Dell Threat Defense Administrator Guide

タイプ
Administrator Guide
Dell Threat Defense
インストールおよび管理者ガイド
Powered by Cylance
v17.11.06
© 2017 Dell Inc.
Dell Threat Defense スイートのドキュメントで使用される登録商標および商標 Dell
および Dell のロゴは Dell Inc. の商標です。Microsoft
®
Windows
®
Windows Server
®
Active Directory
®
Azure
®
、および Excel
®
は米国およびその他の国々における Microsoft Corporation の登録
商標です。OneLogin
は、OneLogin Inc. の商標です。OKTA
は、Okta, Inc. の商標です。PINGONE
は、Ping Identity Corporation の商
標です。Mac OS
®
および OS X
®
は、米国およびその他の国々における Apple Inc. の登録商標です。
2017-11-06
本書に記載された情報は、通知なく変更される場合があります。
インストールおよび管理者ガイド | 3
目次
概要 ............................................................................................................................................................................6
機能 ........................................................................................................................................................................6
本ガイドについて ......................................................................................................................................................7
コンソール .....................................................................................................................................................................7
ログイン ....................................................................................................................................................................7
デバイスポリシー .......................................................................................................................................................7
ファイルアクション ...................................................................................................................................................8
保護設定 ............................................................................................................................................................9
エージェントログ .................................................................................................................................................. 11
ポリシーに関するベストプラクティス ...................................................................................................................... 11
ゾーン ..................................................................................................................................................................... 12
ゾーンのプロパティ ............................................................................................................................................... 14
ゾーン規則 ......................................................................................................................................................... 14
ゾーンデバイスリスト ............................................................................................................................................ 17
ゾーン管理に関するベストプラクティス ................................................................................................................. 17
ユーザー管理 ......................................................................................................................................................... 19
ネットワーク関連 ..................................................................................................................................................... 20
ファイアウォール ................................................................................................................................................... 20
プロキシ .............................................................................................................................................................. 21
