Dell Endpoint Security Suite Enterprise Administrator Guide

タイプ
Administrator Guide
Dell Endpoint Security Suite Enterprise
Advanced Threat Prevention クイック スタート ガイ
v3.0
2021
5
Rev. A01
メモ、注意警告
メモ: 製品使いやすくするための重要情報しています。
注意: ハードウェアの損傷やデータの損失可能性し、その回避するための方法しています。
警告: 物的損害、けが、または死亡原因となる可能性があることをしています。
© 2012-2021 Dell Inc. All rights reserved. Registered trademarks and trademarks used in the Dell Encryption and Endpoint Security Suite Enterprise
suite of documents: Dell™ and the Dell logo, Dell Precision™, OptiPlex™, ControlVault™, Latitude™, XPS®, and KACE™ are trademarks of Dell Inc.
Cylance®, CylancePROTECT, and the Cylance logo are registered trademarks of Cylance, Inc. in the U.S. and other countries. McAfee® and the McAfee
logo are trademarks or registered trademarks of McAfee, Inc. in the US and other countries. Intel®, Pentium®, Intel Core Inside Duo®, Itanium®, and
Xeon® are registered trademarks of Intel Corporation in the U.S. and other countries. Adobe®, Acrobat®, and Flash® are registered trademarks of Adobe
Systems Incorporated. Authen tec® and Eikon® are registered trademarks of Authen tec. AMD® is a registered trademark of Advanced Micro Devices,
Inc. Microsoft®, Windows®, and Windows Server®, Windows Vista®, Windows 7®, Windows 10®, Active Directory®, Access®, BitLocker®, BitLocker
To Go®, Excel®, Hyper-V®, Outlook®, PowerPoint®, Word®, OneDrive®, SQL Server®, and Visual C++® are either trademarks or registered
trademarks of Microsoft Corporation in the United States and/or other countries. VMware® is a registered trademark or trademark of VMware, Inc. in the
United States or other countries. Box® is a registered trademark of Box. Dropbox is a service mark of Dropbox, Inc. Google™, Android™, Google™
Chrome™, Gmail™, and Google™ Play are either trademarks or registered trademarks of Google Inc. in the United States and other countries. Apple®, App
Store, Apple Remote Desktop™, Boot Camp™, FileVault™, iPad®, iPhone®, iPod®, iPod touch®, iPod shuffle®, and iPod nano®, Macintosh®, and
Safari® are either servicemarks, trademarks, or registered trademarks of Apple, Inc. in the United States and/or other countries. EnCase™ and Guidance
Software® are either trademarks or registered trademarks of Guidance Software. Entrust® is a registered trademark of Entrust®, Inc. in the United States
and other countries. Mozilla® Firefox® is a registered trademark of Mozilla Foundation in the United States and/or other countries. iOS® is a trademark or
registered trademark of Cisco Systems, Inc. in the United States and certain other countries and is used under license. Oracle® and Java® are registered
trademarks of Oracle and/or its affiliates. Travelstar® is a registered trademark of HGST, Inc. in the United States and other countries. UNIX® is a
registered trademark of The Open Group. VALIDITY™ is a trademark of Validity Sensors, Inc. in the United States and other countries. VeriSign® and other
related marks are the trademarks or registered trademarks of VeriSign, Inc. or its affiliates or subsidiaries in the U.S. and other countries and licensed to
Symantec Corporation. KVM on IP® is a registered trademark of Video Products. Yahoo!® is a registered trademark of Yahoo! Inc. Bing® is a registered
trademark of Microsoft Inc. Ask® is a registered trademark of IAC Publishing, LLC. Other names may be trademarks of their respective owners.
