザーにスキャンの延期を許可] - ユーザーにスケジュール スキャンの延 期を許可し、スキャン延期オプションを指定します。 • [1 時間以内にユーザーが延期できる最大回数] - ユーザーが 1 時間にスキ ャンを延期できる回数 (1–23) を指定します。 • [ユーザー メッセージ] - スキャンの開始前にユーザーに表示するメッセー ジを指定します。 デフォルトのメッセージは「McAfee Endpoint Security がシステムの スキャンを開始します」です。 • [メッセージの期間 (秒)] - スキャンの開始前にメッセージを表示する時間 を秒数で指定します。 有効な範囲は 30 から 300 です。デフォルトは 45 秒です。 [システムがプレゼンテーション モードの場合にスキャンを実行しない] - シ ステムがプレゼンテーション モードの場合にスキャンを延期します。 [システムがバ ッテリーで動作 している場合に スキャンを実行 しない] システムがバッテリーで動作している場合にスキャンを延期します。 関連トピック: 84 ページの「オンデマンド スキャン を設定する」 88 ページの「スキャン タスクとスケジュールを設定して実行する」 58 ページの「フル スキャンまたはクイック スキャンを実行する」 60 ページの「ファイルまたはフォルダーをスキャンする」 113 ページの「スキャンする場所」 115 ページの「McAfee GTI」 116 ページの「アクション」 118 ページの「除外対象の追加または除外対象の編集」 スキャンする場所 スキャン対象の場所を指定します。 これらのオプションは、[フル スキャン]、[クイック スキャン]、カスタム スキャンにのみ適用されます。 McAfee Endpoint Security 10.2 製品ガイド 113 3 脅威対策 の使用 クライアント インターフェース リファレンス - 脅威対策 表 3-17 オプション セクション オプション 定義 [スキャンす る場所] [サブフォルダーをス キャン] 次のオプションを選択したときに、指定したボリュームのサブフォルダーを すべてスキャンします。 • [ホーム フォルダー] • [一時フォルダー] • [ユーザー プロファイル フォ ルダー] • [ファイルまたはフォルダー] • [Program Files フォルダー] このチェック ボックスをオフにすると、ボリュームのルート レベルのみが スキャンされます。 [場所を指定] スキャン対象の場所を指定します。 • [追加] - スキャンする場所を追加します。 [追加] をクリックして、ドロップダウン メニューから場所を選択します。 • 項目をダブルクリックします。 — 選択した項目を変更します。 • [削除] - スキャンする場所を削除します。 場所を選択して、[削除] をクリックします。 [メモリー内のルート キット] システム メモリーをスキャンし、ルートキット、非表示プロセス、マルウェ アが自身の存在を隠蔽するような動作がないかどうか確認します。 このス キャンは、他のすべてのスキャンに先立って実行されます。 このオプションンを有効にしないと、システムがマルウェアの攻撃を受け る可能性があります。 [実行中のプロセス] 実行中のすべてのプロセスのメモリをスキャンします。 ファイルを駆除する 以外の[アクション]は、[スキャンを続行] として処理 されます。 このオプションンを有効にしないと、システムがマルウェアの攻撃を受け る可能性があります。 [登録済みのファイル] Windows レジストリが参照しているファイルをスキャンします。 スキャナーがレジストリでファイル名を検索し、ファイルが存在するかどう か確認します。スキャン対象のファイル リストを作成して、ファイルをスキ ャンします。 [マイ コンピュータ ー] コンピューターに物理的に接続されているドライブまたはネットワーク ド ライブが割り当てられているドライブをすべてスキャンします。 [すべてのローカル ド コンピューター上のすべてのドライブとそのサブフォルダーをスキャンし ます。 ライブ] [すべての固定ドライ ブ] コンピューターに物理的に接続しているすべてのドライブをスキャンしま す。 [すべてのリムーバブ ル ドライブ] リムーバブル ドライブとコンピューターに接続している他のストレージ デ バイスをすべてスキャンします。ただし、Windows To Go がインストール されているデバイスは除きます。 [すべてのネットワー ク ドライブ] コンピューターのネットワーク ドライブに論理的にマッピングされている ネットワーク上のドライブをスキャンします。 [ホーム フォルダー] スキャンを開始するユーザーのホーム フォルダーをスキャンします。 [ユーザー プロファイ スキャンを開始したユーザーのプロファイルをスキャンします。ユーザー の My Documents フォルダーも対象となります。 ル フォルダー] 114 McAfee Endpoint Security 10.2 製品ガイド 3 脅威対策 の使用 クライアント インターフェース リファレンス - 脅威対策 表 3-17 オプション (続き) セクション オプション 定義 [Windows フォルダ ー] Windows フォルダーの内容をスキャンします。 [Program Files フォ ルダー] Program Files フォルダーの内容をスキャンします。 [一時フォルダー] 一時フォルダーの中身をスキャンします。 [ごみ箱] ごみ箱に含まれるコンテンツをスキャンします。 [ファイルまたはフォ ルダー] 指定したファイルまたはフォルダーをスキャンします。 関連トピック: 110 ページの「脅威対策 - オンデマンド スキャン」 McAfee GTI McAfee GTI (Global Threat Intelligence) を有効にして設定を行います。 表 3-18 オプション セクション オプシ 定義 ョン [McAfee GTI を有効 にする] ヒューリスティック検査を有効または無効にします。 • 有効にすると、サンプルのフィンガープリントまたはハッシュが McAfee Labs に送信さ れ、マルウェアかどうかが確認されます。 ハッシュを送信するので、McAfee Labs が次 の AMCore コンテンツ ファイルで更新を公開する前に脅威を検出できる場合がありま す。 • 無効にすると、フィンガープリントやデータが McAfee Labs に送信されません。 [感度レベ ル] 検出したサンプルがマルウェアかどうかを判断する場合に使用する感度レベルを設定しま す。 感度レベルを高くすると、検出されるマルウェアの数は多くなります。 ただし、検出数が増 えると、誤検知も増える可能性があります。 [非常 に低] 誤検知の検出とリスクは、通常の AMCore コンテンツ ファイルの場合と同じです。 McAfee Labs が次の AMCore コンテンツ ファイルの更新を待たずにコンテンツを公開すると、脅威 対策で検出が可能になります。 この設定は、ユーザー権限が制限され、強力なセキュリティ フットプリントの存在するデス クトップとサーバーで使用してください。 この設定を有効にすると、1 台のコンピューターで 1 日平均 10 から 15 のクエリーが実行 されます。 [低] この設定は、強力なセキュリティ フットプリントのあるラップトップ、デスクトップまたは サーバーの最小推奨事項です。 この設定を有効にすると、1 台のコンピューターで 1 日平均 10 から 15 のクエリーが実行 されます。 McAfee Endpoint Security 10.2 製品ガイド 115 3 脅威対策 の使用 クライアント インターフェース リファレンス - 脅威対策 表 3-18 オプション (続き) セクション オプシ 定義 ョン [中] このレベルを使用するのは、マルウェアに感染する通常のリスクが、誤検知のリスクよりも 大きい場合です。 McAfee Labs 独自のヒューリスティック チェックによって、マルウェア の可能性が高いものが検出されます。 ただし、一部の検出は誤検知の可能性があります。 こ の設定を使用すると、McAfee Labs は人気のあるアプリケーションとオペレーティング シ ステム ファイルが誤って検出されていないどうか確認します。 この設定は、ラップトップ、デスクトップまたはサーバーの最小推奨事項です。 この設定を有効にすると、1 台のコンピューターで 1 日平均 20 から 25 のクエリーが実行 されます。 [高] この設定は、定期的に感染しているシステムまたは領域に使用してください。 この設定を有効にすると、1 台のコンピューターで 1 日平均 20 から 25 のクエリーが実行 されます。 [非常 に高] McAfee では、スキャンするボリュームやディレクトリでプログラムやオペレーティング シ ステムが実行されない場合にのみ、このレベルを使用することをお勧めします。 このレベルで検出されるものはマルウェアと推定されますが、誤検知かどうか判断できるほ ど十分なテストは実施されていません。 ベストプラクティス: この設定は、オペレーティング システム以外のボリュームで使用してく ださい。 この設定を有効にすると、1 台のコンピューターで 1 日平均 20 から 25 のクエリーが実行 されます。 関連トピック: 106 ページの「脅威対策 - オンアクセス スキャン」 110 ページの「脅威対策 - オンデマンド スキャン」 159 ページの「Web 管理 - オプション」 アクション 脅威を検出したときのスキャナーのアクションを指定します。 表 3-19 オプション セクション オプション 定義 スキャンの種類 オンアクセス ス キャン [脅威を検出した場 合の最初の対応] 脅威を検出したときにスキャナーが最初に実行するアクションを指定します。 [ファイル ア 感染の可能性があるファイルに対するア クセスを拒否 クセスを拒否します。 する] [スキャンを 続行する] 脅威を検出したときにファイルのスキャ ンを続行します。 隔離領域に項目は移 動しません。 [ファイルを 駆除する] 可能であれば、検出したファイルから脅 威を駆除します。 [ファイルを 削除する] 感染の可能性があるファイルを削除しま す。 [最初の対応が失敗 した場合] 116 オンデマンド ス キャン McAfee Endpoint Security 10.2 脅威を検出し、最初のアクションが失敗した場合にスキャナーが実行するアク ションを指定します。 製品ガイド 脅威対策 の使用 クライアント インターフェース リファレンス - 脅威対策 表 3-19 3 オプション (続き) セクション オプション 定義 スキャンの種類 オンアクセス ス キャン オンデマンド ス キャン [ファイル ア 感染の可能性があるファイルに対するア クセスを拒否 クセスを拒否します。 する] [スキャンを 続行する] 脅威を検出したときにファイルのスキャ ンを続行します。 隔離領域に項目は移 動しません。 [ファイルを 削除する] 感染の可能性があるファイルを削除しま す。 [不審なプログラム に対する最初の対 応] 不審なプログラムを検出した場合にスキャナーが最初に実行するアクションを 指定します。 このオプションは、[不審なプログラムを検出] を選択した場合にのみ使用でき ます。 [ファイル ア 感染の可能性があるファイルに対するア クセスを拒否 クセスを拒否します。 する] [ファイル ア 感染の可能性があるファイルに対するア クセスを許可 クセスを許可します。 する] [スキャンを 続行する] 脅威を検出したときにファイルのスキャ ンを続行します。 隔離領域に項目は移 動しません。 [ファイルを 駆除する] 可能であれば、検出したファイルから不 審なプログラムのファイルを駆除しま す。 [ファイルを 削除する] 不審なプログラムを削除します。 [最初の対応が失敗 した場合] 不審なプログラムを検出し、最初のアクションが失敗した場合にスキャナーが 実行するアクションを指定します。 このオプションは、[不審なプログラムを検出] を選択した場合にのみ使用でき ます。 [ファイル ア 感染の可能性があるファイルに対するア クセスを拒否 クセスを拒否します。 する] [ファイル ア 感染の可能性があるファイルに対するア クセスを許可 クセスを許可します。 する] [スキャンを 続行する] 脅威を検出したときにファイルのスキャ ンを続行します。 隔離領域に項目は移 動しません。 [ファイルを 削除する] 不審なプログラムを自動的に削除しま す。 関連トピック: 106 ページの「脅威対策 - オンアクセス スキャン」 110 ページの「脅威対策 - オンデマンド スキャン」 McAfee Endpoint Security 10.2 製品ガイド 117 3 脅威対策 の使用 クライアント インターフェース リファレンス - 脅威対策 除外対象の追加または除外対象の編集 除外対象の定義を追加または編集します。 表 3-20 オプション セクシ ョン オプション [除外対 象] 定義 スキャンの種類 オンアクセ ス オンデマン ド 除外対象の種類を指定し、詳細を記述します。 [ファイル名ま 除外するファイル名またはパスを指定します。 たはパス] ファイルのパスにワイルドカードを使用できます。 Windows でフォルダーを除外するには、パスの最後にバ ックスラッシュ (\) を付けてください。 必要であれば、[サブフォルダーも除外] を選択します。 [ファイル タ イプ] 除外するファイルの種類 (拡張子) を指定します。 [ファイルの経 除外するファイルのアクセス タイプ ([修正]、[アクセス] (オ 過日数] ンデマンド スキャンのみ)、[作成]) を選択し、[最小経過日 数] を指定します。 [除外時 期] 選択した項目を除外するタイミングを指定します。 [ディスクへの ディスクまたは他のストレージ デバイスに対するファイルの 書き込み時ま 書き込みまたは読み取り操作時にスキャン対象から除外しま たはディスク す。 からの読み取 り時] [ディスクから コンピューターまたは他のストレージ デバイスに対するファ の読み取り時] イルの読み込み操作時にスキャン対象から除外します。 [ディスクへの ディスクまたは他のストレージ デバイスに対するファイルの 書き込み時] 書き込みまたは変更操作時にスキャン対象から除外します。 関連トピック: 106 ページの「脅威対策 - オンアクセス スキャン」 110 ページの「脅威対策 - オンデマンド スキャン」 66 ページの「除外対象でのワイルドカードの使用」 65 ページの「除外対象の設定」 脅威対策 - オプション 隔離、不審なプログラム、除外対象など、脅威対策の機能に適用される設定を行います。 このセクションには、詳細オプションだけが表示されます。 118 McAfee Endpoint Security 10.2 製品ガイド 脅威対策 の使用 クライアント インターフェース リファレンス - 脅威対策 表 3-21 3 詳細オプション セクション オプション 定義 [Quarantine Manager] [隔離フォルダ ー] 隔離フォルダーの場所を指定するか、デフォルトの場所を使用します。デ フォルトは次のとおりです。 c:\Quarantine 隔離フォルダーは 190 文字までです。 [隔離データの最 隔離ファイルの保管日数 (1-999) を指定します。この期間が経過したフ 大保管日数を指 ァイルは自動的に削除されます。 デフォルトは 30 日です。 定] [検出名で除外] [次の検出名を除 除外対象を検出名で指定します。 外] たとえば、オンアクセス スキャナーとオンデマンド スキャナーが Installation Check の脅威を検出しないように指定するには、 Installation Check と入力します。 [追加] - 検出名を除外リストに追加します。 [追加] をクリックして、検 出名を入力します。 項目をダブルクリックします。 — 選択した項目を変更します。 [削除] - 除外リストから検出名を削除します。 名前を選択して、[削除] をクリックします。 [不審なプログラム の検出] [ユーザー定義の 不審なプログラムとして処理するファイルまたはプログラムを個別に指定 不審なプログラ します。 ムを除外] スキャナーは、ユーザーが指定したプログラムと AMCore コンテンツ フ ァイルに指定したプログラムを検出します。 サイズが 0 バイトでユーザー定義の不審なプログラムは、スキャナーによ って検出されません。 • [追加] - 不審なプログラムを独自に定義します。 [追加] をクリックして名前を入力します。Tab を押して説明を入力し ます。 • [名前]- 不審なプログラムのファイル名を指定します。 • [説明] - 検出時に検出名として表示される情報を指定します。 • 項目をダブルクリックします。 — 選択した項目を変更します。 • [削除] - リストから不審なプログラムを削除します。 表からプログラムを選択して、[削除] をクリックします。 [プロアクティブ デ ータ分析] McAfee Endpoint Security 10.2 診断情報と使用状況のデータを McAfee に匿名で送信する: [McAfee GTI フ McAfee GTI ベースの利用統計フィードバックを有効にして、クライアン ィードバック] ト システムで実行中のファイルとプロセスに関する匿名データを収集し ます。 製品ガイド 119 3 脅威対策 の使用 クライアント インターフェース リファレンス - 脅威対策 表 3-21 詳細オプション (続き) セクション オプション 定義 [セーフティ パ ルス] AMCore コンテンツ ファイルの更新前後でクライアント システムの正常 性チェックを実行し、結果を McAfee に送信します。 結果は暗号化され、SSL 経由で McAfee に送信されます。 McAfee は、 これらのレポート データを集計して異常を識別し、コンテンツ関連の脅威 を未然に防ぎます。 封じ込めから修復までを短時間に行うには、このよう な問題を迅速に検出する必要があります。 セーフティ パルスが次の種類のデータを収集します。 • オペレーティング システムのバージョンとロケール • McAfee 製品のバージョン • AMCore コンテンツとエンジンのバージョン • McAfee と Microsoft の実行プロセスの情報 [AMCore コンテ クライアント システムを更新する前に、AMCore コンテンツ ファイルの ンツ レピュテー レピュテーションを McAfee GTI から取得します。 ション] • McAfee GTI がファイルを許可すると、Endpoint Security が AMCore コンテンツを更新します。 • McAfee GTI がファイルを許可しない場合、Endpoint Security は AMCore コンテンツを更新しません。 関連トピック: 78 ページの「共通のスキャン設定を行う」 AMCore コンテンツのロールバック AMCore コンテンツを以前のバージョンに変更します。 オプション 定義 [読み込むバージ ョンを選択] 以前の AMCore コンテンツ ファイルの中で読み込むファイルのバージョン番号を指定しま す。 Endpoint Security は、クライアント システムに 2 つ前までのバージョンを保持します。 前のバージョンに変更すると、Endpoint Security が現在のバージョンの AMCore コンテンツ をシステムから削除します。 関連トピック: 28 ページの「AMCore コンテンツのバージョンを変更する」 120 McAfee Endpoint Security 10.2 製品ガイド 4 ファイアウォール の使用 ファイアウォール は、コンピューターとネットワークまたはインターネットの間でフィルターとして機能します。 目次 ファイアウォール の機能 McAfee システム トレイ アイコンでのファイアウォールの無効化をユーザーに許可する McAfee システム トレイ アイコンからファイアウォール期限付きグループを表示したり、有効にします。 ファイアウォール の管理 クライアント インターフェース リファレンス - ファイアウォール ファイアウォール の機能 ファイアウォール は、すべての受信トラフィックと送信トラフィックをスキャンします。 ファイアウォール は、条件と関連アクションが設定されているルールのリストを使用し、送受信されるトラフィック を検査します。トラフィックがルール内のすべての条件を満たすと、ファイアウォール はルールに従って処理を実行 し、ファイアウォール を通過するトラフィックを許可またはブロックします。 検出した脅威の情報が保存され、レポートが作成されます。これにより、コンピューターに存在するセキュリティ問 題を管理者に通知します。 ファイアウォール のオプションとルールにより、ファイアウォール の動作が決まります。 ルール グループを使用す ると、ルールの管理を簡単に行うことができます。 クライアント インターフェース モードが [フル アクセス] に設定されている場合、あるいは管理者としてログオン している場合には、Endpoint Security クライアント を使用してルールとグループを設定できます。 管理対象シス テムの場合、管理者がポリシーの更新を配備したときに、ユーザーが作成したルールとグループが上書きされる場合 があります。 関連トピック: 123 ページの「ファイアウォール オプションを設定する」 127 ページの「Firewall ルールの機能」 129 ページの「ファイアウォール ルール グループの機能」 McAfee システム トレイ アイコンでのファイアウォールの無効化をユーザー に許可する 設定方法によっては、McAfee システム トレイ アイコンからファイアウォールを有効または無効にできます。 設定によっては、これらのオプションが使用できない場合があります。 McAfee Endpoint Security 10.2 製品ガイド 121 4 ファイアウォール の使用 McAfee システム トレイ アイコンからファイアウォール期限付きグループを表示したり、有効にします。 タスク • McAfee システム トレイ アイコンを右クリックし、[クイック設定] メニューから [Endpoint Security ファイ アウォールを無効にする] オプションを選択します。 ファイアウォールが有効になっている場合、[Endpoint Security ファイアウォールを無効にする] が表示されま す。 設定によっては、ファイアウォールを無効にする理由を入力するように指示される場合があります。 McAfee システム トレイ アイコンからファイアウォール期限付きグループを 表示したり、有効にします。 McAfee システム トレイ アイコンからファイアウォール期限付きグループを表示したり、有効または無効にします。 設定によっては、これらのオプションが使用できない場合があります。 タスク • McAfee システム トレイ アイコンを右クリックし、[クイック設定] メニューからオプションを選択します。 • [ファイアウォール期限付きグループを有効にする] - ファイアウォール期限付きグループを有効にし、所定 の期間、アクセスを制限するルールを適用する前にインターネット アクセスを許可します。 期限付きグルー プが有効になっている場合、このオプションは [ファイアウォール期限付きグループを無効にする] になりま す。 このオプションを選択するたびに、グループの期限がリセットされます。 設定によっては、ファイアウォールを有効にする理由を入力するように指示される場合があります。 • [ファイアウォール期限付きグループを表示する] - 期限付きグループの名前と各グループの残り時間を表示 します。 期限付きグループについて 期限付きグループは、期間限定でアクティブになるファイアウォール ルール グループです。 たとえば、期限付きグループを有効にすると、特定のクライアント システムをパブリック ネットワークに接続して、 VPN 接続を確立することができます。 設定に応じて、次のいずれかの方法でグループを有効にします。 • 指定したスケジュール。 • McAfee システム トレイ アイコンのオプション。 ファイアウォール の管理 管理者は、ファイアウォール オプションを設定して、Endpoint Security クライアント のルールとグループを作成 できます。 管理対象システムの場合、McAfee ePO からポリシーを変更すると、[設定] ページから行った変更が上書きされます。 122 McAfee Endpoint Security 10.2 製品ガイド ファイアウォール の使用 ファイアウォール の管理 4 ファイアウォール オプションを変更する 管理者は、Endpoint Security クライアント から ファイアウォール のオプションを変更できます。 タスク • 123 ページの「ファイアウォール オプションを設定する」 ファイアウォールの有効化/無効化、適応モードの有効化、その他のファイアウォール オプションの設定 を行うには、オプション で設定を行います。 • 124 ページの「DNS トラフィックをブロックする」 ファイアウォールの保護を調整するには、ブロックする FQDN のリストを作成します。 ファイアウォ ールは、ドメイン名に対応する IP アドレスとの接続をブロックします。 • 125 ページの「ルールとグループで使用するネットワークを定義する」 ルールとグループで使用するネットワークのアドレス、サブネットまたは範囲を定義します。 これらの ネットワークを信頼されたネットワークに指定することもできます。 • 126 ページの「信頼された実行ファイルを設定する」 環境で安全性が確認されている実行ファイルのリストを定義または編集します。 関連トピック: 124 ページの「FAQ - McAfee GTI と ファイアウォール」 ファイアウォール オプションを設定する ファイアウォールの有効化/無効化、適応モードの有効化、その他のファイアウォール オプションの設定を行うには、 オプション で設定を行います。 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 Endpoint Security クライアントを開きます。 2 メインの [ステータス] ページで [Firewall] をクリックします。 あるいは、[アクション] メニュー 3 から [設定] を選択し、[設定] ページで [Firewall] をクリックします。 [Firewall を有効にする] を選択して Firewall を有効にし、オプションを変更します。 Host Intrusion Prevention 8.0 は、Endpoint Security 10.2 と同じシステムにインストールできます。 McAfee Host IPS ファイアウォールがインストールされ、有効になっている場合、ポリシー設定で有効にしても Endpoint Security ファイアウォールが無効になります。 4 [詳細を表示] をクリックします。 5 ページで設定を行い、[適用] をクリックして変更を保存するか、[キャンセル] をクリックします。 関連トピック: 27 ページの「管理者としてログオンする」 McAfee Endpoint Security 10.2 製品ガイド 123 4 ファイアウォール の使用 ファイアウォール の管理 DNS トラフィックをブロックする ファイアウォールの保護を調整するには、ブロックする FQDN のリストを作成します。 ファイアウォールは、ドメ イン名に対応する IP アドレスとの接続をブロックします。 