デバイス ................................................................................................................................................................. 21
デバイス管理 ..................................................................................................................................................... 22
脅威 & アクティビティ .......................................................................................................................................... 22
重複デバイス ..................................................................................................................................................... 24
エージェントアップデート ........................................................................................................................................... 25
ダッシュボード .......................................................................................................................................................... 26
保護脅威 .......................................................................................................................................................... 28
4 | インストールおよび管理者ガイド
ファイルタイプ ...................................................................................................................................................... 28
Cylance スコア ................................................................................................................................................... 28
脅威情報の表示 ............................................................................................................................................... 28
脅威への対応 .................................................................................................................................................... 31
特定デバイスでの脅威への対応 ........................................................................................................................ 31
脅威へのグローバルな対応 ................................................................................................................................ 32
保護スクリプト制御 ............................................................................................................................................ 32
グローバルリスト ...................................................................................................................................................... 33
証明書による安全リストへの掲載 ...................................................................................................................... 34
プロファイル ............................................................................................................................................................. 35
My Account ...................................................................................................................................................... 36
監査ロギング ...................................................................................................................................................... 36
設定 .................................................................................................................................................................. 36
アプリケーション ........................................................................................................................................................... 37
Threat Defense エージェント ................................................................................................................................... 37
Windows エージェント ............................................................................................................................................ 37
システム要件 ..................................................................................................................................................... 37
エージェントのインストール – Windows ............................................................................................................... 38
Windows のインストールパラメータ ..................................................................................................................... 39
Wyse Device ManagerWDM)を使用した Windows エージェントのインストール .......................................... 40
コマンドラインを使用した隔離 ............................................................................................................................. 42
エージェントのアンインストール ............................................................................................................................. 42
macOS エージェント................................................................................................................................................ 44
システム要件 ..................................................................................................................................................... 44
エージェントのインストール - macOS .................................................................................................................... 45
macOS のインストールパラメータ ......................................................................................................................... 45
エージェントのインストール ................................................................................................................................... 46
エージェントのアンインストール ............................................................................................................................. 47
インストールおよび管理者ガイド | 5
エージェントサービス ................................................................................................................................................ 47
エージェントメニュー ............................................................................................................................................. 49
エージェントユーザーインタフェースの高度なオプションの有効化 ........................................................................... 49
仮想マシン ............................................................................................................................................................. 51
パスワード保護されたアンインストー ..................................................................................................................... 51
アンインストールパスワードの作成方法 ............................................................................................................... 51
統合 ...................................................................................................................................................................... 51
Syslog/SIEM .................................................................................................................................................... 51
カスタム認証 ...................................................................................................................................................... 54
脅威データレポート ............................................................................................................................................ 54
トラブルシューティング .................................................................................................................................................. 55
