Endpoint Security - Knowledge Center

製品ガイド
McAfee Endpoint Security 10.5
著作権
© 2016 Intel Corporation
商標
Intel および Intel のロゴは、米国法人 Intel Corporation または米国またはその他の国の関係会社における登録商標です。McAfee および McAfee のロゴ、McAfee
Active Protection、McAfee DeepSAFE、ePolicy Orchestrator、McAfee ePO、McAfee EMM、McAfee Evader、Foundscore、Foundstone、Global Threat
Intelligence、マカフィー リブセーフ、Policy Lab、McAfee QuickClean、Safe Eyes、McAfee SECURE、McAfee Shredder、SiteAdvisor、McAfee Stinger、McAfee
TechMaster、McAfee Total Protection、TrustedSource、VirusScan は、米国法人 McAfee, Inc. または米国またはその他の国の関係会社における商標登録または商標
です。その他すべての登録商標および商標はそれぞれの所有者に帰属します。
ライセンス情報
ライセンス条項
お客様へ:お客様がお買い求めになられたライセンスに従い、該当する契約書 (許諾されたソフトウェアの使用につき一般条項を定めるものです、以下「本契約」といいます)
をよくお読みください。お買い求めになられたライセンスの種類がわからない場合は、販売およびライセンス関連部署にご連絡いただくか、製品パッケージに付随する注文
書、または別途送付された注文書 (パンフレット、製品 CD またはソフトウェア パッケージをダウンロードした Web サイト上のファイル) をご確認ください。本契約の規
定に同意されない場合は、製品をインストールしないでください。この場合、弊社またはご購入元に速やかにご返信いただければ、所定の条件を満たすことによりご購入額
全額をお返しいたします。
2
McAfee Endpoint Security 10.5
製品ガイド
目次
1
McAfee Endpoint Security
7
概要
9
Endpoint Security モジュール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Endpoint Security がシステムを保護する仕組み . . . . . . . . . . . . . . . . . . . . . . . 10
保護対策を最新の状態にする方法 . . . . . . . . . . . . . . . . . . . . . . . . .
10
Endpoint Security の使い方 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
12
McAfee システム トレイ アイコンからの Endpoint Security タスクの実行 . . . . . . . . . .
12
通知メッセージについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Endpoint Security クライアントについて . . . . . . . . . . . . . . . . . . . . . .
2
Endpoint Security クライアント の使用
14
19
Endpoint Security クライアント を開く . . . . . . . . . . . . . . . . . . . . . . . . .
19
ヘルプを見る . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
プロンプトに応答する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
脅威検出プロンプトに応答する . . . . . . . . . . . . . . . . . . . . . . . . . .
20
スキャン プロンプトに応答する . . . . . . . . . . . . . . . . . . . . . . . . . .
21
保護対策に関する情報を取得する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
管理タイプ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
コンテンツとソフトウェアを手動で更新する . . . . . . . . . . . . . . . . . . . . . . . .
22
更新対象 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
23
イベント ログを表示する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
23
Endpoint Security のログ ファイル名と場所 . . . . . . . . . . . . . . . . . . . . .
24
Endpoint Security の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
管理者としてログオンする . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
クライアント インターフェースのロックを解除する . . . . . . . . . . . . . . . . . . . 26
機能を有効または無効にする . . . . . . . . . . . . . . . . . . . . . . . . . . .
27
AMCore コンテンツのバージョンを変更する . . . . . . . . . . . . . . . . . . . . .
27
Extra.DAT ファイルを使用する . . . . . . . . . . . . . . . . . . . . . . . . . .
28
共通設定を行う . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
30
更新の動作を設定する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Endpoint Security クライアント インターフェース リファレンス - 共通設定 . . . . . . . . . . . . 39
3
[イベント ログ] ページ . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
40
共通設定 - オプション . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
41
共通設定 - タスク . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
49
55
脅威対策 の使用
マルウェアをスキャンする . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
55
スキャンの種類 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
55
フル スキャンまたはクイック スキャンを実行する . . . . . . . . . . . . . . . . . . .
56
ファイルまたはフォルダーをスキャンする . . . . . . . . . . . . . . . . . . . . . .
58
脅威検出を管理する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
59
隔離項目を管理する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
60
McAfee Endpoint Security 10.5
製品ガイド
3
目次
検出名 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
61
隔離項目の再スキャン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
脅威対策 の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
除外対象の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
63
システムのアクセス ポイントの保護 . . . . . . . . . . . . . . . . . . . . . . . .
65
バッファー オーバーフロー エクスプロイトのブロック . . . . . . . . . . . . . . . . . . 73
不審なプログラムの検出 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
共通のスキャン設定を行う . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
McAfee GTI の機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
80
オンアクセス スキャンを設定する . . . . . . . . . . . . . . . . . . . . . . . . .
81
オンデマンド スキャン を設定する . . . . . . . . . . . . . . . . . . . . . . . . . 87
スキャン タスクとスケジュールを設定して実行する . . . . . . . . . . . . . . . . . . . 92
Endpoint Security クライアント インターフェース リファレンス - 脅威対策 . . . . . . . . . . . . 93
[隔離] ページ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
脅威対策 - アクセス保護 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
脅威対策 - エクスプロイト防止 . . . . . . . . . . . . . . . . . . . . . . . . .
107
脅威対策 - オンアクセス スキャン . . . . . . . . . . . . . . . . . . . . . . . . 112
脅威対策 - オンデマンド スキャン . . . . . . . . . . . . . . . . . . . . . . . . 116
スキャンする場所 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
McAfee GTI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
119
121
アクション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
除外対象の追加または除外対象の編集 . . . . . . . . . . . . . . . . . . . . . . .
124
脅威対策 - オプション . . . . . . . . . . . . . . . . . . . . . . . . . . . .
124
AMCore コンテンツのロールバック . . . . . . . . . . . . . . . . . . . . . . . . 126
4
127
ファイアウォール の使用
ファイアウォール の機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
127
McAfee システム トレイ アイコンでのファイアウォールの無効化をユーザーに許可する . . . . . . . .
127
McAfee システム トレイ アイコンからファイアウォール期限付きグループを表示したり、有効にします。 . . 128
期限付きグループについて . . . . . . . . . . . . . . . . . . . . . . . . . . .
ファイアウォール の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ファイアウォール オプションを変更する . . . . . . . . . . . . . . . . . . . . . .
128
128
129
ファイアウォール ルールとグループを設定する . . . . . . . . . . . . . . . . . . . . 133
Endpoint Security クライアント インターフェース リファレンス - ファイアウォール . . . . . . . .
142
ファイアウォール - オプション . . . . . . . . . . . . . . . . . . . . . . . . .
142
ファイアウォール — ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
5
Web 管理の使用
155
Web 管理の機能について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
Web 管理がサイトとダウンロードをブロックまたは警告する方法 . . . . . . . . . . . . .
156
閲覧時に Web 管理のボタンが脅威の存在を表している場合 . . . . . . . . . . . . . . .
157
検索時に安全性アイコンが脅威の存在を表している場合 . . . . . . . . . . . . . . . . .
158
サイト レポートの詳細 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158
安全性評価をコンパイルする方法 . . . . . . . . . . . . . . . . . . . . . . . . . 159
Web 管理の機能にアクセスする . . . . . . . . . . . . . . . . . . . . . . . . . . . .
159
ブラウザーで Web 管理プラグインを有効にする . . . . . . . . . . . . . . . . . . .
159
閲覧中にサイトの情報を表示する . . . . . . . . . . . . . . . . . . . . . . . . .
160
検索でサイト レポートを表示する . . . . . . . . . . . . . . . . . . . . . . . . . 161
Web 管理 の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
Web 管理 オプションを設定する . . . . . . . . . . . . . . . . . . . . . . . . .
161
評価アクションを指定して、Web カテゴリに基づいてサイト アクションをブロックする . . . . . 164
Endpoint Security クライアント インターフェース リファレンス - Web 管理 . . . . . . . . . . . 165
Web 管理 - オプション . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
Web 管理 — コンテンツによるアクション . . . . . . . . . . . . . . . . . . . . .
4
McAfee Endpoint Security 10.5
168
製品ガイド
目次
6
171
適応型脅威対策の使用
適応型脅威対策について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
171
適応型脅威対策の利点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
171
適応型脅威対策のコンポーネント . . . . . . . . . . . . . . . . . . . . . . . . .
172
適応型脅威対策の機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
173
レピュテーションの判定方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
ファイル レピュテーション プロンプトに応答する . . . . . . . . . . . . . . . . . . . . . . 176
適応型脅威対策の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
177
はじめに . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
アプリケーションの動的隔離 . . . . . . . . . . . . . . . . . . . . . . . . . . . 179
適応型脅威対策 のオプションを設定する . . . . . . . . . . . . . . . . . . . . . .
185
Endpoint Security クライアント インターフェース リファレンス - 適応型脅威対策 . . . . . . . . . 186
適応型脅威対策 — アプリケーションの動的隔離 . . . . . . . . . . . . . . . . . . . . 186
適応型脅威対策 - オプション . . . . . . . . . . . . . . . . . . . . . . . . . . 189
索引
McAfee Endpoint Security 10.5
193
製品ガイド
5
目次
6
McAfee Endpoint Security 10.5
製品ガイド
McAfee Endpoint Security
®
McAfee Endpoint Security は、ネットワーク コンピューター上で実行され、脅威を自動的に識別・阻止する包括
的なセキュリティ管理ソリューションです。 このヘルプでは、基本的なセキュリティ機能の使用方法とトラブルシュ
ーティングの方法について説明します。
Internet Explorer で Endpoint Security のヘルプを表示するには、[セキュリティ設定] 、 [スクリプト] 、 [アクテ
ィブ スクリプト] の順に移動して、ブラウザーでアクティブ スクリプトを有効にする必要があります。
はじめに
•
Endpoint Security モジュール9 ページの「」
•
Endpoint Security がシステムを保護する仕組み10 ページの「」
•
Endpoint Security の使い方12 ページの「」
よく実行されるタスク
•
Endpoint Security クライアント を開く 19 ページの「」
•
コンテンツとソフトウェアを手動で更新する22 ページの「」
•
マルウェアをスキャンする55 ページの「」
•
クライアント インターフェースのロックを解除する26 ページの「」
詳細情報
この製品の詳細については、次の情報を参照してください。
• 『McAfee Endpoint Security インストール ガイ
ド』
•
Endpoint Security ファイアウォール ヘルプ
• 『McAfee Endpoint Security 移行ガイド』
•
Endpoint Security Web 管理ヘルプ
• 『McAfee Endpoint Security リリース ノート』
•
Endpoint Security 適応型脅威対策 ヘルプ
•
•
McAfee サポート
Endpoint Security 脅威対策 ヘルプ
McAfee Endpoint Security 10.5
製品ガイド
7
McAfee Endpoint Security
8
McAfee Endpoint Security 10.5
製品ガイド
1
概要
Endpoint Security は、ネットワーク コンピューター上で実行され、脅威を自動的に識別・阻止する包括的なセキ
ュリティ管理ソリューションです。 このヘルプでは、基本的なセキュリティ機能の使用方法とトラブルシューティン
グの方法について説明します。
コンピューターが管理対象の場合、管理者が以下のいずれかの管理サーバーを使用して Endpoint Security のセッ
トアップと設定を行います。
•
McAfee ePolicy Orchestrator (McAfee ePO )
•
McAfee ePolicy Orchestrator Cloud (McAfee ePO Cloud)
®
®
®
®
™
®
™
最新の Endpoint Security 管理ライセンスと使用権については、KB87057 を参照してください。
適応型脅威対策 は、McAfee ePO Cloud で管理されているシステムで使用できません。
コンピューターが自社管理 (管理対象外) の場合、管理者またはユーザーが Endpoint Security クライアントを使用
してソフトウェアの設定を行います。
目次
Endpoint Security モジュール
Endpoint Security がシステムを保護する仕組み
Endpoint Security の使い方
Endpoint Security モジュール
管理者は 1 つ以上の Endpoint Security モジュールを設定し、クライアント コンピューターにインストールできま
す。
•
脅威対策 - 項目をスキャンし、ウイルス、スパイウェア、不審なプログラムなどの脅威の有無を確認します。ユ
ーザーが項目にアクセスしたときにスキャンを自動的に実行することも、必要に応じて実行することもできます。
•
ファイアウォール - ネットワークまたはインターネット上のリソースとコンピューターとの通信を監視します。
不審な通信を遮断します。
•
Web 管理 - オンラインでの閲覧または検索中に Web サイトの安全性評価を表示し、レポートを作成します。
Web 管理では、サイト管理者が安全性評価またはコンテンツに従って Web サイトへのアクセスをブロックでき
ます。
•
適応型脅威対策 - コンテンツを分析し、ファイル レピュテーション、ルール、レピュテーションしきい値に従
ってアクションを判断します。
適応型脅威対策は、Endpoint Security のオプション モジュールです。 脅威情報の情報源と機能を追加するに
は、Threat Intelligence Exchange サーバーを配備します。 詳細については、販売店または営業担当者に確認
してください。
適応型脅威対策 は、McAfee ePO Cloud で管理されているシステムで使用できません。
McAfee Endpoint Security 10.5
製品ガイド
9
1
概要
Endpoint Security がシステムを保護する仕組み
また、共通設定モジュールでは、インターフェースのセキュリティやロギングなど、共通の機能を設定できます。 こ
のモジュールは他のモジュールと一緒に自動的にインストールされます。
Endpoint Security がシステムを保護する仕組み
通常、管理者が Endpoint Security をセットアップし、クライアント コンピューターにソフトウェアをインストー
ルします。さらに、セキュリティの状況を監視し、ポリシーというセキュリティ ルールをセットアップします。
クライアント コンピューターのユーザーは、コンピューターにインストールされたクライアント ソフトウェアを使
用して Endpoint Security を使用できます。 管理者がセットアップしたポリシーによって、コンピューターのモジ
ュールと機能の動作や機能が変更可能かどうかが決まります。
Endpoint Security が自社管理の場合、モジュールと機能の動作を指定できます。 管理タイプは、[バージョン情報]
ページで確認できます。
コンピューターにインストールされたクライアント ソフトウェアは、定期的にインターネット上のサイトに接続し、
コンポーネントを更新します。 同時に、コンピューターでの検出結果を管理サーバーに送信します。 このデータは、
コンピューターの検出結果とセキュリティ問題に関するレポートを生成するときに使用されます。
通常、クライアント ソフトウェアはバックグランドで動作し、ユーザーの操作は必要ありません。 ただし、ユーザ
ーの操作が必要になる場合もあります。 たとえば、ソフトウェアの更新やマルウェアのスキャンを手動で実行しま
す。 管理者が設定したポリシーによっては、ユーザーにセキュリティ設定の変更が許可されている場合があります。
管理者は、McAfee ePO または McAfee ePO Cloud を使用してクライアント ソフトウェアの設定と管理を一元的に
行うことができます。
最新の Endpoint Security 管理ライセンスと使用権については、KB87057 を参照してください。
関連トピック:
21 ページの「保護対策に関する情報を取得する」
保護対策を最新の状態にする方法
Endpoint Security を定期的に更新することで、新たに発生する脅威からコンピューターを保護することができま
す。
クライアント ソフトウェアは、ローカルまたはリモートの McAfee ePO サーバーに接続するか、インターネット上
のサイトに直接アクセスして更新を実行します。Endpoint Security は、次のものを確認します。
•
脅威の検出に使用するコンテンツ ファイルの更新。 コンテンツ ファイルには、ウイルスやスパイウェアなどの
脅威が定義されています。新しい脅威が検出されると、これらの定義が更新されます。
•
パッチや HotFix など、ソフトウェア コンポーネントのアップグレード。
説明を分かりやすくするため、このヘルプでは、更新とアップグレードの両方を更新と表します。
通常、更新はバックグラウンドで自動的に実行されます。 また、更新の有無を手動で確認しなければならない場合も
あります。 設定によっては、
手動で更新できます。
をクリックして Endpoint Security クライアント の保護対策を
関連トピック:
22 ページの「コンテンツとソフトウェアを手動で更新する」
10
McAfee Endpoint Security 10.5
製品ガイド
概要
Endpoint Security がシステムを保護する仕組み
1
コンテンツ ファイルの機能
スキャナーは、スキャンするファイルの内容と AMCore コンテンツ ファイルに記述されている脅威情報を比較して
感染の有無を確認します。 Exploit Prevention は、独自のコンテンツ ファイルを使用してエクスプロイトを阻止し
ます。
McAfee Labs では、確認した脅威の情報 (シグネチャ) をコンテンツ ファイルに追加しています。 コンテンツ ファ
イルには、シグネチャの他に、マルウェアの駆除方法や被害からの回復方法が記述されています。 新しい脅威が次々
に出現しています。McAfee Labs では、コンテンツ ファイルの更新を定期的にリリースしています。
インストールされているコンテンツ ファイルに脅威のシグネチャが定義されていない場合、スキャン エンジンはその
脅威を検出できず、システムが攻撃を受けやすい状態になります。
Endpoint Security は、現在読み込まれているコンテンツ ファイルと前の 2 つのバージョンを Program Files
\Common Files\McAfee\Engine\content フォルダーに保存します。 必要であれば、前のバージョンに戻すことが
できます。
新しいマルウェアが出現し、コンテンツの定期更新以外に追加の検出定義を提供する必要がある場合、McAfee Labs
は Extra.DAT ファイルをリリースします。
AMCore コンテンツ パッケージ
McAfee Labs では、AMCore コンテンツ パッケージを毎日午後 7 時 (GMT/UTC) にリリースしています。 新しい
脅威の状況によっては、AMCore コンテンツ ファイルのリリース時間が前後する可能性があります。
遅延や重要な通知に関するアラートを受信するには、Support Notification Service (SNS) を購読してください。
KB67828 を参照してください。
AMCore コンテンツ パッケージには次のコンポーネントが含まれています。
•
AMCore - エンジンとコンテンツ
脅威対策のスキャン エンジンとシグネチャの更新が含まれます。この更新には脅威研究の成果が反映されていま
す。
•
適応型脅威対策 - スキャナーとルール
エンドポイント上のファイルとプロセスのレピュテーションを動的に計算するルールが含まれています。
McAfee では、新しい適応型脅威対策のコンテンツ ファイルを 2 か月ごとにリリースしています。
適応型脅威対策は、Endpoint Security のオプション モジュールです。 脅威情報の情報源と機能を追加するに
は、Threat Intelligence Exchange サーバーを配備します。 詳細については、販売店または営業担当者に確認
してください。
•
Real Protect - エンジンとコンテンツ
Real Protect のスキャン エンジンとシグネチャの更新が含まれます。この更新には脅威研究の成果が反映され
ています。
Real Protect は、適応型脅威対策のオプション モジュールです。
エクスプロイト防止コンテンツ パッケージ
エクスプロイト防止のコンテンツ パッケージには次のものが含まれています。
•
メモリー保護のシグネチャ - 汎用的なバッファー オーバーフロー対策 (GBOP)、呼び出し側の検証、汎用特権
昇格の防止 (GPEP)、対象の API モニタリング
•
アプリケーション保護リスト - エクスプロイト防止が保護するプロセス。
McAfee Endpoint Security 10.5
製品ガイド
11
1
概要
Endpoint Security の使い方
エクスプロイト防止のコンテンツは、McAfee Host IPS コンテンツ ファイルに類似しています。 KB51504 を参照
してください。
McAfee は、月に 1 回、新しいエクスプロイト防止コンテンツ ファイルを公開しています。
Endpoint Security の使い方
Endpoint Security では、ビジュアルなコンポーネントを使用して Endpoint Security クライアントを操作できま
す。
•
Windows システム トレイの McAfee アイコン - Endpoint Security クライアントを開始し、セキュリティ ス
テータスを表示できます。
•
通知メッセージ - ファイアウォールの侵入検知とレピュテーション不明のファイルを警告し、ユーザーに操作を
確認します。
•
[オンアクセス スキャン] ページ - オンアクセス スキャナーが脅威を検出すると、脅威検出リストを表示しま
す。
•
Endpoint Security クライアント - 現在の保護状況が表示されます。機能にアクセスできます。
管理対象システムの場合、管理者がポリシーの設定と割り当てを行い、表示するコンポーネントを指定します。
関連トピック:
12 ページの「McAfee システム トレイ アイコンからの Endpoint Security タスクの実行」
14 ページの「通知メッセージについて」
59 ページの「脅威検出を管理する」
14 ページの「Endpoint Security クライアントについて」
McAfee システム トレイ アイコンからの Endpoint Security タスクの実行
Windows システム トレイの McAfee アイコンを使用すると、Endpoint Security クライアントと基本的なタスク
にアクセスできます。
設定により、McAfee アイコンが使用可能かどうかが決まります。
McAfee システム トレイ アイコンを右クリックすると、次の操作を実行できます。
セキュリティ ステータスを確認
する。
[セキュリティ状況の表示] を選択して、[McAfee セキュリティ ステータス] ペ
ージを表示する。
Endpoint Security クライアント [McAfee Endpoint Security] を選択する。
を開く。
セキュリティ対策とソフトウェア [セキュリティ対策の更新] を選択します。
を手動で更新する。
12
McAfee Endpoint Security 10.5
製品ガイド
概要
Endpoint Security の使い方
1
ファイアウォールを無効または再 [クイック設定] メニューから [Endpoint Security ファイアウォールを無効に
度有効にする。
する] を選択します。
ファイアウォールが無効になっている場合、[Endpoint Security ファイアウォ
ールを有効にする] が表示されます。
ファイアウォール期限付きグルー [クイック設定] メニューからオプションを選択します。
プを表示し、有効または無効にす
• [ファイアウォール期限付きグループを有効にする] - ファイアウォール期
る。
限付きグループを有効にし、所定の期間、アクセスを制限するルールを適用
する前にインターネット アクセスを許可します。 期限付きグループが有効
になっている場合、このオプションは [ファイアウォール期限付きグループを
無効にする] になります。
このオプションを選択するたびに、グループの期限がリセットされます。
設定によっては、ファイアウォールを有効にする理由を入力するように指示
される場合があります。
• [ファイアウォール期限付きグループを表示する] - 期限付きグループの名
前と各グループの残り時間を表示します。
設定によっては、これらのオプションが使用できない場合があります。
アイコンと Endpoint Security のステータス
Endpoint Security の状態によって、表示されるアイコンが変わります。 アイコンの上にマウスを移動すると、状
態を表すメッセージが表示されます。
アイコ
ン
意味...