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 Endpoint Security クライアントを開きます。 2 メインの [ステータス] ページで [ファイアウォール] をクリックします。 あるいは、[アクション] メニュー ます。 から [設定] を選択し、[設定] ページで [ファイアウォール] をクリックし 3 [DNS ブロック] で[追加] をクリックします。 4 ブロックするドメインの FQDN を入力して、[保存] をクリックします。 ワイルドカードとして * と ? を使用できます。 例: *domain.com 重複する項目は自動的に削除されます。 5 [保存] をクリックします。 6 [適用] をクリックして変更を保存するか、[キャンセル] をクリックします。 FAQ - McAfee GTI と ファイアウォール ここでは、よくある質問について紹介します。 ファイアウォール オプションを使用すると、McAfee GTI が危険度高と評価したネットワーク接続からの受信トラフ ィックと送信トラフィックをブロックできます。 この FAQ では、McAfee GTI の機能と Firewall への影響につい て説明します。 McAfee GTI とは何ですか? McAfee GTI は、世界のインターネット評価情報を提供するシステムで、インターネット上で正常な動作と問 題のある動作を特定します。 McAfee GTI は、世界各地で発生している電子メールの送信パターン、Web ア クティビティ、マルウェア、システム間の通信をリアルタイムに分析します。 McAfee GTI は、分析結果を使 用してレピュテーション スコアを動的に算出しています。このスコアにより、Web ページの閲覧によりネッ トワークが晒される危険度が分かります。 IP アドレス、ドメイン、特定のメッセージ、URL、画像などのレ ピュテーション スコアはデータベースに格納されています。 どのように動作しますか? McAfee GTI オプションを選択すると、[McAfee GTI — Endpoint Security Firewall サービスを許可] と [McAfee GTI — 評価を取得] の 2 つのルールが作成されます。 最初のルールで McAfee GTI への接続が許 可されます。2 つ目のルールでは、接続のレピュテーション結果とブロックしきい値に従ってトラフィックを 許可またはブロックします。 「レピュテーション」とはどういう意味ですか? インターネット上の各 IP アドレスについて、McAfee GTI はレピュテーションを計算します。 McAfee GTI は、送受信やホスティング状態、顧客やパートナーから収集した環境データを元にインターネットの脅威状況 に関する評価を行います。 レピュテーションは、この分析に基づき、次の 4 つのクラスで表されます。 124 McAfee Endpoint Security 10.2 製品ガイド ファイアウォール の使用 ファイアウォール の管理 4 • [ブロックなし] (最小リスク) - コンテンツやトラフィックの正規の送信元または送信先であることが確 認されています。 • [未確認] - このサイトは、コンテンツやトラフィックの正規の送信元または送信先のように見えます。た だし、このサイトの一部のプロパティは、さらに詳しい調査が必要です。 • [危険度中] - 送信元または送信先の動作に不審な傾向が見られます。この通信のトラフィックとコンテ ンツは詳しい分析が必要です。 • [危険度高] - この送信元/送信先は、危険なコンテンツ/トラフィックを送受信することが確認されていま す。あるいは、このような可能性があります。重大なリスクが存在します。 McAfee GTI によって遅延が発生しますか? また、どのくらい発生しますか? McAfee GTI がレピュテーション情報を検索するときに、遅延時間が発生します。 McAfee では、この時間を 最小限に抑えるため、様々な工夫を行っています。 McAfee GTI: • オプションが選択された場合にのみ、レピュテーションを確認します。 • インテリジェント キャッシュ アーキテクチャを使用しています。ネットワークの通常の使用パターンで は、レピュテーション クエリーを送信せず、キャッシュを参照します。 Firewall が McAfee GTI サービスに接続できない場合、トラフィックは停止しますか? Firewall が McAfee GTI サーバーに接続できない場合、該当するすべての接続にデフォルトの許可レピュテ ーションが自動的に割り当てられます。 Firewall は後続のルールの分析を続行します。 ルールとグループで使用するネットワークを定義する ルールとグループで使用するネットワークのアドレス、サブネットまたは範囲を定義します。 これらのネットワーク を信頼されたネットワークに指定することもできます。 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 Endpoint Security クライアントを開きます。 2 メインの [ステータス] ページで [ファイアウォール] をクリックします。 あるいは、[アクション] メニュー ます。 3 から [設定] を選択し、[設定] ページで [ファイアウォール] をクリックし [詳細を表示] をクリックします。 McAfee Endpoint Security 10.2 製品ガイド 125 4 ファイアウォール の使用 ファイアウォール の管理 4 [定義済みネットワーク] で、以下のいずれかの操作を行います。 操作... 手順 新しいネットワークを 定義する。 [追加] をクリックして、信頼できるネットワークの詳細を入力します。 信頼できるネットワークとして定義するには、[信頼] ドロップダウン メニューから [はい] を選択します。 [いいえ] を選択すると、ルールとグループで使用するように定義されますが、ネット ワークからの送受信トラフィックは自動的に信頼されません。 5 ネットワークの定義を 変更する。 各列の項目をダブルクリックして、新しい情報を入力します。 ネットワークを削除す る。 行を選択して、[削除] をクリックします。 [適用] をクリックして変更を保存するか、[キャンセル] をクリックします。 信頼できるネットワークについて 信頼できるネットワークは、組織で安全性を確認している IP アドレス、IP アドレスの範囲、サブネットです。 信頼されたネットワークを定義すると、ファイアウォール ルール リストの先頭に、このリモート ネットワークの許 可ルールが双方向で作成されます。 信頼できるネットワークを定義すると、これらのネットワークに適用する Firewall ルールを作成できます。信頼で きるネットワークは、Firewall で McAfee GTI の例外としても機能します。 ベストプラクティス: この機能を利用するには、ネットワークをファイアウォール ルールとグループに追加するとき に、[ネットワークの種類] で [定義済みのネットワーク] を選択します。 信頼された実行ファイルを設定する 環境で安全性が確認されている実行ファイルのリストを定義または編集します。 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 Endpoint Security クライアントを開きます。 2 メインの [ステータス] ページで [ファイアウォール] をクリックします。 あるいは、[アクション] メニュー ます。 3 126 から [設定] を選択し、[設定] ページで [ファイアウォール] をクリックし [詳細を表示] をクリックします。 McAfee Endpoint Security 10.2 製品ガイド 4 ファイアウォール の使用 ファイアウォール の管理 4 [信頼された実行ファイル] で、以下のいずれかの操作を行います。 操作... 手順 新しい信頼された実行ファイルを定義する。 [追加] をクリックして、信頼された実行ファイルの詳細を入力し ます。 5 実行ファイルの定義を変更する。 各列の項目をダブルクリックして、新しい情報を入力します。 実行ファイルを削除する。 行を選択して、[削除] をクリックします。 [適用] をクリックして変更を保存するか、[キャンセル] をクリックします。 信頼された実行ファイルとアプリケーションについて 信頼された実行ファイルは、安全性が確認され、既知の脆弱性が存在しない実行ファイルです。 信頼された実行ファイルを設定すると、ファイアウォール ルール リストの先頭に、この実行ファイルの許可ルール が双方向で作成されます。 システムで安全な実行ファイルのリストを維持すると、誤検知の件数を大幅に減らすことができます。 たとえば、バ ックアップ アプリケーションの実行時には頻繁に誤検知が発生する可能性があります。 誤検知を避けるには、バッ クアップ アプリケーションを信頼された実行ファイルに設定します。 信頼された実行ファイルは、バッファー オーバーフローや不正な使用といった一般的な問題に対する脆弱性がありま す。 したがって、ファイアウォールは信頼された実行ファイルの監視を継続し、イベントをトリガーして攻撃を防ぎ ます。 Firewall カタログには、実行ファイルとアプリケーションの両方が登録されています。 カタログの実行ファイルは、 コンテナー アプリケーションに関連付けることができます。 カタログの実行ファイルとアプリケーションを信頼さ れた実行ファイルのリストに追加できます。 定義すると、ルールとグループで実行ファイルを参照できます。 ファイアウォール ルールとグループを設定する 管理者は、ファイアウォール から Endpoint Security クライアント ルールとグループを設定できます。 タスク • 133 ページの「ファイアウォール ルールとグループを作成/管理する」 管理対象システムの場合、管理者がポリシーの更新を配備したときに、ユーザーが Endpoint Security クライアント で作成したルールとグループが上書きされる場合があります。 • 135 ページの「接続の分離グループを作成する」 特定のパラメーターでネットワークに接続している場合にのみ適用されるルールを設定するには、接続 分離 Firewall ルール グループを作成します。 • 136 ページの「期限付きグループを作成する」 ファイアウォール期限付きグループを作成すると、クライアント システムが VPN に接続するまでイン ターネットへのアクセスが制限されます。 Firewall ルールの機能 ファイアウォール ルールでは、ネットワーク トラフィックの処理方法を決定します。各ルールには、トラフィック が満たす必要がある一連の条件とアクション (トラフィックの許可またはブロック) が定義されています。 ファイアウォール は、ルールの条件と一致するトラフィックを見つけると、関連付けられたアクションを実行しま す。 ルールは、広範囲に定義することも (すべての IP トラフィックなど)、狭い範囲で定義することもできます (特定の アプリケーションまたはサービスの特定など)。また、オプションも設定できます。ルールを機能、サービスまたはア プリケーションに従って分類すると、管理作業が簡単になります。ルールと同様に、ルール グループにもネットワー ク、トランスポート、アプリケーション、スケジュール、場所の各オプションが定義できます。 McAfee Endpoint Security 10.2 製品ガイド 127 4 ファイアウォール の使用 ファイアウォール の管理 ファイアウォール は、次の順序でルールを適用します。 1 ファイアウォールは、ファイアウォール ルール リストの上部にあるルールを適用します。 トラフィックがルールの条件と一致すると、ファイアウォール がトラフィックを許可またはブロックします。リ ストにある他のルールは適用しません。 2 トラフィックが最初のルールの条件に一致しない場合、ファイアウォール はリスト内の次のルールを処理します。 トラフィックに一致するルールが見つかるまで、この処理を繰り返します。 3 一致するルールがない場合、Firewall は自動的にトラフィックをブロックします。 適応モードが有効な場合には、トラフィックの許可ルールが作成されます。阻止したトラフィックが、リストにある 1 つ以上のルールに適合する場合があります。この場合、ファイアウォール はリストで最初に一致したルールのみを 適用します。 ベスト プラクティス より具体的なルールをリストの上位に置き、一般的なルールを下位に置きます。 これにより、ファイアウォール が トラフィックを適切にフィルタリングします。 たとえば、IP アドレス 10.10.10.1 を除くすべての HTTP 要求を許可するには、次の 2 つのルールを作成します。 • ブロック ルール - IP アドレス 10.10.10.1 からの HTTP トラフィックをブロックします。これは具体的なル ールです。 • 許可ルール - HTTP サービスを使用するすべてのトラフィックを許可します。これは一般的なルールです。 Firewall ルール リストで、ブロック ルールを許可ルールよりも上に配置します。Firewall がアドレス 10.10.10.1 からの HTTP 要求を阻止するときに、最初に一致したルールでトラフィックがブロックされます。 128 McAfee Endpoint Security 10.2 製品ガイド 4 ファイアウォール の使用 ファイアウォール の管理 一般的な許可ルールを具体的なブロック ルールよりも上に置くと、ファイアウォール はブロック ルールよりも前に 許可ルールで要求を処理します。この場合、このアドレスからの HTTP 要求をブロックしたくても、トラフィックは 許可されます。 ファイアウォール ルール グループの機能 ファイアウォール ルール グループを使用すると、ルールの管理を簡単に行うことができます。 ファイアウォール ル ール グループを使用しても、ファイアウォールがグループ内のルールを処理する方法は変更されません。ファイアウ ォールは、上から下に向けてルールを処理します。 ファイアウォールは、グループ内のルールの設定よりも前にグループの設定を処理します。 これらの設定に矛盾があ る場合、グループの設定が優先します。 位置情報を使用するグループの作成 ファイアウォールを使用すると、場所別にグループを設定し、接続の分離を作成できます。 グループで場所とネット ワーク オプションを使用すると、ネットワーク アダプター別にグループを設定できます。 ネットワーク アダプター グループを使用すると、複数のネットワーク インターフェースを搭載したコンピューターでアダプター別にルールを 適用できます。 場所のステータスを有効にし、場所の名前を指定すると、各ネットワーク アダプターで許可された 以下の接続パラメーターを使用できます。 [場所]: • ePO との接続が必要 • プライマリ WINS サーバーの IP アドレス • 接続別の DNS サフィックス • セカンダリ WINS サーバーの IP アドレス • デフォルト ゲートウェイの IP アドレス • ドメインとの接続 • DHCP サーバーの IP アドレス • レジストリ キー • URL 解決を照会する DNS サーバー [ネットワーク]: • ローカル ネットワークの IP アドレス • 接続の種類 2 つの場所別グループが 1 つの接続に適用される場合、ファイアウォール では通常の優先順位を使用し、ルール リ ストで適用可能な最初のグループを処理します。 最初のグループに該当するルールがない場合、ルールの処理が継続 します。 ファイアウォール は、アクティブな接続に対して場所別グループのパラメーターを照合し、グループ内のルールを適 用します。 ルールを小さいルール セットとして扱い、通常の優先順位を適用します。 阻止したトラフィックと一致 しないルールがある場合、ファイアウォールは無視します。 選択したオプション... 結果... 位置認識を有効にする 場所の名前が必要です。 ePO との接続が必要 McAfee ePO と接続可能で、サーバーの FQDN が解決されています。 ローカル ネットワーク アダプターの IP アドレスがリスト項目のいずれかと一致している必要があります。 接続別の DNS サフィック ス アダプターの DNS サフィックスがリスト項目のいずれかと一致している必要があ ります。 デフォルト ゲートウェイ デフォルト アダプターのゲートウェイ IP がリスト項目の少なくとも 1 つと一致し ている必要があります。 DHCP サーバー アダプターの DHCP サーバーの IP がリスト項目の少なくとも 1 つと一致している 必要があります。 McAfee Endpoint Security 10.2 製品ガイド 129 4 ファイアウォール の使用 ファイアウォール の管理 選択したオプション... 結果... DNS サーバー アダプターの DNS サーバーの IP がリスト項目の少なくとも 1 つと一致している 必要があります。 プライマリ WINS サーバー アダプターのプライマリ WINS サーバーの IP がリスト項目の少なくとも 1 つと一 致している必要があります。 セカンダリ WINS サーバー アダプターのセカンダリ WINS サーバーの IP がリスト項目の少なくとも 1 つと一 致している必要があります。 ドメインとの接続 指定したドメインと接続する必要があります。 ファイアウォール ルール グループと接続の分離 接続の分離を使用すると、グループが特定のネットワークにアクセスしたときに不要なトラフィックの受信を防ぐこ とができます。 グループで接続の分離を有効にし、アクティブなネットワーク インターフェース カード (NIC) がグループの条件に 一致すると、ファイアウォール が次の条件に一致するトラフィックを処理します。 • Firewall ルール リストでグループよりも上にある許可ルール • グループ条件 他のトラフィックはすべてブロックされます。 接続の分離が有効になっているグループに、トランスポート オプションまたは実行ファイルは関連付けられません。 130 McAfee Endpoint Security 10.2 製品ガイド ファイアウォール の使用 ファイアウォール の管理 4 接続の分離の例として、企業環境とホテルの 2 つの設定を考えてみましょう。 アクティブな Firewall ルール リス トには、ルールおよびグループが次の順序で含まれています。 1 基本接続ルール 2 VPN 接続ルール 3 企業 LAN 接続ルールが設定されたグループ 4 VPN 接続ルールが設定されたグループ McAfee Endpoint Security 10.2 製品ガイド 131 4 ファイアウォール の使用 ファイアウォール の管理 例: 企業ネットワークでの接続の分離 接続ルールは、企業 LAN 接続ルールが設定されたグループが検出されるまで処理されます。 このグループの設定は 次のとおりです。 • 接続の種類 = 有線 • 接続別 DNS サフィックス = mycompany.com • デフォルト ゲートウェイ • 接続の分離 = 有効 コンピューターには、LAN と無線 LAN の両方のアダプターが装備されています。 このコンピューターは、無線接続 で会社のネットワークに接続します。 無線 LAN のインターフェースが有効な状態になっているため、事務所以外の ホットスポットにも接続します。 基本アクセス用のルールが Firewall ルール リストの最上位にあるため、コンピュ ーターは両方のネットワークに接続します。 有線 LAN 接続がアクティブで、企業 LAN グループの条件を満たして います。 Firewall は LAN を通じてトラフィックを処理しますが、接続の分離が有効であるため、LAN を通過しな いその他すべてのトラフィックはブロックされます。 例: ホテルでの接続の分離 接続ルールは、VPN 接続ルールが設定されたグループが検出されるまで処理されます。 このグループの設定は次の とおりです。 • 接続の種類 = 仮想 • 接続別 DNS サフィックス = vpn.mycompany.com • IP アドレス = VPN コンセントレーターに固有な範囲のアドレス • 接続の分離 = 有効 一般的な接続ルールでは、ホテルで有効期限のあるアカウントを設定して、インターネット アクセスが可能になりま す。 VPN 接続ルールにより接続が許可され、VPN トンネルが使用されます。 トンネルが確立された後、VPN クラ イアントは VPN グループの条件に一致する仮想アダプターを作成します。 Firewall が許可したトラフィックだけ が、VPN トンネル内部に入り、基本トラフィックは実際のアダプター上を通過します。 ネットワーク上でホテルの 他の客がコンピューターにアクセスしようとすると、有線無線に関係なくブロックされます。 事前定義のファイアウォール ルール グループ ファイアウォールには、いくつかのファイアウォール グループが事前に定義されています。 ファイアウォー ル グループ 説明 [McAfee コア ネ McAfee 提供のコア ネットワーク ルールです。McAfee アプリケーションと DNS を許可する ットワーク] ルールも含まれています。 これらのルールは変更または削除できません。 ファイアウォールのオプションにあるグループ は無効にできません。この操作を行うと、クライアントとのネットワーク通信が遮断される可能 性があります。 [管理者が追加] 管理サーバーで管理者が定義したルールです。 これらのルールを Endpoint Security クライアント で変更したり、削除することはできません。 [ユーザーが追加] Endpoint Security クライアント で定義したルールです。 ポリシーの設定によっては、これらのルールがポリシー施行時に上書きされる場合があります。 132 McAfee Endpoint Security 10.2 製品ガイド ファイアウォール の使用 ファイアウォール の管理 4 ファイアウォー ル グループ 説明 [動的] システムにインストールされている他の Endpoint Security モジュールが動的に作成したルー ルです。 たとえば、ネットワーク上のシステムへのアクセスをブロックするルールを作成するために、脅 威対策が Endpoint Security クライアント モジュールにイベントを送信します。 [適応] 適応モードのシステムで自動的に作成されるクライアント除外ルールです。 ポリシーの設定によっては、これらのルールがポリシー施行時に上書きされる場合があります。 [デフォルト] McAfee 提供のデフォルト ルールです。 これらのルールを変更したり、削除することはできません。 ファイアウォール ルールとグループを作成/管理する 管理対象システムの場合、管理者がポリシーの更新を配備したときに、ユーザーが Endpoint Security クライアン ト で作成したルールとグループが上書きされる場合があります。 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 [Firewall ルール] テーブルでは、優先順位に従ってグループとルールが表示されます。 ルールを列でソートすること はできません。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 Endpoint Security クライアントを開きます。 2 メインの [ステータス] ページで [ファイアウォール] をクリックします。 あるいは、[アクション] メニュー ます。 3 から [設定] を選択し、[設定] ページで [ファイアウォール] をクリックし ファイアウォール ルールとグループを管理するには、次のタスクを実行します。 操作... 手順 Firewall グループのルールを表示しま す。 をクリックします。 Firewall グループを折りたたみます。 をクリックします。 既存のルールを変更します。 ルールが変更できるのは、[ユーザ ー追加] グループだけです。 1 [ユーザー追加] グループを展開します。 2 ルールをダブルクリックします。 3 ルールの設定を変更します。 4 [OK] をクリックして、変更を保存します。 グループ内の既存のルールを表示しま す。 McAfee Endpoint Security 10.2 1 グループを展開します。 2 下部ペインに詳細を表示するルールを選択します。 製品ガイド 133 4 ファイアウォール の使用 ファイアウォール の管理 操作... 手順 ルールを作成します。 1 [ルールの追加] をクリックします。 2 ルールの設定を指定します。 3 [OK] をクリックして、変更を保存します。 [ユーザー追加] グループの最後にルールが表示されます。 ルールのコピーを作成します。 1 ルールを選択して、[複製] をクリックします。 コピーしたルールが [ユーザー追加] グループの最後に同じ名前で 表示されます。 2 ルールの名前と設定を変更します。 ルールを削除します。 ルールを削除できるのは、[ユーザ ー追加] グループと [適応] グル ープだけです。 グループを作成します。 1 グループを展開します。 2 ルールを選択して、[削除] をクリックします。 1 [グループの追加] をクリックします。 2 グループの設定を指定します。 3 [OK] をクリックして、変更を保存します。 [ユーザー追加] グループにグループが表示されます。 グループ間でルールとグループを移動 します。 ルールとグループを移動できる のは、[ユーザー追加] グループだ けです。 要素を移動するには、次の手順に従います。 1 移動する要素を選択します。 移動可能な要素の左側にグリップ が表示されます。 2 ドラッグ アンド ドロップで要素を新し位置に移動します。 要素をドロップできる位置に青線が表示されます。 4 [適用] をクリックして変更を保存するか、[キャンセル] をクリックします。 関連トピック: 134 ページの「Firewall ルールで使用可能なワイルドカード」 27 ページの「管理者としてログオンする」 135 ページの「接続の分離グループを作成する」 Firewall ルールで使用可能なワイルドカード Firewall ルールの一部の値では、ワイルドカードを使用できます。 パスとアドレスで使用可能な Firewall ファイル、レジストリ キー、実行ファイル、URL のパスには次のワイルドカードが使用できます。 Firewall グループの場所を表すレジストリ キーのパスには、ワイルドカードを使用できません。 134 ? 疑問符 1 つの文字。 * アスタリスク 複数の文字。ただし、スラッシュと (/) と円記号 (\) は除く。この文字は、サブフォルダー のないフォルダーのルート レベルの内容と比較する場合に使用します。 McAfee Endpoint Security 10.2 製品ガイド ファイアウォール の使用 ファイアウォール の管理 ** 二重アスタリス ク 複数の文字。スラッシュと (/) と円記号 (\) も含む。 | ワイルドカードのエスケープ。 パイプ 4 二重アスタリスク (**) は |*|* とエスケープします。 その他の値で使用可能なワイルドカード パス情報を含まないスラッシュ付きの値では、次のワイルドカードを使用できます。 ? 疑問符 1 つの文字。 * アスタリスク 複数の文字。スラッシュと (/) と円記号 (\) も含む。 | パイプ ワイルドカードのエスケープ。 