サポート ................................................................................................................................................................. 55
インストールパラメータ ......................................................................................................................................... 55
パフォーマンス上の懸念事項 .............................................................................................................................. 55
アップデート、ステータス、および接続の不具合 ................................................................................................... 56
デバッグロギングの有効化................................................................................................................................... 56
スクリプト制御の非互換性 ..................................................................................................................................... 56
付録 A:用語集 ...................................................................................................................................................... 57
付録 B:例外の処理 ............................................................................................................................................... 58
ファイル ............................................................................................................................................................... 58
スクリプト ............................................................................................................................................................ 59
証明書 .............................................................................................................................................................. 59
付録 C:ユーザー許可 ............................................................................................................................................. 59
付録 D:ファイルベースの書き込みフィルタ ................................................................................................................. 61
6 | インストールおよび管理者ガイド
概要
Threat Defense, powered by Cylance は、マルウェアがデバイスに影響を与え得る前にこれを検出し、ブロックします。
Cylance は、マルウェアの識別に数学的アプローチを使用しており、反応型シグニチャ、信頼ベースのシステム、またはサ
ンドボックスではなく、機械学習法を使用します。このアプローチにより、新しいマルウェア、ウイルス、ボット、および今後発
生する変種を無効化します。Threat Defense は、オペレーティングシステムでのマルウェアの潜在的なファイルの実行を分
析します。
本マニュアルは、Threat Defense コンソールの使い方、Threat Defense エージェントのインストール、およびこれらの設定
方法について説明します。
機能
Threat Defense は、各ホストにインストールされ、クラウドベースのコンソールと通信する小規模エージェントで構成されま
す。これらのエージェントは、テスト済み数学モデルを使用してホスト上のマルウェアを検出して阻止します。継続的なクラ
ウド接続または継続的なシグニチャのアップデートは必要としません。また、オープンネットワークおよび隔離ネットワークの
両方で機能します。脅威の状況が発達するに従って、Threat Defense も進化します。莫大な、現実世界のデータセット
で継続的なトレーニングを積むことによって、Threat Defense は、常に攻撃者の一歩先を行きます。
脅威:脅威がデバイスにダウンロードされるか、または悪用が試みられている場合。
脅威の検出Threat Defense エージェントが脅威を識別する方法。
o プロセスのスキャン:デバイスで実行されているプロセスをスキャンします。
o 実行制御:実行時のプロセスのみを分析します。これは、起動時に実行するファイル、自動実行する
ように設定されているファイル、ユーザーが手動で実行するファイルをすべて含みます。
分析:悪意のあるファイルか安全なファイルかを識別する方法。
o 脅威スコアのクラウドルックアップ:クラウドの数学モデルはファイルのスコア決定に使用されます。
o ローカル:エージェントに付属の数学モデル。デバイスがインターネットに接続していないときは、これを
使用して分析できます。
アクション:ファイルが脅威として識別された場合にエージェントが行うこと。
o グローバルグローバル隔離および安全リストを含んだ、ポリシー設定を確認します。
o ローカル隔離または除外のファイルを手動で確認します。
インストールおよび管理者ガイド | 7
本ガイドについて
クラウドベースのコンソールについてよく理解してから、エンドポイントにエージェントをインストールすることが推奨されます。
エンドポイントの管理方法について理解すると、これらの保護および維持が容易になります。このワークフローが推奨され
ますが、ユーザーは、理にかなった方法で使用環境への導入に取り組むことができます。
:ゾーンは、組織内のグループのデバイスを助けます。たとえば、選択した基準(オペレーティングシステム、デバイス
名、またはドメイン名など)に基づいて、新しいデバイスをゾーンに自動的に追加するゾーン規則を使用してゾーンを設
定します。
メモ:エージェントのインストールに関する手順はポリシーおよびゾーンについて学習した後になります。ユーザーは、必要
に応じてエージェントのインストールを開始できます。
コンソール
Threat Defense コンソールは、ログインして、組織の脅威に関する情報を表示するウェブサイトです。このコンソールを使
用すると、デバイスをグループ(ゾーン)に分けて整理すること、デバイスで脅威を発見したときに実行するべきアクション