Endpoint Security がシステムを保護しています。問題はありません。
Endpoint Security がセキュリティの問題を検出しました。たとえば、モジュールまたは技術が無効にな
っています。
• ファイアウォールが無効になっています。
• 脅威対策 — エクスプロイト防止、オンアクセス スキャンまたは ScriptScan が無効です。
Endpoint Security が問題を報告しています。報告されている問題は、管理タイプによって異なります。
• 自社管理:
• 1 つ以上の技術が無効になっています。
• 1 つ以上の技術が応答しません。
• 管理対象:
• 1 つ以上の技術が無効になっています。管理サーバーまたは Endpoint Security クライアントから
のポリシー施行が原因ではありません。
• 1 つ以上の技術が応答しません。
問題が検出されると、無効になっているモジュールまたは技術が [McAfee セキュリティ ステータス] ペ
ージに表示されます。
関連トピック:
23 ページの「更新対象」
McAfee Endpoint Security 10.5
製品ガイド
13
1
概要
Endpoint Security の使い方
通知メッセージについて
Endpoint Security は、2 種類のメッセージを使用して、保護対策の問題を通知したり、ユーザーに入力を要求しま
す。 設定によっては、一部のメッセージが表示されない場合があります。
Endpoint Security で通知メッセージを表示するには、McTray.exe プロセスが実行されている必要があります。
Endpoint Security は、次の 2 種類の通知を送信します。
•
アラート。McAfee アイコンから 5 秒間ポップアップ表示されます。
脅威の検出を通知します。ファイアウォール侵入イベントや、オンデマンド スキャンの一時停止または再開を通
知します。 ユーザーにアクションを要求することはありません。
•
プロンプト。画面の下部にページが開き、ユーザーがオプションを選択するまで表示されます。
例:
•
スケジュール スキャンが開始する前に、Endpoint Security のプロンプトが表示され、スキャンを延期する
かどうか確認される場合があります。
•
オンアクセス スキャナーが脅威を検出すると、Endpoint Security のプロンプトが表示され、検出に対する
対応が確認される場合があります。
•
適応型脅威対策 がレピュテーションの不明なファイルを検出すると、Endpoint Security がファイルの処理
(許可またはブロック) をユーザーに確認する場合があります。
Windows 8 と 10 は、トースト通知 (ポップアップされるメッセージ) を使用してアラートとプロンプトの両方を通
知します。 トースト通知をクリックすると、デスクトップ モードで通知が表示されます。
関連トピック:
20 ページの「脅威検出プロンプトに応答する」
21 ページの「スキャン プロンプトに応答する」
176 ページの「ファイル レピュテーション プロンプトに応答する」
Endpoint Security クライアントについて
Endpoint Security クライアントを使用すると、コンピューターの保護状態を確認し、機能にアクセスできます。
•
[アクション] メニュー
[設定]
のオプションを使用すると、機能にアクセスできます。
機能を設定します。
このメニュー オプションは、次のいずれかの場合に使用できます。
• クライアント インターフェース モードが [フル アクセス] に設定されている。
• 管理者としてログオンしている。
[Extra.DAT の読み
込み]
ダウンロードした Extra.DAT ファイルをインストールできます。
[AMCore コンテン
ツのロールバック]
AMCore コンテンツを以前のバージョンに戻します。
このメニュー オプションは、システムに AMCore コンテンツの前のバージョンが存在
し、次のいずれかの条件を満たす場合に使用できます。
• クライアント インターフェース モードが [フル アクセス] に設定されている。
• 管理者としてログオンしている。
14
[ヘルプ]
ヘルプを表示します。
[サポート リンク]
McAfee ServicePortal や Knowledge Center など、有益な情報が掲載されているペー
ジへのリンクが表示されます。
McAfee Endpoint Security 10.5
製品ガイド
概要
Endpoint Security の使い方
1
[管理者としてログオ サイト管理者としてログオンします。 管理者の認証情報が必要です。
ン]
このメニュー オプションは、クライアント インターフェース モード が [フル アクセ
ス] に設定されていない場合に使用できます。 管理者としてログオンしていると、この
オプションは [管理者としてログオフ] になります。
•
[バージョン情報]
Endpoint Security に関する情報が表示されます。
[終了]
Endpoint Security クライアントを終了します。
ページの右上にあるボタンを使用すると、頻繁に実行するタスクにすぐにアクセスできます。
フル スキャンまたはクイック スキャンでマルウェアの有無を検査します。
このボタンは、脅威対策モジュールがインストールされている場合にのみ使用でき
ます。
コンピューターでコンテンツ ファイルとソフトウェア コンポーネントを更新しま
す。
設定によっては、このボタンが表示されない場合があります。
•
ページの左側にあるボタンを使用すると、保護対策の情報を確認できます。
[ステータス]
メインの [ステータス] ページに戻ります。
[イベント ログ] このコンピューターで発生したすべての保護イベントと脅威イベントのログが表示されます。
[隔離]
[隔離マネージャー] を開きます。
このボタンは、脅威対策モジュールがインストールされている場合にのみ使用できます。
•
脅威サマリー には、システムで Endpoint Security が過去 30 日間に検出した脅威の情報が表示されます。
関連トピック:
29 ページの「Extra.DAT ファイルを読み込む」
26 ページの「管理者としてログオンする」
55 ページの「マルウェアをスキャンする」
22 ページの「コンテンツとソフトウェアを手動で更新する」
23 ページの「イベント ログを表示する」
60 ページの「隔離項目を管理する」
26 ページの「Endpoint Security の管理」
15 ページの「脅威サマリーについて」
脅威サマリーについて
Endpoint Security クライアント の [ステータス] ページには、過去 30 日間にシステムで検出された脅威のサマリ
ーがリアルタイムで表示されます。
新しい脅威が検出されると、[ステータス] ページが更新され、下部ペインの [脅威サマリー] 領域に最新の情報が表
示されます。
McAfee Endpoint Security 10.5
製品ガイド
15
1
概要
Endpoint Security の使い方
脅威サマリーには次の情報が表示されます。
•
最後に脅威を排除した日付
•
上位 2 つの脅威ベクトル (カテゴリ別):
[Web]
Web ページまたはダウンロードに存在する脅威
[外部デバイスまたはメデ USB、1394 Firewire、eSATA、テープ、CD、DVD、ディスクなどの外部デバイス
ィア]
に存在する脅威
•
[ネットワーク]
ネットワークに存在する脅威 (ネットワーク ファイル共有を除く)。
[ローカル システム]
ローカルのブート ファイル システム ドライブ (通常は C:) または外部デバイスま
たはメディアとして分類されていないドライブに存在する脅威
[ファイル共有]
ネットワーク ファイル共有に存在する脅威
[電子メール]
電子メールに存在する脅威
[インスタント メッセー
ジ]
インスタント メッセージに存在する脅威
[不明]
エラー条件や他の障害で攻撃ベクトルが特定できない脅威。
脅威ベクトルごとに脅威の数が表示されます。
Endpoint Security クライアント がイベント マネージャーに接続できない場合、Endpoint Security クライアント
が通信エラー メッセージを表示します。 この場合、システムを再起動して脅威サマリーを表示します。
設定によるクライアント アクセスの制御
コンピューターに割り当てられたクライアント インターフェース モードの設定によって、ユーザーがアクセス可能
なモジュールと機能が決まります。
共通設定の設定でクライアント インターフェース モードを変更します。
管理対象システムの場合、McAfee ePO からポリシーを変更すると、[設定] ページから行った変更が上書きされます。
クライアントのクライアント インターフェース モードのオプションは次のとおりです。
16
McAfee Endpoint Security 10.5
製品ガイド
概要
Endpoint Security の使い方
[フル アク
セス]
1
すべての機能に対するアクセスを許可します。次の操作を実行できます。
• 個々のモジュールの有効化と無効化
• [設定] ページにアクセスして Endpoint Security クライアントの設定を表示したり、変更できま
す。
(デフォルト)
[標準アクセ 保護状態が表示されます。ほとんどの機能にアクセスできます。
ス]
• コンピューターのコンテンツ ファイルをソフトウェア コンポーネントを更新します (管理者が有
効にしている場合)。
• システムのすべての領域を徹底的に検査します (コンピューターで感染が疑われる場合に推奨)。
• システムで最も感染しやすい領域をすばやく検査します (2 分程度で完了します)。
• イベント ログにアクセスします。
• 隔離領域の項目を管理します。
インターフェース モードが [標準アクセス] に設定されている場合、管理者としてログインすると、
設定を含むすべての機能にアクセスできます。
[クライアン クライアントにアクセスするときに、パスワードの入力が要求されます。
ト インター クライアント インターフェースのロックを解除すると、すべての機能にアクセスできます。
フェースを
ロック]
Endpoint Security クライアントや、必要なタスクと機能にアクセスできない場合には、管理者に連絡してください。
関連トピック:
32 ページの「クライアント インターフェースに対するアクセスを制御する」
クライアントに対するインストール済みモジュールの影響
コンピューターにインストールされているモジュールによっては、クライアントの一部の機能が使用できない場合が
あります。
次の機能は、脅威対策がインストールされている場合にのみ使用できます。
•
ボタン
•
[隔離] ボタン
McAfee Endpoint Security 10.5
製品ガイド
17
1
概要
Endpoint Security の使い方
システムにインストールされている機能によって、表示される機能が異なります。
•
イベント ログの [モジュールでフィルタリング] ドロップダウン リスト。
•
[設定] ページ。
[共通設定]
任意のモジュールがインストールされている場合に表示されます。
[脅威対策]
脅威対策がインストールされている場合にのみ表示されます。
[ファイアウォール] ファイアウォールがインストールされている場合にのみ表示されます。
[Web 管理]
Web 管理がインストールされている場合にのみ表示されます。
[適応型脅威対策]
適応型脅威対策と脅威対策がインストールされている場合にのみ表示されます。
適応型脅威対策 は、McAfee ePO Cloud で管理されているシステムで使用できません。
クライアント インターフェース モードと管理者の設定によっては、機能の一部またはすべてが使用できない場合があ
ります。
関連トピック:
16 ページの「設定によるクライアント アクセスの制御」
18
McAfee Endpoint Security 10.5
製品ガイド
2
Endpoint Security クライアント の使用
クライアントを標準アクセス モードで使用すると、システム スキャンや隔離項目の管理など、大半の機能を実行で
きます。
目次
Endpoint Security クライアント を開く
ヘルプを見る
プロンプトに応答する
保護対策に関する情報を取得する
コンテンツとソフトウェアを手動で更新する
イベント ログを表示する
Endpoint Security の管理
Endpoint Security クライアント インターフェース リファレンス - 共通設定
Endpoint Security クライアント を開く
Endpoint Security クライアント を開いて、コンピューターにインストールされている保護機能の状態を確認でき
ます。
インターフェース モードが [クライアント インターフェースのロック] に設定されている場合には、管理者のパスワ
ードを入力して Endpoint Security クライアント を開く必要があります。
タスク
1
2
Endpoint Security クライアント を表示するには、次のいずれかの方法を使用します。
•
システム トレイ アイコンを右クリックして、[McAfee Endpoint Security] を選択します。
•
[スタート] 、 [すべてのプログラム] 、 [McAfee] 、 [McAfee Endpoint Security] の順に選択します。
•
Windows 8 と 10 の場合、[McAfee Endpoint Security] アプリを開始します。
1
Windows キーを押します。
2
検索領域で McAfee Endpoint Security と入力して、[McAfee Endpoint Security] アプリをダブル
クリックまたはタッチします。
[管理者としてログオン] ページでプロンプトが表示されたら、管理者のパスワードを入力して [ログオン] をクリ
ックします。
管理者が設定したインターフェース モードで Endpoint Security クライアント が開きます。
関連トピック:
26 ページの「クライアント インターフェースのロックを解除する」
McAfee Endpoint Security 10.5
製品ガイド
19
2
Endpoint Security クライアント の使用
ヘルプを見る
ヘルプを見る
クライアントでの作業中にヘルプを表示するには、[ヘルプ] メニュー オプションを使用するか、[?] アイコンをクリ
ックします。
Internet Explorer で Endpoint Security のヘルプを表示するには、[セキュリティ設定] 、 [スクリプト] 、 [アクテ
ィブ スクリプト] の順に移動して、ブラウザーでアクティブ スクリプトを有効にする必要があります。
タスク
1
Endpoint Security クライアントを開きます。
2
表示しているページによって操作が異なります。
•
[ステータス]、[イベント ログ]、[隔離] ページ: [アクション] メニュー
•
[設定]、[更新]、[システムのスキャン]、[AMCore コンテンツのロールバック]、[Extra.DAT の読み込み] ペ
ージ: インターフェースの [?] をクリックします。
から [ヘルプ] を選択します。
プロンプトに応答する
設定によっては、脅威の検出時またはスケジュール スキャンの開始前に Endpoint Security が確認を行う場合があ
ります。
タスク
•
20 ページの「脅威検出プロンプトに応答する」
設定によっては、スキャナーが脅威を検出したときに Endpoint Security のプロンプトが表示され、処
理の続行が確認される場合があります。
•
21 ページの「スキャン プロンプトに応答する」
スケジュール スキャンが開始する前に、Endpoint Security のプロンプトが表示され、スキャンを実行
するかどうか確認される場合があります。 このプロンプトは、スキャンの延期、一時停止、再開または
キャンセルを許可している場合にのみ表示されます。
脅威検出プロンプトに応答する
設定によっては、スキャナーが脅威を検出したときに Endpoint Security のプロンプトが表示され、処理の続行が
確認される場合があります。
Windows 8 と 10 は、トースト通知 (ポップアップされるメッセージ) を使用してアラートとプロンプトの両方を通
知します。 トースト通知をクリックすると、デスクトップ モードで通知が表示されます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
•
[オンアクセス スキャン] ページで、脅威検出の管理オプションを選択します。
スキャン ページはいつでも再表示できます。
Endpoint Security サービスまたはシステムが再起動すると、オンアクセス スキャンの検出リストがクリアされ
ます。
関連トピック:
59 ページの「脅威検出を管理する」
20
McAfee Endpoint Security 10.5
製品ガイド
Endpoint Security クライアント の使用
保護対策に関する情報を取得する
2
スキャン プロンプトに応答する
スケジュール スキャンが開始する前に、Endpoint Security のプロンプトが表示され、スキャンを実行するかどう
か確認される場合があります。 このプロンプトは、スキャンの延期、一時停止、再開またはキャンセルを許可してい
る場合にのみ表示されます。
オプションを選択しないと、スキャンが自動的に開始します。
管理対象システムで、コンピューターがアイドル状態のときにのみスキャンを実行するように設定している場合、ス
キャンを一時停止すると Endpoint Security がダイアログを表示します。 一時停止したスキャンをアイドル状態の
ときにのみ再開するように設定することもできます。
Windows 8 と 10 は、トースト通知 (ポップアップされるメッセージ) を使用してアラートとプロンプトの両方を通
知します。 トースト通知をクリックすると、デスクトップ モードで通知が表示されます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
•
プロンプトで、次のいずれかのオプションを選択します。
表示されるオプションは、スキャンの設定によって異なります。
[今すぐスキャン]
スキャンをすぐに開始します。
[スキャン結果の表
示]
実行中のスキャン結果を表示します。
[スキャンを一時停
止]
スキャンを一時停止します。 設定によっては、[スキャンを一時停止] をクリックして停
止したスキャンがアイドル状態にならないと再開しない場合があります。 [スキャンを
再開] をクリックします。アイドル状態になると、スキャンが再開します。
[スキャンを再開]
一時停止したスキャンを再開します。
[スキャンをキャンセ スキャンをキャンセルします。
ル]
[スキャンを延期]
指定した時間、スキャンを延期します。
スケジュール スキャン オプションによって、1 時間以内にスキャンを延期できる回数が
決まります。 複数回スキャンを延期できる場合もあります。
[閉じる]
スキャン ページを閉じます。
設定によっては、スキャナーが脅威を検出したときに Endpoint Security のプロンプトが表示され、処理の続行
が確認される場合があります。
保護対策に関する情報を取得する
管理タイプ、保護対策のモジュール、機能、ステータス、バージョン番号、ライセンスなど、Endpoint Security に
関する情報を取得できます。
タスク
1
Endpoint Security クライアントを開きます。
2
[アクション] メニュー
3
左側にあるモジュールまたは機能の名前をクリックして、情報を表示します。
4
ブラウザーの [閉じる] ボタンをクリックして、[バージョン情報] ページを終了します。
McAfee Endpoint Security 10.5
から [バージョン情報] を選択します。
製品ガイド
21
2
Endpoint Security クライアント の使用
コンテンツとソフトウェアを手動で更新する
関連トピック:
22 ページの「管理タイプ」
19 ページの「Endpoint Security クライアント を開く」
管理タイプ
管理タイプは、Endpoint Security の管理方法を表します。