接続の分離グループを作成する 特定のパラメーターでネットワークに接続している場合にのみ適用されるルールを設定するには、接続分離 Firewall ルール グループを作成します。 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 Endpoint Security クライアントを開きます。 2 メインの [ステータス] ページで [ファイアウォール] をクリックします。 あるいは、[アクション] メニュー ます。 から [設定] を選択し、[設定] ページで [ファイアウォール] をクリックし 3 [ルール] で、[グループの追加] をクリックします。 4 [説明] で、グループのオプションを指定します。 5 [場所] で、[位置認識を有効にする] と [接続の分離を有効にする] を選択します。 次に、比較する場所の条件を 選択します。 6 [ネットワーク] の [接続の種類] で、このグループのルールに適用する接続の種類 ([有線]、[無線]、[仮想]) を 選択します。 接続の分類グループでは、[トランスポート] と[アプリケーション] の設定は使用できません。 7 [OK] をクリックします。 8 このグループに新しいルールを作成するか、Firewall ルール リストから既存のルールをグループに移動します。 9 [適用] をクリックして変更を保存するか、[キャンセル] をクリックします。 関連トピック: 130 ページの「ファイアウォール ルール グループと接続の分離」 129 ページの「ファイアウォール ルール グループの機能」 McAfee Endpoint Security 10.2 製品ガイド 135 4 ファイアウォール の使用 クライアント インターフェース リファレンス - ファイアウォール 期限付きグループを作成する ファイアウォール期限付きグループを作成すると、クライアント システムが VPN に接続するまでインターネットへ のアクセスが制限されます。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 Endpoint Security クライアントを開きます。 2 メインの [ステータス] ページで [ファイアウォール] をクリックします。 あるいは、[アクション] メニュー ます。 3 から [設定] を選択し、[設定] ページで [ファイアウォール] をクリックし デフォルトの設定でファイアウォール グループを作成します。デフォルトの設定では、インターネット接続が許 可されます。 たとえば、ポート 80 で HTTP トラフィックを許可します。 4 [スケジュール] セクションで、グループを有効にする方法を選択します。 • [スケジュールを有効にする] - グループを有効にする開始時間と終了時間を指定します。 • [スケジュールを無効にして McAfee システム トレイ アイコンでグループを有効にする] - McAfee システ ム トレイ アイコンからのグループの有効化をユーザーに許可します。グループは、指定した期間 (分) 有効 な状態を維持します。 期限付きグループの管理をユーザーに許可する場合、グループを有効にする前に理由の入力を要求することも できます。 5 [OK] をクリックして、変更を保存します。 6 必要なトラフィックを許可する VPN ネットワークに対応する接続分離グループを作成します。 ベストプラクティス: クライアント システムの接続隔離グループからの送信トラフィックをのみを許可する場合 には、このグループよりも下にファイアウォール ルールを配置しないでください。 7 [適用] をクリックして変更を保存するか、[キャンセル] をクリックします。 関連トピック: 135 ページの「接続の分離グループを作成する」 クライアント インターフェース リファレンス - ファイアウォール インターフェース リファレンスのヘルプ トピックでは、クライアント インターフェースに表示されるページのコン テキスト ヘルプを提供します。 目次 ファイアウォール - オプション ファイアウォール — ルール ファイアウォール - オプション ファイアウォール モジュールを有効または無効にします。保護オプションを設定し、ネットワークと信頼できる実行 ファイルを定義します。 変更をキャンセルして、McAfee のデフォルト値に戻するには、[デフォルトに戻す] をクリックします。 136 McAfee Endpoint Security 10.2 製品ガイド 4 ファイアウォール の使用 クライアント インターフェース リファレンス - ファイアウォール ロギングの設定については、共通設定モジュールの設定を参照してください。 Host Intrusion Prevention 8.0 は、Endpoint Security 10.2 と同じシステムにインストールできます。 McAfee Host IPS ファイアウォールがインストールされ、有効になっている場合、ポリシー設定で有効にしても Endpoint Security ファイアウォールが無効になります。 表 4-1 オプション セクショ オプション ン [ファイアウォール を有効にする] [保護オ プショ ン] 定義 ファイアウォール モジュールを有効または無効にします。 [サポートされてい サポートされていないプロトコルを使用するトラフィックをすべて許可します。 ないプロトコルのト 無効にすると、サポートされていないプロトコルを使用するトラフィックはすべて ラフィックを許可す ブロックされます。 る] [ファイアウォール ファイアウォール サービスが開始するまで、送信トラフィックは許可しますが、 サービスが開始する 受信トラフィックは許可しません。 まで送信トラフィッ クのみを許可する] このオプションを無効にすると、ファイアウォールは、サービス開始前に発生し たすべてのトラフィックを許可します。これにより、システムが脆弱になる可能 性があります。 [ブリッジド トラフ ィックを許可] 許可: • 受信パケット 宛先の MAC アドレスが対応の VM MAC アドレス範囲内にあり、 システムのローカル MAC アドレスでない場合。 • 送信パケット 送信元の MAC アドレスが対応の MAC アドレス範囲内にあり、 システムのローカル MAC アドレスでない場合。 [IP スプーフィング 対策を有効にする] ローカル ホストの IP アドレス以外から送信されたネットワーク トラフィックを ブロックします。IP の偽装を試みるローカル プロセスからのトラフィックもブ ロックします。 [動的なブロック ル ールを有効にする] ブロック ルールを動的に作成し、Endpoint Security の [動的ルール] グループに 追加することを他の Endpoint Security クライアント モジュールに許可します。 デフォルトは無効です。 [ファイアウォール ファイアウォールが攻撃の可能性を検出すると、アラートを自動的に表示します。 侵入アラートを有効 にする] [DNS ブ [ドメイン名] ロック] ブロックするドメイン名を定義します。 適用すると、ファイアウォール ルール リストの先頭に近い位置にルールを追加 し、ドメイン名を解決する IP アドレスとの接続をブロックします。 • [追加] - ドメイン名をブロック リストに追加します。 複数のドメインを指定 する場合には、ドメインをカンマ (,) または改行で区切ってください。 ワイルドカードとして * と ? を使用できます。 例: *domain.com 重複する項目は自動的に削除されます。 • 項目をダブルクリックします。 — 選択した項目を変更します。 • [削除] - 選択したドメイン名をブロック リストから削除します。 McAfee Endpoint Security 10.2 製品ガイド 137 4 ファイアウォール の使用 クライアント インターフェース リファレンス - ファイアウォール 表 4-2 詳細オプション セクション オプション 定義 [調整オプ ション] トラフィックの許可ルールを自動的に作成します。 [適応モードを有 効にする] ベストプラクティス: ファイアウォールのトンネリング中にのみ、少数のシステ ムで適応モードを有効にします。 このモードを有効にすると、大量のクライアン ト ルールが生成される場合があります。これらのルールは McAfee ePO サーバ ーで処理されるため、パフォーマンスが低下する可能性があります。 [McAfee コア ネ ットワーク ルー ルを無効にする] 組み込みの McAfee ネットワーク ルール ([McAfee コア ネットワーク] ルール グループ) を無効にします。 デフォルトは無効です。 このオプションを有効にすると、クライアントのネットワーク通信が遮断される 可能性があります。 [ブロックされた ブロックされたすべてのトラフィックを Endpoint Security クライアントのフ トラフィックをす ァイアウォール イベント ログ (FirewallEventMonitor.log) に記録します。 べてログに記録す デフォルトは有効です。 る] [許可されたトラ 許可されたすべてのトラフィックをファイアウォールの Endpoint Security ク フィックをすべて ライアント イベント ログ (FirewallEventMonitor.log) に記録します。 ログに記録する] デフォルトは無効です。 このオプションを有効にすると、パフォーマンスが低下する場合があります。 [McAfee [McAfee GTI の GTI ネット 一致を侵入として ワーク レ 扱う] ピュテーシ ョン] McAfee GTI ブロックしきい値に一致するトラフィックを侵入として扱います。 このオプションを有効にすると、アラートが表示され、管理サーバーにイベント が送信されます。この情報は、Endpoint Security クライアント ログ ファイル に追加されます。 信頼できるネットワーク ポリシーの IP アドレスは McAfee GTI の対象外にな ります。 デフォルトは有効です。 [一致するトラフ McAfee GTI ブロックしきい値に一致するトラフィックを検出として扱います。 ィックをログに記 このオプションを有効にすると、管理サーバーにイベントが送信されます。この 録する] 情報は、Endpoint Security クライアント ログ ファイルに追加されます。 デフォルトは有効です。 信頼できるネットワーク ポリシーの IP アドレスは McAfee GTI の対象外にな ります。 [信頼されていな 署名のない実行ファイルまたは McAfee GTI レピュテーションが「不明」の実行 い実行ファイルを ファイルをすべてブロックします。 すべてブロックす る] 138 McAfee Endpoint Security 10.2 製品ガイド 4 ファイアウォール の使用 クライアント インターフェース リファレンス - ファイアウォール 表 4-2 詳細オプション (続き) セクション オプション 定義 [受信ネットワー ネットワーク接続で受信または送信トラフィックをブロックする McAfee GTI クのレピュテーシ の評価しきい値を指定します。 ョンしきい値] • [ブロックなし] - コンテンツやトラフィックの正規の送信元または送信先で [送信ネットワー あることが確認されています。 クのレピュテーシ • [危険度高] - この送信元/宛先は、McAfee が危険と見なす不審なコンテンツ/ ョンしきい値] トラフィックを送信またはホスティングしています。 • [危険度中] - この送信元/宛先は、McAfee が不審と見なす振る舞いを示して います。 このサイトのコンテンツ/トラフィックには特別な警戒が必要です。 • [未確認] - このサイトは、コンテンツやトラフィックの正規の送信元または送 信先の可能性もありますが、詳しい調査が必要なプロパティがあります。 [ステート [FTP プロトコル フル ファ 検査を実行する] イアウォー ル] FTP 接続の追跡を許可します。送信 FTP クライアント トラフィックに 1 つの ファイアウォール ルールが、受信 FTP サーバー トラフィックには 1 つのファイ アウォール ルールが必要です。 選択しないと、受信 FTP クライアント トラフィックと送信 FTP サーバー トラフ ィックに追加のルールが必要になります。 [TCP 接続がタイ 接続と一致するパケットが送受信されない場合に、確立されていない TCP 接続の ムアウトするまで アクティブ状態を維持する時間 (秒単位) を指定します。 有効な範囲は 1–240 の秒数 (1-240)] です。 [UDP または ICMP エコー仮想 接続タイムアウト までの秒数 (1-300)] [定義済み のネットワ ーク] 接続と一致するパケットが送受信されない場合に、確立されていない UDP または ICMP エコー仮想接続のアクティブ状態を維持する時間 (秒単位) を指定します。 このオプションを使用すると、仮想接続と一致するパケットが送受信されるたび に、この設定値にリセットされます。 有効な範囲は 1-300 です。 ルールとグループで使用するネットワークのアドレス、サブネットまたは範囲を 定義します。 • [追加] - 定義済みネットワークのリストにネットワークのアドレス、サブネッ トまたは範囲を追加します。 [追加] をクリックして、フィールドに入力してネットワークを定義します。 • 項目をダブルクリックします。 — 選択した項目を変更します。 • [削除] - 選択したアドレスを定義済みネットワークのリストから削除します。 [アドレスの種類] 定義するネットワーク アドレスの種類を指定します。 [信頼] • [はい] - ネットワークからのトラフィックをすべて許可します。 信頼されたネットワークを定義すると、ファイアウォール ルール リストの先頭 に、このリモート ネットワークの許可ルールが双方向で作成されます。 • [いいえ] - 定義済みネットワークのリストにネットワークを追加し、ルールを 作成します。 [所有者] [信頼され た実行ファ イル] 安全で、既知の脆弱性がない実行ファイルを指定します。 これらの実行ファイル は、感染が確認されない限り、すべての操作の実行が許可されます。 信頼された実行ファイルを設定すると、ファイアウォール ルール リストの先頭 に、この実行ファイルの許可ルールが双方向で作成されます。 • [追加] - 信頼された実行ファイルを追加します。 • 項目をダブルクリックします。 — 選択した項目を変更します。 • [削除] - 信頼リストから実行ファイルを削除します。 McAfee Endpoint Security 10.2 製品ガイド 139 4 ファイアウォール の使用 クライアント インターフェース リファレンス - ファイアウォール 関連トピック: 123 ページの「ファイアウォール オプションを設定する」 125 ページの「ルールとグループで使用するネットワークを定義する」 126 ページの「信頼された実行ファイルを設定する」 145 ページの「実行ファイルの追加 または 実行ファイルの編集」 ファイアウォール — ルール ファイアウォール ルールとグループを管理します。 追加と削除ができるのは、ユーザーが追加したグループのルールとグループだけです。 ファイアウォールは、新規に 追加されたルールをこのグループに自動的に移動します。 変更をキャンセルして、設定を工場出荷時のデフォルト値に戻するには、[デフォルトに戻す] をクリックします。 表 4-3 オプション セクショ ン オプション 定義 [ ルール] [ルールの追加] ファイアウォール ルールを作成します。 [グループの追加] ファイアウォール グループを作成します。 項目をダブルクリッ クします。 選択した項目を変更します。 [複製] 選択した項目のコピーを作成します。 [削除] 選択したファイアウォールの項目を削除します。 ルール グループ リストで移動可能な要素を表示します。 要素を選択してドラッグし、新しい位置にドロップします。 要素をドロップできる位置に青線が表示されます。 関連トピック: 133 ページの「ファイアウォール ルールとグループを作成/管理する」 140 ページの「ルールの追加またはルールの編集、グループの追加またはグループの編集」 ルールの追加またはルールの編集、グループの追加またはグループの編集 ファイアウォール ルールとグループを追加または編集します。 表 4-4 オプション セクシ ョン オプション 定義 [説明] [名前] 項目の名前を指定します (必要な場合)。 [ステータス] 項目を有効または無効にします。 [アクションを 指定する] [許可] - 項目が一致する場合、トラフィックがファイアウォールを通過しま す。 ルー グル ル ープ [ブロック] - 項目が一致する場合、トラフィックがファイアウォールで遮断 されます。 140 McAfee Endpoint Security 10.2 製品ガイド 4 ファイアウォール の使用 クライアント インターフェース リファレンス - ファイアウォール 表 4-4 セクシ ョン オプション (続き) オプション 定義 ルー グル ル ープ [一致する場合は侵入として扱う] - ルールに一致したトラフィックを侵入 として扱います。 このオプションを有効にすると、アラートが表示され、管 理サーバーにイベントが送信されます。この情報は、Endpoint Security ク ライアント ログ ファイルに追加されます。 ベストプラクティス: 大量のイベントが生成されるため、[許可] ルールでは このオプションを有効にしないでください。 [一致するトラフィックをログに記録する] - ルールに一致したトラフィッ クを検出として扱います。 このオプションを有効にすると、管理サーバーに イベントが送信されます。この情報は、Endpoint Security クライアントの ログ ファイルに追加されます。 [方向] 方向を指定します。 • [いずれか] - 受信トラフィックと送信トラフィックを監視します。 • [受信] - 受信トラフィックを監視します。 • [送信] - 送信トラフィックを監視します。 [場所] [メモ] 項目の補足情報を入力します。 [位置認識を有 効にする] グループの場所情報を有効または無効にします。 [名前] 場所の名前を指定します (必要な場合)。 [接続の分離を 有効にする] グループに一致するアダプターが存在するときに、グループに一致しないネ ットワーク アダプター上のトラフィックをブロックします。 接続の分類グループでは、[トランスポート] と[アプリケーション] の設定 は使用できません。 このオプションを使用すると、外部の不審な送信元から送信されたトラフィ ックが、企業ネットワーク内に侵入しないようにブロックできます。 ただ し、ファイアウォール内でグループよりも前にあるルールがこのようなトラ フィックを許可している場合には、この方法でトラフィックをブロックする ことはできません。 接続の分離が有効であり、NIC がグループに一致する場合、次のいずれかの 場合にのみトラフィックが許可されます。 • グループの前にトラフィックが [許可ルール]と比較されます。 • NIC を通過するトラフィックがグループと比較される。トラフィックを許 可するルールがグループ内またはグループの下に存在する。 グループに一致する NIC がない場合、グループは無視され、ルールの照合が 続行されます。 [ePO との接続 McAfee ePO サーバーと通信を行い、サーバーの完全修飾ドメイン名の参照 が必要] が解決されている場合にのみ、グループの比較を有効にします。 McAfee Endpoint Security 10.2 製品ガイド 141 4 ファイアウォール の使用 クライアント インターフェース リファレンス - ファイアウォール 表 4-4 セクシ ョン オプション (続き) オプション 定義 ルー グル ル ープ [場所の条件] • [接続別の DNS サフィックス] - 接続別の DNS サフィックスを example.com の形式で指定します。 • [デフォルト ゲートウェイ] - デフォルト ゲートウェイの単一 IP アドレ スを IPv4 または IPv6 形式で指定します。 • [DHCP サーバー] - DHCP サーバーの単一 IP アドレスを IPv4 または IPv6 形式で指定します。 • [DNS サーバー] - ドメイン名サーバーの単一 IP アドレスを IPv4 また は IPv6 形式で指定します。 • [プライマリー WINS サーバー] - プライマリー WINS サーバーの単一 IP アドレスを IPv4 または IPv6 形式で指定します。 • [セカンダリ WINS サーバー] - セカンダリ WINS サーバーの単一 IP アドレスを IPv4 または IPv6 形式で指定します。 • [ドメインとの接続] - 指定したドメインに接続可能でなければなりませ ん。 • [レジストリ キー] - レジストリ キーとキーの値を指定します。 1 [追加] をクリックします。 2 [値] 列に、次の形式でレジストリ キーを指定します。 <ROOT>\<KEY>\[VALUE_NAME] • <ROOT> - 短縮形の HKLM ではなく、完全な root 名 (HKEY_LOCAL_MACHINE) を入力してください。 • <KEY> - root の下にあるキー名です。 • [VALUE_NAME] - キー値の名前です。 値の名前を入力しないと、 デフォルトの値が使用されます。 例: • IPv4 — 123.123.123.123 • IPv6 — 2001:db8:c0fa:f340:9219: bd20:9832:0ac7 [ネッ トワー ク] 項目に適用されるネットワーク ホスト オプションを指定します。 [ネットワーク プロトコル] 項目に適用されるネットワーク プロトコルを指定します。 [すべてのプロ トコル] IP プロトコルと IP 以外のプロトコルの両方を許可します。 [IP プロトコ ル] IP 以外のプロトコルを除外します。 トランスポート プロトコルまたはアプリケーションを指定している場合に は、IP プロトコルのみ使用可能です。 • [IPv4 プロトコル] • [IPv6 プロトコル] どちらのチェックボックスも選択しないと、IP プロトコルが適用されます。 IPv4 と IPv6 の両方を選択できます。 142 McAfee Endpoint Security 10.2 製品ガイド 4 ファイアウォール の使用 クライアント インターフェース リファレンス - ファイアウォール 表 4-4 セクシ ョン オプション (続き) オプション 定義 ルー グル ル ープ [IP 以外のプロ IP 以外のプロトコルのみを対象にします。 トコル] • [リストから EtherType を選択する] -EtherType を指定します。 • [カスタム EtherType を指定する] - IP 以外のプロトコルの EtherType 値 (4 個の 16 進数) を指定します。 EtherType の値については、 Ethernet 番号を参照してください。 たとえば、AppleTalk には 809B、 NetBEUI には 8191、IPX には 8037 をそれぞれ入力します。 [接続の種類] 適用される接続の種類を表します。 • [有線] • [無線] • [仮想] [仮想] 接続タイプは、物理的なアダプターではなく、VPN または仮想マシ ン アプリケーション (VMware など) のアダプターです。 [ネットワーク を指定する] 項目に適用されるネットワークを指定します。 • [追加] - ネットワークを作成して追加します。 • 項目をダブルクリックします。 — 選択した項目を変更します。 • [削除] - リストからネットワークを削除します。 [トラ ンスポ ート] 項目に適用されるトランスポート オプションを指定します。 [トランスポー 項目に関連するトランスポート プロトコルを選択します。 ト プロトコル] プロトコルを選択して [追加] をクリックして、ポートを追加します。 • [すべてのプロトコル] - IP、IP 以外、非対応のプロトコルを許可します。 • [TCP] と [UDP] - ドロップダウンから選択します。 • [ローカル ポート] - 項目が適用されるローカル トラフィック サービ スまたはポートを指定します。 • [リモート ポート] - 項目が適用されるローカル トラフィック サービ スまたは別のコンピューターのポートを指定します。 [ローカル ポート] と [リモート ポート] には、次のいずれかを指定しま す。 • 1 つのサービス。 例: 23 • 範囲。 例: 1 - 1024 • ポートまたはポート範囲のカンマ区切りリスト。 例: 80, 8080, 1-10, 8443 (4 つまで指定可) デフォルトでは、すべてのサービスとポートにルールが適用されます。 • [ICMP] - [メッセージの種類] ドロップダウンで ICMP メッセージの種 類を指定します。 ICMP を参照してください。 • [ICMPv6] - [メッセージの種類] ドロップダウンで ICMP メッセージの 種類を指定します。 ICMPv6 を参照してください。 • [その他] - 一般的でないプロトコルのリストから選択します。 McAfee Endpoint Security 10.2 製品ガイド 143 4 ファイアウォール の使用 クライアント インターフェース リファレンス - ファイアウォール 表 4-4 セクシ ョン オプション (続き) オプション [実行 ファイ ル] 定義 ルー グル ル ープ ルールに適用する実行ファイルを指定します。 • [追加] - 実行ファイルを作成して追加します。 • 項目をダブルクリックします。 — 選択した項目を変更します。 • [削除] - リストから実行ファイルを削除します。 [スケ ジュー ル] ルールまたはグループのスケジュール設定を指定します。 [スケジュール を有効にする] 期限付きルールまたはグループのスケジュールを有効にします。 スケジュールを無効にすると、グループ内のルールに適用されません。 • [開始時間] - スケジュールを有効にする開始時間を指定します。 • [終了時間] - スケジュールを無効にする開始時間を指定します。 • 曜日 - スケジュールを有効にする曜日を指定します。 開始時間と終了時間は 24 時間形式で指定します。 たとえば、午後 1 時の場 合に h 13:00 と表します。 ファイアウォール期限付きグループのスケジュールを設定したり、McAfee システム トレイ アイコンからの操作をユーザーに許可できます。 [スケジュール スケジュールを使用せず、一定の時間 McAfee システム トレイ アイコンか を無効にして らの期限付きグループの有効化をユーザーに許可します。 McAfee シス テム トレイ ア ベストプラクティス: このオプションは、ホテルなどで、VPN 接続が確立す る前にブロードバンド ネットワーク アクセスを許可する場合に使用しま イコンでグル ープを有効に す。 する] このオプションを選択すると、McAfee システム トレイ アイコンの [クイッ ク設定] の下に追加のメニュー オプションが表示されます。 • [ファイアウォール期限付きグループを有効にする] - ファイアウォール 期限付きグループを有効にし、所定の期間、アクセスを制限するルールを 適用する前にインターネット アクセスを許可します。 期限付きグループ が有効になっている場合、このオプションは [ファイアウォール期限付き グループを無効にする] になります。 