(ポリシー)を設定すること、インストールファイル(エージェント)をダウンロードすることが容易になります。
Threat Defense コンソールは、次の言語をサポートしています。
フランス語
ドイツ語
イタリア語
日本語
ポルトガル語(ポルトガル)
韓国語
スペイン語
ポルトガル語(ブラジル)
1:サポートされている Threat Defense コンソールの言語
ログイン
アカウントをアクティブ化すると、Threat Defense コンソールのログイン情報が記載された電子メールを受信します。電子メ
ール内のリンクをクリックしてログインページに移動するか、次のリンクをクリックしてください。
北アメリカ:http://dellthreatdefense.com
ヨーロッパ:http://dellthreatdefense-eu.cylance.com
デバイスポリシー
エージェントが遭遇したマルウェアの処理方法を定めるポリシーです。たとえば、マルウェアを自動的に隔離するか、または特
定のフォルダにある場合はそれを無視します。各デバイスは、ポリシーの範囲内である必要があり、デバイスに適用できるポ
リシーは 1 つのみです。デバイスを単一ポリシーに限定することにより、矛盾する機能(当該デバイスでは許可されるべきと
きに、ファイルをブロックするなど)を除外します。ポリシーが割り当てられていない場合、デフォルトポリシーが適用されます
8 | インストールおよび管理者ガイド
デフォルトポリシーでは、実行時のみプロセスを分析する、実行制御のみが有効になります。これによって、デバイスに基
本的な保護が適用され、デバイスでの動作を中断しません。また、実稼働環境にポリシーを導入する前に、ポリシー機
能をテストする時間を提供します。
ポリシーの追加方法
1. 管理者としてコンソール(http://dellthreatdefense.com)にログインします。ポリシーを作成できるのは、管理者
のみです。
2. 設定 > デバイスポリシー の順に選択します。
3. 新しいポリシーを追加 をクリックします。
4. ポリシー名を入力し、ポリシーのオプションを選択します。
5. 作成 をクリックします。
ファイルアクション
設定 > > [] >
ファイルアクションは、Threat Defense 危険たは異常検出されるファイルを処理するさまざまなオプションを提供します。
ヒント危険または異常なファイルの分類に関する詳細については、保護 - 脅威セクションを参照してください。
実行制御による自動隔離
この機能は危険または異常なファイルを隔離し、実行されないようにします。ファイルを隔離すると、ファイルが元の場所か
隔離ディレクトリ、C:\ProgramData\Cylance\Desktop\q に移動します。
一部のマルウェアは、特定のディレクトリに他のファイルをドロップするように設計されています。このマルウェアは、ファイルの
ドロップに成功するまでドロップし続けます。Threat Defense は、ドロップされたファイルが実行されないように変更して、こ
のタイプのマルウェアが削除されたファイルをドロップし続けないようにします。
ヒント:デルでは、本番環境で適用する前に少数のデバイスで自動隔離をテストすることを強くお勧めします。このテスト
結果を確認して、ビジネスに不可欠なアプリケーションが実行時にブロックされないようにします。
自動アップロード
デルでは、ユーザー 危険および異常なファイル両方の 自動アップロード 有効にすることを推奨しますThreat Defense
は検出されたすべての危険または異常なファイルを Cylance Infinity Cloud に自動的にアップロードし、ファイルのより詳細
な分析を実行し、追加の詳細情報を提供します。
インストールおよび管理者ガイド | 9
Threat Defense は、未知の Portable ExecutablePE)ファイルのみをアップロードし、分析します。組織内の複数のデ
バイスで同じ未知のファイルが発見された場合、Threat Defense は、デバイスごとに 1 ファイルではなく、1 ファイルだけを
分析するためにアップロードします。
ポリシー安全リスト
ポリシーレベルで安全と見なされるファイルを追加します。エージェントは、このリストに含まれるファイルに対しては脅威アク
ションを適用しません。
さまざまなレベル(ローカルポリシーまたはグローバル)におけるファイルの除外(隔離または安全)の処理の詳細につ
いては、付録 Bを参照してください。除外処理を参照してください。
1. 管理者としてコンソール(http://dellthreatdefense.com)にログインします。ポリシーを作成できるのは、管理者
のみです。
2. 設定 > デバイスポリシー の順に選択します。
3. 新しいポリシーを追加するか、既存のポリシーを編集します。
4. ポリシー安全リスト ファイルの追加 をクリックします。
5. SHA256 情報を入力します。任意で、MD5 およびファイル名(既知の場合)を含めます。
6. カテゴリ を選択し、このファイルの内容を確認しやすくします。
7. このファイルを ポリシー安全リスト に追加する理由を入力します。
8. 送信 をクリックします。
保護設定
設定 > > [] >
実行制御
Threat Defense は、悪意のあるプロセスが実行されないかどうかを常に監視し、何らかの危険または異常な試みが実行
された場合は警告します。
デバイスからのサービスシャットダウンを阻止する
選択すると、Threat Defense サービスは、手動で、または別のプロセスのいずれかによってシャットダウンされないように保
護されます。
10 | インストールおよび管理者ガイド
マルウェアサンプルのコピー
マルウェアサンプルをコピーするネットワーク共有を指定できます。これにより、ユーザーは、Threat Defense 危険または
異常と判断したファイルを自分で分析することができます。
CIFS/SMB ネットワーク共有をサポートします。
ネットワーク共有の場所を 1 つ指定します。例:c:\test
基準を満たす全ファイル(重複を含む)がネットワーク共有にコピーされます。一意性テストは実行されませ
ん。
ファイルは圧縮されません。
ファイルはパスワードで保護されていません。
警告:ファイルはパスワードで保護されていません。悪意のあるファイルをうっかり実行しないように注意する必要があります。
スクリプト制御
スクリプト制御は、悪意のあるアクティブスクリプトおよび PowerShell スクリプトが実行されないようにブロックすることによっ
てデバイスを保護します。
1. コンソール(http://dellthreatdefense.com)にログインします。
2. 設定 > デバイスポリシー の順に選択します。
3. ポリシーを選択し、保護設定 をクリックします。
4. チェックボックスをオンにして、スクリプト制 を有効にします。
a. 警告:環境内で実行されるスクリプトを監視します。初期導入時にお勧めします。
b. ブロック:特定フォルダからのスクリプトのみの実行を許可します。アラートモードでのテスト後に使用し
ます。
c. これらのフォルダ(およびサブフォルダ)内のスクリプトを承認します:スクリプト制御フォルダの除外
は、フォルダの相対パスを指定する必要があります。
d. PowerShell コンソールの使用をブロックPowerShell コンソールの起動をブロックします。
PowerShell ワンライナーの使用に対して保護することによって追加のセキュリティを提供します。
メモ:スクリプトが、PowerShell コンソールを起動し、スクリプト制御が PowerShell コンソールをブロック
するように設定されている場合は、スクリプトは失敗します。PowerShell スクリプトを起動し、
PowerShell コンソールは起動しないようにユーザーがスクリプトを変更することをお勧めします。
5. 保存 をクリックします。
インストールおよび管理者ガイド | 11
エージェントログ
設定 > > [] >
コンソールでエージェントログを有効にして、ログファイルをアップロードし、コンソールで表示できるようにします。