1: はじめに..................................................................................................................................4
Dell ProSupport へのおわせ................................................................................................................................... 4
2: はじめに................................................................................................................................. 5
テナントのプロビジョニング........................................................................................................................................... 5
テナントのプロビジョニング..................................................................................................................................... 5
プロビジョニングとエージェント通信.....................................................................................................................6
BIOS イメージの整合性............................................................................................................................. 8
プロセス...................................................................................................................................................................8
Advanced Threat Prevention エージェント自動アップデートの設定......................................................................10
管理者役割てと..........................................................................................................................................10
通知のセットアップ........................................................................................................................................................... 11
3: ポリシー................................................................................................................................ 13
Advanced Threat Prevention ............................................................................................................................13
するポリシー設定...................................................................................................................................................... 13
ポリシーのコミット.................................................................................................................................................. 13
4: 脅威...................................................................................................................................... 14
脅威特定........................................................................................................................................................................... 14
脅威管理........................................................................................................................................................................... 17
5: モード...................................................................................................................... 19
モードの脅威識別および管理............................................................................................................................. 19
6: トラブルシューティング.......................................................................................................... 21
Advanced Threat Prevention のリカバリ........................................................................................................................21
Windows Powershell 使用した製品コードの.....................................................................................................21
Advanced Threat Prevention..............................................................................................................................................21
目次
目次 3
はじめに
このガイドでするタスクをするに、のコンポーネントをインストールする必要があります。
Endpoint Security Suite Enterprise - Endpoint Security Suite Enterprise
詳細インストールガイド
またはEndpoint Security Suite
Enterprise
基本インストールガイド
』を
Security Management Server または Security Management Server Virtual サーバ -Security Management Server
インストールおよ
移行ガイド
』または『Security Management Server Virtual
サーバクイックスタートおよびインストールガイド
』を
このガイドでは、Advanced Threat Prevention 基本管理についてしています。管理コンソールに AdminHelp とともに使
してください。
Dell ProSupport へのおわせ
デル製品向けの 24 時間 365 対応電話サポート877-459-7304 4310039にご連絡ください。
さらに、デル製品のオンラインサポートも dell.com/support からご利用いただけます。オンラインサポートでは、ドライバ、マニ
ュアル、テクニカルアドバイザリー、よくあるご質問(FAQ、および緊急問題っています。
適切なサポート迅速におつなぎするためにも、電話はおのサービスタグまたはエクスプレスサービスコードを
用意ください。
電話番については、Dell ProSupport 電話番記載したページをしてください。
1
4 はじめに
はじめに
このでは、Advanced Threat Prevention 管理開始するための手順についてします。
Advanced Threat Prevention 管理開始するための手順は、のとおりです。
Advanced Threat Prevention のためのテナントのプロビジョニング
Advanced Threat Prevention 導入必要
Advanced Threat Prevention のライセンスが Dell Server 存在している必要があります。
Advanced Threat Prevention エージェント自動アップデートの設定
Advanced Threat Prevention 自動アップデートのオプション
アップデートはリリース
管理者役割てと
Advanced Threat Prevention サービスのプロビジョニングまたはリカバリ
Advanced Threat Prevention 証明書のバックアップとダウンロード
ポリシーの表示修正、およびコミット
通知のセットアップ
Advanced Threat Prevention アラートにする電子メールとダッシュボード通知設定(オプション
企業のニーズにづいて通知をカスタマイズします。
テナントのプロビジョニング
Advanced Threat Prevention のポリシーの施行がアクティブになるに、テナントが Dell Server にプロビジョニングされる必要があ
ります。
前提
システム管理者役割管理者する必要があります。
Dell Server でプロビジョニングをするにはインターネット必要です。
管理コンソールで Advanced Threat Prevention オンラインサービスの統合表示するために、クライアントでインターネット
必要です。
プロビジョニングは、プロビジョニング証明書から生成されるトークンにづいています。
Advanced Threat Prevention のライセンスが Dell Server 存在している必要があります。
テナントのプロビジョニング
1. 管理コンソールに Dell 管理者としてログインします。
2. 管理コンソールのペインで、管理 > サービス管理 にクリックします。
3. Advanced Threat Protection サービスのセットアップ をクリックします。この時点不具合する場合は、Advanced
Threat Prevention ライセンスをインポートします。
4. ラインセンスがインポートされると、ガイドきのセットアップがまります。 をクリックして開始します。
5. EULA み、合意した[次 をクリックします。
6. テナントのプロビジョニングのために Dell Server ID 資格情報入力します。 をクリックします。Cylance
ブランドの
テナントのプロビジョニングはサポートされていません。
7. 証明書をダウンロードします。これは Dell Server での災害シナリオがした場合のリカバリに必要です。この証明書自動
にバックアップされません。のコンピュータの安全場所証明書をバックアップします。証明書をバックアップしたこ
とを確認するチェックボックスをしてから [次 をクリックします。
8. セットアップが完了しました。OK をクリックします。
2
はじめに 5
プロビジョニングとエージェント通信