このオプションを選択するたびに、グループの期限がリセットされます。 設定によっては、ファイアウォールを有効にする理由を入力するように指 示される場合があります。 • [ファイアウォール期限付きグループを表示する] - 期限付きグループの 名前と各グループの残り時間を表示します。 [グループを有 効にする時間 (1 - 60 分)] McAfee システム トレイ アイコンから [ファイアウォールの期限付きグル ープを有効にする] を選択してから期限付きグループが無効になるまでの時 間 (1 分から 60 分) を指定します。 関連トピック: 133 ページの「ファイアウォール ルールとグループを作成/管理する」 136 ページの「期限付きグループを作成する」 122 ページの「McAfee システム トレイ アイコンからファイアウォール期限付きグループを表示したり、 有効にします。」 146 ページの「[ネットワークの追加] または [ネットワークの編集]」 145 ページの「実行ファイルの追加 または 実行ファイルの編集」 144 McAfee Endpoint Security 10.2 製品ガイド ファイアウォール の使用 クライアント インターフェース リファレンス - ファイアウォール 4 実行ファイルの追加 または 実行ファイルの編集 ルールまたはグループに関連する実行ファイルを追加または編集します。 表 4-5 オプション オプション 定義 [名前] 実行ファイルの名前を指定します。 このフィールドは、[ファイル名またはパス]、[ファイルの説明]、[MD5 ハッシュ] または署名 者と一緒に使用する必要があります。 [ファイル名また はパス] 追加または編集する実行ファイルの名前あるいはパスを指定します。 [参照] をクリックして、実行ファイルを選択してください。 ファイルのパスにワイルドカードを使用できます。 [ファイルの説 明] ファイルの説明が表示されます。 [MD5 ハッシュ] プロセスの MD5 ハッシュ (32 桁の 16 進数) を指定します。 [署名者] [デジタル署名検査を有効にする] — この検査により、暗号化ハッシュで署名された後、コード が改ざんされたり、壊れていないことが保証されます。 有効にする場合、次のオプションを指定します。 • [任意の署名を許可する] - 任意のプロセス署名者が署名したファイルを許可します。 • [署名者] - 指定したプロセス署名者が署名したファイルだけを許可します。 実行ファイルに署名者の識別名 (SDN) が必要です。カンマとスペースも含めて、該当するフ ィールドの項目と完全に一致させる必要があります。 Endpoint Security クライアントのイベント ログと McAfee ePO 脅威イベント ログのイベ ントで、プロセスの署名者が正しい形式で表示されます。 例: C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR, CN=MICROSOFT WINDOWS 実行ファイルの SDN を取得するには: 1 実行ファイルを右クリックし、[プロパティ] を選択します。 2 [デジタル署名] タブで署名者を選択して、[詳細] をクリックします。 3 [全般] タブで [証明書の表示] をクックします。 4 [詳細] タブで、[サブジェクト] フィールドを選択します。 署名者の識別名が表示されます。 Firefox の場合、この署名者の識別名は次のようになります。 • CN = Mozilla Corporation • OU = Release Engineering • O = Mozilla Corporation • L = Mountain View • S = California • C = US [メモ] McAfee Endpoint Security 10.2 項目の補足情報を入力します。 製品ガイド 145 4 ファイアウォール の使用 クライアント インターフェース リファレンス - ファイアウォール [ネットワークの追加] または [ネットワークの編集] ルールまたはグループに関連するネットワークを追加または編集します。 表 4-6 オプション オプション 定義 [名前] ネットワーク アドレス名を指定します (必要な場合)。 [種類] いずれかを選択します。 ルール グループ • [ローカル ネットワーク] - ローカル ネットワークを作成して追加しま す。 • [リモート ネットワーク] - リモート ネットワークを作成して追加しま す。 [追加] ネットワーク リストにネットワークの種類を追加します。 項目をダブルクリ 選択した項目を変更します。 ックします。 [削除] 選択した項目を削除します。 [アドレスの種類] トラフィックの送信元または送信先を指定します。 [アドレスの種類] ドロ ップダウン リストから選択します。 [アドレス] ネットワークに追加する IP アドレスを指定します。 ワイルドカードも使用できます。 関連トピック: 146 ページの「アドレスの種類」 アドレスの種類 定義されたネットワークにアドレスの種類を指定します。 表 4-7 オプション オプション 定義 [単一 IP アドレス] 特定の IP アドレスを指定します。 例: • IPv4 — 123.123.123.123 • IPv6 — 2001:db8::c0fa:f340:9219:bd20:9832:0ac7* [サブネット] ネットワーク上の任意のアダプターのサブネット アドレスを指定します。 例: • IPv4 — 123.123.123.0/24 • IPv6 — 2001:db8::0/32 [ローカル サブネッ ローカル アダプターのサブネット アドレスを指定します。 ト] [範囲] IP アドレスの範囲を指定します。 範囲の開始点と終了点を入力します。 例: • IPv4 — 123.123.1.0 – 123.123.255.255 • IPv6 — 2001:db8::0000:0000:0000:0000 – 2001:db8::ffff:ffff:ffff:ffff [完全修飾ドメイン 名] FQDN を指定します (例: www.example.com)。 [任意のローカル IP 任意のローカル IP アドレスを指定します。 アドレス] 146 McAfee Endpoint Security 10.2 製品ガイド ファイアウォール の使用 クライアント インターフェース リファレンス - ファイアウォール 表 4-7 4 オプション (続き) オプション 定義 [任意の IPv4 アド レス] 任意の IPv4 アドレスを指定します。 [任意の IPv6 アド レス] 任意の IPv6 アドレスを指定します。 McAfee Endpoint Security 10.2 製品ガイド 147 4 ファイアウォール の使用 クライアント インターフェース リファレンス - ファイアウォール 148 McAfee Endpoint Security 10.2 製品ガイド 5 Web 管理の使用 Web 管理 の保護機能は閲覧または検索中に表示されます。 目次 Web 管理の機能について Web 管理の機能にアクセスする Web 管理 の管理 クライアント インターフェース リファレンス - Web 管理 Web 管理の機能について 管理対象システムで Web 管理を実行すると、Web サイトの検索または閲覧時に脅威に関する情報が通知されます。 McAfee では、Web サイトを分析し、テスト結果に基づいて色別の安全性評価を割り当てます。 この色は、サイト の安全性レベルを表しています。 このソフトウェアは、テスト結果に基づいて Web の脅威をユーザーに通知します。 検索結果のページ - サイトの横にアイコンが表示されます。 このアイコンの色はサイトの安全性評価を表してい ます。 このアイコンを使用すると、より詳しい情報を確認できます。 ブラウザー ウィンドウ - ブラウザーにボタンが表示されます。 このボタンの色はサイトの安全性評価を表してい ます。 このボタンをクリックすると、より詳しい情報を確認できます。 通信上の問題が発生すると、ボタンでも問題を通知します。また、問題の特定の役立つテストをすぐに実行できます。 安全性レポート - 検出された脅威の種類やテスト結果などから算出された安全性評価を確認できます。 管理対象システムの場合、管理者は次のことを行うポリシーを作成します。 • システムで Web 管理を有効または無効にしたり、ブラウザー プラグインの無効化をユーザーに許可または禁止 します。 • サイト、ページ、ダウンロードに対するアクセスを安全性評価またはコンテンツの種類で制御します。 たとえば、危険なサイトをブロックし、注意が必要なサイトを警告します。 • URL とドメインに基づいてブロックまたは拒否するサイトは識別します。 • Web 管理のファイル、レジストリ キー、レジストリ値、サービス、プロセスの削除や変更を禁止します。 • 禁止サイトの閲覧時に表示する通知をカスタマイズします。 • ネットワーク コンピューターで発生したブラウザー アクティビティを監視し、制限します。また、Web サイト に関する詳細レポートを作成します。 McAfee Endpoint Security 10.2 製品ガイド 149 5 Web 管理の使用 Web 管理の機能について 自社管理システムの場合、次の設定を行うことができます。 • システムで Web 管理を有効または無効にする • サイト、ページ、ダウンロードに対するアクセスを安全性評価またはコンテンツの種類で制御します。 たとえば、危険なサイトをブロックし、注意が必要なサイトを警告します。 ソフトウェアは、Microsoft Internet Explorer、Mozilla Firefox、Google Chrome に対応しています。 自社管理のシステムの場合、デフォルトですべてのブラウザー (非対応のブラウザーも含む) を使用できます。 Chrome では、[バルーンの表示] オプションを使用できません。 関連トピック: 150 ページの「閲覧時に Web 管理のボタンが脅威の存在を表している場合」 151 ページの「検索時に安全性アイコンが脅威の存在を表している場合」 152 ページの「サイト レポートの詳細」 152 ページの「安全性評価をコンパイルする方法」 Web 管理がサイトとダウンロードをブロックまたは警告する方法 ユーザーが閲覧したサイトがブロックまたは警告されると、Web 管理は理由を通知するページまたはポップアップ メッセージを表示します。 サイトに設定する評価アクションは次のとおりです。 • [警告] - Web 管理が警告を表示し、ユーザーにサイトの危険性を通知します。 • [キャンセル] をクリックすると、前の閲覧サイトに戻ります。 前に閲覧したサイトにブラウザー タブがない場合、[キャンセル] は使用できません。 • • [続行] をクリックすると、サイトに進みます。 [ブロック] - Web 管理がメッセージを表示し、サイトをブロックしてアクセスを拒否したことをユーザーに通 知します。 [OK] をクリックすると、前の閲覧サイトに戻ります。 前に閲覧したサイトにブラウザー タブがない場合、[OK] は使用できません。 サイトからのダウンロードに設定する評価アクションは次のとおりです。 • • [警告] - Web 管理が警告を表示し、ユーザーにダウンロード ファイルの危険性を通知します。 • [ブロック] を選択すると、ダウンロードを中止し、前のサイトに戻ります。 • [続行] を選択すると、ダウンロードを続行します。 [ブロック] - Web 管理がメッセージを表示し、サイトをブロックしてダウンロードを拒否したことをユーザー に通知します。 [OK] をクリックすると、サイトに戻ります。 閲覧時に Web 管理のボタンが脅威の存在を表している場合 Web サイトの閲覧時に、色分けされたボタン トの安全性評価を表しています。 がブラウザーに表示されます。 このボタンの色はサイ 安全性評価は、HTTP と HTTPS プロトコルの URL にのみ適用されます。 150 McAfee Endpoint Security 10.2 製品ガイド 5 Web 管理の使用 Web 管理の機能について Internet Explorer と Safari (Macintosh) Firefox と Chrome 説明 このサイトは毎日 McAfee SECURE でテストされ、安全であることが確認 されています。(Windows のみ) ™ このサイトは安全です。 このサイトには問題が存在する可能性があります。 このサイトには重大な問題が存在します。 このサイトは評価されていません。 このボタンは FILE (file://) プロトコルの URL に表示されます。 McAfee GTI サーバーに接続できないため、評価情報が確認できません。 Web 管理はこのサイトを McAfee GTI に確認していません。このサイトは 内部のサイトか、プライベート IP アドレスの範囲内にあります。 これはフィッシング詐欺サイトです。 フィッシング詐欺は、ユーザー名、パスワード、クレジットカード上などの 重要な情報を盗み出す詐欺行為です。 フィッシング詐欺は、電子通信で信 頼された組織を装います。 この設定では、このサイトが許可されています。 この設定で Web 管理 が無効になっています。 ボタンの場所はブラウザーによって異なります。 • Internet Explorer - Web 管理 ツールバー • Firefox - Firefox ツールバーの右隅 • Chrome - アドレス バー 関連トピック: 154 ページの「閲覧中にサイトの情報を表示する」 検索時に安全性アイコンが脅威の存在を表している場合 一般的な検索エンジン (Google、Yahoo、Bing、Ask など) でキーワードを入力すると、検索結果ページに表示され たサイトの横に色分けされた安全性アイコンが表示されます。ボタンの色は、サイトの安全性評価に対応しています。 テストでは重大な問題は発見されませんでした。 テストによって、注意が必要な問題が見つかりました。 たとえば、ブラウザーのデフォルト設定が変更された り、ポップアップが表示されたり、スパムではない電子メールが大量に送信される可能性があります。 テストによって、このサイトにアクセスする前に注意が必要な重大な問題が見つかりました。 たとえば、スパ ム メールを受信したり、アドウェアが一緒にダウンロードされる可能性があります。 設定により、このサイトがブロックされています。 このサイトは評価されていません。 関連トピック: 155 ページの「検索でサイト レポートを表示する」 McAfee Endpoint Security 10.2 製品ガイド 151 5 Web 管理の使用 Web 管理の機能について サイト レポートの詳細 Web サイトのサイト レポートでは、特定の脅威に関する詳細を確認できます。 サイト レポートは McAfee GTI 評価サーバーから配信されます。このレポートでは次の情報が提供されます。 項目... 内容... 概要 Web サイトの全体的な評価。次のテスト結果から評価を行っています。 • 独自のデータ収集技術と分析技術により、Web サイトの電子メール送信とダウンロード ファイルを評 価します。 • Web サイト自体を検証し、過剰なポップアップや、ホームページの変更を要求するなどの迷惑行為を 行うかどうか確認します。 • Web サイトの関連サイトを分析し、他の不審なサイトと関係があるかどうか確認します。 • McAfee の分析結果と脅威情報サービスのフィードバックを提供します。 関連サイ McAfee が危険と評価したサイトにユーザーを誘導する可能性を検証します。 ト 多くの場合、不審なサイトは他の不審なサイトにリンクしています。 このようなサイトは、利用者を不 審なサイトに誘導することを第一の目的としています。 他の危険なサイトへのリンク数が多い場合は危 険なサイトとして評価します。 この場合、Web 管理 は、関連サイトから危険なサイトと判断します。 Web ス テスト結果に基づいて、Web サイトで行われている電子メールの送受信状況について全般的な評価を行 パムのテ います。 スト McAfee では、サイトに電子メール アドレスを入力した後に受信する電子メールの量と、受信する電子 メールがスパムである可能性に基づいて評価します。 いずれかの値が許容範囲を超えている場合、 McAfee はそのサイトを注意が必要なサイトとして警告します。 両方の値が許容範囲を超えている場 合、またはいずれかの値が特に多い場合には、McAfee は危険なサイトとして警告します。 ダウンロ テスト結果に基づいて、サイトからダウンロード可能なソフトウェアがテスト コンピューターに及ぼす ード テ 影響について全体的な評価を行います。 スト McAfee は、ウイルスに感染したダウンロードが存在するサイトや、未評価のソフトウェア (アドウェア やスパイウェアを見なされるソフトウェア) を追加するサイトを危険なサイトとして警告します。 この 評価では、プログラムのダウンロードで接続したネットワーク サーバーや、ブラウザーの設定またはコ ンピューターのレジストリ ファイルに対する変更も考慮します。 関連トピック: 155 ページの「検索でサイト レポートを表示する」 154 ページの「閲覧中にサイトの情報を表示する」 安全性評価をコンパイルする方法 McAfee では、様々な基準でサイトをテストし、その結果から共通の脅威を検出して、安全性を評価しています。 自動テストでは以下の方法で Web サイトの安全性評価が決定されます。 152 • ファイルをダウンロードして、ダウンロードで持ち込まれたウイルスおよび不審なプログラムがないか確認する。 • サインアップ フォームに連絡先を入力して、スパムを受信するかどうか確認する。また、サイトやその関連サイ トからスパム以外の電子メールを大量に受信するかどうか確認する。 • ポップアップ ウィンドウが過剰に表示されないかどうか確認する。 • サイトがブラウザーの脆弱性を利用していないかを確認する。 • サイトで採用された不正行為または詐欺行為がないかを確認する。 McAfee Endpoint Security 10.2 製品ガイド 5 Web 管理の使用 Web 管理の機能にアクセスする チームは、テストの結果から安全性レポートを作成します。安全性レポートには以下の情報も含まれます。 • サイトの所有者から送信されたフィードバック。サイトで採用されている安全対策の説明や、サイトに関するユ ーザー フィードバックへの回答が含まれる場合があります。 • サイト ユーザーが送信したフィードバック。フィッシング詐欺や不審なショッピング サイトなどの報告が含ま れる場合があります。 • McAfee の専門家による詳細な分析結果 McAfee GTI サーバーには、サイトの評価とレポートが保存されます。 Web 管理の機能にアクセスする ブラウザーから Web 管理の機能にアクセスします。 タスク • 153 ページの「ブラウザーで Web 管理プラグインを有効にする」 閲覧と検索中に Web 脅威の通知を受信する場合、ブラウザーによっては Web 管理プラグインを手動で 有効にする必要があります。 • 154 ページの「閲覧中にサイトの情報を表示する」 ブラウザーの Web 管理 ボタンを使用すると、サイトの情報を確認できます。 ボタンの動作はブラウザ ーによって異なります。 • 155 ページの「検索でサイト レポートを表示する」 検索結果ページの安全性アイコンを使用して、サイトに関する詳細情報を確認します。 ブラウザーで Web 管理プラグインを有効にする 閲覧と検索中に Web 脅威の通知を受信する場合、ブラウザーによっては Web 管理プラグインを手動で有効にする 必要があります。 開始する前に Web 管理モジュールを有効にする必要があります。 Internet Explorer または Chrome を最初に起動したときに、プラグインを有効にするかどうか確認されます。 Firefox の場合、Web 管理プラグインはデフォルトで有効になっています。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 • プロンプトでボタンをクリックし、プラグインを有効にします。 McAfee Endpoint Security 10.2 製品ガイド 153 5 Web 管理の使用 Web 管理の機能にアクセスする Internet Explorer<index-sort-as>Internet Explorer</index-sort-as> • [有効] をクリックします。 Chrome [拡張機能を有効にする] をクリックします。 Firefox • [アドオン] 、 [拡張機能] の順にクリックします。 • 複数のプラグインが使用可能な場合には、[アドオンの選択] を クリックして、Web 管理ツールバーで [有効] をクリックしま す。 • [有効] をクリックして、Endpoint Security Web 管理拡張機 能を有効にします。 • Firefox を再起動します。 Internet Explorer の場合、Web 管理ツールバーを無効にすると、Web 管理プラグインも無効にするように指示 されます。 管理対象システムのポリシー設定でプラグインの削除または無効化を防止すると、ツールバーが表示さ れていない場合でも Web 管理プラグインは有効のままです。 閲覧中にサイトの情報を表示する ブラウザーの Web 管理 ボタンを使用すると、サイトの情報を確認できます。 ボタンの動作はブラウザーによって 異なります。 開始する前に • Web 管理モジュールを有効にする必要があります。 • Web 管理 プラグインをブラウザーで有効にする必要があります。 • [オプション] 設定で [クライアント ブラウザーでツールバーを表示しない] オプションを無効にす る必要があります。 Internet Explorer を全画面表示で実行すると、Web 管理ツールバーが表示されません。 Web 管理メニューを表示するには、次の手順に従います。 Internet Explorer と Firefox Chrome ツールバーで ボタンをクリックします。 アドレス バーで ボタンをクリックします。 タスク 1 Web 管理 ツールバーの上にカーソルを置くと、バルーンが開き、サイトの安全性評価の概要が表示されます。 (Internet Explorer と Firefox の場合のみ) 2 サイトの安全性評価を含む詳細なサイト レポートを表示します。 • Web 管理のボタンをクリックします。 • Web 管理のメニューから [サイト レポートの表示] を選択します。 • サイト バルーンの [サイト レポートを読む] リンクをクリックします。 (Internet Explorer と Firefox の 場合のみ) 関連トピック: 150 ページの「閲覧時に Web 管理のボタンが脅威の存在を表している場合」 152 ページの「サイト レポートの詳細」 154 McAfee Endpoint Security 10.2 製品ガイド Web 管理の使用 Web 管理 の管理 5 検索でサイト レポートを表示する 検索結果ページの安全性アイコンを使用して、サイトに関する詳細情報を確認します。 タスク 1 カーソルを安全性アイコンの上に置きます。バルーンが開き、サイトの安全性レポートの概要が表示されます。 2 バルーンの [安全性レポートを読む] をクリックします。別のブラウザー ウィンドウが開き、サイトの詳しい安 全性レポートが表示されます。 関連トピック: 151 ページの「検索時に安全性アイコンが脅威の存在を表している場合」 152 ページの「サイト レポートの詳細」 Web 管理 の管理 管理者は、Web 管理 の設定を指定し、保護機能を有効にしたり、カスタマイズできます。また、Web カテゴリによ るブロックやロギングを設定できます。 管理対象システムの場合、McAfee ePO からポリシーを変更すると、[設定] ページから行った変更が上書きされます。 Web 管理 オプションを設定する Web 管理 を有効にして、Endpoint Security クライアントからオプションを設定できます。 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 Endpoint Security クライアントを開きます。 2 メインの [ステータス] ページで [Web 管理] をクリックします。 あるいは、[アクション] メニュー 3 [詳細を表示] をクリックします。 4 [オプション] をクリックします。 McAfee Endpoint Security 10.2 から [設定] を選択し、[設定] ページで [Web 管理] をクリックします。 製品ガイド 155 5 Web 管理の使用 Web 管理 の管理 5 [Web 管理を有効にする] を選択して Web 管理を有効にし、オプションを変更します。 操作... 手順... メモ 保護機能は無効にせず、 [クライアント ブラウザーでツールバーを表示 ブラウザーの Web 管理 しない] を選択します。 ツールバーで非表示にす る。 ブラウザー イベントを [イベント ロギング] セクションで設定を行い 追跡してレポートに使用 ます。 する。 Web 管理イベントをクライアント システムから管理サーバーに送信 し、クエリーとレポートで使用でき るように設定します。 不明な URL をブロック [アクション施行] で、McAfee GTI が検証して または警告する。 いないサイトに対するアクションを設定しま す。[ブロック]、[許可] または [警告] を選択 します。 ダウンロードの前にファ [アクション施行] で [ダウンロードでファイル イルをスキャンする。 のスキャンを有効にする] を選択して、ブロッ クする McAfee GTI 危険度を選択します。 ローカル プライベート [アクション施行] の [許可する追加の IP アド ネットワークに外部サイ レスと範囲を指定する] で [追加] をクリック トを追加する。 し、外部 IP アドレスまたは範囲を入力します。 検索結果で危険なサイト [安全な検索] で、[安全な検索を有効にする] を をブロックする。 選択します。検索エンジンを選択して、危険な サイトのリンクをブロックするかどうかを指定 します。 安全な検索は、安全性の評価に基づ いて、検索結果から不正なサイトを 自動的にフィルタリングします。 Web 管理は、デフォルトの検索エン ジンとして Yahoo を使用します。 安全な検索 は、Internet Explorer でのみ使用できます。 デフォルトの検索エンジンを変更し た場合には、ブラウザーを再起動し て変更を有効にしてください。 ユーザーが Internet Explorer を 開くと、Web 管理がポップアップを 表示し、指定した検索エンジンで McAfee 安全な検索に切り替えるか どうか確認します。 Internet Explorer で検索エンジンがロック されていると、安全な検索のポップ アップが表示されません。 6 他のオプションを必要に応じて設定します。 7 [適用] をクリックして変更を保存するか、[キャンセル] をクリックします。 関連トピック: 157 ページの「ファイル ダウンロードのスキャン方法」 27 ページの「管理者としてログオンする」 156 McAfee Endpoint Security 10.2 製品ガイド Web 管理の使用 Web 管理 の管理 5 ファイル ダウンロードのスキャン方法 Web 管理は、ファイルのダウンロード要求を脅威対策に送信し、ダウンロードの前にスキャンを実行します。 