1. コンソール(http://dellthreatdefense.com)にログインします。
2. 設定 > デバイスポリシー の順に選択します。
3. ポリシーを選択し、エージェントロ をクリックします。ログファイルに選択されているデバイスが、確実にこのポリシ
ーに割り当てられているようにします。
4. ログファイルの自動アップロードを有効にする を選択し、保存 をクリックします。
5. デバイス タブをクリックし、デバイスを選択します。
6. エージェントログ をクリックします。ログファイルが表示されます。
7. ログファイルをクリックします。ログファイル名は、ログの日付です。
ポリシーに関するベストプラクティス
ポリシーを最初に作成したときは、段階的方法でポリシー機能を実装して、パフォーマンスおよび操作に影響を及ぼさな
いことを確認することが推奨されます。環境内で Threat Defense が機能する方法を理解するにつれて、より多くの機能
を有効にした、新しいポリシーを作成します。
1. 初期のポリシーを作成する場合は、自動アップロード のみを有効にします。
a. エージェントは、実行制御およびプロセスモニタを使用して、実行中のプロセスのみを分析します。
これは、起動時に実行するファイル、自動実行するように設定されているファイル、ユーザーが手動で実
行するファイルをすべて含みます。
エージェントは、コンソールに対してアラートを送信するのみです。ブロックまたは隔離されるファイル
はありません。
b. 脅威アラートがないかどうかコンソールを確認します。
目的は、脅威(異常または危険)と見なされるエンドポイントで実行される必要のあるすべてのアプリ
ケーションまたはプロセスを見つけることです。
このような場合(たとえば、ポリシーのフォルダを除外する、そのデバイスのファイルを 除外する、またファ
イルを安全リストに追加する)、ポリシーまたはコンソール設定をこれらを 許可する に設定します。
c. この初期ポリシーを 1 日使用して、デバイスで通常使用されるアプリケーションおよびプロセスを実行し、
分析できます。
12 | インストールおよび管理者ガイド
重要:脅威と見なされるアプリケーションおよびプロセスが、デバイス上で定期的(たとえば、月 1 回)に実行される場
合があります。この初期ポリシー中にこのようなアプリケーションおよびプロセスを実行するか、スケジュールどおり実行される
ときにデバイスをモニタするように覚えておくかどうかは、ユーザーの考え方次第です。
2. 保護設定で、実行制御および監視プロセスの完了後に 実行中の危険なプロセスの強制終了 を有効
にします。
脅威(EXE または MSI)が検出された場合には、状態に関係なく、実行中の危険なプロセスおよびそのサブ
プロセスの強制終了によって、プロセス(およびサブプロセス)を強制終了させます。
3. ファイルアクションで、自動隔離 をオンにします。
自動隔離 は悪意のあるすべてのファイル 隔離 フォルダに移動します。
4. 保護設定で、スクリプト制御 をオンにします。
スクリプト制御は、ユーザーがデバイスで悪意のあるスクリプトを実行しないように保護します。
ユーザーは、指定フォルダに対してスクリプトの実行を承認できます。
スクリプト制御フォルダの除外は、フォルダの相対パスを指定する必要があります(たとえば、
\Cases\ScriptsAllowed)。
ゾーン
ゾーンは、デバイスを整理し、管理する方法です。たとえば、デバイスは、地理または機能に基づいて分類できます。必
要不可欠なデバイスのグループが存在する場合、これらのデバイスをグループ化し、このゾーンに対して高い優先度を割
り当てることができます。加えて、ポリシーはゾーンレベルで適用されるため、デバイスは、これらのデバイスに適用されるポ
リシーに基づいて 1 つのゾーンにグループ化することができます。
組織には、管理者のみがアクセスできるデフォルトゾーン(非ゾーン化)があります。デバイスをゾーンに自動的に割り当
てる、ゾーン規則が存在しなければ、新しいデバイスは非ゾーン化に割り当てられます。
ゾーンマネージャおよびユーザーはゾーンに割り当てられることができ、ゾーンマネージャおよびユーザーはゾーンの設定方
法を表示できます。これにより、ゾーンマネージャおよびユーザーは、担当するデバイスにアクセスできます。ゾーンマネー
ジャおよびユーザーロールを持つユーザーがゾーンを表示できるようにするには、少なくとも 1 つのゾーンを作成する必要が
あります。
デバイスは複数のゾーンに属することができますが、デバイスに適用できるポリシーは 1 つのみです。複数のゾーンを許可
すると、デバイスのグループ化方法に柔軟性が生じます。デバイスを単一ポリシーに限定することにより、矛盾する機能
(たとえば、当該デバイスでは 許可 されるべきときにファイルをブロックする)を除外します。
インストールおよび管理者ガイド | 13
次の理由により、デバイスが複数のゾーンに存在することがあります。
デバイスが、手動で複数のゾーンに追加される。
デバイスが、複数のゾーンの規則に適合する。
デバイスは、あるゾーンに既に存在し、別のゾーンの規則に適合する。
推奨するゾーンの使用方法については、「ゾーン管理に関するベストプラクティス」を参照してください。
ゾーンの追加方法
1. 管理者としてコンソール(http://dellthreatdefense.com)にログインします。ゾーンを作成できるのは、管理者の
みです。
2. ゾーン をクリックします。
3. 新しいゾーンの追加 をクリックします。
4. ゾーン名を入力し、ポリシーを選択し、値を選択します。ゾーンには、ポリシーが関連付けられている必要があり
ます。値は、ゾーンの優先度です。
5. 保存 をクリックします。
ゾーンへのデバイスの追加方法
1. 管理者またはゾーン管理アカウントを使用してコンソール(http://dellthreatdefense.com)にログインします。
2. ゾーン をクリックします。
3. ゾーンリスト で特定のゾーンをクリックします。そのゾーンの現在のデバイスが、ページの下部 ゾーンデバイスリス
に表示されます。
4. ゾーンへのデバイスの追加 をクリックします。デバイスのリストが表示されます。
5. ゾーンに追加する各デバイスを選択し、保存 をクリックします。オプションで 選択したデバイスにゾーンポリシー
を適用する を選択します。ゾーンにデバイスを追加しても、ゾーンポリシーは自動的に適用されません。これは、
ゾーンが、これらのデバイスのポリシーを管理するためではなく、デバイスを整理するために使用されることがあるか
らです。
ゾーンの削除方法
1. 管理者としてコンソール(http://dellthreatdefense.com)にログインします。ゾーンを削除できるのは、管理者の
みです。
2. ゾーン をクリックします。
3. 削除するゾーンのチェックボックスをオンにします。
14 | インストールおよび管理者ガイド
4. 削除 をクリックします。
5. 選択したゾーンの削除の確認を求めるメッセージが表示されたら、はい をクリックします。
ゾーンのプロパティ
ゾーンのプロパティは、必要に応じて編集できます。
ゾーンの優先度について
ゾーンには、そのゾーン内のデバイスの重要性または重大性を分類する、異なる優先レベル(低、標準、または高)を
割り当てることができます。ダッシュボードのいくつかの領域では、デバイスは優先度ごとに表示されて、即時の対応を必
要とするデバイスを識別しやすくします。
優先度は、ゾーンを作成するとき、またはゾーンを編集して優先度の値を変更するときに設定できます。
ゾーンのプロパティの編集方法
1. 管理者またはゾーン管理者としてコンソール(http://dellthreatdefense.com)にログインします。
2. ゾーン をクリックします。
3. ゾーンリスト で特定のゾーンをクリックします。
4. 名前 フィールドに新しい名前を入力して、ゾーン名を変更します。
5. ポリシー ドロップダウンメニューで別のポリシーを選択してポリシーを変更します。
6. 標準 または の値を選択します。
7. 保存 をクリックします。
ゾーン規則
デバイスは、特定の基準に基づいてゾーンに自動的に割り当てることができます。この自動化は、ゾーンに多数のデバイ