Advanced Threat Prevention サービスのプロビジョニングプロセスをしています。
6 はじめに
Advanced Threat Prevention のエージェント通信プロセスをしています。
Dell サーバのアーキテクチャと通信しています。
はじめに 7
BIOS イメージの整合性
Advanced Threat Prevention のマスタースイッチがであれば、BIOS イメージの整合性ポリシーはデフォルトでです。
BIOS イメージの整合性プロセスのについては、BIOS イメージの整合性プロセス」をしてください。
プロセス
は、BIOS イメージの整合性プロセスをしています。
8 はじめに
BIOS
保証
ポリシーが管理コンソールでされている場合は、Cylance のテナントが BIOS がデル工場出荷時のバージョ
ンからされていないか(攻ベクターの 1 確認するために、エンドポイントコンピュータ BIOS ハッシュを
ます。脅威された場合は、通知 Dell Server され、IT 管理者はリモート管理コンソールでアラートをけます。プロセ
スのについては、BIOS イメージの整合性プロセス」をしてください。
メモ: カスタマイズされた工場出荷時イメージは、BIOS されているため、この機能では使用できません。
BIOS イメージの整合性でサポートされる Dell コンピュータモデル
Latitude 3470
Latitude 3570
Latitude 7275
Latitude 7370
Latitude E5270
Latitude E5470
OptiPlex 5040
OptiPlex 7040
OptiPlex 7440
Precision Mobile Workstation 3510
Precision Mobile Workstation 5510
VMware Workstation 3620
はじめに 9
BIOS イメージの整合性でサポートされる Dell コンピュータモデル
Latitude E5570
Latitude E7270
Latitude E7470
Latitude Rugged 5414
Latitude Rugged 7214 Extreme
Latitude Rugged 7414
OptiPlex 3040
OptiPlex 3240
VMware Workstation 7510
VMware Workstation 7710
Precision Workstation T3420
Venue 10 Pro 5056
Venue Pro 5855
Venue XPS 12 9250
XPS 13 9350
XPS 9550
Advanced Threat Prevention エージェント自動アップデ
ートの設定
管理コンソールで、Advanced Threat Prevention エージェントの自動アップデートを受信するようにできます。エージェントの
自動アップデートを受信するようすることにより、クライアントが Advanced Threat Prevention サービスからアップデートを
自動ダウンロードして適用できるようになります。アップデートはリリースされます。
メモ:
エージェントの自動アップデートは Dell Server v9.4.1 以降でサポートされます。
エージェントの自動アップデートの受信
エージェントの自動アップデートを受信するようするには、操作います。
1. 管理コンソールのペインで、[管理] > サービス管理] にクリックします。
2.
エージェントの自動アップデート
高度脅威
タブで オン をクリックして、プリファレンスの保存] をクリック
します。
情報入力され、自動アップデートが表示されるまで分間かかることがあります。
エージェントの自動アップデート受信停止
エージェントの自動アップデート受信停止するには、操作います。
1. 管理コンソールのペインで、[管理] > サービス管理] にクリックします。
2.
エージェントの自動アップデート
高度脅威
タブで オフ をクリックして、プリファレンスの保存] をクリック
します。
管理者役割てと
管理コンソールの管理者ページで、管理者表示またはします。
管理者役割
管理者ログインがアクティブディレクトリに統合されて管理者管理プロセスが簡素化され、のユーザー認証インフラストラ
クチャを使用できるようになりました。管理者には、各管理者許可されるアクセスレベルを定義した役割てられます。
たとえば、ヘルプデスクによる回復のみができる管理者もいれば、セキュリティポリシー編集のための完全なアクセス
ある管理者もいます。AD グループに管理者役割てると、AD グループのメンバシップにえれば、ユーザー
した管理者アクセスレベルをできます。ドメインユーザーには、Compliance Reporter のレポートアク
セスをすることができます。
のタスクのにはシステム管理者役割必要です。
Advanced Threat Prevention サービスのプロビジョニングまたはリカバリ
Advanced Threat Prevention 自動アップデートの
Advanced Threat Prevention アラートにする電子メールまたはダッシュボードの通知設定
Advanced Threat Prevention 証明書のバックアップとダウンロード
メモ: ポリシーの表示、コミットには、セキュリティ管理者役割必要です。
管理者表示またはするには、手順います。
10 はじめに
1. ペインで ポピュレーション > 管理者 にクリックします。
2. 適切管理者のユーザー表示されているまたはして、ユーザーの詳細表示します。
3. ペインで、管理者役割表示またはします。
4. 保存 をクリックします。
メモ: 管理者役割は、ユーザーレベルではなくグループレベルでてることをおめします。
管理者役割をグループレベルで表示て、するには、手順います。
1. ペインで ポピュレーション > ユーザーグループ にクリックします。
2. グループまたはしてから、管理者 タブをクリックします。ユーザーグループ詳細 ページが表示されます。
3. グループにてられる管理者役割または解除します。
4. 保存 をクリックします。
管理者つグループを削除した追加した場合、そのグループは管理者グループとしての立場維持します。
管理者役割をユーザーレベルで表示て、またはするには、手順います。
1. ペインで、ポピュレーション > ユーザー にクリックします。
2. ユーザーまたはしてから、管理者 タブをクリックします。
3. ユーザーにてられる管理者役割または解除します。
4. 保存 をクリックします。
管理者役割 - ユーザーの役割てまたはい、保存 をクリックします。