管理対象システムの場合、McAfee ePO からポリシーを変更すると、[設定] ページから行った変更が上書きされます。
管理タイプ
説明
McAfee ePolicy
Orchestrator
管理者は、Endpoint Security (オンプレミス) を使用して McAfee ePO を管理します。
McAfee ePolicy
Orchestrator Cloud
自己管理
管理者は、Endpoint Security を使用して McAfee ePO Cloud を管理します。
最新の Endpoint Security 管理ライセンスと使用権については、KB87057 を参照して
ください。
Endpoint Security は、Endpoint Security クライアントを使用してローカルで管理さ
れます。 このモードは、管理対象外、スタンドアロンともいいます。
コンテンツとソフトウェアを手動で更新する
Endpoint Security クライアントからコンテンツ ファイルとソフトウェア コンポーネントの更新を手動で確認し、
ダウンロードすることができます。
手動更新はオンデマンド更新ともいいます。
McAfee システム トレイ アイコンから手動で更新を実行することもできます。
Endpoint Security では、更新されたコンテンツ ファイルを手動で取得し、クライアント システムにコピーできませ
ん。 特定のコンテンツ バージョンに更新する必要がある場合には、 McAfee サポート に連絡してください。
タスク
1
Endpoint Security クライアントを開きます。
2
[今すぐ更新] をクリックします。
このボタンがクライアントに表示されない場合には、設定で有効にできます。
Endpoint Security クライアントが更新を確認します。
[更新] ページには、前回の更新に関する情報が表示されます。[実行なし]、[今日] または前回の日時が表示され
ます。
更新をキャンセルするには、[キャンセル] をクリックします。
•
更新が完了すると、このページには [更新完了] が表示され、前回の更新として [今日] が表示されます。
•
更新に失敗すると、[メッセージ] 領域にエラーが表示されます。
詳細については、PackageManager_Activity.log または PackageManager_Debug.log を表示してくださ
い。
3
22
[閉じる] をクリックして、[更新] ページを終了します。
McAfee Endpoint Security 10.5
製品ガイド
Endpoint Security クライアント の使用
イベント ログを表示する
2
関連トピック:
12 ページの「McAfee システム トレイ アイコンからの Endpoint Security タスクの実行」
10 ページの「保護対策を最新の状態にする方法」
24 ページの「Endpoint Security のログ ファイル名と場所」
23 ページの「更新対象」
36 ページの「開始する更新のデフォルトの動作を設定する」
19 ページの「Endpoint Security クライアント を開く」
更新対象
Endpoint Security は、更新方法や設定に応じて、セキュリティ コンテンツとソフトウェア (HotFix とパッチ) を
別々に更新します。
[今すぐ更新] ボタンの表示と動作は変更可能です。
更新方法
更新
McAfee システム トレイ メニューの [セキュリティの更
新] オプション。
コンテンツとソフトウェア。
Endpoint Security クライアントの [今すぐ更新] ボタン
コンテンツまたはソフトウェア (あるいはその両方)。
設定によって異なります。
関連トピック:
22 ページの「コンテンツとソフトウェアを手動で更新する」
イベント ログを表示する
アクティビティ ログとデバッグ ログには、McAfee が保護するシステムで発生したイベントが記録されます。 イベ
ント ログは、Endpoint Security クライアント から表示できます。
タスク
ヘルプを利用するには、[アクション] メニュー
から [ヘルプ] を選択します。
1
Endpoint Security クライアント を開きます。
2
ページの左側にある [イベント ログ] をクリックします。
このページには、過去 30 日に Endpoint Security がシステムで記録したイベントが表示されます。
Endpoint Security クライアントがイベント マネージャーに接続できない場合、通信エラー メッセージが表示
されます。 この場合、システムを再起動して イベント ログ を表示します。
3
上部ペインからイベントを選択すると、下部ペインに詳細が表示されます。
ペインの相対サイズを変更するには、ペインの境界にあるサッシュ ウィジェットをクリックしてドラッグします。
McAfee Endpoint Security 10.5
製品ガイド
23
2
Endpoint Security クライアント の使用
イベント ログを表示する
4
[イベント ログ] ページでは、イベントのソート、検索、フィルタリング、再読み込みを実行できます。
表示されるオプションは、スキャンの設定によって異なります。
操作...
手順
イベントを日付、機能、実行した テーブルの列見出しをクリックします。
アクション、重大度でソートする。
イベント ログを検索する。
[検索] フィールドに検索文字列を入力して Enter を押すか、[検索] をクリ
ックします。
検索では大文字と小文字が区別されます。イベント ログのすべてのフィー
ルドが検索対象になります。 条件に該当するすべての要素がイベント リス
トに表示されます。
検索を取り消してすべてのイベントを表示するには、[検索] フィールドの
[x] をクリックします。
重大度またはモジュールでイベン フィルターのドロップダウン リストからオプションを選択します。
トをフィルタリングする。
フィルターを削除してすべてのイベントを表示するには、ドロップダウン リ
ストから [すべてのイベントを表示] を選択します。
新しいイベントが発生したら [イ
ベント ログ] の画面を更新する。
ログ ファイルのあるフォルダー
を開く。
5
をクリックします。
[ログ フォルダーの表示] をクリックします。
イベント ログ 内を移動します。
操作...
手順
前のページのイベントを表示する。
[前のページ] をクリックします。
次のページのイベントを表示する。
[次のページ] をクリックします。
ログの特定のページを表示する。
ページ番号を入力して Enter を押すか、[実行] をクリックします。
イベント ログ のデフォルトでは、1 ページに 20 件のイベントが表示されます。 1 ページに表示するイベント
の件数を増やすには、[1 ページあたりのイベント数] ドロップダウン リストからオプションを選択します。
関連トピック:
24 ページの「Endpoint Security のログ ファイル名と場所」
19 ページの「Endpoint Security クライアント を開く」
Endpoint Security のログ ファイル名と場所
アクティビティ ログ、エラー ログとデバッグ ログには、Endpoint Security が有効になっているシステムで発生し
たイベントが記録されます。 共通設定の設定でロギングを設定します。
アクティビティ ログ ファイルは、デフォルトのシステム ロケールで指定されている言語で表示されます。
アクティビティ ログとデバッグ ログは、次の場所に保存されます。
%ProgramData%\McAfee\Endpoint Security\Logs
それぞれのモジュール、機能または技術は、別のファイルにアクティビティ ログとデバッグ ログを記録します。 す
べてのモジュールが 1 つのファイル (EndpointSecurityPlatform_Errors.log) にエラーを記録します。
モジュールでデバッグ ロギングを有効にすると、自己保護などの共通設定モジュールのデバッグ ロギングも有効に
なります。
24
McAfee Endpoint Security 10.5
製品ガイド
Endpoint Security クライアント の使用
イベント ログを表示する
2
表 2-1 ログ ファイル
モジュール
機能または技術
ファイル名
EndpointSecurityPlatform_Activity.log
共通設定
EndpointSecurityPlatform_Debug.log
自己保護
SelfProtection_Activity.log
SelfProtection_Debug.log
更新
PackageManager_Activity.log
PackageManager_Debug.log
エラー
EndpointSecurityPlatform_Errors.log
すべてのモジュールのエラー ログを記録します。
脅威対策
Endpoint Security クライアン
ト
MFEConsole_Debug.log
脅威対策でデバッグ ロギングを
有効にすると、Endpoint
Security クライアントのデバッ
グ ロギングも有効になります。
ThreatPrevention_Activity.log
アクセス保護
AccessProtection_Activity.log
ThreatPrevention_Debug.log
AccessProtection_Debug.log
エクスプロイト防止
ExploitPrevention_Activity.log
ExploitPrevention_Debug.log
オンアクセス スキャン
OnAccessScan_Activity.log
OnAccessScan_Debug.log
オンデマンド スキャン
OnDemandScan_Activity.log
• クイック スキャン
OnDemandScan_Debug.log
• フル スキャン
• 右クリック スキャン
Firewall_Activity.log
ファイアウォー
ル
Firewall_Debug.log
FirewallEventMonitor.log
設定に従って、ブロックされたトラフィック イベントと許可
されたトラフィック イベントが記録されます。
WebControl_Activity.log
Web 管理
WebControl_Debug.log
AdaptiveThreatProtection_Activity.log
適応型脅威対策
AdaptiveThreatProtection_Debug.log
アプリケーションの動的隔離
DynamicApplicationContainment_Activity.log
DynamicApplicationContainment_Debug.log
デフォルトでは、インストール ログ ファイルは次の場所にあります。
%TEMP%\McAfeeLogs (Windows ユーザーの一時フォルダー)
McAfee Endpoint Security 10.5
製品ガイド
25
2
Endpoint Security クライアント の使用
Endpoint Security の管理
Endpoint Security の管理
管理者は、Endpoint Security クライアント から Endpoint Security を管理できます。機能を有効または無効にし
たり、コンテンツ ファイルを管理できます。また、クライアント インターフェースの動作を指定したり、共通の設
定を行うことができます。
管理対象システムの場合、McAfee ePO からポリシーを変更すると、[設定] ページから行った変更が上書きされます。
関連トピック:
26 ページの「管理者としてログオンする」
26 ページの「クライアント インターフェースのロックを解除する」
27 ページの「機能を有効または無効にする」
27 ページの「AMCore コンテンツのバージョンを変更する」
28 ページの「Extra.DAT ファイルを使用する」
30 ページの「共通設定を行う」
管理者としてログオンする
Endpoint Security クライアントに管理者としてログオンして、機能を有効または無効にしたり、設定を行います。
開始する前に
Endpoint Security クライアントのインターフェース モードを [標準アクセス] に設定する必要があり
ます。
タスク
ヘルプを利用するには、[アクション] メニュー
から [ヘルプ] を選択します。
1
Endpoint Security クライアントを開きます。
2
[アクション] メニュー
3
[パスワード] フィールドに管理者のパスワードを入力して、[ログオン] をクリックします。
から [管理者としてログイン] を選択します。
Endpoint Security クライアントのすべての機能にアクセスできます。
ログオフするには、[アクション] 、 [管理者としてログオフ] の順に選択します。 クライアントのインターフェース
モードが [標準アクセス] に戻ります。
クライアント インターフェースのロックを解除する
Endpoint Security クライアントのインターフェースがロックされた場合、管理者パスワードでインターフェースの
ロックを解除すると、すべての設定にアクセスできます。
開始する前に
Endpoint Security クライアントのインターフェース モードを [クライアント インターフェースをロ
ック] に設定する必要があります。
26
McAfee Endpoint Security 10.5
製品ガイド
Endpoint Security クライアント の使用
Endpoint Security の管理
2
タスク
1
Endpoint Security クライアントを開きます。
2
[管理者としてログオン] ページで、[パスワード] フィールドに管理者のパスワードを入力し、[ログオン] をクリ
ックします。
Endpoint Security クライアントが開き、クライアントのすべての機能にアクセスできます。
3
ログオフしてクライアントを終了するには、[アクション] メニュー
から [管理者としてログ] を選択します。
機能を有効または無効にする
管理者は、Endpoint Security クライアントから Endpoint Security の機能を有効または無効にすることができま
す。
開始する前に
Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、
管理者としてログオンしています。
[ステータス] ページに、有効なモジュールが表示されますが、実際の状態が反映されているとは限りません。 機能の
ステータスは、[設定] ページで確認できます。 たとえば、[ScriptScan を有効にする] の設定が正しく適用されてい
ない場合、ステータスは (ステータス: 無効) になります。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
Endpoint Security クライアントを開きます。
2
メインの [ステータス] ページで、モジュール名 ([脅威対策]、[ファイアウォール] など) をクリックします。
あるいは、[アクション] メニュー
3
から [設定] を選択し、[設定] ページでモジュール名をクリックします。
モジュールまたは機能の [有効] オプションを選択または選択解除します。
脅威対策の任意の機能を有効にすると、脅威対策モジュールが有効になります。
関連トピック:
26 ページの「管理者としてログオンする」
AMCore コンテンツのバージョンを変更する
Endpoint Security クライアントを使用して、システムの AMCore コンテンツのバージョンを変更します。
開始する前に
Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、
管理者としてログオンしています。
Endpoint Security は、現在読み込まれているコンテンツ ファイルと前の 2 つのバージョンを Program Files
\Common Files\McAfee\Engine\content フォルダーに保存します。 必要であれば、前のバージョンに戻すことが
できます。
エクスプロイト防止のコンテンツ更新はロールバックできません。
McAfee Endpoint Security 10.5
製品ガイド
27
2
Endpoint Security クライアント の使用
Endpoint Security の管理
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
Endpoint Security クライアントを開きます。
2
[アクション] メニューで、
3
読み込むバージョンをドロップダウンから選択します。
4
[適用] をクリックします。
[AMCore コンテンツのロールバック] を選択します。
読み込まれた AMCore コンテンツ ファイルの検出定義はすぐに有効になります。
関連トピック:
11 ページの「コンテンツ ファイルの機能」
26 ページの「管理者としてログオンする」
Extra.DAT ファイルを使用する
Extra.DAT ファイルをインストールすると、次の AMCore コンテンツ更新がリリースされるまで、マルウェアの大
量発生からシステムを保護できます。
タスク
•
29 ページの「Extra.DAT ファイルをダウンロードする」
Extra.DAT ファイルをダウンロードするには、McAfee Labs から提供されたダウンロード リンクをク
リックします。
•
29 ページの「Extra.DAT ファイルを読み込む」
ダウンロードした Extra.DAT ファイルをインストールするには、Endpoint Security クライアント を
使用します。
関連トピック:
28 ページの「Extra.DAT ファイルについて」
Extra.DAT ファイルについて
新しいマルウェアが出現し、追加の検出定義が必要になると、McAfee Labs が Extra.DAT ファイルをリリースしま
す。 Extra.DAT ファイルには、脅威対策 が新しいマルウェアを処理するために必要な情報が含まれています。
特定の脅威に対する Extra.DAT ファイルは、McAfee Labs Extra.DAT リクエスト ページからダウンロードできま
す。
脅威対策 では、一度に 1 つの Extra.DAT ファイルしか使用できません。
Extra.DAT ファイルには有効期限が設定されています。 Extra.DAT ファイルが読み込まれると、この有効期限とシ
ステムにインストールされている AMCore コンテンツの作成日が比較されます。 AMCore コンテンツの作成日が
Extra.DAT の有効期限よりも新しい場合、Extra.DAT は期限切れと見なされ、システムに読み込まれません。 次の
更新で Extra.DAT がシステムから削除されます。
AMCore コンテンツの次の更新に Extra.DAT のシグネチャが含まれている場合、Extra.DAT が削除されます。
Endpoint Security は、Extra.DAT ファイルを c:\Program Files\Common Files\McAfee\Engine\content
\avengine\extradat フォルダーに保存します。
28
McAfee Endpoint Security 10.5
製品ガイド
Endpoint Security クライアント の使用
Endpoint Security の管理
2
Extra.DAT ファイルをダウンロードする
Extra.DAT ファイルをダウンロードするには、McAfee Labs から提供されたダウンロード リンクをクリックしま
す。
タスク
1
ダウンロード リンクをクリックし、Extra.DAT ファイルの保存場所を指定して [保存] をクリックします。
2
必要であれば、EXTRA.ZIP ファイルを解凍します。
3
Endpoint Security クライアント で Extra.DAT ファイルを読み込みます。
Extra.DAT ファイルを読み込む
ダウンロードした Extra.DAT ファイルをインストールするには、Endpoint Security クライアント を使用します。
開始する前に
Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、
管理者としてログオンしています。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
Endpoint Security クライアントを開きます。
2
[アクション] メニュー
3
[参照] をクリックして、Extra.DAT ファイルをダウンロードした場所に移動し、[開く] をクリックします。
4
[適用] をクリックします。
から [Extra.DAT の読み込み] を選択します。
Extra.DAT の新しい検出定義がすぐに有効になります。
関連トピック:
26 ページの「管理者としてログオンする」
McAfee Endpoint Security 10.5
製品ガイド
29
2
Endpoint Security クライアント の使用
Endpoint Security の管理
共通設定を行う
Endpoint Security モジュールで、共通設定 のすべてのモジュールと機能に適用される設定を行います。 ここでは、
Endpoint Security クライアント インターフェースのセキュリティ、言語、ロギング、McAfee GTI のプロキシ サ
ーバー、更新などを設定します。
タスク
•
30 ページの「Endpoint Security リソースを保護する」
マルウェアが最初に行う攻撃の一つは、システムにインストールされているセキュリティ ソフトウェア
の無効化です。 Endpoint Security のサービスとファイルが停止されたり、変更されないように、共通
設定で自己保護を設定します。
•
31 ページの「ロギングを設定する」
共通設定 の設定で Endpoint Security ロギングを設定する
•
31 ページの「証明書による認証を許可する」
証明書を使用すると、McAfee プロセス内でのコードの実行をベンダーに許可できます。
•
32 ページの「クライアント インターフェースに対するアクセスを制御する」
Endpoint Security クライアントへのアクセスを制御するには、共通設定でパスワードを設定します。
•
33 ページの「McAfee GTI にプロキシ サーバーを設定する」
共通設定の設定で、McAfee GTI のレピュテーションを取得するプロキシ サーバーのオプションを指定
します。
Endpoint Security リソースを保護する
マルウェアが最初に行う攻撃の一つは、システムにインストールされているセキュリティ ソフトウェアの無効化で
す。 Endpoint Security のサービスとファイルが停止されたり、変更されないように、共通設定で自己保護を設定
します。
開始する前に
Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、
管理者としてログオンしています。
Endpoint Security 自己保護を無効にすると、システムが攻撃を受けやすくなります。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
Endpoint Security クライアントを開きます。
2
[アクション] メニュー
3
[詳細を表示] をクリックします。
4
[自己保護] で、[自己保護] が有効であることを確認します。
5
以下の Endpoint Security リソースにアクションを指定します。
6
30
から [設定] を選択します。
•
[ファイルとフォルダー] - ユーザーが McAfee データベース、バイナリ、バイナリ、安全検索ファイル、設
定ファイルを変更できないようにします。
•
[レジストリ] - ユーザーが McAfee レジストリの設定、COM コンポーネント、レジストリ値を使用した削
除を変更できないようにします。
•
[プロセス] - McAfee プロセスの停止を防ぎます。
[適用] をクリックして変更を保存するか、[キャンセル] をクリックします。
McAfee Endpoint Security 10.5
製品ガイド
Endpoint Security クライアント の使用
Endpoint Security の管理
2
関連トピック:
26 ページの「管理者としてログオンする」
ロギングを設定する
共通設定 の設定で Endpoint Security ロギングを設定する
開始する前に
Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、
管理者としてログオンしています。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
Endpoint Security クライアントを開きます。
2
[アクション] メニュー
3
[詳細を表示] をクリックします。
4
このページで [クライアント ロギング] を設定します。
5
[適用] をクリックして変更を保存するか、[キャンセル] をクリックします。
から [設定] を選択します。
関連トピック:
24 ページの「Endpoint Security のログ ファイル名と場所」
26 ページの「管理者としてログオンする」
証明書による認証を許可する
証明書を使用すると、McAfee プロセス内でのコードの実行をベンダーに許可できます。
プロセスが検出されると、証明書テーブルの情報がベンダー、サブジェクト、関連する公開鍵のハッシュで更新され
ます。
この設定を使用すると、互換性の問題が発生し、セキュリティ レベルが低下する可能性があります。
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
タスク
1
Endpoint Security クライアントを開きます。
2
[アクション] メニュー
3
[詳細を表示] をクリックします。
4
[証明書] セクションで、[許可] を選択します。
5
[適用] をクリックして変更を保存するか、[キャンセル] をクリックします。
から [設定] を選択します。
証明書の情報がテーブルに表示されます。
McAfee Endpoint Security 10.5
製品ガイド
31
2
Endpoint Security クライアント の使用
Endpoint Security の管理
クライアント インターフェースに対するアクセスを制御する
Endpoint Security クライアントへのアクセスを制御するには、共通設定でパスワードを設定します。
開始する前に
Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、
管理者としてログオンしています。
[クライアント インターフェース モード]には、デフォルトで [フルアクセス] が設定されています。ユーザーはセキュ
リティ設定を変更できますが、変更すると、システムはマルウェアの攻撃から保護されない可能性があります。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
Endpoint Security クライアントを開きます。
2
[アクション] メニュー
3
このページで [クライアント インターフェース モード] を設定します。
から [設定] を選択します。
ベストプラクティス: セキュリティを強化するため、[クライアント インターフェース モード] を [標準] または
[クライアント インターフェースをロック] に変更してください。 この両方のオプションを使用すると、Endpoint
Security クライアントの設定にアクセスするときに管理者パスワードが必要になります。
ベストプラクティス: 管理者のパスワードは定期的に変更してください。
4
[適用] をクリックして変更を保存するか、[キャンセル] をクリックします。
関連トピック:
32 ページの「管理者パスワードを設定した場合の影響」
26 ページの「管理者としてログオンする」
管理者パスワードを設定した場合の影響
インターフェース モードを 標準アクセス または クライアント インターフェースをロック に設定した場合、管理者
パスワードも設定する必要があります。 管理者は、ユーザーが Endpoint Security クライアントに一時的にアクセ
スするための期限付きパスワードを作成できます。
インターフェース モードを 標準アクセス または クライアント インターフェースをロック に設定すると、次のユー
ザーに影響を及ぼします。
32
McAfee Endpoint Security 10.5
製品ガイド
Endpoint Security クライアント の使用
Endpoint Security の管理
2
すべてのユー クライアント インターフェースをロック モードの場合、Endpoint Security クライアントにアクセ
ザー
スするために、ユーザーは管理者パスワードまたは仮のパスワードを入力する必要があります。
入力すると、インターフェース全体へのアクセスが許可されます。[設定] ページにアクセスして設
定を行うこともできます。
管理者以外
標準アクセス モードの場合、管理者以外のユーザーは次の操作を実行できます。
(管理者権限 • インストールされている Endpoint Security モジュールの情報 (バージョン、ステータスなど)
のないユーザ
を取得する。
ー)
• スキャンの実行
• 更新の確認 (有効な場合)
• 隔離領域の項目を表示して管理する。
• イベント ログ を表示する。
• ヘルプを参照したり、FAQ やサポート ページにアクセスする。
標準アクセス モードの場合、管理者以外のユーザーは次の操作を実行できません。
• [設定] ページで設定を表示または変更する。
• AMCore コンテンツをロールバックする。
• Extra.DAT ファイルを読み込む。
管理者
標準アクセス モードの場合、管理者は管理者パスワードまたは仮のパスワードを入力する必要があ
ります。
(管理者権限
のあるユーザ 入力すると、インターフェース全体へのアクセスが許可されます。[設定] ページにアクセスして設
ー)
定を行うこともできます。
McAfee GTI にプロキシ サーバーを設定する
共通設定の設定で、McAfee GTI のレピュテーションを取得するプロキシ サーバーのオプションを指定します。
開始する前に
Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、
管理者としてログオンしています。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
Endpoint Security クライアントを開きます。
2
[アクション] メニュー
3
[詳細を表示] をクリックします。
4
このページで、[McAfee GTI のプロキシ サーバー] を設定します。
から [設定] を選択します。
ベストプラクティス: プロキシ サーバーから McAfee GTI のアドレスを除外します。 詳細については、
KB79640 と KB84374 を参照してください。
5
[適用] をクリックして変更を保存するか、[キャンセル] をクリックします。
関連トピック:
26 ページの「管理者としてログオンする」
McAfee Endpoint Security 10.5
製品ガイド
33
2
Endpoint Security クライアント の使用
Endpoint Security の管理
更新の動作を設定する
共通設定の設定で、Endpoint Security クライアント から開始する更新の動作を指定します。
タスク
•
34 ページの「から更新のソール サイトを設定する」
共通設定の設定で Endpoint Security クライアントがセキュリティ ファイルの更新を取得するサイト
を設定できます。
•
36 ページの「開始する更新のデフォルトの動作を設定する」
共通設定の設定で、Endpoint Security クライアントから開始する更新のデフォルトの動作を指定でき
ます。
•
37 ページの「更新タスクとスケジュールを設定して実行する」
カスタム更新タスクを設定できます。また、[デフォルトのクライアント更新] タスクのスケジュールを
変更することもできます。これらの操作は、共通設定の Endpoint Security クライアントから行いま
す。
•
38 ページの「ミラーリング タスクとスケジュールを設定して実行する」
Endpoint Security クライアント共通設定設定の で、ミラーリング タスクを変更したり、スケジュー
ルを設定できます。
から更新のソール サイトを設定する
共通設定の設定で Endpoint Security クライアントがセキュリティ ファイルの更新を取得するサイトを設定できま
す。
開始する前に
Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、
管理者としてログオンしています。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
Endpoint Security クライアントを開きます。
2
[アクション] メニュー
3
[詳細を表示] をクリックします。
4
[共通設定] から [オプション] をクリックします。
5
このページで、[更新のソース サイト] を設定します。
から [設定] を選択します。
デフォルトのバックアップ ソース サイト ([McAfeeHttp]) と管理サーバー (管理対象システムの場合) を有効
または無効にできますが、これらを変更したり、削除することはできません。
サイトの順序によって、Endpoint Security が更新サイトを検索する順番が決まります。
34
McAfee Endpoint Security 10.5
製品ガイド
Endpoint Security クライアント の使用
Endpoint Security の管理
操作...
手順
リストにサイトを追加する。
1 [追加] をクリックします。
2
2 サイトの設定を指定して、[OK] をクリックします。
リストの先頭にサイトが表示されます。
既存のサイトを変更する。
1 サイト名をダブルクリックします。
2 設定を変更して、[OK] をクリックします。
サイトを削除する。
サイトを選択して、[削除] をクリックします。
ソース サイト リストからサイトを
インポートする。
1 [インポート] をクリックします。
2 インポートするファイルを選択して、[OK] をクリックします。
サイト リスト ファイルが既存のソースサイト リストと置換されます。
ソース サイト リストを
SiteList.xml ファイルにエクスポー
トする。
1 [すべてエクスポート] をクリックします。
2 ソースサイト リストの保存先を選択して、[OK] をクリックします。
リスト内のサイトの順番を変更する。 要素を移動するには、次の手順に従います。
1 移動する要素を選択します。
移動可能な要素の左側にグリップ
が表示されます。
2 ドラッグ アンド ドロップで要素を新し位置に移動します。
要素をドロップできる位置に青線が表示されます。
6
[適用] をクリックして変更を保存するか、[キャンセル] をクリックします。
関連トピック:
35 ページの「リポジトリ リストの内容」
36 ページの「デフォルトのクライアント更新 の機能」
26 ページの「管理者としてログオンする」
37 ページの「更新タスクとスケジュールを設定して実行する」
リポジトリ リストの内容
リポジトリ リストには、McAfee Agent が McAfee 製品 (エンジンと DAT ファイルを含む) の更新で使用するリポ
ジトリの情報が表示されます。
リポジトリ リストには以下の情報が含まれます。
•
リポジトリの情報および場所
•
リポジトリの優先順位
•
プロキシ サーバーの設定 (必要な場合)
•
各リポジトリへのアクセスに必要な暗号化された資格情報
McAfee Agent 製品更新 クライアント タスクを実行すると、リポジトリ リストの中で最初に使用可能なリポジトリ
(更新サイト) に接続します。 このリポジトリが使用不能な場合、リスト内の次のサイトに接続を試みます。この処
理は、接続に成功するかリストの最後に達するまで繰り返し実行されます。
ネットワークでプロキシ サーバーを使用している場合、使用するプロキシ設定、プロキシ サーバーのアドレス、お
よび認証を使用するかどうかを指定できます。 プロキシ情報は、リポジトリ リストに保存されています。 ここで構
成するプロキシ設定は、リポジトリ リストにあるすべてのリポジトリに適用されます。
McAfee Endpoint Security 10.5
製品ガイド
35
2
Endpoint Security クライアント の使用
Endpoint Security の管理
リポジトリ リストの場所はオペレーティング システムによって異なります。
オペレーティング システム リポジトリ リストの場所
Microsoft Windows 8
C:\ProgramData\McAfee\Common Framework\SiteList.xml
Microsoft Windows 7
以前のバージョン
C:\Documents and Settings\All Users\Application Data\McAfee\Common
Framework\SiteList.xml
開始する更新のデフォルトの動作を設定する
共通設定の設定で、Endpoint Security クライアントから開始する更新のデフォルトの動作を指定できます。
開始する前に
Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、
管理者としてログオンしています。
次の設定を使用します。
•
クライアントの
•
ボタンを表示または非表示にする。
ユーザーがボタンをクリックした場合またはデフォルトのクライアント更新タスクの実行時に更新する対象を指
定する。
デフォルトでは、デフォルトのクライアント更新タスクは毎日午前 1 時に実行されます。 さらに、午後 11 時 59
分まで 4 時間ごとに実行されます。
自社管理システムの場合、デフォルトのクライアント更新タスクを実行すると、すべてのコンテンツとソフトウェア
が更新されます。 管理対象システムの場合、このタスクで更新されるのはコンテンツだけです。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
Endpoint Security クライアントを開きます。
2
[アクション] メニュー
3
[詳細を表示] をクリックします。
4
このページで [デフォルトのクライアント更新] を設定します。
5
[適用] をクリックして変更を保存するか、[キャンセル] をクリックします。
から [設定] を選択します。
関連トピック:
26 ページの「管理者としてログオンする」
34 ページの「から更新のソール サイトを設定する」
37 ページの「更新タスクとスケジュールを設定して実行する」
デフォルトのクライアント更新 の機能
デフォルトのクライアント更新 タスクは、最新の保護対策を Endpoint Security クライアントにダウンロードしま
す。
デフォルトでは、Endpoint Security のデフォルトのクライアント更新タスクは毎日午前 1 時に実行されます。 さ
らに、午後 11 時 59 分まで 4 時間ごとに実行されます。
36
McAfee Endpoint Security 10.5
製品ガイド
Endpoint Security クライアント の使用
Endpoint Security の管理
2
デフォルトのクライアント更新 タスク:
1
リスト内で最初に見つかった有効なソース サイトに接続します。
このサイトが使用できない場合、次のサイトに接続します。この操作は、接続に成功するか、リストの最後に達
するまで実行されます。
2
暗号化された CATALOG.Z ファイルをリポジトリからダウンロードします。
このファイルには、更新の実行に必要な情報 (使用可能なファイルや更新など) が含まれています。
3
ファイル内のソフトウェア バージョンとコンピューターのバージョンを比較し、使用可能な新しいソフトウェア
更新をダウンロードします。
デフォルトのクライアント更新 タスクが途中で中断した場合:
更新元...
割り込みが発生した場合...