McAfee GTI の機能 オンアクセス スキャナーまたはオンデマンド スキャナーで McAfee GTI を有効にすると、スキャナーは不審なファ イルにヒューリスティック スキャンを実行します。 McAfee GTI サーバーには、Web 管理で使用するサイトの評価 McAfee Endpoint Security 10.2 製品ガイド 157 5 Web 管理の使用 Web 管理 の管理 とレポートが保存されます。 ダウンロード ファイルをスキャンするように Web 管理を設定すると、スキャナーは McAfee GTI から提供されるファイル レピュテーションを使用して不審なファイルを検出します。 スキャナーは、McAfee Labs がホスティングしている中央のデータベース サーバーにサンプルのフィンガープリン トまたはハッシュを送信し、マルウェアかどうかを判断します。 ハッシュを送信するので、McAfee Labs が次のコ ンテンツ ファイルで更新を公開する前に脅威を検出できる場合があります。 サンプルがマルウェアかどうか判断するときに McAfee GTI が使用する感度レベルを設定できます。 感度レベルを 高くすると、検出されるマルウェアの数は多くなります。 ただし、検出数が増えると、誤検知も増える可能性があり ます。 • 脅威対策の場合、McAfee GTI のデフォルトの感度レベルは中に設定されています。 脅威対策の設定でスキャナ ーごとに感度レベルを設定します。 • Web 管理の場合、McAfee GTI のデフォルトの感度レベルは非常に高に設定されています。 Web 管理の [オプ ション] 設定で、ダウンロード ファイルのスキャンの感度レベルを設定します。 共通設定の設定で McAfee GTI レピュテーション情報を取得するときにプロキシ サーバーに接続するように Endpoint Security を設定できます。 評価アクションを指定して、Web カテゴリに基づいてサイト アクションをブロ ックする [コンテンツによるアクション] で設定を行い、安全性評価に基づいてサイトとファイル ダウンロードに適用するア クションを指定します。 それぞれの Web カテゴリでサイトのブロックまたは許可を指定します。 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 施行メッセージの設定を使用して、サイトやファイル ダウンロードがブロックされ、警告されたときに表示されるメ ッセージをカスタマイズします。また、フィッシング詐欺ページがブロックされたときのメッセージも変更できます。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 Endpoint Security クライアントを開きます。 2 メインの [ステータス] ページで [Web 管理] をクリックします。 あるいは、[アクション] メニュー から [設定] を選択し、[設定] ページで [Web 管理] をクリックします。 3 [詳細を表示] をクリックします。 4 [コンテンツによるアクション] をクリックします。 5 [Web カテゴリのブロック] セクションの [Web カテゴリ] で、[ブロック] オプションを有効または無効にしま す。 サイトがブロックしないカテゴリの場合、Web 管理は評価アクションも適用します。 6 [評価アクション] セクションで、McAfee が定義する安全性評価に従ってサイトとファイル ダウンロードに適用 するアクションを指定します。 これらのアクションは、Web カテゴリでブロックされないサイトにも適用されます。 7 158 [適用] をクリックして変更を保存するか、[キャンセル] をクリックします。 McAfee Endpoint Security 10.2 製品ガイド Web 管理の使用 クライアント インターフェース リファレンス - Web 管理 5 関連トピック: 159 ページの「Web カテゴリによるアクセス制御」 159 ページの「安全性評価によるアクセス制御」 27 ページの「管理者としてログオンする」 Web カテゴリによるアクセス制御 Web カテゴリを使用すると、McAfee が定義するカテゴリに基づいて、サイトに対するアクセスを制御できます。 オプションを指定すると、サイトに含まれるコンテンツの種類に基づいてサイトへのアクセスを許可またはブロック することができます。 コンテンツによるアクションで Web カテゴリ ブロックを有効にすると、Web サイトのカテゴリがブロックまたは 許可されます。 Web カテゴリには、ギャンブル、ゲーム、インスタント メッセージなどがあります。 McAfee で は、約 105 の Web カテゴリを定義しています。 クライアントのユーザーがサイトにアクセスすると、サイトの Web カテゴリが確認されます。 サイトが定義済みの カテゴリに該当すると、コンテンツによるアクション設定に従ってアクセスがブロックまたは許可されます。 ブロッ クされないカテゴリのサイトとファイル ダウンロードの場合、評価アクションが適用されます。 安全性評価によるアクセス制御 安全性評価に応じてアクションを設定し、サイトまたはサイトのリソースへのアクセスを許可するかどうかを決めま す。 サイトまたはファイル ダウンロードごとに、評価と許可、警告またはブロックを指定します。 これにより、全体的 に安全と評価されているサイトでも、危険な可能性があるファイルのアクセスを制限できます。 クライアント インターフェース リファレンス - Web 管理 インターフェース リファレンスのヘルプ トピックでは、クライアント インターフェースに表示されるページのコン テキスト ヘルプを提供します。 目次 Web 管理 - オプション Web 管理 — コンテンツによるアクション Web 管理 - オプション Web 管理の全般的な設定を行います。アクションの施行、安全な検索、メールの注釈などを設定します。 ロギングの設定については、共通設定モジュールの設定を参照してください。 表 5-1 オプション セクシ オプション ョン 定義 [オプ ショ ン] Web 管理を無効または有効にします。 デフォルトは有効です。 [Web 管理を有効に する] [クライアント ブラウ この機能を無効にせずに、ブラウザーの Web 管理ツールバーを非表示にします。 ザーでツールバーを デフォルトは無効です。 表示しない] [イベ [安全と評価されたサ すべての安全サイトのコンテンツ カテゴリを記録します。 ント イトの Web カテゴリ この機能を有効にすると、McAfee ePO サーバーのパフォーマンスが低下する場合 ロギン を記録する] があります。 グ] McAfee Endpoint Security 10.2 製品ガイド 159 5 Web 管理の使用 クライアント インターフェース リファレンス - Web 管理 表 5-1 オプション (続き) セクシ オプション ョン 定義 [Web 管理の iFrame HTML iframe を表示する危険なサイトと注意が必要なサイトをブロックしたとき イベントを記録する] に記録します。 [アク [McAfee GTI が未確 ション 認のサイトにこのア 施行] クションを適用する] McAfee GTI が評価していないサイトに適用するデフォルトのアクションを指定 します。 • [許可] (デフォルト) - ユーザーにサイトへのアクセスを許可します。 • [警告] - サイトに関する危険の可能性をユーザーに通知する警告を表示しま す。 操作を続行するには、警告を解除する必要があります。 • [ブロック] - サイトへのアクセスをブロックし、サイト ダウンロードをブロッ クしたことを通知するメッセージを表示します。 [HTML iFrame サポ ートを有効にする] HTML iframe を表示する危険なサイトと注意が必要なサイトへのアクセスをブロ ックします。 デフォルトは有効です。 [McAfee GTI 評価サ ーバーにアクセスで きない場合にデフォ ルトでサイトをブロ ックする] Web 管理が McAfee GTI サーバーに接続できない場合、デフォルトで Web サイ トへのアクセスをブロックします。 [すべてのサイトでフ ィッシング詐欺ペー ジをブロックする] すべてのフィッシング詐欺ページをブロックし、コンテンツの評価アクションを上 書きします。 デフォルトは有効です。 [ダウンロードでファ イルのスキャンを有 効にする] ダウンロードの前にすべてのファイル (.zip、.exe、.ecx、.cab、.msi、.rar、 .scr、.com) をスキャンします。 デフォルトは有効です。 このオプションを有効にすると、Web 管理と脅威対策がファイルを駆除済みと認識 するまで、ファイルへのアクセスがブロックされます。 Web 管理がファイルに関する情報を McAfee GTI から取得します。 McAfee GTI がファイルを許可すると、Web 管理がファイルを脅威対策に送信し、スキャ ンを実行します。 ダウンロード ファイルが脅威として検出されると、Endpoint Security がファイルに対してアクションを実行し、ユーザーに警告します。 [McAfee GTI 感度レ ベル] [除外 対象] Web 管理がファイルのダウンロードに使用する McAfee GTI 感度レベルを指定し ます。 [Web 管理の評価ま 指定された IP アドレスまたはアドレス範囲をローカル プライベート ネットワー たはブロックから除 クに追加し、評価またはブロックの対象外にします。 外する IP アドレスま デフォルトでは、プライベート IP アドレスが除外されます。 たは IP アドレスの範 囲を指定する] ベストプラクティス: 外部のサイトをローカル ネットワーク内のサイトとして扱 う場合には、このオプションを使用します。 • [追加] - ローカル ネットワーク内のプライベート アドレスのリストに IP アド レスを追加します。 • 項目をダブルクリックします。 — 選択した項目を変更します。 • [削除] - ローカル ネットワーク内のプライベート アドレスのリストから IP ア ドレスを削除します。 [安全 な検 索] 160 [安全な検索を有効に する] McAfee Endpoint Security 10.2 安全な検索を有効にします。安全性評価に基づいて、検索結果で不正なサイトを自 動的にブロックします。 製品ガイド 5 Web 管理の使用 クライアント インターフェース リファレンス - Web 管理 表 5-1 オプション (続き) セクシ オプション ョン [対応ブラウザーでデ フォルトの検索エン ジンを設定する] 定義 対応ブラウザーで使用するデフォルトの検索エンジンを指定します。 • [Yahoo] • [Google] • [Bing] • [Ask] [検索結果で危険なサ イトのリンクをブロ ックする] 検索結果で、危険なサイトのリンクをクリックできないようにします。 表 5-2 詳細オプション セクション オプション 定義 [メールの注釈] [ブラウザー ベースのメールで注釈機 能を有効にする] ブラウザベースの電子メール クライアント (Yahoo! メ ールと Gmail) で URL に注釈機能を有効にします。 [ブラウザー ベース以外のメールで注 釈機能を有効にする] 32 ビットのメール管理ツール (Microsoft Outlook、 Outlook Express など) で URL の注釈機能を有効にし ます。 関連トピック: 155 ページの「Web 管理 オプションを設定する」 157 ページの「ファイル ダウンロードのスキャン方法」 115 ページの「McAfee GTI」 Web 管理 — コンテンツによるアクション 評価されたサイトと Web コンテンツ カテゴリに実行されるアクションを定義します。 ブロックされないカテゴリのサイトとファイル ダウンロードの場合、Web 管理は評価アクションを適用します。 McAfee Endpoint Security 10.2 製品ガイド 161 5 Web 管理の使用 クライアント インターフェース リファレンス - Web 管理 表 5-4 オプション セクション オプション 定義 [評価アク ション] 危険、注意が必要、未評価のサイトに対するアクションを指定します。 [サイトの評価 アクション] 安全と評価されたサイトとダウンロードは自動的に許可されます。 • [許可] - ユーザーにサイトへのアクセスを許可します。 ([未評価サイト] のデフォルト) • [警告] - サイトに関する危険の可能性をユーザーに通知する警告を表示します。 前に閲覧したサイトに戻るには [キャンセル] をクリックします。先に進むには [続行] をクリックします。 前に閲覧したサイトにブラウザー タブがない場合、[キャンセル] は使用できませ ん。 ([注意が必要なサイト] のデフォルト) • [ブロック] - サイトへのアクセスをブロックし、サイトをブロックしたことを通 知するメッセージを表示します。 前に閲覧したサイトに戻るには、[OK] をクリックします。 前に閲覧したサイトにブラウザー タブがない場合、[OK] は使用できません。 ([危険なサイト] のデフォルト) [ファイル ダウ 危険、注意が必要、未評価のファイル ダウンロードに対するアクションを指定しま ンロードの評 す。 価アクション] 評価アクションは、[オプション] 設定で [ダウンロードでファイルのスキャンを有効 にする] が有効になっている場合にのみ適用されます。 • [許可] - ユーザーがダウンロードを続行することを許可します。 ([未評価サイト] のデフォルト) • [警告] - ダウンロード ファイルに関する危険の可能性をユーザーに通知する警 告を表示します。 ダウンロードを終了または続行するには、警告を閉じる必要があ ります。 ([注意が必要なサイト] のデフォルト) • [ブロック] - メッセージを表示し、ダウンロードをブロックしてファイルのダウ ンロードを拒否したことをユーザーに通知します。 ([危険なサイト] のデフォルト) 施行メッセージ の設定を使用して、メッセージをカスタマイズしてください。 表 5-5 詳細オプション セクション オプション 定義 [Web カテゴリのブロック] [Web カテゴリのブロック コンテンツ カテゴリに従ってサイトのブロックを有効に を有効にする] します。 [ブロック] このカテゴリのサイトへのアクセスをブロックします。 サイトをブロックしたことを通知するメッセージを表示 します。 [Web カテゴリ] Web カテゴリを表示します。 関連トピック: 158 ページの「評価アクションを指定して、Web カテゴリに基づいてサイト アクションをブロックする」 159 ページの「安全性評価によるアクセス制御」 159 ページの「Web カテゴリによるアクセス制御」 162 McAfee Endpoint Security 10.2 製品ガイド 6 脅威情報 の使用 脅威情報は、コンテキスト情報を使用した適応型のセキュリティをネットワーク環境に提供します。 Endpoint Security 脅威情報は、Endpoint Security のオプション モジュールです。 脅威情報の情報源と機能を追 加するには、Threat Intelligence Exchange サーバーを配備します。 詳細については、販売店または営業担当者に 確認してください。 脅威情報は、McAfee ePO Cloud 管理システムで使用できません。 目次 脅威情報 の機能 脅威情報 の管理 クライアント インターフェース リファレンス - 脅威情報 脅威情報 の機能 脅威情報 は、Data Exchange Layer フレームワークを使用して、ネットワーク全体でファイル情報と脅威情報を共 有します。 これまでは、不明なファイルや証明書を McAfee に送信し、分析を依頼していました。更新されたファイル情報がネ ットワーク経由で配信されるまでに数日かかりました。 脅威情報 では、環境のローカル レベルでファイル レピュテ ーションを制御できます。 実行するファイルとブロックするファイルを決めると、Data Exchange Layer はすぐに この情報を環境全体で共有します。 脅威情報 のシナリオ • ファイルをすぐにブロックする - 脅威情報 がネットワーク内で不明なファイルを検出すると、ネットワーク管 理者に警告します。 ファイル情報を McAfee に送信して分析を依頼することなく、管理者はすぐにファイルをブ ロックできます。 次に、脅威情報 を使用して、ファイルの安全性とファイルを実行したシステムの数を確認しま す。 • カスタム ファイルの実行を許可する - 会社で、デフォルトのレピュテーションが「不正」または「不審」のフ ァイルを定期的に使用しています。たとえば、自社で作成したカスタム ファイルはこのカテゴリに分類されます。 このファイルは、McAfee に分析を依頼して最新の DAT ファイルを受信しなくても実行を許可できるので、管理 者はファイルのレピュテーションを「信頼」に変更しました。これにより、このファイルに対する警告やプロン プトが表示されなくなりました。 • コンテナー内でのファイルの実行を許可する - 組織内でレピュテーションが不明なファイルが最初に使用され るときに、コンテナー内でのファイルの実行を許可するように指定できます。 この場合、管理者はアプリケーシ ョン動的隔離カテゴリで隔離ルールを設定します。 隔離ルールでは、隔離されたアプリケーションに許可するア クションを定義します。 McAfee Endpoint Security 10.2 製品ガイド 163 6 脅威情報 の使用 脅威情報 の管理 脅威情報 の管理 管理者は 脅威情報 の設定を指定できます。たとえば、ルール グループを選択したり、レピュテーションしきい値を 設定できます。 McAfee ePO でポリシーを変更すると、設定 ページの変更が上書きされます。 脅威情報は、McAfee ePO Cloud 管理システムで使用できません。 脅威情報について 脅威情報は、環境内のシステムやデバイスがすぐに情報を交換できるセキュリティ エコシステムを提供します。 こ の通信は、Data Exchange Layer フレームワークによって実現されています。 脅威が最初に検出されたシステムや感染元を特定し、脅威をすぐにブロックすることができます。 脅威情報には次の利点があります。 • セキュリティ脅威やマルウェアを迅速に検出し、阻止できます。 • 感染したシステムやデバイスを特定し、環境への拡散状況を把握できます。 • レピュテーションとリスク条件に従って特定のファイルや証明書をすぐにブロック、許可または隔離できます。 • McAfee Advanced Threat Defense と McAfee GTI がリアルタイムで連係し、マルウェア分類の評価と詳細 データを提供します。 これにより、脅威に迅速に対応し、環境内で情報を共有することができます。 ® 脅威情報は、McAfee ePO Cloud 管理システムで使用できません。 脅威情報のコンポーネント 脅威情報には次のコンポーネントがあります。 • Endpoint Security モジュール。レピュテーションに従ってファイルと証明書をブロック、許可または隔離する ポリシーを作成できます。 • サーバー。ファイルと証明書のレピュテーションの情報を保存し、他のシステムに送信します。 • Data Exchange Layer ブローカー。ネットワーク上の管理対象システム間で双方向の通信を可能にします。 ® ® ™ これらのコンポーネントは、McAfee ePolicy Orchestrator (McAfee ePO ) の拡張ファイルとしてインストール され、いくつかの新機能とレポートが追加されます。 164 McAfee Endpoint Security 10.2 製品ガイド 脅威情報 の使用 脅威情報 の管理 6 モジュールとサーバーは、ファイルのレピュテーション情報を交換します。 Data Exchange Layer フレームワーク は、この情報をすぐに管理対象エンドポイントに送信します。 また、この情報は McAfee にアクセスする他の Data Exchange Layer 製品 (McAfee Enterprise Security Manager (McAfee ESM)、McAfee Network Security Platform など) と共有します。 ® ® 脅威情報 モジュール 脅威情報 モジュールを使用すると、レピュテーションが「不正」または「不明」のファイルが環境で検出されたとき の処理を判定できます。 また、脅威の履歴情報と実行されたアクションも確認できます。 脅威情報 モジュールを使用すると、次のタスクを実行できます。 クライアントは、ルールに従って、複数のデータポイント (レピュテーション、ローカルの情報、コンテキスト情報 など) でアクションを判断します。 このルールは個別に更新できます。 • • 次のポリシーを作成する。 • レピュテーションに従って、ファイルをブロック、駆除または隔離できます。 • 特定のレピュテーションのファイルまたは証明書が実行される前にプロンプトを表示する。 • ファイルを自動的に Advanced Threat Defense に送信し、詳しい分析を行う。 脅威情報 ダッシュボードにイベントを表示する。 過去 30 日間に発生したイベント (許可、ブロック、駆除、隔 離) を確認できます。また、イベントのタイプごとに表示することもできます。 McAfee Endpoint Security 10.2 製品ガイド 165 6 脅威情報 の使用 脅威情報 の管理 脅威情報 サーバー サーバーは、ファイルと証明書のレピュテーションの情報を保存し、他のシステムに送信します。 サーバーの詳細については、『脅威情報 製品ガイド』を参照してください。 TIE サーバーとデータベースの統合 異なる TIE で管理されている McAfee ePO サーバーとデータベースが存在している場合、これらを統合するとレピ ュテーション情報を共有できます。 TIE サーバーとデータベースの統合方法については、 『McAfee Data Exchange Layer 製品ガイド』と KnowledgeBase の記事 KB83896 を参照してください。 Data Exchange Layer Data Exchange Layer は、クライアント ソフトウェアとブローカーから構成され、ネットワーク上のエンドポイン ト間で双方向の通信を可能にしています。 Data Exchange Layer はバックグラウンドで動作し、サービス、データベース、エンドポイント、アプリケーショ ンと通信を行います。 Data Exchange Layer クライアントは管理対象のエンドポイントにインストールされます。 これにより、DXL を使用するセキュリティ製品からの脅威情報を他のサービスやデバイスとすぐに共有することがで きます。 アプリケーションとサービス間で情報を交換し、レピュテーション情報をすぐに共有することで、仮説によ る対応を減らすことができます。 この情報を共有することで、脅威の拡散を抑えることができます。 Data Exchange Layer のインストールと使用方法については、 『McAfee Data Exchange Layer 製品ガイド』を参 照してください。 レピュテーションの判定方法 管理対象システムでファイルの実行が試行されると、ファイルと証明書のレピュテーションが確認されます。 ファイルまたは証明書のレピュテーションは次の流れで判定されます。 1 ユーザーまたはシステムがファイルの実行を試みます。 2 Endpoint Security がファイルを検査しますが、有効性とレピュテーションは判断できません。 3 脅威情報 モジュールがファイルを検査し、問題のファイルとローカル システムのプロパティを収集します。 4 このモジュールがローカル レピュテーション キャッシュでファイル ハッシュを確認します。 ファイル ハッシ ュが見つかると、モジュールがファイルの普及度とレピュテーション データをキャッシュから取得します。 5 ローカル レピュテーション キャッシュにファイル ハッシュがない場合、モジュールは TIE サーバーにクエリー を送信します。 ハッシュが見つかると、モジュールがハッシュから普及度データを取得します (使用可能な任意 のレピュテーションを含む)。 6 TIE サーバーまたはデータベースにファイル ハッシュがない場合、サーバーから McAfee GTI にクエリーを送信 し、ファイル ハッシュ レピュテーションを取得します。 McAfee GTI が使用可能な情報 (不明、不正など) を送 信し、サーバーがこの情報を保管します。 以下のいずれかの条件を満たすと、サーバーがスキャン用のファイルを送信します。 • Advanced Threat Defense が使用可能で、レピュテーション プロバイダーとして登録されている場合、サ ーバーは Advanced Threat Defense レピュテーションがローカルに存在しているかどうか確認します。存 在しない場合、このファイルを送信候補として設定します。 • エンドポイントのポリシーで Advanced Threat Defense へのファイル送信が設定されている。 『Advanced Threat Defense が存在する場合』の追加手順を参照してください。 7 166 サーバーが検出されたデータに基づき、企業側でのファイル ハッシュの経過時間、普及度データ、レピュテーシ ョンをモジュールに戻します。 このファイルが環境内で初めて見つかった場合、サーバーは最初のインスタンス のログも 脅威情報 モジュールに送信します。 McAfee Web Gateway が存在し、レピュテーション スコアを送 信すると、脅威情報 がファイルのレピュテーションを戻します。 McAfee Endpoint Security 10.2 製品ガイド 脅威情報 の使用 脅威情報 の管理 8 9 6 モジュールがこのメタデータを評価し、ファイルのレピュテーションを判定します。 • ファイルとシステムのプロパティ • 企業での経過時間と普及度データ • レピュテーション ファイルを実行しているシステムのポリシーに従って、モジュールが操作を実行します。 10 モジュールがレピュテーション情報、ファイルの状態 (ブロック、許可または隔離) を使用してサーバーを更新し ます。 また、McAfee ePO 経由で McAfee Agent に脅威イベントを送信します。 11 サーバーがファイル ハッシュのレピュテーション変更イベントを公開します。 Advanced Threat Defense が存在する場合 Advanced Threat Defense が存在する場合、次のプロセスが実行されます。 1 システムが Advanced Threat Defense にファイルを送信するように設定され、ファイルが環境内で初めて検出 された場合、システムがファイルを TIE サーバーに送信します。 次に、TIE サーバーがファイルを Advanced Threat Defense に送信し、スキャンを実行します。 2 Advanced Threat Defense がファイルをスキャンし、ファイル レピュテーションの結果を Data Exchange Layer 経由で TIE サーバーに送信します。 サーバーがデータベースを更新し、脅威情報 が有効になっているす べてのシステムに最新のレピュテーション情報を送信し、環境をすぐに保護します。 