したグループ役割 - ユーザーがグループからした役割のリストです。役割するには、そのユーザー
ユーザーグループ タブをクリックし、グループします。
指定した役割 - 管理者をユーザーにします。
通知のセットアップ
リモート管理コンソールで、通知受信できます。通知リストでは、ダッシュボードに表示する、または電子メール通知
して送信する、設定可能なニュース、アラート、イベントのサマリを提供します。
通知タイプ
リストにめる通知タイプをすることができます。りのタイプの通知は、表示されません。脅威保護高度脅威イベント
通知は、Advanced Threat Prevention しています。
タイプにはまれます。
アップデート - 今後製品のアップデートにするニュース。製品アップデートを表示し、受信するには、これらを受信する
ようにする必要があります。サービス管理 > 製品通知 して、オン をクリックし、プリファレンスの保存 をクリ
ックします。
設定 - 設定するニュース。
ナレッジベース - 詳細技術情報(回避策設定方法などするナレッジベース記事要約とリンク。
アナウンス - 今後のリリースおよび新製品するニュースです。
ライセンス - 使いのボリュームライセンスの可用性低下した場合、またはお使いのクライアントアクセスライセンス
超過した場合にアラートを通知します。
脅威保護 - Advanced Threat Prevention からの脅威アラート。
高度脅威イベント - Advanced Threat Prevention されたイベント。サマリには、重要、メジャー、マイナー、警告、お
よび情報イベントのリスト表示があり、詳細情報へのリンクもまれています。
脅威イベント - 脅威保護によってされたイベント。
証明書 - 証明書期間通知
Dell サーバの例外 - Dell サーバの通信問題は、脅威保護アップデート、設定ナレッジベース、およびアナウンスの送信
影響えます。
1 つ、またはのタイプをした、リストののニュートラルな領域をクリックして、択内適用します。
した項目のクリア して、このリストの択内をリセットします。
優先度レベル
メモ: 通知優先度レベルは、通知領域以外の、ダッシュボードに表示された優先度レベルにはしません。
優先度には、重要があります。これらの優先順位レベルは、通知タイプのでのみおいにしています。
はじめに 11
ダッシュボードの通知領域または電子メール通知める通知優先度レベルは、可能です。しなかった優先度
ベルの通知は、ダッシュボードまたは電子メール通知のリストにまれることはありません。
した項目のクリア して、このリストの択内をリセットします。すべての通知表示されます(別場所でフィルタ
リングされた場合
12 はじめに
ポリシー
このでは、Advanced Threat Prevention のポリシー管理についてしくします。
Advanced Threat Prevention
するポリシー設定
ポリシーのコミット
Advanced Threat Prevention のポリシーとその完全なリストについては、リモート管理コンソールからアクセスできる
AdminHelp してください。
Advanced Threat Prevention
Advanced Threat Prevention ポリシーは、デフォルトでは オフ です。Advanced Threat Prevention ポリシーをにするには、オン
える必要があります。Advanced Threat Prevention ポリシーは、エンタープライズ、エンドポイントグループ、およびエン
ドポイントのレベルですることができます。
Advanced Threat Prevention をエンタープライズのレベルでにするには、手順します。
1. ペインで ポピュレーション、Enterprise にクリックします。
2. 脅威防止 をクリックします。
3. Advanced Threat Prevention マスタースイッチを オフ から オン えます。
Advanced Threat Prevention ポリシーをにするには、エンドポイントグループのレベルで、手順します。
1. ペインで ポピュレーション、エンドポイントグループ にクリックします。
2. 脅威防止 をクリックします。
3. Advanced Threat Prevention マスタースイッチを オフ から オン えます。
Advanced Threat Prevention ポリシーをにするには、エンドポイントのレベルで、手順します。
1. ペインで ポピュレーション > エンドポイント にクリックします。
2. 脅威防止 をクリックします。
3. Advanced Threat Prevention マスタースイッチを オフ から オン えます。
するポリシー設定
最新ポリシー設定リストについては、KB 文書 SLN301562 してください。
ポリシーのコミット
して保存したポリシーをコミットするには、手順います。
1. リモート管理コンソールのペインで 管理 > コミット にクリックします。
2. コメント に、入力します。
3. ポリシーのコミット をクリックします。
管理者 ポリシーのコミット をクリックすると、ポリシーのまたはコミットがわれます。情報表示されます。
保留中のポリシー - ポリシーにえられた、コミット可能
コミットされた日付 - ポリシーがコミットされた日時
更者 - ポリシーのコミットをした管理者のユーザー
コメント - ポリシーがコミットされたときに追加されたコメント。
バージョン - 最後のポリシーコミット以降ポリシーが保存されたバージョンをした
3
ポリシー 13
脅威
このでは、Advanced Threat Prevention をインストールしたに、企業環境した脅威特定管理方法についての
記載します。
脅威特定
脅威イベントの表示
Cylance スコアと脅威モデルの更新
詳細脅威データの表示
脅威管理
脅威データを CSV にエクスポート
グローバル隔離リストの管理
脅威特定
電子メールおよびダッシュボードの通知
脅威保護および高度脅威イベントにして電子メール通知をセットアップした場合Advanced Threat Prevention 電子メールで
イベントと脅威管理者通知されます。
管理コンソールのダッシュボード通知には、Advanced Threat Prevention 脅威とイベントが脅威保護高度脅威イベント
通知タイプで表示されます。
脅威保護タイプ - Advanced Threat Prevention からの脅威アラート。
高度脅威イベントタイプ - Advanced Threat Prevention されたイベント。イベントはずしも脅威であるとはりませ