HTTP、UNC またはローカル サイト
次に更新タスクが開始すると、中断した場所から更新が再開し
ます。
FTP ファイル (単一ファイルをダウンロードする
場合)
中断した場合には再開しません。
FTP ファイル (複数のファイルをダウンロードす
る場合)
中断したときにダウンロード中のファイルの前から再開しま
す。
関連トピック:
34 ページの「から更新のソール サイトを設定する」
37 ページの「更新タスクとスケジュールを設定して実行する」
35 ページの「リポジトリ リストの内容」
更新タスクとスケジュールを設定して実行する
カスタム更新タスクを設定できます。また、[デフォルトのクライアント更新] タスクのスケジュールを変更すること
もできます。これらの操作は、共通設定の Endpoint Security クライアントから行います。
開始する前に
Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、
管理者としてログオンしています。
クライアントで次の設定を使用して、[デフォルトのクライアント更新] タスクを実行する時間を設定します。 開始
するクライアント更新のデフォルトの動作を Endpoint Security クライアントから設定することもできます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
Endpoint Security クライアントを開きます。
2
[アクション] メニュー
3
[詳細を表示] をクリックします。
4
[共通設定] から [タスク] をクリックします。
5
このページで更新タスクを設定します。
McAfee Endpoint Security 10.5
から [設定] を選択します。
製品ガイド
37
2
Endpoint Security クライアント の使用
Endpoint Security の管理
操作...
手順
カスタム更新タスク
を作成する。
1 [追加] をクリックします。
2 名前を入力して、[タスクの種類の選択] ドロップダウン リストから [更新] を選択し
ます。
3 設定を行って [OK] をクリックし、タスクを保存します。
更新タスクを変更す
る。
• タスクをダブルクリックして変更を行い、[OK] をクリックしてタスクを保存します。
カスタム更新タスク
を削除する。
• タスクを選択して、[削除] をクリックします。
更新タスクのコピー
を作成する。
1 タスクを選択して、[複製] をクリックします。
2 名前を入力して設定を行い、[OK] をクリックしてタスクを保存します。
[デフォルトのクライ 1 [デフォルトのクライアント更新]をダブルクリックします。
アント更新]タスクの
スケジュールを変更 2 [スケジュール] タブをクリックしてスケジュールを変更し、[OK] をクリックしてタ
する。
スクを保存します。
開始するクライアント更新のデフォルトの動作を Endpoint Security クライアントか
ら設定することもできます。
更新タスクを実行す
る。
• タスクを選択して、[今すぐ実行] をクリックします。
タスクがすでに実行中の場合 (一時停止と遅延も含む)、ボタンが [表示] に変わります。
変更を適用する前にタスクを実行すると、Endpoint Security クライアントがプロンプ
トを表示し、設定を保存するかどうか確認します。
6
[適用] をクリックして変更を保存するか、[キャンセル] をクリックします。
関連トピック:
36 ページの「デフォルトのクライアント更新 の機能」
34 ページの「から更新のソール サイトを設定する」
36 ページの「開始する更新のデフォルトの動作を設定する」
ミラーリング タスクとスケジュールを設定して実行する
Endpoint Security クライアント共通設定設定の で、ミラーリング タスクを変更したり、スケジュールを設定でき
ます。
開始する前に
Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、
管理者としてログオンしています。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
38
1
Endpoint Security クライアントを開きます。
2
[アクション] メニュー
3
[詳細を表示] をクリックします。
4
[共通設定] から [タスク] をクリックします。
McAfee Endpoint Security 10.5
から [設定] を選択します。
製品ガイド
Endpoint Security クライアント の使用
Endpoint Security クライアント インターフェース リファレンス - 共通設定
5
2
このページでミラーリング タスクを設定します。
操作...
手順
ミラーリング タスクを
作成する。
1 [追加] をクリックします。
2 名前を入力して、[タスクの種類の選択] ドロップダウン リストから [ミラーリン
グ] を選択します。
3 設定を行い、[OK] をクリックします。
ミラーリング タスクを
変更する。
• ミラーリング タスクをダブルクリックして変更を行い、[OK] をクリックします。
ミラーリング タスクを
削除する。
• タスクを選択して、[削除] をクリックします。
ミラーリング タスクの
コピーを作成する。
1 タスクを選択して、[複製] をクリックします。
ミラーリング タスクの
スケジュールを設定す
る。
1 タスクをダブルクリックします。
ミラーリング タスクを
実行する。
• タスクを選択して、[今すぐ実行] をクリックします。
2 名前を入力して設定を行い、[OK] をクリックします。
2 [スケジュール] タブをクリックしてスケジュールを変更し、[OK] をクリックして
タスクを保存します。
タスクがすでに実行中の場合 (一時停止と遅延も含む)、ボタンが [表示] に変わりま
す。
変更を適用する前にタスクを実行すると、Endpoint Security クライアントがプロン
プトを表示し、設定を保存するかどうか確認します。
6
[適用] をクリックして変更を保存するか、[キャンセル] をクリックします。
ミラーリング タスクの機能
ミラーリング タスクを実行すると、リポジトリ リストに定義されたダウンロード リポジトリの中で最初にアクセス
可能なサイトから、ネットワーク上のミラーリング サイトに更新ファイルが複製されます。
通常、このタスクを使用するのは、McAfee ダウンロード サイトのコンテンツをローカル サーバーにミラーリング
する場合です。
更新ファイルが格納されている McAfee サイトを複製すると、ネットワーク上のコンピューターはこのミラーリング
サイトからファイルをダウンロードできます。 これにより、インターネットにアクセス可能かどうかに関わらず、ネ
ットワーク上のコンピューターを更新できます。 複製サイトを使用すると、McAfee のインターネット サイトより
も近くにあるサーバーに接続するので、アクセス時間とダウンロード時間を短縮できます。
Endpoint Security は、自身の更新にディレクトリを使用します。 サイトをミラーリングする場合は、ディレクト
リ構造全体を複製してください。
Endpoint Security クライアント インターフェース リファレンス - 共通設
定
Endpoint Security クライアント インターフェースのページでコンテキスト ヘルプを利用できます。
目次
[イベント ログ] ページ
共通設定 - オプション
共通設定 - タスク
McAfee Endpoint Security 10.5
製品ガイド
39
2
Endpoint Security クライアント の使用
Endpoint Security クライアント インターフェース リファレンス - 共通設定
[イベント ログ] ページ
イベント ログのアクティビティとデバッグ イベントを表示します。
表 2-2
オプション
オプション
定義
[イベント数]
過去 30 日に Endpoint Security がシステムで記録したイベントの数を表します。
新しいイベントが発生したらイベント ログの表示を更新します。
[ログ フォルダーの ログ ファイルのあるフォルダーを Windows エクスプローラーで開きます。
表示]
[すべてのイベント
を表示]
任意のフィルターを削除します。
[重大度でフィルタ
リング]
重大度でイベントをフィルタリングします。
[モジュールでフィ
ルタリング]
[アラート]
重大度 1 のイベントのみを表示します。
[重大以上]
重大度 1 と 2 のイベントのみを表示します。
[警告以上]
重大度 1 ~ 3 のイベントのみを表示します。
[注意以上]
重大度 1 ~ 4 のイベントを表示します。
モジュールでイベントをフィルタリングします。
[共通設定]
共通設定のイベントだけを表示します。
[脅威対策]
脅威対策のイベントだけを表示します。
[ファイアウォール]
ファイアウォールのイベントだけを表示します。
[Web 管理]
Web 管理のイベントだけを表示します。
[適応型脅威対策]
適応型脅威対策 イベントのみを表示します。
イベント ログの表示時にシステムにインストールされている機能によって、ドロップダウン
リストに表示される機能が異なります。
[検索]
イベント ログ で文字列を検索します。
[1 ページあたりの
イベント数]
ページに表示するイベント数を選択します。 デフォルトは、1 ページあたり 20 件です。
[前のページ]
イベント ログの前のページを表示します。
[次のページ]
イベント ログの次のページを表示します。
[ページ] x [/] x
イベント ログで移動するページを選択します。
[ページ] フィールドに数字を入力して Enter を押すか、[実行] をクリックしてページに移
動します。
40
列ヘッダー
イベント リストのソート条件...
[日付]
イベントの発生日
[機能]
イベントを記録した機能
McAfee Endpoint Security 10.5
製品ガイド
Endpoint Security クライアント の使用
Endpoint Security クライアント インターフェース リファレンス - 共通設定
列ヘッダー
イベント リストのソート条件...
[実行された
アクション]
イベントに対して Endpoint Security が実行したアクション
[重大度]
2
アクションは設定で指定します。
[アクセス拒否]
ファイル アクセスが拒否されています。
[許可]
ファイル アクセスが許可されています。
[ブロック]
ファイルに対するアクセスがブロックされました。
[駆除]
ファイルから脅威が自動的に駆除されています。
[隔離]
評価のため、ファイルがコンテナーで実行されました。
[スキャン続行]
脅威が検出されましたが、アクション (駆除または削除) を実行せずに次のフ
ァイルのスキャンに進みました。
[削除]
ファイルが自動的に削除されています。
[移動]
ファイルが隔離フォルダーに移動しました。
[ブロックの可
能性]
ルールが施行されている場合、ファイルに対するアクセスがブロックされま
す。 監視モードが有効です。
[駆除の可能性]
ルールが施行されている場合、ファイルが駆除されます。 監視モードが有効で
す。
[隔離の可能性]
ルールが施行されている場合、ファイルが隔離されます。 監視モードが有効で
す。
イベントの重大度
[重大]
1
[メジャー]
2
[マイナー]
3
[警告]
4
[情報]
5
関連トピック:
23 ページの「イベント ログを表示する」
共通設定 - オプション
Endpoint Security クライアントのインターフェース、自己保護、アクティビティ ログとデバッグ ログ、プロキシ
サーバーを設定します。
表 2-3 オプション
セクション
オプション
定義
[クライアント イ [フル アクセ
すべての機能に対するアクセスを許可します。 (デフォルト)
ンターフェース
ス]
モード]
[標準アクセス] 保護状態を表示し、更新やスキャンの実行など、ほとんどの機能に対するアク
セスを許可します。
モードに [標準アクセス] を選択した場合、Endpoint Security クライアント
の [設定] ページで設定を表示または変更するときにパスワードが必要になり
ます。
[クライアント Endpoint Security クライアントにアクセスするときに、パスワードの入力が
インターフェー 要求されます。
スをロック]
McAfee Endpoint Security 10.5
製品ガイド
41
2
Endpoint Security クライアント の使用
Endpoint Security クライアント インターフェース リファレンス - 共通設定
表 2-3 オプション (続き)
セクション
オプション
定義
[管理者パスワ
ードの設定]
[標準アクセス] と [クライアント インターフェースをロックする] の場合、
Endpoint Security クライアント インターフェースのすべての機能にアクセ
スする管理者のパスワードを指定します。
• [パスワード] - パスワードを指定します。
• [パスワードの確認] - 確認のため、同じパスワードを再度入力します。
ベストプラクティス: 管理者のパスワードは定期的に変更してください。
[アンインストー
ル]
[クライアント Endpoint Security クライアントを削除するときにパスワードを要求します。
を削除するとき デフォルトのパスワードは、mcafee です。
に、パスワード
を要求する]
デフォルトは無効です。
• [パスワード] - パスワードを指定します。
• [パスワードの確認] - 確認のため、同じパスワードを再度入力します。
表 2-4 詳細オプション
セクション
オプション
[クライアント [自動]
インターフェ
ースの言語]
言語
定義
クライアント システムの言語に従って、Endpoint Security クライアント イ
ンターフェースの言語を自動的に選択します。
Endpoint Security クライアント インターフェースのテキストに使用する言
語を指定します。
管理対象システムの場合、Endpoint Security クライアントで言語を変更する
と、管理サーバーで行ったポリシーの変更は無効になります。 言語の変更は、
Endpoint Security クライアントの再起動後に適用されます。
クライアントの言語は、ログ ファイルに影響を及ぼしません。 ログ ファイル
は、デフォルトのシステム ロケールで指定されている言語で表示されます。
[自己保護]
[自己保護を有効
にする]
不正な操作から Endpoint Security システム リソースを保護します。
[アクション]
不正なアクティビティが発生したときに実行するアクションを指定します。
• [ブロックして報告] - アクティビティをブロックして McAfee ePO に報告
します。 (デフォルト)
• [ブロックのみ] - アクティビティをブロックしますが、McAfee ePO に報
告しません。
• [報告のみ] - McAfee ePO に報告しますが、アクティビティをブロックし
ません。
42
[ファイルとフォ
ルダー]
McAfee システム ファイルとフォルダーの変更または削除を防ぎます。
[レジストリ]
McAfee レジストリ キーと値の変更または削除を防ぎます。
[プロセス]
McAfee プロセスの停止を防ぎます。
McAfee Endpoint Security 10.5
製品ガイド
Endpoint Security クライアント の使用
Endpoint Security クライアント インターフェース リファレンス - 共通設定
2
表 2-4 詳細オプション (続き)
セクション
オプション
定義
[次のプロセスを
除外]
指定したプロセスへのアクセスが許可されます。
ワイルドカードを使用できます。
[追加] - プロセスを除外リストに追加します。 [追加] をクリックして、正確
なリソース名 (avtask.exe など) を入力します。
項目をダブルクリックします。 — 選択した項目を変更します。
[削除] - 選択した項目を削除します。リソースを選択して、[削除] をクリッ
クします。
[証明書]
証明書オプションを指定します。
[許可]
McAfee プロセス内でのコードの実行をベンダーに許可します。
この設定を使用すると、互換性の問題が発生し、セキュリティ レベルが低下す
る可能性があります。
[ベンダー]
証明書に署名して発行している機関の共通名 (CN) を指定します。
[サブジェクト]
証明書に関連する組織の署名者の識別名 (SDN) を指定します。
次の情報を指定できます。
• [CN] - 共通名
• [OU] - 組織単位
• [O] - 組織
• [L] - 地域
• [ST] - 州/都道府県
• [C] - 国コード
[ハッシュ]
関連するパブリック キーのハッシュを指定します。
[クライアント [ログ ファイルの ログ ファイルの場所を指定します。
ロギング]
場所]
デフォルトの場所は次のとおりです。
<SYSTEM_DRIVE>:\ProgramData\McAfee\Endpoint\Logs
場所を入力するか、[参照] をクリックして場所を選択します。
[アクティビテ [アクティビティ
ィ ロギング]
ロギングを有効
にする]
すべての Endpoint Security アクティビティのロギングを有効にします。
[各アクティビテ アクティビティ ログ ファイルの最大サイズ (1 MB から 999 MB) を指定しま
ィ ログ ファイル す。 デフォルトは 10 MB です。
のサイズ制限
ログ ファイルのサイズがこの制限を超えると、ファイル内で古い順に 25% の
(MB)]
項目が削除され、新しいデータが記録されます。
ログ ファイルのサイズを制限しない場合には、このオプションを無効にしま
す。
McAfee Endpoint Security 10.5
製品ガイド
43
2
Endpoint Security クライアント の使用
Endpoint Security クライアント インターフェース リファレンス - 共通設定
表 2-4 詳細オプション (続き)
セクション
オプション
[デバッグ ロ
ギング]
定義
モジュールでデバッグ ロギングを有効にすると、自己保護などの共通設定モジ
ュールのデバッグ ロギングも有効になります。
ベストプラクティス: テスト段階とパイロット段階の最初の 24 時間は、デバ
ッグ ロギングを有効にしてください。 この間に問題が発生しなければ、クラ
イアント システムのパフォーマンス低下を避けるため、デバッグ ロギングを
無効にしてください。
[脅威対策で有効
にする]
脅威対策と個々の保護技術でアクティビティの冗長ロギングを有効にします。
[アクセス保護で有効にする] - AccessProtection_Debug.log に記録しま
す。
[エクスプロイト防止で有効にする] - ExploitPrevention_Debug.log に記
録します。
[オンアクセス スキャンで有効にする] - OnAccessScan_Debug.log に記録
します。
[オンデマンド スキャンで有効にする] - OnDemandScan_Debug.log に記
録します。
脅威対策でデバッグ ロギングを有効にすると、Endpoint Security クライアン
トのデバッグ ロギングも有効になります。
[ファイアウォー
ルで有効にする]
ファイアウォールでアクティビティの冗長ロギングを有効にします。
[Web 管理で有
効にする]
Web 管理でアクティビティの冗長ロギングを有効にします。
[適応型脅威対策
で有効にする]
適応型脅威対策でアクティビティの冗長ロギングを有効にします。
[各デバッグ ログ デバッグ ログ ファイルの最大サイズ (1 MB から 999 MB) を指定します。
ファイルのサイ
デフォルトは 50 MB です。
ズ制限 (MB)]
ログ ファイルのサイズがこの制限を超えると、ファイル内で古い順に 25% の
項目が削除され、新しいデータが記録されます。
ログ ファイルのサイズを制限しない場合には、このオプションを無効にしま
す。