スを追加するときに便利です。ゾーン規則に一致する新しいデバイスが追加されると、これらのデバイスは、自動的に該
当するゾーンに割り当てられます。すべての既存のデバイスに今すぐ適用 が選択されている場合は、規則に一致する
すべての既存のデバイスがそのゾーンに追加されます。
メモ:ゾーン規則はデバイスをゾーンへ自動的に追加しますが、デバイスを削除することはできません。デバイスの IP アド
レスまたはホスト名を変更しても、このデバイスはゾーンから削除されません。デバイスは、手動でゾーンから削除する必
要があります。
インストールおよび管理者ガイド | 15
ゾーン規則に一致した結果としてゾーンに追加されたデバイスにゾーンポリシーを適用するオプションがあります。つまり、デ
バイスの既存のポリシーの代わりに、指定したゾーンポリシーが適用されます。ゾーン規則に基づいたポリシーの自動適用
は、注意して使用する必要があります。適切に管理されていない場合、ゾーン規則にデバイスが一致したために、デバイ
スが誤ったポリシーに割り当てられることがあります。
デバイスに適用されるポリシーを表示するには、コンソールで、デバイスの詳細 ページを表示します。
ゾーン規則の追加方法
1. 管理者またはゾーン管理者としてコンソール(http://dellthreatdefense.com)にログインします。
2. ゾー をクリックして、ゾーンのリスト からゾーンを選択します。
3. ゾーン規則で ルールの作成 をクリックします。
4. 選択したゾーンの基準を指定します。条件を更に追加するには、+ サインをクリックします。条件を削除するに
は、- サインをクリックします。
5. 保存 をクリックします。
ゾーン規則の基準
新しいデバイスが組織に追加されたとき:ゾーン規則に合致する組織に追加されるすべての新しいデバイス
は、ゾーンに追加されます。
デバイスの任意の属性が変更されたと:既存のデバイスの属性が変更され、ゾーン規則に合致する場合は
その既存のデバイスはゾーンに追加されます。
範囲内の IPv4 アドレスIPv4 アドレスの範囲を入力します。
デバイス名
o 開始:デバイス名はこの文字列で開始する必要があります。
o 含む:デバイス名はこの文字列を含む必要がありますが、名前内の位置はどこでも構いません
o 終了:デバイス名はこの文字列で終了する必要があります。
オペレーティングシステム
o である:オペレーティングシステムは、選択したシステムでなくてはいけません。
o ではない:オペレーティングシステムは、選択したシステムではいけません。たとえば、唯一のゾーン規則
がオペレーティングシステムは Windows 8 ではいけないと定める場合、非 Windows デバイスなど全オ
ペレーティングシステムがこのゾーンに追加されます。
16 | インストールおよび管理者ガイド
ドメイン名
o 開始:ドメイン名はこの文字列で開始する必要があります。
o 含む:ドメイン名はこの文字列を含む必要がありますが、名前内のどの位置でも構いません。
o 終了:ドメイン名はこの文字列で終了する必要があります。
識別名
o 開始:識別名はこの文字列で開始する必要があります。
o 含む:識別名はこの文字列を含む必要がありますが、名前内のどの位置でも構いません。
o 終了:識別名はこの文字列で終了する必要があります。
LDAP)のメンバー
o である:(グループ)のメンバーは、これに一致する必要があります。
o 含む:(グループ)のメンバーは、これを含む必要があります。
次の条件が満たされている
o すべて:デバイスを追加するには、ゾーン規則の全条件が一致する必要があります。
o いずれか:デバイスを追加するには、ゾーン規則の少なくとも 1 つの条件が一致する必要があります。
ゾーンポリシーの適用
o 適用しない:ゾーンにデバイスが追加されたときに、ゾーンポリシーを適用しません。
o 適用:ゾーンにデバイスが追加されたときに、ゾーンポリシーを適用します。
警告:ゾーンポリシーを自動的に適用すると、ネットワーク上のデバイスの一部に悪影響を及ぼす場合
があります。ゾーン規則がこの特定のゾーンポリシーを必要とするデバイスを見つけた場合にのみゾーン
ポリシーを自動的に適用します。
すべての既存のデバイスに今すぐ適用:ゾーン規則は組織内のすべてのデバイスに適用されます。ゾーンポリ
シーは適用されません。
識別名(DN)について
ゾーン規則で識別名(DN)を使用する場合には、DN に関するある程度の知識が必要です。
ワイルドカードは使用できませんが、「含む」条件により同様の結果を得ることができます。
エージェントに関する DN エラーおよび例外は、ログファイルに保存されます。
エージェントがデバイスで DN 情報を検出した場合、この情報は、自動的にコンソールに送信されます。
インストールおよび管理者ガイド | 17
DN 情報を追加するときには、次のように適切な形式でなくてはいけません。
o 例:CN=JDoe,OU=Sales,DC=dell,DC=COM
o 例:OU=Demo,OU=SEngineering,OU=Sales
ゾーンデバイスリスト
ゾーンデバイスリスト には、このゾーンに割り当てられたすべてのデバイスが表示されます。デバイスは、複数のゾーンに属
することがあります。エクスポート を使用して、ゾーンデバイスリスト のすべてのデバイス情報を含む CSV ファイルをダウン
ロードします。
メモ:ゾーンを表示する権限が存在しない場合に、ゾーンカラムのゾーンへのリンクをクリックすると、リソースが見つかりま
せん ページが表示されます。
ゾーン管理に関するベストプラクティス
ゾーンはタグのように考えるのが最適であり、いずれのデバイスも複数のゾーンに属する(または複数のタグを持つ)こと
ができます。作成可能なゾーンの数に制約はありませんが、ベストプラクティスは、組織内のテスト、ポリシー、およびユー
ザーロールレベルという 3 種類の異なるゾーンメンバーシップであることが確認されています。
これらの 3 種類のゾーンは、以下で構成されます。
アップデート管理
ポリシー管理
ロールベースのアクセス管理
アップデート管理向けのゾーン組織
ゾーンの一般的な使用法の 1 つは、エージェントアップデートの管理を支援することです。Threat Defense は、最新のエ
ージェントバージョンおよび以前のバージョンをサポートしています。このため、企業は、フリーズしたウィンドウの変更をサポ
ートし、新しいエージェントバージョンの徹底的なテストを行うことができます。
エージェントテストおよび本番稼働フェーズの管理および指定に使用される、推奨ゾーンタイプは、3 種類あります。
ゾーンのアップデート - テストグループ:これらのゾーンには、組織内のデバイス(およびそれらのデバイスで使
用されているソフトウェア)を適切に表示するテストデバイスが必要です。これにより、最新のエージェントをテスト
することができ、このエージェントを本番稼働デバイスに導入しても、ビジネスプロセスを妨げないようにします。
18 | インストールおよび管理者ガイド
ゾーンのアップデート - パイロットグループ:このゾーンは、セカンダリテストゾーンまたはセカンダリ本番ゾーンと
して使用できます。第 2 のテストゾーンとしては、本番稼働環境に投入する前に、より規模の大きいグループで
新しいエージェントをテストできます。第 2 の本番稼働ゾーンとしては、2 つの異なるエージェントバージョンを実
行できます。ただし、2 つの異なる本番稼働ゾーンを管理する必要があります。
ゾーンのアップデート - 本番:ほとんどのデバイスは、本番に割り当てられるゾーンにある必要があります。
メモ:エージェントを本番ゾーンにアップデートするには、「エージェントのアップデート」を参照してください。
テストゾーンまたはパイロットゾーンの追加
1. 管理者またはゾーン管理アカウントを使用してコンソール(http://dellthreatdefense.com)にログインします。
2. 設定 > エージェントのアップデー の順に選択します。
3. テストゾーンまたはパイロットゾーンの場合
a. テストゾーンの選択 または パイロットのゾーンの選択 をクリックします。