ん。
で、脅威名前重大度脅威情報についてしくします。
名前 重大度 詳細
ThreatFound 重大
Portable ExecutablePEがデバイスで特定されましたが、エンドポ
イントではブロックも隔離もされていません。システムにするア
クティブな脅威です。
ThreatBlocked 警告
Portable Executable がデバイスで特定されましたが、はブロック
されています。この脅威隔離されていません。自動隔離のた
めのポリシーがになっていないか、ファイルがローカルの
SYSTEM アカウントではめない場所ネットワーク共有
された USB デバイスなどにあるためとわれます。
ThreatTerminated 警告
Portable ExecutablePEがデバイスで特定され、アクティブに
されていることがされたため、プロセスが制終了されました。
PE 場所されていたため、ファイルの隔離われてい
ません。このエンドポイントと行可能ファイルにするのイ
ベントをし、脅威適切まれていることを確認することを
めします。
MemoryViolationBlocked 警告
行可能ファイルまたはスクリプトがされようとしていました
が、メモリー保護またはスクリプト制御ポリシーに違反していまし
た。その行可能ファイルまたはスクリプトのはブロックさ
れました。これは通常対応するメモリー保護またはスクリプト制御
ポリシーで、ブロックするように設定されているためです。
MemoryViolationTerminated 警告
行可能ファイルまたはスクリプトがアクティブにされている
のがされましたが、メモリー保護またはスクリプト制御ポリシー
違反していました。その行可能ファイルまたはスクリプトの
4
14 脅威
名前 重大度 詳細
制終了されました。これは通常対応するメモリー保護また
はスクリプト制御ポリシーで、終了するように設定されているためで
す。
MemoryViolation 警告
行可能ファイルまたはスクリプトが、メモリー保護またはスクリプ
制御ポリシーに違反していることが判明しました。行可能ファ
イルまたはスクリプトは、ポリシーに違反する操作っていませ
ん。ポリシーが許可設定されている可能性があります。
ThreatRemoved 情報
以前にフラグが設定された Portable ExecutablePEであり、脅威
なされたため、エンドポイントから削除されました。この PE は、
隔離先場所または最初存在した場所のどちらかから削除されま
した。リムーバブル メディアUSBCD-ROM など最初
された場合によくあるケースです。
ThreatQuarantined 情報
Portable ExecutablePE潜在的脅威であるとされ、隔離
完了しました。異常Cylance Score 060またはCylance Score
60100分類づく、脅威自動隔離になっているため
です。
ThreatWaived 情報
Portable ExecutablePE潜在的脅威であるとされましたが、
グローバル セーフリストにづいて、またはローカルの免除ポリシ
ーによって免除されました。また、Dell Security Management Server
免除または「グローバル セーフリスト」ポリシーに、SHA256
ハッシュが追加されました。
ThreatChanged 情報
Portable ExecutablePE Cylance Score されました。通常
Cylance によってされる 2 ステップのスコアリングが原因です。
ローカルのスコア エンジンの脅威分析が、Cylance クラウド エンジン
分析一致していない可能性があります。Cylance クラウド エン
ジンには追加データがあるため、このような場合 Cylance クラウド
エンジンによるスコアが使用されます。また、Cylance のアップデー
トによって、以前脅威とみなされたファイルの再解析初期化
れ、たにスコアが計算されて、この PE 脅威なされなくなっ
可能性もあります。
ProtectionStatusChanged 情報
エンドポイントの保護ステータスにらかのがありました。こ
れは、Dell Encryption Management Agent Cylance プラグインを
Cylance サービスに再接するときにします。一般的にはエ
ンドポイントが再起動されたします。起動中に、短期間なが
CSF Cylance プラグインにされていない期間があるためで
す。
詳細表示するには、通知 をクリックします。追加脅威またはイベントの詳細へのリンクなどが表示されます。
脅威詳細 タブ
脅威詳細 タブには、企業全体動的詳細なイベント情報表示されます。この情報には、イベントがしたデバイスのリス
トと、それらのイベントに対処するためにこれらのデバイスにするアクションがまれます。
エンタープライズ高度脅威 タブにアクセスするには、手順います。
1. のペインで、ポピュレーション]>[Enterpriseにクリックします。
2. 脅威詳細 タブをします。
イベント、デバイス、およびアクションにする情報が、のタブに整理統合されて表示されます。
保護 - 潜在的有害なファイルとスクリプト、およびその詳細(ファイルとスクリプトがつかったデバイスなど
します。
エージェント - Advanced Threat Prevention クライアントをしているデバイスにする情報と、情報をエクスポートしたり、
リストからデバイスを削除したりするオプションを提供します。
グローバルリスト - グローバル隔離安全リストのファイルを表示し、これらのリストにファイルを移動するオプショ
ンを提供します。
オプション - Security Information Event ManagementSIEM統合する方法提供します。
脅威 15
証明書 - 証明書をアップロードできます。証明書のアップロードには、グローバルリストに表示され、安全リストに
れます。
タブに表示されるは、方法整理統合できます。
して追加または削除 - ヘッダー矢印をクリックし、 して表示するします。非表示にする
のボックスのチェックをします。
データの - ヘッダをクリックします。
ごとのグループ - ヘッダーを、になるまで上方向にドラッグします。
高度脅威イベントタブ
高度脅威イベント タブには、Dell Server にある情報づいた、企業全体についての情報表示されます。
Advanced Threat Prevention サービスがプロビジョニングされて、ライセンスを利用可能かどうかがタブに表示されます。