[イベント ロ
ギング]
[McAfee ePO に Endpoint Security クライアントの [イベント ログ] に記録されたすべてのイ
イベントを送信
ベントを McAfee ePO に送信します。
する]
このオプションは、McAfee ePO 管理対象システムにのみ使用できます。
[Windows アプ
リケーション ロ
グにイベントを
記録する]
44
McAfee Endpoint Security 10.5
Endpoint Security クライアントの [イベント ログ] に記録されたイベントを
すべて Windows アプリケーション ログに送信します。
Windows アプリケーション ログにアクセスするには、Windows で [イベント
ビューアー] 、 [Windows ログ] 、 [アプリケーション] の順に選択します。
製品ガイド
2
Endpoint Security クライアント の使用
Endpoint Security クライアント インターフェース リファレンス - 共通設定
表 2-4 詳細オプション (続き)
セクション
オプション
定義
重大度レベル
Endpoint Security クライアントの [イベント ログ] に記録するイベントの重
大度レベルを指定します。
• [なし] - アラートを送信しません。
• [アラートのみ] - アラート レベル 1 のみを送信します。
• [重大とアラート] - アラート レベル 1 と 2 を送信します。
• [警告、重大、アラート] - アラート レベル 1 ~ 3 を送信します。
• [情報を除くすべて] - アラート レベル 1 から 4 を送信します。
• [すべて] - アラート レベル 1 から 5 を送信します。
• 1 - アラート
• 2 - 重大
• 3 - 警告
• 4 - 注意
• 5 - 情報
[ログに記録する
脅威対策イベン
ト]
それぞれの脅威対策機能でログに記録するイベントの重大度レベルを指定しま
す。
[アクセス保護] - AccessProtection_Activity.log に記録します。
アクセス保護でイベント ロギングを有効にすると、自己保護のイベント ロギン
グも有効になります。
[エクスプロイト防止] - ExploitPrevention_Activity.log に記録します。
[オンアクセス スキャン] - OnAccessScan_Activity.log に記録します。
[オンデマンド スキャン] - OnDemandScan_Activity.log に記録します。
[McAfee GTI
のプロキシ サ
ーバー]
[ログに記録する
ファイアウォー
ル イベント]
ログに記録するファイアウォール イベントの重大度レベルを指定します。
[ログに記録する
Web 管理イベン
ト]
ログに記録する Web 管理イベントの重大度レベルを指定します。
[ログに記録する
適応型脅威対策
イベント]
ログに記録する適応型脅威対策イベントの重大度レベルを指定します。
[プロキシ サーバ 管理対象システムがプロキシ サーバー経由ではなくインターネットから直接
ーを使用しない] McAfee GTI レピュテーション情報を取得します。 (デフォルト)
[システムのプロ
キシ設定を使用
する]
McAfee Endpoint Security 10.5
クライアント システムのプロキシ設定を使用します。HTTP プロキシ認証を有
効にすることもできます。
製品ガイド
45
2
Endpoint Security クライアント の使用
Endpoint Security クライアント インターフェース リファレンス - 共通設定
表 2-4 詳細オプション (続き)
セクション
オプション
定義
[プロキシ サーバ プロキシ設定をカスタマイズします。
ーを設定する]
• [アドレス] - HTTP プロキシ サーバーの IP アドレスまたは完全修飾ドメ
イン名を指定します。
• [ポート] - 指定したポートへのアクセスを制限します。
• [次のアドレスを除外] - 指定した項目で始まる Web サイトまたは IP アド
レスに HTTP プロキシ サーバーを使用しません。
[追加] をクリックして、除外するアドレスを入力します。
ベストプラクティス: プロキシ サーバーから McAfee GTI のアドレスを除
外します。 詳細については、KB79640 と KB84374 を参照してください。
[HTTP プロキシ
認証を有効にす
る]
HTTP プロキシ サーバーで認証が必要なことを指定します。 このオプション
を使用できるのは、HTTP プロキシ サーバーを選択した場合のみです。 HTTP
プロキシの認証情報を入力します。
• [ユーザー名] - HTTP プロキシ サーバーへのアクセスが許可されているユ
ーザー アカウントのユーザー名を指定します。
• [パスワード] - [ユーザー名] のパスワードを指定します。
• [パスワードの確認] - 確認のため、同じパスワードを再度入力します。
[デフォルトの [クライアントで
クライアント [今すぐ更新] ボ
更新]
タンを有効にす
る]
[更新対象]
Endpoint Security クライアントのメイン ページで [今すぐ更新] ボタンを表
示または非表示にします。
クライアント システムでコンテンツ ファイルとソフトウェア コンポーネント
の更新を手動で確認し、ダウンロードする場合に、このボタンをクリックしま
す。
[今すぐ更新] ボタンをクリックしたときの更新対象を指定します。
• [セキュリティ コンテンツ、HotFix、パッチ] - すべてのセキュリティ コン
テンツ (エンジン、AMCore とエクスプロイト防止のコンテンツを含む)、
HotFix、パッチを最新のバージョンに更新します。
• [セキュリティ コンテンツ] - セキュリティ コンテンツだけを更新します。
(デフォルト)
• [HotFix とパッチ] - HotFixe とパッチのみを更新します。
[更新のソース
サイト]
コンテンツ ファイルとソフトウェア コンポーネントの更新を取得するソース
サイトを設定します。
デフォルトのバックアップ ソース サイト ([McAfeeHttp]) と管理サーバー
(管理対象システムの場合) を有効または無効にできますが、これらを変更した
り、削除することはできません。
リストで移動可能な要素を表示します。
要素を選択してドラッグし、新しい位置にドロップします。 要素をドロップで
きる位置に青線が表示されます。
46
[追加]
ソース サイト リストにサイトを追加します。
項目をダブルク
リックします。
選択した項目を変更します。
[削除]
選択したサイトをソース サイト リストから削除します。
McAfee Endpoint Security 10.5
製品ガイド
Endpoint Security クライアント の使用
Endpoint Security クライアント インターフェース リファレンス - 共通設定
2
表 2-4 詳細オプション (続き)
セクション
オプション
定義
[インポート]
ソース サイト リストからサイトをインポートする。
インポートするファイルを選択して、[OK] をクリックします。
サイト リスト ファイルが既存のソース サイト リストと置換されます。
[すべてエクスポ
ート]
[ソース サイ
トのプロキシ
サーバー]
ソース サイト リストを SiteList.xml ファイルにエクスポートする。
ソース サイト リストの保存先を選択して、[OK] をクリックします。
[プロキシ サーバ 管理対象システムがプロキシ サーバー経由ではなくインターネットから直接
ーを使用しない] McAfee GTI レピュテーション情報を取得します。 (デフォルト)
[システムのプロ
キシ設定を使用
する]
クライアント システムのプロキシ設定を使用します。HTTP または FTP プロ
キシ認証を有効にすることもできます。
[プロキシ サーバ プロキシ設定をカスタマイズします。
ーを設定する]
• [HTTP/FTP アドレス] - HTTP または FTP プロキシ サーバーの DNS、
IPv4 または IPv6 アドレスを指定します。
• [ポート] - 指定したポートへのアクセスを制限します。
• [次のアドレスを除外] - McAfee GTI の評価取得でプロキシ サーバーを使
用しない Endpoint Security クライアント システムのアドレスを指定しま
す。
[追加] をクリックして、除外するアドレス名を入力します。
[HTTP/FTP プロ HTTP または FTP プロキシ サーバーで認証が必要なことを指定します。 この
キシ認証を有効
オプションを使用できるのは、HTTP または FTP プロキシ サーバーを選択した
にする]
場合のみです。 プロキシの認証情報を入力します。
• [ユーザー名] - プロキシ サーバーへのアクセスが許可されているユーザー
アカウントのユーザー名を指定します。
• [パスワード] - [ユーザー名] に指定したユーザーのパスワードを指定しま
す。
• [パスワードの確認] - 確認のため、同じパスワードを再度入力します。
関連トピック:
30 ページの「Endpoint Security リソースを保護する」
31 ページの「ロギングを設定する」
32 ページの「クライアント インターフェースに対するアクセスを制御する」
33 ページの「McAfee GTI にプロキシ サーバーを設定する」
36 ページの「開始する更新のデフォルトの動作を設定する」
34 ページの「から更新のソール サイトを設定する」
47 ページの「サイトの追加またはサイトの編集」
サイトの追加またはサイトの編集
ソースサイト リストにサイトを追加したり、リスト内のサイトを編集します。
表 2-5 オプションの定義
オプション
定義
[名前]
更新ファイルが存在するソース サイトの名前。
[有効]
更新ファイルのダウンロードでソース サイトの使用を有効または無効にします。
McAfee Endpoint Security 10.5
製品ガイド
47
2
Endpoint Security クライアント の使用
Endpoint Security クライアント インターフェース リファレンス - 共通設定
表 2-5 オプションの定義 (続き)
オプション
定義
[ファイルの取
得先]
ファイルの取得場所を指定します。
[HTTP リポジ
トリ]
指定した HTTP リポジトリからファイルを取得します。
HTTP サイトでは、ネットワークのセキュリティとは独立して更新を実行できますが、FTP よりも
高レベルな同時接続がサポートされます。
[URL]
• [DNS 名] - URL がドメイン名であることを表します。
• [IPv4] - URL が IPv4 アドレスであることを表します。
• [IPv6] - URL が IPv6 アドレスであることを表します。
[http://] - 更新ファイルがある HTTP サーバーとフォルダーを指定します。
[ポート] - HTTP サーバーのポート番号を指定します。
[認証を
使用]
認証を使用する場合に選択し、更新ファイル フォルダーにアクセスする認証情報を
指定します。
• [ユーザー名] - 更新ファイル フォルダーに読み取りアクセスが許可されている
ユーザー アカウントを指定します。
• [パスワード] - [ユーザー名] に指定したユーザーのパスワードを指定します。
• [パスワードの確認] - 確認のため、同じパスワードを再度入力します。
48
McAfee Endpoint Security 10.5
製品ガイド
Endpoint Security クライアント の使用
Endpoint Security クライアント インターフェース リファレンス - 共通設定
2
表 2-5 オプションの定義 (続き)
オプション
定義
[FTP リポジト 指定した FTP リポジトリからファイルを取得します。
リ]
FTP サイトには、ネットワーク セキュリティのアクセス許可を順守せずに更新できる柔軟性があり
ます。 FTP は、HTTP よりも不審なコードの攻撃を受ける可能性が少ないため、脅威に対する抵抗
力が増す場合があります。
[URL]
• [DNS 名] - URL がドメイン名であることを表します。
• [IPv4] - URL が IPv4 アドレスであることを表します。
• [IPv6] - URL が IPv6 アドレスであることを表します。
[ftp://] - 更新ファイルがある FTP サーバーとフォルダーを指定します。
[ポート] - FTP サーバーのポート番号を指定します。
[匿名ロ
グインを
使用]
更新ファイル フォルダーへのアクセスに匿名 FTP を使用する場合に選択します。
認証情報を指定する場合には、このオプションの選択を解除します。
• [ユーザー名] - 更新ファイル フォルダーに読み取りアクセスが許可されている
ユーザー アカウントを指定します。
• [パスワード] - [ユーザー名] に指定したユーザーのパスワードを指定します。
• [パスワードの確認] - 確認のため、同じパスワードを再度入力します。
[UNC パス] ま 指定した UNC またはローカル パスからファイルを取得します。
たは [ローカル
パス]
UNC サイトは、最も迅速にまた簡単にセットアップできます。 ドメイン間で UNC 更新を行うに
は、各ドメインでセキュリティのアクセス許可が必要で、更新の設定が複雑になります。
[パス]
• [UNC パス] - UNC 表記でパスを指定します (\\servername\path\)。
• [ローカル パス] - ローカル ドライブまたはネットワーク ドライブ上のフォルダ
ーのパスを指定します。
[ログオ
ン アカ
ウント
の使用]
ログオン アカウントで更新ファイルにアクセスします。 このアカウントには、更新フ
ァイルのあるフォルダーに読み取り権限が必要です。
認証情報を指定する場合には、このオプションの選択を解除します。
• [ドメイン] - ユーザー アカウントのドメインを指定します。
• [ユーザー名] - 更新ファイル フォルダーに読み取りアクセスが許可されているユ
ーザー アカウントを指定します。
• [パスワード] - [ユーザー名] に指定したユーザーのパスワードを指定します。
• [パスワードの確認] - 確認のため、同じパスワードを再度入力します。
共通設定 - タスク
Endpoint Security クライアント タスクとスケジュールを設定します。
管理対象システムの場合、[管理]タスクの開始、停止または削除はできません。
McAfee Endpoint Security 10.5
製品ガイド
49
2
Endpoint Security クライアント の使用
Endpoint Security クライアント インターフェース リファレンス - 共通設定
表 2-6
オプション
セクショ
ン
オプション
[タスク]
定義
現在定義済みのスケジュール タスクを表示します。
• [名前] - スケジュール タスクの名前。
• [機能] - タスクが関連付けられているモジュールまたは機能。
• [スケジュール] - タスクのスケジュールが設定されている場合、無効かどうか。
たとえば、管理対象システムの場合、管理者がデフォルトのクライアント更新タスク
を無効にしている場合があります。
• [ステータス] - 最後に実行したタスクのステータス:
• (ステータスなし) - 実行されてい
ません。
• [完了] - 正常に完了しました。
• [実行中] - 現在実行中か再開して
います。
• [完了 (エラー)] - 完了しました
が、エラーが発生しています。
• [一時停止] - ユーザーが一時停止
しました (スキャンなど)。
• [失敗] - 完了できませんでした。
• [延期] - ユーザーが延期しました
(スキャンなど)。
• [前回の実行] - タスクを最後に実行した日付と時間。
• [作成元] - タスクの作成者:
• [McAfee] - McAfee が提供。
• [管理者] - (管理対象システムの場合のみ) 管理者が定義。
• [ユーザー] - Endpoint Security クライアントで定義。
作成元によっては、タスクの変更または削除ができない場合があります。 たとえば、
デフォルトのクライアント更新タスクを変更できるのは、自社管理のシステムだけで
す。 管理対象システムで管理者が定義した[管理]タスクは、Endpoint Security クラ
イアントで変更または削除できません。
50
項目をダブ
ルクリック
します。
選択した項目を変更します。
[追加]
スキャン、更新、ミラーリングのタスクを作成します。
[削除]
選択したタスクを削除します。
McAfee Endpoint Security 10.5
製品ガイド
Endpoint Security クライアント の使用
Endpoint Security クライアント インターフェース リファレンス - 共通設定
表 2-6
2
オプション (続き)
セクショ
ン
オプション
定義
[複製]
選択したタスクのコピーを作成します。
[今すぐ実
行]
選択したタスクを実行します。
タスクがすでに実行中の場合 (一時停止と遅延も含む)、ボタンが [表示] に変わります。
• [クイック スキャン] - [クイック
スキャン] ダイアログを表示して、ス
キャンを開始します。
• [デフォルトのクライアント更新] -
[更新] ダイアログ ボックスを開き、
更新を開始します。
• [フル スキャン] - [フル スキャン]
ダイアログを表示して、スキャンを
開始します。
• [更新] - [カスタム更新] ダイアロ
グ ボックスを開き、更新を開始しま
す。
• [カスタム スキャン] - [カスタム
スキャン] ダイアログを表示して、ス
キャンを開始します。
• [ミラーリング] - [ミラーリング]
ダイアログ ボックスを開き、リポジ
トリの複製を開始します。
変更を適用する前にタスクを実行すると、Endpoint Security クライアントがプロンプ
トを表示し、設定を保存するかどうか確認します。
関連トピック:
56 ページの「フル スキャンまたはクイック スキャンを実行する」
22 ページの「コンテンツとソフトウェアを手動で更新する」
38 ページの「ミラーリング タスクとスケジュールを設定して実行する」
51 ページの「タスクの追加」
タスクの追加
カスタム スキャン タスク、ミラーリング タスク、更新タスクを追加します。
オプション
定義
[名前]
タスクの名前を指定します。
[タスクの種
類の選択]
タスクの種類を指定します。
• [カスタム スキャン] - 毎日のメモリー スキャンなどのカスタム スキャンとスケジュールを設
定します。
• [ミラーリング] - 更新されたコンテンツ とエンジン ファイルを最初にアクセス可能なリポジ
トリからネットワーク上のミラーリング サイトに複製します。
• [更新] - コンテンツ ファイル、スキャン エンジンまたは製品の更新とスケジュールを設定しま
す。
関連トピック:
52 ページの「スキャン タスクの追加またはスキャン タスクの編集」
53 ページの「ミラーリング タスクの追加またはミラーリング タスクの編集」
52 ページの「更新タスクの追加または更新タスクの編集」
McAfee Endpoint Security 10.5
製品ガイド
51
2
Endpoint Security クライアント の使用
Endpoint Security クライアント インターフェース リファレンス - 共通設定
スキャン タスクの追加またはスキャン タスクの編集
フル スキャン タスクまたはクイック スキャン タスクのスケジュールを設定します。また、クライアント システム
で実行するカスタム スキャン タスクとスケジュールを設定します。
表 2-7
オプション
タブ
オプション 定義
[設定]
スキャン タスクを設定します。
[名前]
タスク名を表示します。
オプション オンデマンド スキャンを設定します。
自社管理システムの場合には、[フル スキャン] と [クイック スキャン] のタスクを
設定できます。
[スケジュール]
指定した時間にタスクを実行するようにスケジュールを設定します。
関連トピック:
92 ページの「スキャン タスクとスケジュールを設定して実行する」
87 ページの「オンデマンド スキャン を設定する」
56 ページの「フル スキャンまたはクイック スキャンを実行する」
116 ページの「脅威対策 - オンデマンド スキャン」
53 ページの「スケジュール」
更新タスクの追加または更新タスクの編集
[デフォルトのクライアント更新] のスケジュールを設定します。また、クライアント システムで実行するカスタム
更新タスクとスケジュールを設定します。
表 2-8 オプション
タブ
オプション 定義
[設定]
更新タスクを設定します。
[名前]
タスク名を表示します。
[更新対象] 更新対象を指定します。
• セキュリティ コンテンツ、HotFix、パッチ
• セキュリティ コンテンツ
• HotFix とパッチ
この設定は自社管理のシステムにのみ設定できます。
[スケジュ
ール]
指定した時間にタスクを実行するようにスケジュールを設定します。
デフォルトでは、[デフォルトのクライアント更新] タスクは、毎日午前 0 時に実行され、
以降は午後 11 時 59 分まで 4 時間ごとに実行されます。
関連トピック:
41 ページの「共通設定 - オプション」
36 ページの「開始する更新のデフォルトの動作を設定する」
37 ページの「更新タスクとスケジュールを設定して実行する」
53 ページの「スケジュール」
52
McAfee Endpoint Security 10.5
製品ガイド
Endpoint Security クライアント の使用
Endpoint Security クライアント インターフェース リファレンス - 共通設定
2
ミラーリング タスクの追加またはミラーリング タスクの編集
ミラーリング タスクとスケジュールを設定します。
表 2-9 オプション
タブ
オプション
定義
[設定]
[名前]
タスク名を表示します。
[ミラーリングの場所]
リポジトリの複製を保存するフォルダーを指定します。
[スケジュール]
指定した時間にタスクを実行するようにスケジュールを設定します。
関連トピック:
38 ページの「ミラーリング タスクとスケジュールを設定して実行する」
53 ページの「スケジュール」
スケジュール
スキャン、更新、ミラーリング タスクのスケジュールを設定します。
表 2-10
オプション
カテゴリ
オプション
定義
[スケジュー
ル]
[スケジュール
を有効にする]
指定した時間にタスクを実行するようにスケジュールを設定します。 デフォルト
は有効です。
タスクをスケジュールするには、このオプションを選択します。
[スケジュール
の種類]
タスクの実行間隔を指定します。
• [毎日] - タスクを毎日、指定した時間に実行します。あるいは、指定した時間
の範囲内で繰り返し実行します。
• [毎週] - タスクを毎週実行します。
• 平日、週末、曜日の組み合わせで実行日を指定できます。
• 選択した複数の日付で指定した時間に実行したり、選択した複数の日付で指定
した時間内に繰り返し実行できます。
• [毎月] - タスクを毎月実行します。
• 月の特定の日付
• 特定の曜日 - 第 1、第 2、第 3、第 4、最終
• [一回のみ] - 指定した日時にタスクを開始します。
• [システム起動時] - システム起動時にタスクを実行します。
• [ログイン時] - ユーザーが次にシステムにログオンしたときにタスクを開始し
ます。
• [すぐに実行] - タスクをただちに開始します。
[頻度]
[毎日] または [毎週] のタスクに頻度を指定します。
[実行日]
[毎週] または [毎月] のタスクを実行する曜日を指定します。
[実行月]
[毎月] タスクを実行する月を指定します。
[このタスクを
1 日 1 回実行
する]
[システム起動時] と [ログイン時] の場合には、1 日 1 回タスクを実行します。
[タスクを遅ら
せる期間]
[システム起動時] と [ログイン時] の場合に、タスクの実行を遅らせる時間を分単
位で指定します。
[開始日]
[毎日]、[毎週]、[毎月]、[一回のみ] の場合に開始日を指定します。
McAfee Endpoint Security 10.5
製品ガイド
53
2
Endpoint Security クライアント の使用
Endpoint Security クライアント インターフェース リファレンス - 共通設定
表 2-10
オプション (続き)
カテゴリ
オプション
定義
[終了日]
[毎日]、[毎週]、[毎月] の場合に終了日を指定します。
[開始時間]
タスクを開始する時間を指定します。
• [指定した時間に一回だけ実行] - [開始時間] に指定した時簡にタスクを 1 回
だけ実行します。
• [指定した時間に実行し、終了時間まで繰り返す] - [開始時間] に指定した時簡
にタスクを実行します。 その後は、指定した終了時間になるまで、[タスクの開
始間隔] に指定した間隔 (時間/分) でタスクを繰り返し実行します。
• [指定した時間に実行し、指定した期間繰り返す] - [開始時間] に指定した時簡
にタスクを実行します。 その後は、指定した時間が経過するまで、[タスクの開
始間隔] に指定した間隔 (時間/分) でタスクを繰り返し実行します。
[オプション] [協定世界時で タスク スケジュールを管理対象システムのローカルのシステム時刻に合わせて実
タスクを実行す 行するか、世界協定時 (UTC) に合わせて実行するかを指定します。
る]
[次の時間実行 指定した時間が経過したらタスクを停止します。
が続く場合は停 タスクが完了する前に中断されると、次回開始時には中断したところからタスクを
止する]
再開します。
[タスクをラン
ダムに開始す
る]
指定した時間内でタスクをランダムに実行するように指定します。
選択を解除すると、他のクライアント タスクが同時に実行されるようにスケジュ
ールされていても、このタスクがスケジュールされた時間に開始します。
[開始されなか 管理対象システムを再起動して [タスクを遅らせる時間] に指定した時間が経過し
ったタスクを実 たらタスクを実行します。
行する]
[アカウント]
タスクの実行に使用する認証情報を指定します。
認証情報を指定しないと、ローカル システムの管理者アカウントでタスクが実行
されます。
[ユーザー名]
ユーザー アカウントを指定します。
[パスワード]
指定したユーザー アカウントのパスワードを指定します。
[パスワードの
確認]
指定したユーザー アカウントのパスワードを確認します。
[ドメイン]
指定したユーザー アカウントのドメインを指定します。
関連トピック:
52 ページの「スキャン タスクの追加またはスキャン タスクの編集」
52 ページの「更新タスクの追加または更新タスクの編集」
53 ページの「ミラーリング タスクの追加またはミラーリング タスクの編集」
54
McAfee Endpoint Security 10.5
製品ガイド
3
脅威対策 の使用
脅威対策 は、コンピューターをスキャンし、ウイルス、スパイウェア、不審なプログラムなどの脅威を検出します。
目次
マルウェアをスキャンする
脅威検出を管理する
隔離項目を管理する
脅威対策 の管理
Endpoint Security クライアント インターフェース リファレンス - 脅威対策
マルウェアをスキャンする
コンピューターでマルウェアをスキャンするには、Endpoint Security クライアント または Windows エクスプロ
ーラーでオプションを選択します。
タスク
•
56 ページの「フル スキャンまたはクイック スキャンを実行する」
Endpoint Security クライアントでは、コンピューターでフル スキャンまたはクイック スキャンを手
動で実行できます。
•
58 ページの「ファイルまたはフォルダーをスキャンする」
感染が疑われるファイルやフォルダーを Windows エクスプローラーで右クリックすると、すぐにスキ
ャンを実行できます。
関連トピック:
55 ページの「スキャンの種類」
スキャンの種類
Endpoint Security は、オンアクセス スキャンとオンデマンド スキャンの 2 種類のスキャンを実行します。
•
オンアクセス スキャン - 管理者は、管理対象のコンピューターでオンアクセス スキャンが実行されるように設
定できます。 自社管理のコンピューターの場合、[設定] ページでオンアクセス スキャナーを設定します。
ファイル、フォルダー、プログラムにアクセスすると、オンアクセス スキャナーがこれらの操作を中断し、設定
で定義した基準に従ってスキャンを実行します。
•
オンデマンド スキャン
McAfee Endpoint Security 10.5
製品ガイド
55
3
脅威対策 の使用
マルウェアをスキャンする
手
動
管理者 (または自社管理システムのユーザー) は、ユーザーが管理対象コンピューターで実行できるオンデ
マンド スキャン (事前定義またはカスタム) を設定します。
•
Endpoint Security クライアント で
をクリックし、スキャンの種類を選択
すると、事前定義のオンデマンド スキャンをいつでも実行できます。
[クイック スキャン] を選択すると、システムで最も感染しやすい領域がすばやく検査されます。
[フル スキャン] を実行すると、システム全体に徹底したスキャンが実行されます。コンピューターの感
染が疑われる場合には、このスキャンを実行してください。
• Windows エクスプローラーでファイルまたはフォルダーを右クリックして、ポップアップ メニューか
ら [脅威のスキャン] を選択すると、該当するファイルまたはフォルダーをいつでもスキャンできます。
• 管理者として Endpoint Security クライアント からカスタム オンデマンド スキャンを設定して実行
します。
1 [設定] 、 [共通設定] 、 [タスク] の順に選択します。
2 実行するタスクを選択します。
3 [今すぐ実行] をクリックします。
ス
ケ
ジ
ュ
ー
ル
管理者 (または自社管理システムのユーザー) は、ユーザーがコンピューターで実行できるオンデマンド
スキャンのスケジュールを設定できます。
スケジュール スキャンを開始する前に、Endpoint Security が画面下部にプロンプトを表示します。 ス
キャンをすぐに開始することも、延期することもできます (設定されている場合)。
事前定義のオンデマンド スキャン (クイック スキャン と フル スキャン) にスケジュールを設定するに
は、次の手順に従います。
1 [設定] 、 [オンデマンド スキャン] 、 [フル スキャン] の順に移動するか、[クイック スキャン] に移
動して、オンデマンド スキャンを設定します。
2 [設定] 、 [共通] 、 [タスク] の順に選択します。
関連トピック:
92 ページの「スキャン タスクとスケジュールを設定して実行する」
21 ページの「スキャン プロンプトに応答する」
フル スキャンまたはクイック スキャンを実行する
Endpoint Security クライアントでは、コンピューターでフル スキャンまたはクイック スキャンを手動で実行でき
ます。
開始する前に
脅威対策モジュールをインストールする必要があります。
設定によって [フル スキャン] と [クイック スキャン] の動作が変わります。 管理者の認証情報があれば、[オンデ
マンド スキャン] の設定を変更したり、スケジュールを設定できます。
56
McAfee Endpoint Security 10.5
製品ガイド
脅威対策 の使用
マルウェアをスキャンする
3
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
Endpoint Security クライアントを開きます。
2
をクリックします。
3
[システムのスキャン] ページで、実行するスキャンの [今すぐスキャン] をクリックします。
[フル スキャン]
システムのすべての領域を徹底的に検査します (コンピューターで感染が疑われる場合に
推奨)。
[クイック スキャン] システムで最も感染しやすい領域をすばやく検査します。
スキャンを開始すると、[今すぐスキャン] ボタンが [スキャン結果の表示] に変わります。
オンアクセス スキャンの場合、設定によっては脅威検出時に [検出結果の表示] ボタンが表示されます。 このボ
タンをクリックすると、[オンアクセス スキャン] ページが開き、検出結果を管理することができます。
Endpoint Security クライアントでは、新しいページにスキャンの状況が表示されます。
ベストプラクティス: AMCore コンテンツ作成日 は、コンテンツが最後に更新された日時を表します。 コンテン
ツ作成日から 3 日以上経過している場合には、スキャンの実行前に保護対策を更新します。
4
5
ステータス ページの上部にあるボタンをクリックして、スキャンを制御します。
[スキャンを一時停止]
スキャンを一時停止します。
[スキャンを再開]
一時停止したスキャンを再開します。
[スキャンをキャンセル]
実行中のスキャンをキャンセルします。
スキャンが完了すると、スキャンされたファイル数、経過時間、検出項目が表示されます。
[検出名]
検出したマルウェアの名前が表示されます。
[種類]
脅威の種類が表示されます。
[ファイル]
感染ファイルの名前が表示されます。
[実行されたアクション]
感染ファイルに対する前回のアクションが表示されます。
• [アクセス拒否]
• [駆除]
• [削除]
• [なし]
次のオンデマンド スキャンが開始すると、オンデマンド スキャンの検出リストがクリアされます。
6
テーブルから検出項目を選択します。感染ファイルを駆除するには [駆除] を選択します。感染ファイルを削除
するには [削除] をクリックします。
脅威の種類とスキャンの設定によって、アクションが使用できない場合があります。
7
[閉じる] をクリックして、ページを終了します。
McAfee Endpoint Security 10.5
製品ガイド
57
3
脅威対策 の使用
マルウェアをスキャンする
関連トピック:
55 ページの「スキャンの種類」
61 ページの「検出名」
22 ページの「コンテンツとソフトウェアを手動で更新する」
59 ページの「脅威検出を管理する」
87 ページの「オンデマンド スキャン を設定する」
92 ページの「スキャン タスクとスケジュールを設定して実行する」
ファイルまたはフォルダーをスキャンする
感染が疑われるファイルやフォルダーを Windows エクスプローラーで右クリックすると、すぐにスキャンを実行で
きます。
開始する前に
脅威対策モジュールをインストールする必要があります。
設定によって [右クリック スキャン] の動作が変わります。 管理者の認証情報があれば、[オンデマンド スキャン]
の設定でスキャンを変更できます。
タスク
1
Windows エクスプローラーで、スキャンするファイルまたはフォルダーを右クリックし、ポップアップ メニュ
ーから [脅威をスキャン] を選択します。
Endpoint Security クライアント では、[脅威をスキャン] ページにスキャンの状況が表示されます。
2
3
ページの上部にあるボタンをクリックして、スキャンを制御します。
[スキャンを一時停止]
スキャンを一時停止します。
[スキャンを再開]
一時停止したスキャンを再開します。
[スキャンをキャンセル]
実行中のスキャンをキャンセルします。
スキャンが完了すると、スキャンされたファイル数、経過時間、検出項目が表示されます。
[検出名]
検出したマルウェアの名前が表示されます。
[種類]
脅威の種類が表示されます。
[ファイル]
感染ファイルの名前が表示されます。
[実行されたアクション]
感染ファイルに対する前回のアクションが表示されます。
• [アクセス拒否]
• [駆除]
• [削除]
• [なし]
次のオンデマンド スキャンが開始すると、オンデマンド スキャンの検出リストがクリアされます。
4
テーブルから検出項目を選択します。感染ファイルを駆除するには [駆除] を選択します。感染ファイルを削除
するには [削除] をクリックします。
脅威の種類とスキャンの設定によって、アクションが使用できない場合があります。
5
58
[閉じる] をクリックして、ページを終了します。
McAfee Endpoint Security 10.5
製品ガイド
脅威対策 の使用
脅威検出を管理する
3
関連トピック:
55 ページの「スキャンの種類」
61 ページの「検出名」
87 ページの「オンデマンド スキャン を設定する」
脅威検出を管理する
設定によっては、Endpoint Security クライアント で脅威検出を管理できます。
開始する前に
脅威対策モジュールをインストールする必要があります。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
Endpoint Security クライアントを開きます。
2
[今すぐスキャン] をクリックして [システムのスキャン] ページを表示します。
3
[オンアクセス スキャン] から [検出結果の表示] をクリックします。
リストに検出結果がない場合またはユーザーのメッセージ オプションが無効になっている場合、このオプションは
使用できません。
Endpoint Security サービスまたはシステムが再起動すると、オンアクセス スキャンの検出リストがクリアされ
ます。
4
[オンアクセス スキャン] ページで、次のいずれかのオプションを選択します。
[駆除]
項目 (ファイル、レジストリ項目) から脅威を駆除し、隔離領域に移動します。
Endpoint Security は、コンテンツ ファイルの情報を使用してファイルを駆除します。 コンテン
ツ ファイルに駆除ツールが記述されていない場合やファイルが破損していて修復できない場合、
スキャナーはファイルへのアクセスを拒否します。 McAfee では、隔離領域からファイルを削除
し、安全なバックアップ コピーから復元することをお勧めします。
[削除]
脅威を含む項目を削除します。
[項目の削除] 検出リストから項目を削除します。
[閉じる]
スキャン ページを閉じます。
脅威に実行できないアクションのオプションは表示されません。 たとえば、ファイルがすでに削除されている場
合、[駆除] は使用できません。
Endpoint Security サービスまたはシステムが再起動すると、オンアクセス スキャンの検出リストがクリアされ
ます。
McAfee Endpoint Security 10.5
製品ガイド
59
3
脅威対策 の使用
隔離項目を管理する
隔離項目を管理する
Endpoint Security は、脅威を検出した項目を隔離領域に保存します。 隔離項目に対してアクションを実行できま
す。
開始する前に
脅威対策モジュールをインストールする必要があります。
駆除に必要な情報を含む最新のコンテンツをダウンロードした後で、隔離項目を復元することもできます。
隔離領域には様々なオブジェクトが隔離されます。たとえば、ファイル、レジストリの項目、Endpoint Security がマ
ルウェアと認識した項目が含まれます。
タスク
ヘルプを利用するには、[アクション] メニュー
から [ヘルプ] を選択します。
1
Endpoint Security クライアントを開きます。
2
ページの左側にある [隔離] をクリックします。
隔離された項目が表示されます。
Endpoint Security クライアント が Quarantine Manager に接続できない場合、通信エラー メッセージが表示
されます。 この場合、システムを再起動して [隔離] ページを表示してください。
60
McAfee Endpoint Security 10.5
製品ガイド
3
脅威対策 の使用
隔離項目を管理する
3
4
上部ペインから項目を選択すると、下部ペインに詳細が表示されます。
操作...
操作
ペインの相対サイズを変更する。
ペインの境界にあるサッシュ ウィジェットをクリックして
ドラッグします。
テーブルの項目を脅威名またはタイプでソート
する。
テーブルの列見出しをクリックします。
[隔離] ページで、選択した項目にアクションを実行します。
操作...