脅威情報 または他の McAfee 製品がこのプロセスを開始する場合もあります。 いずれの場合も、脅威情報 がレピュテーションを処理 し、データベースに保存します。 Advanced Threat Defense と 脅威情報 の統合方法については、『McAfee Advanced Threat Defense 製品ガイ ド』を参照してください。 McAfee Web Gateway が存在する場合 McAfee Web Gateway が存在すると、次の処理が実行されます。 • ファイルをダウンロードすると、McAfee Web Gateway がレポートを TIE サーバーに送信し、サーバーがレピ ュテーション スコアをデータベースに保存します。 サーバーがモジュールからファイル レピュテーション要求 を受信すると、McAfee Web Gateway と他のレピュテーション プロバイダーから受信したレピュテーションを 戻します。 TIE サーバーを使用して McAfee Web Gateway が情報を交換する方法については、 『McAfee Web Gateway 製 品ガイド』でプロキシン関する章を参照してください。 キャッシュの消去 • • 次のようにルールの設定が変更されると、脅威情報 キャッシュ全体が消去されます。 • 1 つ以上のルールの状態が変更された場合 (たとえば、有効から無効)。 • ルールの設定が変更された場合 (たとえば、[バランス] から [セキュリティ])。 個々のファイルまたは証明書のキャッシュは次の場合に消去されます。 • キャッシュが最後に更新されてから 30 日を超えている場合。 • ディスク上でファイルが変更された場合。 • TIE サーバーがレピュテーションの変更イベントを生成した場合。 脅威情報 が次にファイルの通知を受信したときに、レピュテーションが再計算されます。 McAfee Endpoint Security 10.2 製品ガイド 167 6 脅威情報 の使用 脅威情報 の管理 はじめに 脅威情報 をインストールしたら次の作業を行います。 脅威情報 を開始するには、次の作業を行います。 1 ブロック、許可または隔離の対象を判断する 脅威情報 ポリシーを作成します。 脅威情報 を監視モードで実行 し、ファイルの普及度を設定して、環境内で 脅威情報 が検出する内容を監視します。 ファイルの普及度は、環 境内でファイルが確認される頻度を表します。 2 ポリシーを監視してファイルまたは証明書のレピュテーションを調整し、環境内で許可する内容を制御します。 ファイルの普及度の設定と監視 インストールと配備を行った後に、ファイルの普及度を現在の脅威情報を設定します。 環境での実行内容を確認して、ファイルと証明書のレピュテーション情報を TIE データベースに追加できます。 こ の情報はモジュールのグラフとダッシュボードにも反映され、ファイルと証明書に関する詳細なレピュテーション情 報を確認できます。 まず最初に、1 つ以上の 脅威情報ポリシーを作成して、環境内の少数のシステムで実行します。 ポリシーでは次の ことを指定します。 • システムで特定のレピュテーションのファイルま たは証明書の実行を許可する条件 • ユーザーにプロンプトを表示してアクションを確 認する条件 • ファイルまたは証明書をブロックする条件 • ファイルを Advanced Threat Defense に送信 して詳しい分析を行う条件 • アプリケーションが隔離される条件 ファイルの普及度を設定するときに、ポリシーを監視モードで実行できます。 ファイルまたは証明書のレピュテーシ ョンがデータベースに追加されますが、アクションは実行されません。 ポリシーを施行すると、脅威情報がブロッ ク、許可または隔離した対象を確認できます。 モニタリングと調整 環境内でポリシーを実行すると、レピュテーション データがデータベースに追加されます。 McAfee ePO のダッシュボードとイベント ビューを使用すると、ポリシーに従ってブロック、許可または隔離され たファイルと証明書を確認できます。 エンドポイント、ファイル、ルールまたは証明書ごとに詳細を表示して、識別された項目数と実行されたアクション を簡単に確認できます。 項目をクリックしてドリルダウンすると、適切なアクションが実行されるように、特定のフ ァイルまたは証明書のレピュテーションを調整できます。 たとえば、ファイルのデフォルトのレピュテーションが不審または不明でも、信用できることを確認している場合に は、レピュテーションを信用に変更できます。 変更すると、アプリケーションは環境内での実行が許可されます。ブ ロックされたり、ユーザーにアクションを確認することはありません。 環境内で使用している内部ファイルまたはカ スタム ファイルの場合、レピュテーションの変更が可能です。 168 • TIE レピュテーション機能を使用すると、特定のファイルまたは証明書の名前で検索を実行できます。 会社名、 SHA-1 と SHA-256 のハッシュ、MD5、説明、McAfee GTI の情報など、ファイルまたは証明書の詳細を確認 できます。 ファイルの場合、TIE レピュテーションの詳細ページから VirusTotal のデータに直接アクセスし、 追加情報を入手できます。 • [レポート ダッシュボード] ページでは、複数の種類のレピュテーション情報を同時に表示できます。 環境内で 先週確認された新しいファイルの数、レピュテーション別のファイル数、最近レピュテーションが変更されたフ ァイル、最近新しいファイルを実行したシステムなどの情報を確認できます。 ダッシュボードの高億をクリック すると、詳細情報が表示されます。 McAfee Endpoint Security 10.2 製品ガイド 脅威情報 の使用 脅威情報 の管理 6 • 有害または不審なファイルを見つけた場合、そのファイルを実行したシステムや感染したシステムをすぐに特定 できます。 • 必要に応じて、ファイルまたは証明書のレピュテーションを変更します。 この情報はダッシュボードにすぐに反 映され、環境内のすべてのデバイスに送信されます。 ファイルと証明書は、レピュテーションに従ってブロック、 許可または隔離されます。 特定のファイルまたは証明書の処理方法が分からない場合には、次の操作を行います。 • 調査中は実行がブロックされます。 脅威対策 の駆除アクションではファイルが削除されますが、ブロックしても実行が許可されないだけで、フ ァイルが削除されることはありません。 ファイルを検査し、アクションが決まるまで、ファイルはそのまま の状態で残ります。 • 隔離された状態で実行が許可されます。 アプリケーションの動的隔離が、特定のレピュテーションのアプリケーションをコンテナー内で実行し、隔離 ルールに従ってアクションを実行します。 アプリケーションの実行は許可されますが、隔離ルールによって は失敗するアクションがあります。 • ファイルまたは証明書のレピュテーションをデータベースにインポートすると、他のレピュテーション ソースに 基づいて特定のファイルまたは証明書を許可あるいはブロックできます。 これにより、インポートした設定を特 定のファイルまたは証明書に使用できます。サーバーで個別に設定する必要はありません。 詳細な分析を行うファイルの送信 ファイルのレピュテーションが不明な場合、ファイルを Advanced Threat Defense に送信して詳しい分析を行う ことができます。 送信するファイル TIE ポリシーに指定します。 Advanced Threat Defense は、ウイルス対策シグネチャ、レピュテーション、リアルタイムのエミュレーションを 組み合わせてゼロデイ マルウェアを検出します。 レピュテーション レベルとファイル サイズに応じて、脅威情報 から Advanced Threat Defense に自動的にファイルを送信できます。 Advanced Threat Defense から送信さ れたファイル レピュテーション情報は、TIE サーバー データベースに追加されます。 McAfee GTI 利用統計情報 McAfee GTI に送信されたファイルと証明書の情報は、レピュテーション情報の解釈と強化に使用されます。 以下の 表では、ファイルと証明書、ファイルのみ、証明書のみの場合に McAfee GTI が提供する情報について説明します。 McAfee Endpoint Security 10.2 製品ガイド 169 6 脅威情報 の使用 脅威情報 の管理 カテゴリ 説明 ファイルと 証明書 • TIE サーバーとモジュールのバージョン • TIE サーバーが行ったレピュテーション設定の上書き • 外部のレピュテーション情報 (例: Advanced Threat Defense) ファイルの み • ファイル名、パス、サイズ、製品、発行者、 普及度 • レポーティング モジュールが監視モードか どうか • SHA-1、SHA-256、MD5 の情報 • ファイルに対するアクション (許可、ブロッ ク、隔離、駆除) • 報告を行うコンピューターのオペレーティ ング システムのバージョン • ファイルを検出した製品 (例: Advanced Threat Defense、脅威対策) • ファイルに設定されたレピュテーション (最大、最小、平均) 証明書のみ • SHA-1 情報 • 証明書発行者の名前とサブジェクト • 証明書の発効日と有効期限 McAfee では、個人を特定できる情報を収集しません。また、McAfee 以外にこれらの情報を公開することもありま せん。 アプリケーションの動的隔離 アプリケーションの動的隔離を使用すると、レピュテーションを指定して、特定のアプリケーションをコンテナー内 で実行できます。 脅威情報は、レピュテーションしきい値に従ってアプリケーションの動的隔離にアプリケーションの隔離を要求しま す。 隔離されたアプリケーションには、隔離ルールに応じて特定のアクションが許可されます。 この技術を使用すると、アプリケーションが環境内で実行できるアクションを制限し、安全でない可能性がある不明 なアプリケーションを評価できます。 アプリケーションの動的隔離が特定のアクションをブロックしている場合、ア プリケーションは使用できますが、実行できない機能もあります。 アプリケーションが安全であることを確認した ら、アプリケーションが通常どおり実行されるように、Endpoint Security 脅威情報または TIE サーバーを設定で きます。 アプリケーションの動的隔離を使用するには: 1 脅威情報を有効にします。[オプション] 設定で、アプリケーションの動的隔離をトリガーするレピュテーション しきい値を指定します。 2 [アプリケーションの動的隔離] 設定で、McAfee 定義の隔離ルールと除外対象を設定します。 関連トピック: 173 ページの「隔離されたアプリケーションの許可」 174 ページの「McAfee 定義の隔離ルールを設定する」 173 ページの「アプリケーションの動的隔離のトリガーしきい値を有効にする」 アプリケーションの動的隔離の機能 脅威情報は、アプリケーションのレピュテーションを使用して、制限付きのアプリケーションの実行をアプリケーシ ョンの動的隔離に要求するかどうかを判断します。 指定したレピュテーションしきい値に達したファイルを環境内 170 McAfee Endpoint Security 10.2 製品ガイド 脅威情報 の使用 脅威情報 の管理 6 で実行しようとすると、アプリケーションの動的隔離は隔離ルールに従って安全でないアクションをブロックしたり、 ログに記録します。 アプリケーションの動的隔離が登録された複数の技術がアプリケーションの隔離を要求すると、それぞれの要求が追 加されます。 すべての技術が解放するまで、アプリケーションは隔離された状態になります。 隔離を要求した技術 が無効になったり、削除されると、アプリケーションの動的隔離はこれらのアプリケーションを解放します。 アプリケーションの動的隔離のワークフロー 1 プロセスが開始します。 2 脅威情報がファイルのレピュテーションを確認します。 TIE サーバーが使用可能な場合、脅威情報がこのサーバーからアプリケーションのレピュテーションを取得しま す。 TIE サーバーが使用できない場合、脅威情報は McAfee GTI からレピュテーション情報を所得します。 3 アプリケーションのレピュテーションが 脅威情報の隔離レピュテーションしきい値と同等か下回っている場合、 脅威情報は、プロセスの開始と隔離要求をアプリケーションの動的隔離に通知します。 4 アプリケーションの動的隔離がプロセスを隔離します。 アプリケーションの動的隔離のイベントは、McAfee ePO の脅威イベント ログで確認できます。 5 隔離されたアプリケーションの安全性を確認した場合、隔離されず正常に実行されるように設定できます。 McAfee Endpoint Security 10.2 製品ガイド 171 6 脅威情報 の使用 脅威情報 の管理 関連トピック: 174 ページの「McAfee 定義の隔離ルールを設定する」 173 ページの「隔離されたアプリケーションの許可」 172 McAfee Endpoint Security 10.2 製品ガイド 脅威情報 の使用 脅威情報 の管理 6 隔離されたアプリケーションの許可 隔離されたアプリケーションが安全であることを確認したら、環境内で通常どおりの実行を許可できます。 • アプリケーションの動的隔離の設定にあるグローバル除外リストにアプリケーションを追加します。 この場合、隔離を要求した技術の数に関係なく、アプリケーションが隔離領域から解放され、通常どおり実行さ れます。 • レピュテーションしきい値を上げて隔離から除外されるように、脅威情報を設定します。 この場合、別の技術がアプリケーションの隔離を要求していなければ、アプリケーションが隔離領域から解放さ れ、通常どおり実行されます。 • TIE サーバーが使用可能な場合、実行を許可するレベルにファイルのレピュテーションを変更します (たとえば、 [信頼できる可能性がある])。 この場合、別の技術がアプリケーションの隔離を要求していなければ、アプリケーションが隔離領域から解放さ れ、通常どおり実行されます。 『McAfee Threat Intelligence Exchange 製品ガイド』を参照してください。 関連トピック: 176 ページの「アプリケーションの動的管理からプロセスを除外する」 アプリケーションの動的隔離のトリガーしきい値を有効にする アプリケーションの動的隔離技術を使用すると、特定のレピュテーションのアプリケーションをコンテナー内で実行 するように指定し、アプリケーションで実行されるアクションを制限できます。 アプリケーションの動的隔離アクシ ョンの施行を有効にし、アプリケーションを隔離するレピュテーションしきい値を指定します。 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 Endpoint Security クライアントを開きます。 2 メインの [ステータス] ページで [脅威情報] をクリックします。 あるいは、[アクション] メニュー から [設定] を選択し、[設定] ページで [脅威情報] をクリックします。 3 [詳細を表示] をクリックします。 4 [オプション] をクリックします。 5 脅威情報が有効になっていることを確認します。 6 [レピュテーションしきい値に達したときにアプリケーションの動的隔離を開始する] を選択します。 7 アプリケーションを隔離するレピュテーションしきい値を指定します。 • [信頼できる可能性がある] ([セキュリティ] ルール グループのデフォルト) • [不明] ([バランス] ルール グループのデフォルト) • [不正な可能性がある] ([生産性] ルール グループのデフォルト) McAfee Endpoint Security 10.2 製品ガイド 173 6 脅威情報 の使用 脅威情報 の管理 • [不正な可能性が非常に高い] • [不正なことが確認されている] アプリケーションの動的隔離のしきい値は、 「ブロック」と「駆除」のしきい値よりも高くする必要があります。 たとえば、「ブロック」のしきい値が [不正なことが確認されている] に設定されている場合、アプリケーション の動的隔離のしきい値は [不正な可能性が非常に高い] 以上に設定する必要があります。 8 [適用] をクリックして変更を保存するか、[キャンセル] をクリックします。 McAfee 定義の隔離ルールを設定する McAfee 定義の隔離ルールは、隔離されたアプリケーションのアクションをブロックしたり、ログに記録します。 ブ ロックと報告の設定は変更できますが、ルールの変更または削除は実行できません。 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 [メニュー] 、 [ポリシー] 、 [ポリシー カタログ] の順に選択して、[製品] リストから [Endpoint Security 脅 威情報] を選択します。 2 Endpoint Security クライアントを開きます。 3 メインの [ステータス] ページで [脅威情報] をクリックします。 あるいは、[アクション] メニュー から [設定] を選択し、[設定] ページで [脅威情報] をクリックします。 4 [詳細を表示] をクリックします。 5 [アプリケーションの動的隔離] をクリックします。 6 [隔離ルール] セクションで、ルールに [ブロック]、[報告] またはその両方を選択します。 7 • すべてをブロックまたは報告するには、最初の行で [ブロック] または [報告] を選択します。 • ルールを無効にするには、[ブロック] と [報告] の選択を解除します。 [除外対象] セクションで、アプリケーションの動的隔離から除外する実行ファイルを追加します。 [除外対象] リストにあるプロセスは、隔離されずに通常どおり実行されます。 8 [適用] をクリックして変更を保存するか、[キャンセル] をクリックします。 関連トピック: 176 ページの「アプリケーションの動的管理からプロセスを除外する」 174 ページの「McAfee 定義の隔離ルール」 McAfee 定義の隔離ルール McAfee 定義の隔離ルールにより、隔離されたアプリケーションがシステムで実行できる変更内容を制御します。 ブロックと報告の設定は変更できますが、ルールの変更または削除は実行できません。 174 McAfee Endpoint Security 10.2 製品ガイド 脅威情報 の使用 脅威情報 の管理 • [安全でないパスワード LM ハッシュへのアクセ ス] • [拡張子が .vbs のファイルの変更] • [ユーザー Cookie の場所へのアクセス] • [Image File Execution Options レジストリ エ ントリの変更] • [別のプロセスへのメモリーの割り振り] • [移植可能な実行ファイルの変更] • [別のプロセスでのスレッドの作成] • [スクリーン セーバーの設定の変更] • [ネットワーク上でのファイルの作成] • [スタートアップのレジストリの場所の変更] • [CD、フロッピー、リムーバブル ドライブ上での ファイルの作成] • [自動デバッガーの変更] • [拡張子が .bat のファイルの作成] • [隠し属性ビットの変更] • [拡張子が .exe のファイルの作成] • [読み取り専用属性ビットの変更] • [拡張子が .html、.jpg または .bmp のファイル の作成] • [サービスのレジストリの場所の変更] • [拡張子が .job のファイルの作成] • [Windows ファイアウォール ポリシーの変更] • [拡張子が .vbs のファイルの作成] • [Windows タスク フォルダーの変更] • [新しい CLSID、APPID、TYPELIB の作成] • [ユーザー ポリシーの変更] • [ランサムウェがよく狙うファイルの削除] • [ユーザーのデータ フォルダーの変更] • [重要なオペレーティング システムの実行ファイ ルの無効化] • [ランサムウェがよく狙うファイルの読み取り] • [任意の子プロセスの実行] • [別のプロセス メモリーからの読み取り] • [Appinit DLL レジストリ エントリの変更] • [ネットワーク上のファイルの読み取りまたは変 更] • [アプリケーション互換性 Shim の変更] • [CD、フロッピー、リムーバブル ドライブ上のフ ァイルの読み取りまたは変更] • [重要な Windows ファイルとレジストリの場所 の変更] • [プロセスの中断] • [デスクトップ背景設定の変更] • [別のプロセスの終了] • [ファイルと拡張子の関連付けの変更] • [別のプロセス メモリーへの書き込み] • [拡張子が .bat のファイルの変更] • [ランサムウェがよく狙うファイルへの書き込み] 6 隔離されたアプリケーションを 管理する アプリケーションの動的隔離が信頼できるアプリケーションを隔離した場合、Endpoint Security クライアントでこ のアプリケーションを隔離対象から除外できます。 アプリケーションを除外して解放すると、アプリケーションは [隔離されたアプリケーション] から削除され、[除外対象] に追加されます。これにより、以降の処理で隔離されな くなります。 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 McAfee Endpoint Security 10.2 製品ガイド 175 6 脅威情報 の使用 脅威情報 の管理 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 Endpoint Security クライアントを開きます。 2 メインの [ステータス] ページで [脅威情報] をクリックします。 あるいは、[アクション] メニュー から [設定] を選択し、[設定] ページで [脅威情報] をクリックします。 3 [詳細を表示] をクリックします。 4 [アプリケーションの動的隔離] をクリックします。 5 [隔離されたアプリケーション] セクションでアプリケーションを選択して、[除外] をクリックします。 アプリケーションが [除外対象] リストに表示されます。 [適用] をクリックするまで、アプリケーションは [隔 離されたアプリケーション] リストに残ります。 [設定] ページに戻ると、アプリケーションは [除外対象] リス トにのみ表示されます。 6 [適用] をクリックして変更を保存するか、[キャンセル] をクリックします。 アプリケーションの動的管理からプロセスを除外する 信頼されたプログラムが隔離された場合には、アプリケーションの動的隔離の除外対象を作成して、隔離されないよ うにします。 Endpoint Security クライアントで作成した除外対象は、クライアント システムにのみ適用されます。 この除外対 象は McAfee ePO に送信されません。[アプリケーションの動的隔離] の [除外対象] セクションには表示されませ ん。 管理対象システムの場合、McAfee ePO の [アプリケーションの動的隔離] 設定でグローバル除外対象を作成します。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 Endpoint Security クライアントを開きます。 2 メインの [ステータス] ページで [脅威情報] をクリックします。 あるいは、[アクション] メニュー 176 から [設定] を選択し、[設定] ページで [脅威情報] をクリックします。 3 [詳細を表示] をクリックします。 4 [アプリケーションの動的隔離] をクリックします。 5 [除外対象] セクションで [追加] をクリックして、すべてのルールから除外するプロセスを追加します。 6 [実行ファイルの追加] ページで実行ファイルのプロパティを設定します。 7 [保存]、[適用] の順にクリックして、設定を保存します。 McAfee Endpoint Security 10.2 製品ガイド 脅威情報 の使用 脅威情報 の管理 6 脅威情報オプションを設定する 設定により、実行、隔離、ブロック、クリーンアップするファイルまたは証明書が決まります。また、ユーザーにア クションを確認することもできます。 開始する前に Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、 管理者としてログオンしています。 McAfee ePO でポリシーを変更すると、設定 ページの変更が上書きされます。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 Endpoint Security クライアントを開きます。 2 メインの [ステータス] ページで [脅威情報] をクリックします。 あるいは、[アクション] メニュー から [設定] を選択し、[設定] ページで [脅威情報] をクリックします。 3 [詳細を表示] をクリックします。 4 [オプション] をクリックします。 5 ページで設定を行い、[適用] をクリックして変更を保存するか、[キャンセル] をクリックします。 ファイルと証明書のブロックまたは許可 ファイルと証明書には、コンテンツとプロパティに基づいて脅威レピュテーションが設定されます。 脅威情報 のポ リシーでは、環境内のシステムでブロックまたは許可するファイルと証明書をレピュテーション レベルに基づいて判 断します。 システムのセキュリティ レベルには 3 つあります。これにより、システムのタイプ別にルールの調整を行います。 各レベルは、不正または不審なファイルと証明書を識別する特定のルールに関連付けられています。 • [生産性] - 頻繁に変更されるシステムです。信用されたプログラムのインストールと削除、更新の受信が頻繁に 行われます。 たとえば、開発環境にあるコンピューターのシステムが該当します。 この設定のポリシーはルール が少なくなります。 ブロックは必要最小限になり、新しいファイルを検出すると、プロンプトが表示されます。 • [バランス] - 新しいプログラムのインストールや変更が頻繁に発生しない標準的なビジネス システムです。 こ の設定のポリシーはルールが多くなります。 ブロックとプロンプトの数が増えます。 • [セキュリティ] - IT 部門が管理するシステムです。厳密に管理され、変更もほとんど発生しません。 金融機関 や政府機関で重要な情報や機密情報にアクセスするシステムが該当します。 この設定はサーバーにも使用されま す。 この設定のポリシーでは、使用されるルールが最大になります。 ブロックとプロンプトの数がさらに増えま す。 セキュリティ レベルに関連付けられているルールを表示するには、[メニュー] 、 [サーバー設定] の順に選択しま す。 [カテゴリの設定] リストで、[脅威情報] を選択します。 ポリシーに割り当てるセキュリティ レベルを決める場合には、ポリシーを使用するシステムのタイプだけでなく、ブ ロックとプロンプトが発生する回数も考慮してください。 作成したポリシーをコンピューターまたはデバイスに割 り当て、ブロックとプロンプトの発生回数を確認します。 McAfee Endpoint Security 10.2 製品ガイド 177 6 脅威情報 の使用 クライアント インターフェース リファレンス - 脅威情報 クライアント インターフェース リファレンス - 脅威情報 インターフェース リファレンスのヘルプ トピックでは、クライアント インターフェースに表示されるページのコン テキスト ヘルプを提供します。 