高度脅威イベント タブからデータをエクスポートするには、エクスポート をクリックして、Excel または CSV ファイル形式
します。
メモ: Excel ファイルは 65,000 制限されます。CSV にはサイズ制限はありません。
Cylance スコアと脅威モデルの更新
Cylance スコアは異常またはとみなされるファイルにてられます。このスコアは、ファイルがマルウェアである
のレベルをします。このきいほど、くなります。
デバイスを保護するために使用されている予測脅威モデルは、出率向上させるため、定期的なアップデートを受信します。
管理コンソールの 保護 ページの 2 には、しい脅威モデルが組織にどのような影響えるかが表示されます。デバイス
どのファイルがモデルによって影響ける可能性があるかを確認するには、本番ステータス 新規ステータス 表示
して比較します。
本番ステータスと新規ステータスの表示するには
1. のペインで、ポピュレーション]>[Enterpriseにクリックします。
2. 脅威詳細 タブをします。
3. 保護 タブをクリックします。
4. ヘッダーの下矢印をクリックします。
5. マウスカーソルを わせます。
6. 本番ステータス 新規ステータス します。
本番ステータス - ファイルの現在のモデルステータス(安全異常です。
しいステータス - しいモデルのファイルのモデルステータスです。
たとえば、現在のモデルで 安全 なされたファイルが、しいモデルでは される可能性があります。組織がそのフ
ァイルを必要とする場合、そのファイルを安全リストに追加することができます。現在のモデルが認識しないか、またはスコアを
けていないファイルが、しいモデルではなされる場合があります。組織がそのファイルを必要とする場合そのファ
イルを安全リストに追加することができます。
組織
のデバイスでつかったファイルで、Cylance Score
されたファイルだけが表示されます。
スコアがされても
のステータスっているファイルもあります。たとえば、ファイルの Cylance Score 10 から 20 されても、ファイ
ルのステータスが 異常 のままの場合、このファイルは更新されたモデルリストに表示されます(組織のデバイスにこのファイル
存在する場合)
しいモデルと現在のモデルの比較
現在のモデルとしいモデルのいを確認できるようになりました。
注意必要とする 2 つのシナリオをします。
本番ステータス = 安全しいステータス = 異常 または
組織はこのファイルを 安全 している
組織自動隔離して、異常 および / または 設定している
上記のシナリオの事項は、組織許可するファイルを安全リストにすることです。
分類識別
組織影響ぼす可能性がある分類識別するため、デルは、のアプローチをします。
1. しいステータス にフィルタを適用して、異常隔離みのファイルをすべて表示します。
2. 本番ステータス にフィルタを適用して、安全なファイルをすべて表示します。
3. 分類 にフィルタを適用して、頼済 - ローカルの脅威 のみを表示します。
16 脅威
頼済 - ローカルファイルが Cylance によって分析され、安全であることがわかりました。レビュー、これらのアイテムは
リストにされます。フィルタされたリストにのファイルがある場合よりくの使用して優先順位決定する
があります。たとえば、知元 にフィルタを追加して、行制御した脅威見直します。これらの脅威はユーザーがア
プリケーションをしようとしたときにされ、Background Threat Detection File Watcher によってされた休止ファイ
ルよりも緊急注意必要です。
モデルの比較情報は、デバイスからではなく、データベースから取得されます。そのため、モデル比較して、再分析
れません。ただし、しいモデルが使用可能で、適切なエージェントがインストールされている場合組織再分析
れ、モデル適用されます。
詳細については、AdminHelp してください。
Web Protection およびファイアウォールイベントの表示
脅威は、マルウェア / 、ウェブフィルタ、ファイアウォール、または 未分類 イベントに分類されます。脅威イベントのリス
トは、どのカラムヘッダーでもえることができます。脅威イベントはエンタープライズ全体表示するか、特定のエンドポ
イントについて表示することができます。エンタープライズ脅威イベント タブから特定のエンドポイントの脅威イベントを表示
するには、デバイス ID カラムでデバイスをします。
エンタープライズの脅威イベントを表示するには、手順います。
1. のペインで、ポピュレーション]>[Enterpriseにクリックします。
2. 脅威イベント タブをクリックします。
3. イベントを表示する重大度レベルと期間します。
特定エンドポイントでの脅威表示するには、手順います。
1. ペインで ポピュレーション > エンドポイント にクリックします。
2. ホストまたはしてから、脅威イベント タブをクリックします。
脅威管理
脅威しては、隔離安全リスト放棄、エクスポートができます。
エンタープライズのレベルで、します。
アラートをトリガーした脅威またはスクリプトをエクスポート
脅威隔離
脅威安全リスト
グローバルリストの手動編集
エンタープライズレベルで識別された脅威管理します。
1. ペインで ポピュレーション、Enterprise にクリックします。
2. 脅威詳細 タブをします。
3. 保護 します。
スクリプトコントロールのからは、潜在的脅威としてにリストされているスクリプトをエクスポートできます。
エンタープライズ高度脅威管理
保護 タブは、有害可能性のあるファイルとスクリプトにする情報提供します。
脅威表
脅威表からは、脅威のエクスポート、隔離または安全リストができます。また、グローバル隔離リストに脅威手動追加
ることもできます。
このには、組織全体つかったイベントすべてがリストされます。イベントは、脅威である場合もありますが、ずしも脅威
であるとはりません。
特定脅威する追加情報表示するには、脅威名のリンクをクリックするか(新しいページに詳細表示されます脅威
任意場所をクリックしますページの下部詳細表示されます
追加脅威情報表示するには、ヘッダーのドロップダウン矢印をクリックし、して追加します。ファイルに
るメタデータ(分類Cylance スコア(信レベルAV 業界(他のベンダーとの比較目的とした VirusTotal.com へのリン
最初された日付SHA256MD5、ファイル情報(作成者、バージョン署名詳細など表示する
コマンド
エクスポート - 脅威データを .CSV ファイルにエクスポートします。エクスポートするして、エクスポート をクリック
します。