b. ゾーンをクリックします。
本番ゾーンが 自動アップデート に設定されている場合は、テストおよびパイロットゾーンは使用できま
せん。本番稼働ゾーンで自動アップデートを他のオプションに変更すると、テストゾーンおよびパイロットゾ
ーンを有効にすることができます。
4. バージョンを選択してください をクリックします。
5. テストゾーンまたはパイロットゾーンに適用するエージェントバージョンを選択します。
6. 適用 をクリックします。
ポリシー管理向けのゾーン組織
別のゾーンセットを作成すると、別のポリシーを別のタイプのエンドポイントに適用するのに役立ちます。次の例を検討して
ください。
ポリシーゾーン ワークステーション
ポリシーゾーン ワークステーション 除外
ポリシーゾーン サーバー
ポリシーゾーン サーバー 除外
ポリシーゾーン 幹部 高保護
これらの各ゾーンでこのポリシーゾーンに含まれる全デバイスにデフォルトでポリシーを適用することが推奨されます。1 つの
デバイスを複数のポリシーゾーンに配置すると、適用するポリシーに関する競合が生じ得るため、複数のポリシーゾーンに
は配置しないでください。また、ゾーン規則エンジンでは、IP、ホスト名、オペレーティングシステム、およびドメインに応じて
これらのホストを自動的に整理できます。
インストールおよび管理者ガイド | 19
ロールベースのアクセス管理向けのゾーン組織
ロールベースのアクセスを使用して管理を担当するデバイスのサブセットに、コンソールユーザーのアクセスを制限します。
れは、IP 範囲、ホスト名、オペレーティングシステム、またはドメインによる分離を含むことがあります。地理的ロケーショ
ン、タイプ、またはその両方によるグループ化を検討してください。
RBAC ゾーン デスクトップ ヨーロッパ
RBAC ゾーン サーバー アジア
RBAC ゾーン レッドカーペット(幹部)
上記のゾーンの例を使用して、ゾーン管理者は RBAC ゾーン - デスクトップ - ヨーロッパに割り当てられ、そのゾーン内の
デバイスにのみアクセスできます。ゾーンマネージャユーザーが他のゾーンを表示しようとすると、これを表示する権限がな
いことを示すエラーメッセージが表示されます。デバイスが複数のゾーンに含まれている場合、ゾーンマネージャはこのデバ
イスを表示できますが、ゾーンマネージャがこのデバイスが関連付けられている他のゾーンを表示しようとすると許可され
ず、エラーメッセージが表示されます。
ダッシュボードなどのコンソールの他のパーツでは、RBAC ゾーン - デスクトップ - ヨーロッパのゾーン管理者もゾーンまたはそ
のゾーンに割り当てられたデバイスに関連する脅威およびその他の情報に制限されます。
同様の制限が、ゾーンに割り当てられたユーザーにも適用されます。
ユーザー管理
管理者にはグローバル許可があり、ユーザーの追加または削除、ゾーンへのユーザーの割り当て(ユーザーまたはゾーン
マネージャのいずれかとして)、デバイスの追加または削除、ポリシーの作成、およびゾーンの作成を実行できます。管理
者はまた、ユーザー、デバイス、ポリシー、およびゾーンをコンソールから永久に削除することができます。
ユーザーおよびゾーンマネージャは、割り当てられているゾーンに関するアクセスおよび権限のみを持っています。これは、
ゾーンに割り当てられたデバイス、これらのデバイスで検出された脅威、およびダッシュボードの情報に適用されます。
各ユーザーに許可されたユーザー権限の全一覧については、付録 C: を参照してください。 ユーザーのアクセス権
ユーザーの追加方法
1. 管理者としてコンソール(http://dellthreatdefense.com)にログインします。ユーザーを作成できるのは、管理
者のみです。
2. 設定 > ユーザー管理 順に選択します。
3. ユーザーの電子メールアドレスを入力します。
20 | インストールおよび管理者ガイド
4. ロールドロップダウンメニューでロールを選択します。
5. ゾーン管理者またはユーザーを追加する際は、それらを割り当てるゾーンを選択します。
6. 追加 をクリックします。パスワードを作成するためのリンクが含まれた電子メールがユーザーに送信されます。
ユーザーロールの変更方法
1. 管理者としてコンソール(http://dellthreatdefense.com)にログインします。ユーザーを作成できるのは、管理
者のみです。
2. 設定 > ユーザー管理 順に選択します。
3. ユーザーをクリックします。ユーザーの詳細 ページが表示されます。
4. ロールを選択して、保存 をクリックします。
ユーザーの削除方法
1. 管理者としてコンソール(http://dellthreatdefense.com)にログインします。ユーザーを作成できるのは、管理
者のみです。
2. 設定 > ユーザー管理 順に選択します。
3. 削除する 1 人または複数のユーザーのチェックボックスをオンにします。
4. 削除 をクリックします。
5. 削除の確認を求めるメッセージが表示されたら、はい をクリックします。
ネットワーク関連
ネットワークは、Threat Defense エージェントがインターネット上でコンソールと通信できるように設定します。本項は、ファ
イアウォール設定およびプロキシ設定について説明します。
ファイアウォール
デバイスの管理にオンプレミスソフトウェアは不要です。Threat Defense エージェントは、コンソール(クラウドベースのユー
ザーインタフェース)によって管理され、そこに報告します。ポート 443HTTPSは通信用に使用され、エージェントが
コンソールと通信するために、ファイアウォールで開く必要があります。このコンソールは、Amazon Web サービスAWS
によってホストされ、固定 IP アドレスがありません。エージェントが次のサイトと通信できることを確認します。
login.cylance.com
data.cylance.com
my.cylance.com
update.cylance.com
  • Page 1 1
  • Page 2 2
  • Page 3 3
  • Page 4 4
  • Page 5 5
  • Page 6 6
  • Page 7 7
  • Page 8 8
  • Page 9 9
  • Page 10 10
  • Page 11 11
  • Page 12 12
  • Page 13 13
  • Page 14 14
  • Page 15 15
  • Page 16 16
  • Page 17 17
  • Page 18 18
  • Page 19 19
  • Page 20 20
  • Page 21 21
  • Page 22 22
  • Page 23 23
  • Page 24 24
  • Page 25 25
  • Page 26 26
  • Page 27 27
  • Page 28 28
  • Page 29 29
  • Page 30 30
  • Page 31 31
  • Page 32 32
  • Page 33 33
  • Page 34 34
  • Page 35 35
  • Page 36 36
  • Page 37 37
  • Page 38 38
  • Page 39 39
  • Page 40 40
  • Page 41 41
  • Page 42 42
  • Page 43 43
  • Page 44 44
  • Page 45 45
  • Page 46 46
  • Page 47 47
  • Page 48 48
  • Page 49 49
  • Page 50 50
  • Page 51 51
  • Page 52 52
  • Page 53 53
  • Page 54 54
  • Page 55 55
  • Page 56 56
  • Page 57 57
  • Page 58 58
  • Page 59 59
  • Page 60 60
  • Page 61 61

Dell Threat Defense Administrator Guide

タイプ
Administrator Guide