目次 脅威情報 - アプリケーションの動的隔離 脅威情報 - オプション 脅威情報 - アプリケーションの動的隔離 設定したルールに従って、隔離されたアプリケーションで実行可能なアクションを制限し、システムを保護します。 表 6-1 オプション セクション [隔離ルー ル] オプ ショ ン 説明 アプリケーションの動的隔離ルールを設定します。 McAfee 定義の隔離ルールで行うアクション (ブロックまたは報告) を変更できます。ただ し、これらのルールを変更したり、削除することはできません。 • [ブロック] (のみ) - 隔離されたアプリケーションがルールに指定されたアクションの実行 を試みると、ロギングを行わずにアクションをブロックします。 • [報告] (のみ) - アプリケーションがルール内のアクションを試みると、ログに記録します。 アプリケーションによるアクションの実行はブロックしません。 • [ブロック] と [報告] - アクセスをブロックして、ログに記録します。 ベストプラクティス: ルールによる影響が分からない場合には、[ブロック] ではなく [報告] を 選択してください。これにより、アクセスをブロックせずに警告を表示します。 ログとレポー トをモニタリングして、アクセスをブロックするかどうか判断してください。 すべてをブロックまたは報告するには、最初の行で [ブロック] または [報告] を選択します。 ルールを無効にするには、[ブロック] と [報告] の選択を解除します。 [隔離され たアプリケ ーション] 現在隔離されているアプリケーションの一覧が表示されます。 [除外対象] プロセスを隔離の対象外にします。 • [除外] - 隔離されたアプリケーションを [除外対象] リストに移動します。このアプリケ ーションは隔離領域から解放され、通常どおり実行されます。 • [追加] - プロセスを除外リストに追加します。 • 項目をダブルクリックします。 — 選択した項目を変更します。 • [削除] - 選択した項目を削除します。 • [複製] - 選択した項目のコピーを作成します。 関連トピック: 170 ページの「アプリケーションの動的隔離の機能」 174 ページの「McAfee 定義の隔離ルール」 174 ページの「McAfee 定義の隔離ルールを設定する」 176 ページの「アプリケーションの動的管理からプロセスを除外する」 178 McAfee Endpoint Security 10.2 製品ガイド 6 脅威情報 の使用 クライアント インターフェース リファレンス - 脅威情報 実行ファイルの追加 または 実行ファイルの編集 対象に追加または除外する実行ファイルを追加または編集します。 脅威対策のアクセス保護の場合、ポリシー レベルで実行ファイルを除外したり、ルール レベルで追加または除外で きます。 脅威情報のアプリケーションの動的隔離の場合、実行ファイルをポリシー レベルで除外できます。 対象と除外を指定する場合には、次の点に注意してください。 • 1 つ以上の識別子を指定する必要がります。たとえば、[ファイル名またはパス]、[MD5 ハッシュ] または [署名 者] を使用します。 • 複数の識別子を指定すると、すべての識別子が適用されます。 • 複数の識別子を使用して一致する識別子がない場合 (たとえば、ファイル名と MD5 ハッシュが同じファイルに適 用されていない場合など)、追加または除外の対象は無効になります。 • 追加または場外の対象は、大文字と小文字が区別されません。 • MD5 ハッシュを除き、すべての ID にワイルドカードを使用できます。 表 6-2 オプション オプション 定義 [名前] 実行ファイルの名前を指定します。 このフィールドは、[ファイル名またはパス]、[MD5 ハッシュ] または [署名者]と一緒に使用する 必要があります。 [対象ステータ 実行ファイルの対象ステータスを表します。 ス] • [対象] - 実行ファイルがサブルールに違反すると、ルールがトリガーします。 • [除外] - 実行ファイルがサブルールに違反すると、ルールがトリガーされません。 ルールまたはプロセス サブルールの対象に実行ファイルを追加するときに [対象ステータス] が 表示されるのは、 脅威対策のアクセス保護だけです。 [ファイル名ま 追加または編集する実行ファイルの名前あるいはパスを指定します。 たはパス] [参照] をクリックして、実行ファイルを選択してください。 ファイルのパスにワイルドカードを使用できます。 [MD5 ハッシ ュ] プロセスの MD5 ハッシュ (32 桁の 16 進数) を指定します。 McAfee Endpoint Security 10.2 製品ガイド 179 6 脅威情報 の使用 クライアント インターフェース リファレンス - 脅威情報 表 6-2 オプション (続き) オプション 定義 [署名者] [デジタル署名検査を有効にする] — この検査により、暗号化ハッシュで署名された後、コードが 改ざんされたり、壊れていないことが保証されます。 有効にする場合、次のオプションを指定します。 • [任意の署名を許可する] - 任意のプロセス署名者が署名したファイルを許可します。 • [署名者] - 指定したプロセス署名者が署名したファイルだけを許可します。 実行ファイルに署名者の識別名 (SDN) が必要です。カンマとスペースも含めて、該当するフィ ールドの項目と完全に一致させる必要があります。 Endpoint Security クライアントのイベント ログと McAfee ePO 脅威イベント ログのイベン トで、プロセスの署名者が正しい形式で表示されます。 例: C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR, CN=MICROSOFT WINDOWS 実行ファイルの SDN を取得するには: 1 実行ファイルを右クリックし、[プロパティ] を選択します。 2 [デジタル署名] タブで署名者を選択して、[詳細] をクリックします。 3 [全般] タブで [証明書の表示] をクックします。 4 [詳細] タブで、[サブジェクト] フィールドを選択します。 署名者の識別名が表示されます。 Firefox の場合、この署名者の識別名は次のようになります。 • CN = Mozilla Corporation • OU = Release Engineering • O = Mozilla Corporation • L = Mountain View • S = California • C = US [メモ] 項目の補足情報を入力します。 脅威情報 - オプション 脅威情報を設定します。 表 6-3 オプション セクシ ョン オプション [オプシ [脅威情報を有効にする] ョン] [Threat Intelligence Exchange サーバーに匿 名での診断情報と使用状 況データの収集を許可す る] 定義 脅威情報モジュールを有効にします。 デフォルトは無効です。 TIE サーバーがファイル情報を匿名で McAfee に送信します。 [Threat Intelligence Global Threat Intelligence サーバーに接続できない場合にファイル レピ Exchange サーバーに接 ュテーション情報を TIE プロキシから取得します。 続できない場合に McAfee GTI ファイル レピュテー ションを使用する] 180 McAfee Endpoint Security 10.2 製品ガイド 6 脅威情報 の使用 クライアント インターフェース リファレンス - 脅威情報 表 6-3 セクシ ョン オプション (続き) オプション 定義 [ユーザーに設定の変更を 許可しない (Threat Intelligence Exchange 1.0 クライアントのみ)] 管理対象システムで脅威情報の設定の変更を禁止します。 [ルール [生産性] の割り 当て] [生産性] ルール グループを割り当てます。 信頼されたソフトウェアのインストールや更新が頻繁に発生する変更頻度の 高いシステムには、このグループを使用します。 このグループの場合、使用するルールの数が最小になります。 新しいファイ ルの検出時にプロンプトまたはブロックされる回数が最も少なくなります。 [バランス] [バランス] ルール グループを割り当てます。 新しいソフトウェアのリリースや変更の頻度が頻繁でない標準的なビジネス システムには、このグループを使用します。 このグループでは、[生産性]グループよりも多くのルールが使用されるため、 プロンプトまたはブロックが表示される回数も多くなります。 [セキュリティ] [セキュリティ] ルール グループを割り当てます。 IT 管理のシステムや厳密な管理下にあるサーバーなど、変更の少ないシステ ムには、このグループを使用します。 [バランス] グループに比べると、プロンプトまたはブロック数の回数が多く なります。 [アクシ [監視モードを有効にする] イベントを生成してサーバーに送信しますが、アクションは施行しません。 ョン施 監視モードは、脅威情報の調整中にのみ、少数のシステムで一時的に有効に 行] してください。 このモードを有効にすると、脅威情報はイベントの収集を行うだけでアクシ ョンを実行しません。このため、システムが脆弱になる可能性があります。 [レピュテーションしきい 値に達したときにアプリ ケーションの動的隔離を 開始する] レピュテーションが指定したしきい値に達したときにアプリケーションを隔 離します。 • [信頼できる可能性がある] ([セキュリティ] ルール グループのデフォル ト) • [不明] ([バランス] ルール グループのデフォルト) • [不正な可能性がある] ([生産性] ルール グループのデフォルト) • [不正な可能性が非常に高い] • [不正なことが確認されている] アプリケーションの動的隔離のしきい値は、 「ブロック」と「駆除」のしきい 値よりも高くする必要があります。 たとえば、 「ブロック」のしきい値が [不 正なことが確認されている] に設定されている場合、アプリケーションの動的 隔離のしきい値は [不正な可能性が非常に高い] 以上に設定する必要があり ます。 指定したレピュテーションしきい値に達したアプリケーションを環境内で実 行しようとすると、アプリケーションの動的隔離はコンテナー内での実行を 許可し、隔離ルールに従って安全でないアクションをブロックしたり、ログ に記録します。 McAfee Endpoint Security 10.2 製品ガイド 181 6 脅威情報 の使用 クライアント インターフェース リファレンス - 脅威情報 表 6-3 セクシ ョン オプション (続き) オプション 定義 [レピュテーションしきい 値が次の場合にブロック] ファイルのレピュテーションが特定のしきい値に達したときにファイルをブ ロックします。次のしきい値を指定します。 • [信頼できる可能性がある] • [不明] ([セキュリティ] ルール グループのデフォルト) • [不正な可能性がある] ([バランス] ルール グループのデフォルト) • [不正な可能性がある] ([不正な可能性が非常に高い] ルール グループのデ フォルト) • [不正なことが確認されている] 環境で特定のレピュテーションしきい値のファイルの実行が試行されると、 ファイルの実行は阻止されますが、ファイル自体は削除されません。 ファイ ルの安全性が確認され、実行する必要がある場合には、ファイルの実行を許 可するレピュテーション レベル (信頼できる可能性があるなど) に変更しま す。 [レピュテーションしきい 値が次の場合に駆除] ファイルのレピュテーションが特定のしきい値に達したときにファイルを駆 除します。次のしきい値を指定します。 • [不明] • [不正な可能性がある] • [不正な可能性が非常に高い] • [不正なことが確認されている] ([バランス] と [セキュリティ] ルール グ ループのデフォルト) [生産性] ルール グループのデフォルトは選択されていません。 ベストプラクティス: 駆除時にファイルが削除される可能性があるため、こ のオプションには「不正なことが確認されている」を指定してください。 182 McAfee Endpoint Security 10.2 製品ガイド 脅威情報 の使用 クライアント インターフェース リファレンス - 脅威情報 6 表 6-4 詳細オプション セクション オプション 説明 [脅威検出時のユーザ [ユーザーに脅威通知を表 ユーザーに脅威通知を表示します。 ー メッセージ] 示する] [レピュテーションしきい ファイル レピュテーションが特定のしきい値に達したときに、 値が次の場合にユーザー ユーザーに通知します。 に通知] • [信頼できる可能性が非常に高い] • [信頼できる可能性がある] ([セキュリティ] ルール グループ のデフォルト) • [不明] ([バランス] ルール グループのデフォルト) • [不正な可能性がある] ([生産性] ルール グループのデフォル ト) • [不正な可能性が非常に高い] • [不正なことが確認されている] プロンプト レベルは、駆除またはブロックの設定と矛盾がない ように設定してください。 たとえば、不明なファイルをブロッ クする場合、このフィールドに [信頼できる可能性がある] は設 定できません。この設定は、[不明] よりもセキュリティの脅威 が高くなります。 [デフォルト アクション] ユーザーがプロンプトに応答しなかった場合の処理を設定しま す。 • [許可] • [ブロック] [タイムアウトまでの時間 デフォルトのアクションを実行する前にプロンプトを表示する 時間 (分) を指定します。 (分) を指定] デフォルトは 5 分です。 [Advanced Threat Defense] [メッセージ] プロンプトの条件を満たすファイルが実行されたときにユーザ ーに表示するテキストを指定します。 [Threat Intelligence Exchange サーバーに接 続できない場合に脅威通 知を無効にする] TIE サーバーに接続できない場合にプロンプトを無効にします。 ファイルのレピュテーションが利用できないことを通知するプ ロンプトは表示されません。 [未確認のファイルを McAfee Advanced Threat Defense に送信 して分析する] 実行ファイルを McAfee Advanced Threat Defense に送信し て分析します。 有効にすると、次の場合に脅威情報がポート 443 を使用して HTTPS 経由で Advanced Threat Defense にファイルを送信 します。 • ファイルに関する TIE の情報が Advanced Threat Defense サーバーにない。 • ファイルのレピュテーションが指定したレベル以下になって いる。 • ファイルのサイズが指定した制限以下になっている。 Advanced Threat Defense サーバーの管理ポリシーに TIE サ ーバーの情報を指定します。 McAfee Endpoint Security 10.2 製品ガイド 183 6 脅威情報 の使用 クライアント インターフェース リファレンス - 脅威情報 表 6-4 詳細オプション (続き) セクション オプション 説明 [レピュテーションしきい ファイル レピュテーションが特定のしきい値に達したときに、 値が次の場合にファイル Advanced Threat Defense にファイルを送信します。 を送信] • [信頼できる可能性が非常に高い] • [不明] • [不正な可能性が非常に高い] すべてのルール グループのデフォルトは [不明] です。 [サイズ制限 (MB)] Advanced Threat Defense に送信するファイルのサイズを制 限します (1 MB から 10 MB)。 デフォルトは 5 MB です。 関連トピック: 177 ページの「脅威情報オプションを設定する」 173 ページの「アプリケーションの動的隔離のトリガーしきい値を有効にする」 177 ページの「ファイルと証明書のブロックまたは許可」 184 McAfee Endpoint Security 10.2 製品ガイド 索引 A Endpoint Security Client (続き) パスワードによる保護 33 Advanced Threat Defense 169 使用、レピュテーションの判定 166 表示、イベント ログ 24 送信先、ファイル 177 保護情報の表示 22 [AMCore コンテンツのロールバック] ページ 28 AMCore コンテンツ ファイル マルウェアのスキャン 57 Endpoint Security クライアント Extra.DAT ファイル 29, 30 解除、インターフェースのロック 28 オンアクセス スキャン、概要 80 カスタム更新タスク、作成 38 オンデマンド スキャンの概要 85 管理の種類 10 説明 10 更新、セキュリティ対策 23 説明、シグネチャと更新 11 実行、スキャン 58 バージョンの変更 28 設定、更新のソース サイト 35 設定、セキュリティ 33 Ask、安全性アイコン 151 説明 14 B 使い方 11 デフォルトのクライアント更新タスク、スケジュール 38 Bing、安全性アイコン 151 デフォルトのクライアント更新タスク、設定 37 デフォルトのクライアント更新タスク、説明 37 C 表示、ヘルプ 20 Chrome 開く 12 Web 管理のボタン 150 フル スキャンとクイック スキャン、スケジュール 88 対応ブラウザー 149, 154 ポリシー設定 16 表示、サイト情報 154 ミラーリング タスク、設定 40 有効、プラグイン 153 ミラーリング タスク、設定とスケジュール 39 Common モジュールの設定 モジュール 16 McAfee GTI のプロキシ サーバーの設定 34 ログオン、管理者として 27 設定 31 ロギング 32 CPU 時間、オンデマンド スキャン 88 ログ、説明 25 Endpoint Security、管理 27 Endpoint Security、コンピューターの保護法法 10 Extra.DAT ファイル D AMCore コンテンツ ファイル 11 Data Exchange Layer オンアクセス スキャン、概要 80 説明 166 オンデマンド スキャンの概要 85 DNS トラフィック、ブロック 124 使用 29 ダウンロード 30 E バージョン情報 29 Endpoint Security Client 読み込み 30 管理タイプ 22 起動 19 脅威検出の管理 61 脅威のサマリー 15 システム スキャン 57 McAfee Endpoint Security 10.2 F Firefox Web 管理のボタン 150 対応ブラウザー 149, 154 製品ガイド 185 索引 Firefox (続き) McAfee GTI (続き) 概要 34, 79, 157 表示、サイト情報 154 有効、プラグイン 153 Firewall 指定、プロキシ サーバーの設定 34 除外対象 126 管理 122 設定、感度レベル 78 Firewall オプション ネットワーク レピュテーション、ファイアウォールで設定 123 変更 123 ファイアウォール オプション、設定 123 Firewall ルール ファイルのスキャン、ダウンロードの前 155, 157 ワイルドカードの使用 134 ブロック イベント、サーバーへの送信 123 よくある質問 124 G GBOP シグネチャ、参照:汎用的なバッファー オーバーフロー対策のシ グネチャ Google Chrome 149 利用統計、フィードバック 78 McAfee Labs AMCore コンテンツ ファイル、更新 11 Extra.DAT 30 Extra.DAT のダウンロード 29 McAfee GTI 34, 79, 157 安全性アイコン 151 情報の入手、脅威 62 対応する検索エンジン 151 GPEP シグネチャ、参照:汎用特権昇格防止シグネチャ McAfee SECURE、Web 管理のボタン 150 McAfee アイコン、参照:システム トレイ アイコン、McAfee H McAfee クライアント、参照:Endpoint Security クライアント Host IPS、エクスプロイト防止 75 I McAfee コア ネットワーク ルール グループ、ファイアウォール 132 McAfee システム トレイ アイコンに表示されたステータス、Endpoint Security 12 McAfee セキュリティ ステータス ページ、表示 12 Internet Explorer ScriptScan の動作 82 対応ブラウザー 149, 154 表示、Endpoint Security のヘルプ 20 McAfee 定義ルール、アクセス保護 69 McAfee 定義ルール、アプリケーションの動的隔離 174 McAfee 保護クライアント、参照:Endpoint Security Client McTray、開始 86 表示、サイト情報 154 Microsoft Internet Explorer、参照:Internet Explorer 有効、プラグイン 153 Mozilla Firefox、参照:Firefox IP アドレス 125 位置情報を使用するグループ 129 P 信頼された 126 Product Improvement Program 169 ルール グループ 129 S M Safari (Macintosh) McAfee Agent 製品更新タスクとリポジトリ リスト 36 Web 管理のボタン 150 ScriptScan McAfee Endpoint Security Client、参照:Endpoint Security Client McAfee ePO 除外、URL 65 説明 82 管理タイプ 22 有効 79 更新、セキュリティ対策 10 取得、AMCore コンテンツ ファイル 11 McAfee ePO Cloud 管理タイプ 22 McAfee GTI Web Control 安全性評価 152 Web Control サイト レポート 152 Web カテゴリ 159 Web 管理の通信エラー 150 オンアクセス スキャン、機能 80 オンアクセス スキャン、設定 79 オンデマンド スキャン、機能 85 オンデマンド スキャン、設定 84 186 McAfee Endpoint Security 10.2 T Threat Intelligence Exchange サーバー、参照:TIE サーバー Threat Prevention エクスプロイト防止機能 76 オンアクセス スキャン、設定 79 オンデマンド スキャン、説明 85 管理 65 不審なプログラム、検出 76 TIE サーバー 説明 166 製品ガイド 索引 TIE サーバー (続き) Windows 8 と 10 ブリッジ 166 応答、脅威検出プロンプト 20 起動、Endpoint Security Client 19 U 説明、通知メッセージ 13 Windows Store アプリ、脅威の検出 80 URL 除外、ScriptScan 79 除外、スクリプト スキャン 65 Windows ストア アプリ、脅威の検出 85 Windows の [優先度の設定] の値 88 Y W Web Control Yahoo 安全性アイコン 151 アイコンの説明 151 対応する検索エンジン 151 管理 155 デフォルトの検索エンジン 155 検索エンジンと安全性アイコン 151 サイト レポート 152 バルーンとアイコン 155 Web カテゴリ、ブロックと警告 159 あ アーカイブ、スキャン オプションの指定 79, 84 Web カテゴリ、ブロックまたは警告 158 アイコン、、参照:システム トレイ アイコン、McAfee Web 管理 アイコン、McAfee、参照:システム トレイ アイコン、McAfee Endpoint Security クライアント 16 アイコン、Web Control 151 アクティビティ ログ 25 アイドル時にスキャン 21 機能 149 アイドル時にスキャン、機能 86 警告サイト 150 アクション、Threat Prevention 設定 155 検出時に実行するアクションの指定 79 説明 9 不審なプログラム 77 デバッグ ログ 25 表示、サイト情報 154 ユーザーに許可、感染ファイルの駆除と削除 79 アクション、脅威対策 表示、サイト レポート 154 実行、隔離項目 62 ファイル ダウンロードのスキャン方法 157 指定、ウイルス検出時 84 ブロック サイト 150 ユーザーに許可、感染ファイルの駆除と削除 84 ボタン、説明 150 [アクション] メニュー、説明 14 メニュー 150 アクセス保護 有効 155 McAfee 定義ルール、設定 68 有効、プラグイン 153 McAfee 定義ルール、説明 69 ログ ファイル 25 除外、プロセス 65 Web サイト 説明 67 安全性評価 152 プロセス、対象と除外 68, 74 閲覧保護 150 ユーザー定義ルール、設定 72 検索時の保護 151 ルール、説明 68 表示、Web 管理サイト レポート 154 例 67 Web サイト、アクセス制御 ログ ファイル 25 Web カテゴリ 158, 159 アクセス モード、Endpoint Security クライアント 16 安全性評価による 159 アクティビティ ログ、Endpoint Security クライアント 25 Web サイト、警告 アップグレード、クライアント ソフトウェアのコンポーネント 10 安全性評価による 159 アドウェア、説明 63 評価 158 アプリ、Windows Store 80 Web サイト、ブロック Web カテゴリ 158, 159 安全性評価による 159 危険なサイト、検索結果 155 アプリ、Windows ストア 85 アプリケーション、隔離 管理、Endpoint Security クライアント 175 許可、通常どおりの実行 173 評価 158 アプリケーション、説明 127 未評価または不明 155 アプリケーションの動的隔離 McAfee 定義ルール、設定 174 McAfee Endpoint Security 10.2 製品ガイド 187 索引 アプリケーションの動的隔離 (続き) エクスプロイト McAfee 定義ルール、説明 174 バッファー オーバーフロー エクスプロイトの仕組み 75 管理、隔離されたアプリケーション 175 バッファー オーバーフローのブロック 76 脅威情報 163 ブロック、バッファー オーバーフロー 75 許可、隔離されたアプリケーションの通常どおりの実行 173 説明 170 エクスプロイト防止 Host IPS 75 プロセス、対象と除外 176 コンテンツ ファイルの更新 11 有効、トリガーしきい値 173 除外、プロセス 65 ログ ファイル 25 設定 76 アラート、Threat Prevention 説明 75 ログ ファイル 25 オンデマンド スキャンの概要 85 エラー、更新 23 アラート、脅威対策 オンアクセス スキャン、概要 80 アラート、ファイアウォール 13 エラー メッセージ、システム トレイ アイコンの状態 12 エラー ログ、Endpoint Security クライアント 25 安全性評価 お Web 管理 149 Web サイトの評価方法 152 応答の設定、不審なプログラム 77 アクションの設定、サイトとダウンロード 158 オプション 安全性アイコン 151 オンアクセス