グローバル隔離 - グローバル隔離リストにファイルを追加します。その脅威は、すべてのデバイスから恒久的隔離されます。
安全 -ファイルを安全リストに追加します。そのファイルは、デバイス全体恒久的安全なファイルとしてわれます。
脅威 17
メモ: ただし、い」ファイルが安全でないと報告される場合がありますこれは、そのファイルののあるフ
ァイルの非常によくている場合します。このような場合そのファイルを免除するか、または安全リスト
えると便利です。
グローバルリストの編集 - グローバル隔離リストにして、ファイルを追加または削除します。
放棄 - コンピュータ放棄されるリストにファイルを追加します。このファイルは、コンピュータすることを許可
されます。
エンドポイントの高度脅威管理
個別のコンピュータ識別された脅威管理します。
1. ペインで ポピュレーション、Enterprise にクリックします。
2. 脅威詳細 タブをします。
3. エージェントをします。
4. 特定のエージェントし、適切なコマンドをして、脅威エクスポート隔離または放棄します。
18 脅威
モード
モードを使用すると、Dell Server は、インターネットまたは外部ネットワークへのがなくても Advanced Threat
Prevention エンドポイントを管理できます。また、モードでは、インターネットや、プロビジョニングおよびホステ
ィングされた Advanced Threat Prevention がなくても、Dell Server はクライアントを管理できます。Dell Server はすべてのイベント
脅威のデータをモードでキャプチャします。
Dell Server モードで動作しているかを調べるには、リモート管理コンソールの右上にあるギアのアイコンをクリックし
て、情報 します。バージョン情報 で、Dell Server のバージョン情報 Dell Server モードであることが
されます。
モードは Dell Server 標準的インストールとはなります。
クライアントのアクティブ
インストールトークンは、管理者 Advanced Threat Prevention ライセンスをアップロードすると生成されます。このトークンに
よって、Advanced Threat Prevention クライアントをアクティブすることができます。
管理コンソール
Dell Server モードでされている場合管理コンソールでのアイテムは使用できません
以下領域(Advanced Threat Prevention - 優先度別高度脅威分類による(脅威詳細)イベント、高度脅威トップテ
ン、Advanced Threat Prevention イベント
Enterprise > 脅威詳細 タブには、企業全体動的詳細なイベント情報表示されます。この情報には、イベントが
たデバイスのリストと、それらのイベントに対処するためにこれらのデバイスにするアクションがまれます。
(左側のナビゲーションペインサービス管理 - 管理者は、Advanced Threat Prevention サービスのと、どの製品通知をす
るかをすることができます。
管理コンソールにのアイテムが
使用可能になりモードがサポートされるようになりました。
Enterprise > 高度脅威イベント タブでは、モードでされている場合めて Dell Server 使用できる情報
づいて、企業全体のイベント情報がリストされます。
機能
Dell Server モードでされている場合管理コンソールではのアイテムは使用できません。
Security Management Server のアップグレード、アップデート、移行
Security Management Server Virtual 自動アップデート - アップデートは手動必要があり
クラウドプロファイルのアップデート
Advanced Threat Prevention 自動アップデート
Advanced Threat Prevention 分析用安全ではないファイルまたは異常ファイルのアップロード
Advanced Threat Prevention ファイルのアップロードおよびログファイルのアップロード
機能以下のようになっています。
Dell Server は、グローバル安全リスト、隔離リスト、および安全リストをエージェントに送信します。
グローバル安全リストは、グローバル許可ポリシーをじて Dell Server にインポートされます。
隔離リストは、隔離リストポリシーをじて Dell Server にインポートされます。
安全リストは、安全リストポリシーをじて Dell Server にインポートされます。
これらのポリシーは、モードでのみ使用できます。これらのポリシーの詳細については、リモート管理コンソールで AdminHelp
してください。
モードの詳細については、管理コンソールの AdminHelp の「モード」をしてください。
モードの脅威識別および管理
モードでの脅威管理するには、最初のような Advanced Threat Prevention ポリシーを組織じて設定する必要があり
ます。
グローバル許可
隔離リスト
安全リスト
5
モード 19
これらのポリシーは、Dell Server モードのインストールトークン(接頭語DELLAG」がありますする場合り、
Advanced Threat Prevention クライアントに送信されます。
これらのポリシーのについては、AdminHelp してください。
Advanced Threat Prevention 潜在的脅威として識別するファイルを表示するには、Enterprise > 高度脅威イベント タブに
します。このタブには、ブロックされた、または終了したなど、企業全体った操作のイベント情報のリストがまれます。
20 モード
  • Page 1 1
  • Page 2 2
  • Page 3 3
  • Page 4 4
  • Page 5 5
  • Page 6 6
  • Page 7 7
  • Page 8 8
  • Page 9 9
  • Page 10 10
  • Page 11 11
  • Page 12 12
  • Page 13 13
  • Page 14 14
  • Page 15 15
  • Page 16 16
  • Page 17 17
  • Page 18 18
  • Page 19 19
  • Page 20 20
  • Page 21 21
  • Page 22 22

Dell Endpoint Security Suite Enterprise Administrator Guide

タイプ
Administrator Guide