スキャンの設定 79 制御、サイトへのアクセス 159 設定、オンデマンド スキャン 84 安全性レポート、参照:レポート、Web Control 安全な検索、Web 管理の設定 155 マルウェアのスキャン 57 オプション、Common 設定 31 い プロキシ サーバーの設定 34 位置情報を使用するグループ 接続の分離 130 共通のスキャン設定 78 説明 129 不審なプログラム 77 イベント、Web 管理ブラウザー イベントの追跡 155 イベント ログ、Endpoint Security Client 表示、イベント ログ 24 イベント ログ、Endpoint Security クライアント オプション、共通設定 クライアント インターフェースのセキュリティ、設定 33 クライアント更新のソースサイト、設定 35 クライアント更新のソース サイト、設定 35 更新エラー 23 更新、設定 37 説明 25 更新の設定 35 [今すぐスキャン] ボタン 58 色、Web 管理のボタン 150 インストーラーのスキャン、信頼 79 インターフェース モード 設定、クライアントのセキュリティ 33 標準アクセス 27, 33 自己保護、設定 31 スケジュール、オンデマンド スキャン 57 オプション、ファイアウォール 信頼された実行ファイル 127 定義済みのネットワーク 125 オンアクセス スキャン ScriptScan 82 概要 80 う 書き込みと読み取り、ディスク 80 ウイルス 検出、スキャン時 58 検出に対する応答 20 シグネチャ 11 スキャンによる検出 60 バージョン情報 63 脅威の検出 20 最適化、信頼ロジック 80 除外、項目 65 スキャン ポリシーの数 83 スクリプトのスキャン 82 設定 78, 79 説明 57 え 不審なプログラムの検出、有効 77 影響のないスキャン 86 188 ロギングの更新、設定 32 オプション、脅威対策 作成 135 McAfee Endpoint Security 10.2 ログ ファイル 25 製品ガイド 索引 [オンアクセス スキャン] ページ 61 危険度低プロセス、指定 79 オンデマンド更新、参照:手動更新の実行 機能 Endpoint Security クライアント、ポリシーによるアクセス 16 オンデマンド スキャン 有効と無効 28 概要 85 システム使用率 88 キャッシュ、グローバル スキャン オンアクセス スキャン 80 実行、フル スキャンまたはクイック スキャン 58 オンデマンド スキャン 85 除外、項目 65 設定 78 脅威 説明 57 AMCore コンテンツ ファイル 11 ファイルまたはフォルダーのスキャン 60 Windows Store アプリ 80 不審なプログラムの検出、有効 77 Windows ストア アプリ 85 プロンプトに対する応答 21 アクセス ポイント違反 67 リモート ストレージ スキャン 88 アクセス保護プロセス 67 ログ ファイル 25 安全性評価 152 右クリック スキャンの実行 60 隔離フォルダー 62 検出に対する応答 20 検出の管理 61 か 隔離、脅威対策 再スキャン、隔離項目 64 設定、場所と保存期間 78 隔離されたアプリケーション、アプリケーションの動的隔離 管理、Endpoint Security クライアント 175 隔離されたアプリケーションのリスト、管理 175 隔離ページ 62 隔離ルール アプリケーションの動的隔離 170 カスタム更新タスク、参照:タスク、Endpoint Security クライアント カスタム スキャン、参照:オンデマンド スキャン カスタム ルール、参照:ユーザー定義ルール、アクセス保護 感度レベル、McAfee GTI 34, 79, 157 管理外、参照:自社管理、説明 管理者 定義 10 パスワード 28 ログオン、Endpoint Security クライアント 27 管理者が追加したルール グループ、ファイアウォール 132 管理者のログオン ページ Endpoint Security Client の起動時 19 ロックの解除、クライアント インターフェース 28 管理タイプ 説明 22 表示 22 再スキャン、隔離項目 64 種類 63 情報の入手、McAfee Labs から 62 スキャンによる検出 60 脅威情報 Endpoint Security 165 Endpoint Security クライアント 16 アクティビティ ログ 25 アプリケーションの動的隔離技術 174 管理 164 コンテンツ ファイルの更新 11 コンポーネント 164 シナリオ 163 設定 177 設定、アプリケーションの動的隔離のトリガーしきい値 173 説明 164 デバッグ ログ 25 ブリッジ、McAfee ePO で管理された TIE サーバー 166 ログ ファイル 25 ワークフローの例 168 脅威対策 Endpoint Security クライアント 16 アクセス保護、機能 68 オプション、不審なプログラム 77 オンアクセス スキャン、設定 80 オンデマンド スキャン、設定 84 説明 9 き ファイルのスキャン、ダウンロードの前 155, 157 キーロガー、説明 63 脅威のサマリー、説明 15 期限付きグループ [脅威をスキャン] ページ 60 管理、McAfee システム トレイ アイコンから 12 期限付きグループ、ファイアウォール 共通設定モジュール、Endpoint Security クライアント 9, 16 共通設定モジュール、設定 管理、システム トレイ アイコンから 122 クライアント インターフェースのセキュリティ 33 作成 136 クライアント更新のソース サイト、設定 35 説明 122 更新設定 37 危険度高プロセス、指定 79 McAfee Endpoint Security 10.2 更新の設定 35 製品ガイド 189 索引 共通設定モジュール、設定 (続き) 更新、脅威対策 自己保護 31 概要 11 ソース サイト、クライアント更新 35 確認、手動 12, 23 コンテンツ ファイル 10 更新、ファイアウォール く 確認、手動 23 クイック スキャン 実行、Endpoint Security クライアントから 58 種類、スキャン 57 スケジュール、クライアント 88 設定 84 クライアント、参照:Endpoint Security Client クライアント インターフェース モード、オプション 16 クライアント ソフトウェア、定義 10 クライアント ロギングの設定 32 グループ、ファイアウォール、参照:ファイアウォール ルール グループ 更新ページ 23 誤検知 ファイアウォール、削減 127 コンテンツ カテゴリ、参照:Web カテゴリ コンテンツによるアクション、設定 Web 管理 159 コンテンツによるアクションの設定、Web 管理 158 コンテンツの更新 11 コンテンツの更新、クライアントから 23 コンテンツ ファイル AMCore バージョンの変更 28 グローバル スキャン キャッシュ オンアクセス スキャン 80 Extra.DAT ファイル 29, 30 オンデマンド スキャン 85 オンアクセス スキャン、概要 80 オンデマンド スキャンの概要 85 検出 20 け 更新の確認、手動 23 検索 手動確認、更新 12 安全性アイコン 151 スケジュール、クライアントからの更新 38 結果からブロック、危険なサイト 155 説明 10 検出 応答 20 さ 管理 58, 61 サーバー 種類 60 説明、TIE サーバー 166 タイプ 58 ブリッジ、McAfee ePO で管理された TIE サーバー 166 名前 63 サーバー システム、アイドル時にスキャン 86 名前で除外 78 メッセージ、ユーザーに表示 84 サーバー、プロキシ、参照:プロキシ サーバー ユーザーに表示するメッセージ 79 再開可能なスキャン、参照:差分スキャン レポートの送信、管理サーバー 10 サイト [検出結果の表示] ボタン 61 安全性評価 152 検出定義ファイル、参照:コンテンツ ファイル 閲覧保護 150 検索時の保護 151 こ 表示、Web 管理サイト レポート 154 攻撃、バッファー オーバーフロー エクスプロイト 75 ブロックと警告 150 サイト、アクセス制御 更新 [今すぐ更新] ボタン、Endpoint Security クライアント 23 Web カテゴリ 158, 159 安全性評価による 159 キャンセル 23 セキュリティ更新オプション 12 更新、Endpoint Security 設定、更新のソース サイト 35 サイト、警告 安全性評価による 159 評価 158 サイト、ブロック 設定、動作 35 設定とスケジュール、クライアント 38 Web カテゴリ 158, 159 デフォルトのクライアント更新、設定 37 安全性評価による 159 デフォルトのクライアント更新タスク、説明 37 更新、Threat Prevention Extra.DAT ファイル 30 評価 158 サイト レポート、参照:レポート、Web Control サブルール、アクセス保護 除外と対象 74 190 McAfee Endpoint Security 10.2 製品ガイド 索引 サブルール、アクセス保護 (続き) 評価、対象による 73 信頼できるネットワーク、参照:ネットワーク 信頼ロジック、オンアクセス スキャンの最適化 80 差分スキャン 86 す し スキャン Web 管理 157 しきい値 有効、アプリケーションの動的隔離のトリガーしきい値 173 延期、一時停止、再開、キャンセル 21 カスタム、クライアントでの作成とスケジュール設定 88 シグネチャ 既知の脅威情報 11 共通設定、オンアクセスとオンデマンド 78 自己保護、設定 31 実行、Endpoint Security クライアントから 58 自社管理、説明 22 種類 57 システム使用率オプション、概要 88 スケジュール、Endpoint Security クライアント 88 システム スキャン、種類 57 プロンプトに対する応答 21 システム トレイ アイコン、McAfee 11, 12, 33 ワイルドカードの使用、除外対象 66 起動、Endpoint Security Client 19 右クリック スキャンの実行 60 更新、セキュリティ 12 スキャン エンジン、AMCore コンテンツ ファイルの概要 11 設定、Endpoint Security へのアクセス 33 スキャン、オンアクセス ScriptScan 82 定義 12 ファイアウォール期限付きグループ 12 概要 80 有効化と表示、期限付きグループ 122 脅威の検出、Windows Store アプリ 80 有効化と無効化、ファイアウォール 121 脅威の検出、応答 20 [システムのスキャン] ページ 58, 61 最適化、信頼ロジック 80 事前定義のファイアウォール ルール グループ 132 除外、項目 65 実行ファイル 設定 79 信頼された、参照:信頼された実行ファイル 設定、信頼された 126 ポリシー数 83 スキャン、オンデマンド 優先度、オンアクセス スキャン 88 脅威の検出、Windows ストア アプリ 85 手動更新、実行 23 システム使用率 88 手動スキャン 除外、項目 65 Endpoint Security Client から実行 60 スケジュール、クライアント 88 実行、Endpoint Security クライアントから 58 設定 84 説明、スキャンの種類 57 リモート ストレージ スキャン 88 スキャン回避 80 証明書 評価の判定方法 166 ジョーク プログラム、説明 63 スキャン、カスタム、参照:スキャン、オンデマンド スキャン キャッシュ オンアクセス スキャン 80 除外 URL の指定、ScriptScan 79 オンデマンド スキャン 85 アクセス保護、ポリシー別とルール別 74 [スキャン結果の表示] ボタン 58 オンアクセス スキャンでのファイル、フォルダー、ドライブの指定 スキャンの延期、概要 86 79 除外対象 McAfee GTI 126 アプリケーションの動的隔離 175, 176 オンデマンド スキャン、指定 84 検出名 78 スキャン ページ、表示 20, 58 スクリプト、スキャン 82 スケジュール、オンデマンド スキャンの延期 86 スタート メニュー、Endpoint Security Client の起動 19 スタック ベースの攻撃、バッファー オーバーフロー エクスプロイト 75 使用、ワイルドーカード 66 スタンドアロン、参照:自社管理、説明 設定 65 [ステータス] ページ、脅威サマリーの表示 15 ルート レベル 66 ステルス型脅威、説明 63 侵入、ファイアウォール アラートの有効化 123 スパイウェア、説明 63 信頼されたインストーラー、スキャン 79 スレッド、優先度 88 信頼された実行ファイル スロットル、設定 88 設定 126 定義 127 McAfee Endpoint Security 10.2 製品ガイド 191 索引 せ た 脆弱性、参照:脅威 対象、アクセス保護 評価、サブルールによる 73 製品更新 確認、手動 12, 23 スケジュール、クライアント 38 製品更新クライアント タスク 説明 36 例 73 対象の API モニタリング、シグネチャ 11 ダイヤラー、説明 63 ダウンロード ブロックと警告 150 リポジトリ リスト 36 ダウンロード要求、参照:ファイルのダウンロード セキュリティ 設定、クライアント インターフェースのセキュリティ 33 タスク、Endpoint Security デフォルトのクライアント更新、説明 37 セキュリティ対策 維持、最新の状態 10 タスク、Endpoint Security クライアント カスタム更新、設定とスケジュール 38 セキュリティ レベル 例 177 設定とスケジュール、ミラーリング タスク 39 デフォルトのクライアント更新、スケジュール 38 設定 クライアント更新のソース サイト、設定 35 デフォルトのクライアント更新、設定 37 更新、設定 35, 37 ミラーリング タスク、説明 40 ソース サイト、設定 35 タスク、脅威対策 設定、Threat Prevention カスタム スキャン、スケジュール 88 オンアクセス スキャン 77 フルスキャンとクイック スキャン、スケジュール 88 オンデマンド スキャン 77 フル スキャンとクイック スキャン、説明 57 設定、TIE サーバーのブリッジ 166 設定、Web 管理 つ アクセス制御、Web カテゴリ 159 アクセス制御、安全性評価 159 通知メッセージ Windows 8 と 10 13 制御、Web アクセス 158 説明 13 設定、脅威情報 使い方、Endpoint Security クライアント 11 アプリケーションの動的隔離技術 174 設定、脅威対策 アクセス保護、機能 68 設定、不審なプログラム 77 設定、ファイアウォール て 定義、ネットワーク 125 適応モード 設定、ファイアウォール 123 オプション 126 ルールの優先順位 127 設定ページ オンアクセス スキャン、設定 79 適応ルール グループ、ファイアウォール 132, 133 オンデマンド スキャン、設定 84 デスクトップ モード、Windows 8 と 10 管理、ファイアウォール ルールとグループ 133 応答、脅威検出プロンプト 20 クライアント インターフェース モード 16 通知メッセージ 13 更新、設定 37 デバッグ ログ、Endpoint Security クライアント 25 更新の設定 35 デフォルトのクライアント更新タスク プロキシ サーバーの設定 34 スケジュール、Endpoint Security クライアント 38 変更、ファイアウォール オプション 123 設定 37 ロギングの設定 32 設定、更新のソース サイト 35 説明 37 [設定] ページ クライアント インターフェースのセキュリティ、設定 33 自己保護、設定 31 デフォルト ルール グループ、ファイアウォール 132 説明ページ 10 と そ トースト通知、Windows 8 と 10 13, 20 動的ルール グループ、ファイアウォール 132 ドメイン、ブロック 124 ソフトウェア更新 確認、手動 12, 23 スケジュール、クライアント 38 192 McAfee Endpoint Security 10.2 トラフィック 送信の許可、ファイアウォール サービスの開始まで 123 製品ガイド 索引 トラフィック (続き) ファイアウォールによるスキャン 121 トロイの木馬 ファイアウォール (続き) 機能 121 コンテンツの更新、クライアントから 23 検出、スキャン時 58 作成、期限付きグループ 136 スキャンによる検出 60 侵入アラート 13 バージョン情報 63 信頼された実行ファイル 127 説明 9 説明、期限付きグループ 12 に 認証情報、リポジトリ リスト 36 デバッグ ログ 25 ファイアウォール ルールの機能 127 ブロック、DNS トラフィック 124 ね ネットワーク 信頼された 126 定義 125 ネットワーク アダプター、接続許可 129 ネットワーク ドライブ、スキャン オプションの指定 79 変更、オプション 123 有効、McAfee システム トレイ アイコンから 12 有効化と表示、期限付きグループ 122 有効化と無効化、システム トレイ アイコンから 121 有効と無効 123 ルール、参照:ファイアウォール ルール ログ ファイル 25 は [バージョン情報] ページ 22 はじめに、脅威情報 168 パスワード ファイアウォール グループ、参照:ファイアウォール ルール グループ ファイアウォールの設定 オプション 126 ファイアウォール ルール 管理者 27, 28 機能 127 クライアントに対するアクセスの制御 33 許可とブロック 127 設定、クライアントのセキュリティ 33 順番と優先順位 127 パスワード クラッカー、説明 63 バックアップ、スキャン オプションの指定 79, 84 ハッシュ、説明 34, 79, 157 バッファー オーバーフロー エクスプロイト、説明 75 バルーン、Web Control 151, 155 設定 127 ファイアウォールの機能 121 ファイアウォール ルール グループ 位置情報、作成 135 位置情報、説明 129 汎用的なバッファー オーバーフロー対策、シグネチャ 11 期限付きグループの管理、システム トレイ アイコン 122 汎用特権昇格の防止、シグネチャ 11 期限付きグループの管理、システム トレイ アイコンから 12 作成、期限付きグループ 136 ひ 事前定義 132 ヒープ ベースの攻撃、バッファー オーバーフロー エクスプロイト 75 接続の分離 130 評価、Web Control、参照:安全性評価 設定 127 評価、安全性、参照:安全性評価 ファイアウォールの機能 121 標準アクセス モード 優先順位 129 影響、パスワードの設定 33 管理、ファイアウォール ルールとグループ 133 設定、クライアントのセキュリティ 33 ファイアウォール、ルール グループ 期限付きグループ、説明 122 ファイル ポリシー設定 16 Endpoint Security Client ログ 24 ログオン、管理者として 27 管理、隔離 62 再スキャン、隔離 64 ふ スキャン対象外、特定のタイプ 65 ファイアウォール スキャンの実行 60 Endpoint Security クライアント 16 設定、隔離 78 アクティビティ ログ 25 評価の判定方法 166 位置情報を使用するグループ、作成 135 防止、変更 31 位置情報を使用するグループ、説明 129 ログ ファイル 25 管理、ルールとグループ 133 ログ ファイルの設定 32 期限付きグループ、説明 122 ワイルドカード、除外対象 66 McAfee Endpoint Security 10.2 製品ガイド 193 索引 ファイル、コンテンツ フル スキャン AMCore コンテンツ バージョンの変更 28 実行、Endpoint Security クライアントから 58 Extra.DAT と AMCore 11 スケジュール、クライアント 88 Extra.DAT ファイル 29, 30 設定 84 Extra.DAT ファイルの使用 29 Extra.DAT ファイルの読み込み 30 説明 57 プロキシ サーバー エクスプロイト防止 11 McAfee GTI の機能 34, 79, 157 オンアクセス スキャン、概要 80 McAfee GTI 用の設定 34 オンデマンド スキャンの概要 85 設定、リポジトリ リスト 36 プロセス、Threat Prevention 脅威情報 11 シグネチャと更新 11 指定、危険度高と危険度低 79 スキャン 79 ファイル ダウンロード スキャン、脅威対策 157 プロセス、アクセス保護 ブロック、不明なサイト 155 ポリシーによる除外 74 ブロックまたは警告、評価 158 ファイルと証明書、送信 177 ルールによる除外 74 プロセス、アプリケーションの動的隔離 ファイルと証明書、ブロック 177 ファイルの送信、分析 Advanced Threat Defense 169 Product Improvement Program 169 除外対象 176 プロセス、脅威情報 対象と除外、アプリケーションの動的隔離 176 プロセス、脅威対策 ファイル レピュテーション 除外 65 応答、プロンプト 21 スキャン 80 フィッシング詐欺、サイト ユーザーが送信したレポート 152 対象と除外、アクセス保護 68, 74 ブート セクター、スキャン 79, 84 プロセスの設定、オンデマンド スキャン 88 フォルダー プロンプト、Endpoint Security 管理、隔離 62 Windows 8 と 10 20 再スキャン、隔離 64 応答、ファイル レピュテーション 21 スキャンの実行 60 スキャンに対する応答 21 設定、隔離 78 説明 13 ワイルドカード、除外対象 66 不審なプログラム へ 検出、スキャン時 58 検出の設定 76 ページ AMCore コンテンツのロールバック 28 検出の有効化 77, 79 McAfee セキュリティ ステータス 12 指定 77 イベント ログ 24 指定、検出対象のプログラム 78 オンアクセス スキャン 20, 61 除外、項目 65 隔離 62 スキャンによる検出 60 脅威をスキャン 60 バージョン情報 63 更新 23 有効化、検出 84 システムのスキャン 58, 61 ワイルドカード、除外対象 66 スキャン、表示 58 不審なプログラム、検出 84 設定 16, 31–35, 37, 84, 123 不審なプログラムの検出、有効 79 説明 10 プライベート ネットワーク、外部サイトの追加 155 ブラウザー 対応 149, 154 表示、サイト情報 154 無効、Web 管理プラグイン 155 有効、プラグイン 153 ブラウザー プラグイン、Web 管理の有効化 153 フル アクセス モード 変更、ファイアウォール オプション 123 ポリシー設定 16 194 バージョン情報 22 ベストプラクティス McAfee Endpoint Security 10.2 使用、信頼されたネットワーク 126 ヘルプ、表示 14, 20 ほ 保護 情報の表示 22 設定、自己保護 31 製品ガイド 索引 保護 (続き) モジュール (続き) インストール、Endpoint Security クライアント 16 使い方 11 保護情報、表示 22 情報の表示 22 説明、Endpoint Security 9 ホスト侵入防止、エクスプロイト防止 75 ボタン モジュール、Common McAfee GTI プロキシ サーバー、設定 34 今すぐスキャン 58 検出結果の表示 61 スキャン結果の表示 58 ロギングの設定 32 モジュール、共通設定 ボタン、Web 管理 150 McAfee GTI の機能 34, 79, 157 ポップアップと安全性評価 152 クライアント インターフェースのセキュリティ、設定 33 ポリシー クライアント更新のソース サイト、設定 35 アクセス、Endpoint Security クライアント 16 更新、設定 37 クライアント機能 11 更新の設定 35 定義 10 自己保護、設定 31 設定、クライアント更新のソース サイト 35 ポリシー、Common 設定 31 ポリシー、脅威対策 オンアクセス スキャン 83 オンデマンド スキャン、延期 86 共通のスキャン設定 78 ゆ ユーザー アカウント、クライアントに対するアクセスの制御 33 ユーザーが追加したルール グループ、ファイアウォール 132, 133 ユーザー定義ルール、アクセス保護 設定 72 ま 優先順位 ファイアウォール グループ 129 マルウェア 検出、スキャン時 58 ファイアウォール ルール 127 検出に対する応答 20 スキャン 57 スキャンによる検出 60 よ よくある質問、McAfee GTI 124 み ら 右クリック スキャン ランサムウェア Windows エクスプローラーから実行 60 作成、アクセス保護ルール 72 設定 84 説明 57 ミラーリング タスク 設定 40 り リポジトリ リスト 概要 36 設定とスケジュール 39 クライアントの場所 36 優先順位、リポジトリ リスト 36 め リモート管理ツール、説明 63 メッセージ、Endpoint Security 説明 13 リモート ストレージ スキャン、概要 88 リモート デスクトップ、アイドル時にスキャン 86 表示、脅威検出時 79, 84 る メニュー Web 管理 154 アクション 14, 28 設定 14, 16, 123, 133 バージョン情報 22 ヘルプ 14, 20 ルート レベルの除外対象、参照:除外 ルール、アクセス保護 種類 68 ルール、アプリケーションの動的隔離 設定 174 ルール、脅威対策 も アクセス保護の機能 67 モジュール 設定 68 Endpoint Security クライアント、ポリシーによるアクセス 16 McAfee Endpoint Security 10.2 製品ガイド 195 索引 ルール グループ、ファイアウォール、参照:ファイアウォール ルール グ ループ ログ ファイル (続き) 設定 32 ルール、ファイアウォール、参照:ファイアウォール 場所 25 表示 24 れ ロック、クライアント インターフェース モード Endpoint Security Client の起動時 19 レピュテーション アプリケーションの動的隔離 170 解除、インターフェースのロック 28 判定方法 166 ポリシー設定 16 有効、アプリケーションの動的隔離のトリガーしきい値 173 レポート、Web Control 152 Web サイトの安全性 152 表示 155 レポート、Web 管理 安全性 149 ワークフローの例 168 ファイルの送信、分析 169 ファイルの普及度、設定と監視 168 モニタリングと調整 168 表示 154 ワイルドカード Firewall ルールで使用 134 ろ 使用、除外対象 66 ログ ファイル 除外対象 66 更新エラー 23 196 わ ルート レベルの除外対象 66 McAfee Endpoint Security 10.2 製品ガイド 0-16