手順
隔離領域から項目 項目を選択して [削除] をクリックします。確認のため、[削除] をもう一度クリックしま
を削除する。
す。
削除された項目は復元できません。
隔離領域から項目 項目を選択して [復元] をクリックします。確認のため、[復元] をもう一度クリックしま
を復元する。
す。
Endpoint Security は、項目を元の場所に復元し、隔離領域から削除します。
項目にまだ脅威が存在している場合、この項目が次にアクセスされたときに Endpoint
Security が項目を隔離領域に戻します。
項目を再スキャン 項目を選択して、[再スキャン] をクリックします。
する。
たとえば、保護対策の更新後に項目の再スキャンを実行します。 項目に脅威が存在しない
場合、項目を元の場所に復元し、隔離領域から削除できます。
イベント ログに
項目を選択し、詳細ペインで [イベント ログを表示する] リンクをクリックします。
項目を表示する。 [イベント ログ] ページが開き、選択した項目に関連するイベントが強調表示されます。
脅威に関する詳細 項目を選択し、詳細ペインで [この脅威の詳細を見る] リンクをクリックします。
情報を入手する。
McAfee Labs の Web サイトが新しいブラウザー ウィンドウで開き、隔離の原因となった
脅威の詳細が表示されます。
関連トピック:
61
62
19
22
ページの「検出名」
ページの「隔離項目の再スキャン」
ページの「Endpoint Security クライアント を開く」
ページの「コンテンツとソフトウェアを手動で更新する」
検出名
隔離レポートは脅威を検出名で報告します。
検出名
説明
アドウ
ェア
ユーザーを対象とした広告を表示します。 アドウェアの利用者は、ベンダーまたはベンダーのパートナ
ーから報酬を得ています。 アドウェアの中には個人情報を収集したり、転送するものがあります。
ダイヤ
ラー
ユーザーのデフォルトの ISP 以外の相手にインターネット接続をリダイレクトします。 ダイヤラーは、
コンテンツ プロバイダーやベンダーなどの接続料金を増やすために使用されます。
ジョー
ク プロ
グラム
コンピューターを攻撃すると脅かすプログラム。実際には不正なペイロードを送信したり、使用すること
はありません。 ジョーク プログラムは、セキュリティやプライバシーを侵害するものではありませんが、
迷惑な存在です。
キーロ
ガー
ユーザーが入力するデータを傍受し、アプリケーションが受信する前に取得します。 キーロガーの機能
は、トロイの木馬でも不審なプログラムでも変わりません。 McAfee ソフトウェアは、両方のタイプを検
出し、プライバシー侵害を防ぎます。
McAfee Endpoint Security 10.5
製品ガイド
61
3
脅威対策 の使用
隔離項目を管理する
検出名
説明
パスワ
ード ク
ラッカ
ー
パスワードを紛失したり、忘れた場合、このツールを使用するとアカウントまたはデータ ファイルから
パスワードを復元できます。 攻撃者に悪用されると、機密情報が不正にアクセスされ、セキュリティと
プライバシーが侵害される可能性があります。
不審な
プログ
ラム
マルウェアでない正規のソフトウェアも含まれます。システムのセキュリティ状態やプライバシーの保
護状況を変更する可能性があります。 このソフトウェアは、ユーザーがインストールする他のプログラ
ムの一緒にダウンロードされる場合があります。 スパイウェア、アドウェア、キーロガー、パスワード
クラッカー、ハッキング ツール、ダイヤラーなどが含まれている可能性があります。
リモー
ト管理
ツール
システムをリモートから管理できます。 攻撃者に悪用されると、大きなセキュリティ脅威となります。
スパイ
ウェア
ユーザーの許可なく、あるいはユーザーに気付かれずに個人情報を第三者に送信します。 スパイウェア
は、次の方法でコンピューターを攻撃し、金銭的な収益を獲得します。
• 未請求のポップアップ広告を表示する
• クレジットカードなどの財務情報を含む個人情報を盗み出す。
• マーケティング目的で Web の閲覧状況を監視する。
• HTTP 要求を広告サイトにルーティングする。
「不審なプログラム」と比較してください。
ステル
ス型
ウイルス対策ソフトウェアによる検出を回避しようとするウイルスの一種。
割り込み傍受ともいいます。
多くのステルス型ウイルスは、ディスク アクセス要求を傍受します。 ウイルス対策がウイルスを検出す
るためにファイルまたはブートセクターの読み込みを試みると、このウイルスは要求された項目の正常な
画像を表示します。 感染ファイルの実際のサイズを隠し、感染前のファイル サイズを表示するウイルス
もあります。
トロイ
の木馬
正規のアプリケーションを装う不正なプログラムです。 トロイの木馬は自身を複製しませんが、コンピ
ューターに被害を及ぼしたり、セキュリティを侵害します。
次のような場合にコンピューターに感染します。
• ユーザーが電子メールに添付されたトロイの木馬を開いた場合。
• ユーザーが Web サイトからトロイの木馬をダウンロードした場合。
• ピアツーピア ネットワーク。
トロイの木馬は自己複製を行わないため、ウイルスとは見なされません。
ウイル
ス
ディスクまたは他のファイルに付着し、ユーザーに気付かれずに自己複製を繰り返します。
一部のウイルスはファイルに感染します。感染したファイルを実行すると、ウイルスも実行されます。
コンピューターのメモリーに常駐するウイルスも存在します。このウイルスは、コンピューターでファイ
ルのオープン、変更、作成が実行されるとファイルに感染します。 感染の兆候を示すものも、ファイル
やコンピューター システムを破壊するものもあります。
隔離項目の再スキャン
隔離項目を再度スキャンする場合、Endpoint Security は最大限の保護に必要なスキャン設定を使用します。
ベストプラクティス: 隔離項目は、復元前に必ず再スキャンしてください。 たとえば、保護対策の更新後に項目の再ス
キャンを実行します。 項目に脅威が存在しない場合、項目を元の場所に復元し、隔離領域から削除できます。
脅威を最初に検出してから再スキャンを実行するまでに、スキャン条件が変わり、隔離項目の検出に影響を及ぼす可
能性があります。
62
McAfee Endpoint Security 10.5
製品ガイド
3
脅威対策 の使用
脅威対策 の管理
隔離項目を再スキャンすると、Endpoint Security は常に次の操作を実行します。
•
MIME 形式のファイルをスキャンする。
•
圧縮されたアーカイブ ファイルをスキャンする。
•
項目に McAfee GTI 検索を強制的に実行します。
•
McAfee GTI の感度レベルを [非常に高] に設定します。
スキャン設定を使用しても、隔離項目の再スキャンが失敗し、脅威が検出できない場合があります。 たとえば、項目
のメタデータ (パスやレジストリの場所など) が変更された場合、項目が感染していなくても、再スキャンを実行する
と誤検知が発生します。
脅威対策 の管理
管理者は、脅威対策 の設定を指定し、スキャンの設定を行って脅威を阻止できます。
管理対象システムの場合、McAfee ePO からポリシーを変更すると、[設定] ページから行った変更が上書きされます。
除外対象の設定
脅威対策では、除外対象を指定して保護機能を調整することができます。
たとえば、データベースやサーバーが使用しているファイルをスキャナーがロックしないように、特定のタイプのフ
ァイルを除外します。 このようなファイルがロックされると、データベースやサーバーで障害やエラーが発生する可
能性があります。
ベストプラクティス: オンアクセス スキャンとオンデマンド スキャンのパフォーマンスを改善するには、ファイルや
フォルダーの除外対象の追加ではなく、スキャン回避技術を使用してください。
除外リスト内の除外対象は相互に排他的です。 それぞれの除外対象は、リスト内の他の属性と別に表示されます。
Windows でフォルダーを除外するには、パスの最後にバックスラッシュ (\) を付けてください。
機能...
除外対象
設定場所
除外条件
アクセス保護
プロセス (すべてのル
ールまたは特定のルー
ル)
[アクセス保護]
プロセスのファイル名また MD5 ハッシ
はパス、MD5 ハッシュある ュを除くすべ
いは署名者
て
エクスプロイト防止
プロセス
[エクスプロイト
防止]
プロセスのファイル名また MD5 ハッシ
はパス、MD5 ハッシュある ュを除くすべ
いは署名者
て
すべてスキャン
呼び出し側モジュール
呼び出し側モジュールのフ
ァイル名またはパス、MD5
ハッシュあるいは署名者
API
API 名
シグネチャ
シグネチャ ID
いいえ
検出名 (大文字と小文字を
区別)
はい
名前
はい
検出名
不審なプログラム
オンアクセス スキャン
McAfee Endpoint Security 10.5
ワイルドカー
ドの使用
脅威対策の[オプ
ション]
ファイル、ファイルの種 [オンアクセス ス ファイル名またはフォルダ はい
類、フォルダー
ー、ファイルの種類、ファイ
キャン]
ルの経過時間
製品ガイド
63
3
脅威対策 の使用
脅威対策 の管理
機能...
除外対象
• [デフォルト]
ScriptScan の URL
設定場所
除外条件
ワイルドカー
ドの使用
URL 名
いいえ
• [危険度高]
• [危険度低]
オンデマンド スキャン
• [クイック スキャン]
ファイル、フォルダー、 [オンデマンド ス ファイル名またはフォルダ はい
ドライブ
ー、ファイルの種類、ファイ
キャン]
ルの経過時間
• [フル スキャン]
• [右クリック スキャ
ン]
カスタム オンデマンド
スキャン
ファイル、フォルダー、 [共通設定] 、 [タ ファイル名またはフォルダ はい
ドライブ
スク] 、 [タスク ー、ファイルの種類、ファイ
の追加] 、 [カス ルの経過時間
タム スキャン]
関連トピック:
64 ページの「除外対象でのワイルドカードの使用」
除外対象でのワイルドカードの使用
ファイル、フォルダー、検出名、不審なプログラムの除外対象を指定するときに、ワイルドカードを使用できます。
表 3-1 有効なワイルドカード
ワイルドカ 名前
ード文字
意味
?
1 文字を表します。
疑問符
このワイルドカードは、文字数がファイル名またはフォルダー名の長さに一致した場合
にのみ適用されます。 例: W?? と指定すると、WWW は除外されますが、WW や
WWWW は除外されません。
*
アスタリスク 複数の文字を表します。ただし、バックスラッシュ (\) は除きます。
ファイル パスの先頭に *\ は使用できません。 代わりに **\ を使用してください。
例: **\ABC\*.
**
二重アスタリ 0 個以上の文字を表します。バックスラッシュ (\) も含みます。
スク
このワイルドカードは、ゼロまたは複数の文字に一致します。 C:\ABC\**\XYZ は、
C:\ABC\DEF\XYZ や C:\ABC\XYZ に一致します。
ワイルドカードは、パスのバックスラッシュ (\) の前で使用できます。 例: C:\ABC\*\XYZ は C:\ABC\DEF\XYZ と
一致します。
ルート レベルの除外対象
脅威対策でルート レベルの除外対象を指定する場合には、絶対パスを使用する必要があります。 先頭にワイルドカ
ード (\、?:\) を使用しても、ルート レベルのドライブ名には一致しません。
この動作は、VirusScan Enterprise と異なります。 『McAfee Endpoint Security 移行ガイド』を参照してくださ
い。
脅威対策でルート レベルの除外対象を指定するときに、先頭に **\ ワイルドカードを使用すると、ドライブとサブ
フォルダーに一致します。 たとえば、**\test は次のパスと一致します。
64
McAfee Endpoint Security 10.5
製品ガイド
脅威対策 の使用
脅威対策 の管理
3
C:\test
D:\test
C:\temp\test
D:\foo\test
システムのアクセス ポイントの保護
マルウェアに対する最初の防御線となるのがクライアント システムのアクセス ポイントです。 アクセス保護は、指
定されたファイル、共有、レジストリのキーと値、プロセス、サービスへのアクセスを制限し、コンピューターに対
する不要な変更を阻止します。
アクセス保護は、McAfee 定義ルールとユーザー定義ルール (カスタム ルール) の両方を使用して、項目に対するア
クセスを報告またはブロックします。 アクセス保護は、要求されたアクションとルールのリストを比較し、ルールに
従って処理を実行します。
ファイル、共有、レジストリのキーと値、プロセス、サービスに対するアクセスを検出するには、アクセス保護を有
効にする必要があります。
脅威の侵入方法
脅威は、様々なアクセス ポイントを使用してシステムへのアクセスを試みます。
アクセス ポイント 説明
マクロ
ワープロ文書や表計算アプリケーションの一部として
実行ファイル
安全に見えるプログラムでも、正規のプログラム以外にウイルスが潜んでいる可能性がありま
す。一般的な拡張子としては、.EXE、.COM、.VBS、.BAT、.HLP、.DLL などがあります。
スクリプト
Web ページや電子メールで実行が許可されている場合、ActiveX や JavaScript などのスクリ
プトにウイルスが感染している場合があります。
インターネット リ これらのメッセージと一緒に送信されるファイルにはマルウェアを簡単に組み込むことができ
ます。たとえば、自動開始プロセスにワームやトロイの木馬が潜んでいる可能性があります。
レー チャット
(IRC) メッセージ
ブラウザーとアプ
リケーションのヘ
ルプ ファイル
これらのヘルプ ファイルをダウンロードすると、これらのファイルに埋め込まれたウイルスや
実行ファイルによってシステムが攻撃される危険性があります。
Email
Jokes, games, and images as part of email messages with attachments.
これらのアクセス
ポイントの組み合
わせ
巧妙なマルウェアの作成者は、これらすべての手段を組み合わせて、マルウェアを別のマルウ
ェアに埋め込んで、管理対象のコンピューターにアクセスを試みます。
アクセス保護が脅威を阻止する方法
アクセス保護は、McAfee 定義とユーザー定義の保護ルールに従ってアクションを管理し、潜在的な脅威を阻止しま
す。
脅威対策 は、基本的なプロセスに従い、アクセス保護を提供します。
McAfee Endpoint Security 10.5
製品ガイド
65
3
脅威対策 の使用
脅威対策 の管理
脅威の検出時
ユーザーまたはプロセスが処理を行った場合:
1
アクセス保護は、定義済みのルールに従ってアクションを検査します。
2
アクションがルールに違反している場合、アクセス保護は設定済みのルールの情報に従ってアクションを管理し
ます。
3
アクセス保護はログ ファイルを更新し、イベントを生成して管理サーバーに送信します (サーバーで管理されて
いる場合)。
アクセス脅威の例
1
ユーザーが、マルウェアでない正規のプログラム (MyProgram.exe) をインターネットからダウンロードしま
す。
2
ユーザーが MyProgram.exe を起動します。プログラムは正常に起動しれたように見えます。
3
MyProgram.exe が AnnoyMe.exe という子プロセスを実行します。
4
自身が起動時に常に読み込まれるように、AnnoyMe.exe がオペレーティング システムを変更しようとします。
5
アクセス保護が要求を処理し、既存のブロック/レポート ルールとアクションを比較します。
6
アクセス保護が AnnoyMe.exe によるオペレーティング システムの変更を防止して詳細をログに記録します。
また、アクセス保護はアラートを生成して、管理サーバーに送信します。
アクセス保護ルールについて
McAfee 定義とユーザー定義のアクセス保護ルールを使用して、システムのアクセス ポイントを保護します。
McAfee 定義ルールは常に、ユーザー定義ルールよりも前に適用されます。
ルール タイプ
説明
McAfee 定義
ルール
• このルールは、使用頻度の高いファイルや設定の変更を防止します。
ユーザー定義
ルール
• このルールは、McAfee 定義ルールで提供される保護機能を補います。
• McAfee 定義ルールを有効または無効にしたり、変更することはできますが、削除することはで
きません。
• [実行ファイル]のテーブルに何も指定しないと、すべての実行ファイルにルールが適用されま
す。
• [ユーザー名]のテーブルに何も指定しないと、すべてのユーザーにルールが適用されます。
• これらのルールを追加して有効にしたり、無効にして削除することができます。また、ルールの
設定を変更することもできます。
除外対象
ルール レベルで、指定したルールに除外対象と追加対象が適用されます。 ポリシー レベルで、すべてのルールに除
外対象が適用されます。 除外対象はオプションです。
関連トピック:
72 ページの「アクセス保護からプロセスを除外する」
66
McAfee Endpoint Security 10.5
製品ガイド
脅威対策 の使用
脅威対策 の管理
3
McAfee 定義のアクセス保護ルールを設定する
McAfee 定義ルールは、使用頻度の高いファイルや設定の変更を防止します。
開始する前に
Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、
管理者としてログオンしています。
次の操作が可能です。
•
これらのルールの設定 (ブロックまたは報告) を変更する。
•
これらのルールに対象または除外対象の実行ファイルを追加する。
次のことはできません。
•
これらのルールを削除する。
•
これらのルールで保護されたファイルまたは設定を変更する。
•
これらのルールにサブルールまたはユーザー名を追加する。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
Endpoint Security クライアントを開きます。
2
メインの [ステータス] ページで [脅威対策] をクリックします。
あるいは、[アクション] メニュー
3
[詳細を表示] をクリックします。
4
[アクセス保護] をクリックします。
5
次の手順でルールを変更します。
a
6
から [設定] を選択し、[設定] ページで [脅威対策] をクリックします。
[ルール] セクションで、ルールに [ブロック]、[報告] またはその両方を選択します。
•
すべてをブロックまたは報告するには、最初の行で [ブロック] または [報告] を選択します。
•
ルールを無効にするには、[ブロック] と [報告] の選択を解除します。
b
編集する McAfee 定義ルールをダブルクリックします。
c
[McAfee 定義ルールの編集] ページで設定を行います。
d
[実行ファイル] セクションで [追加] をクリックし、[保存] を 2 回クリックしてルールを保存します。
[適用] をクリックして変更を保存するか、[キャンセル] をクリックします。
関連トピック:
68 ページの「McAfee 定義のアクセス保護ルール」
26 ページの「管理者としてログオンする」
72 ページの「アクセス保護からプロセスを除外する」
McAfee Endpoint Security 10.5
製品ガイド
67
3
脅威対策 の使用
脅威対策 の管理
McAfee 定義のアクセス保護ルール
McAfee 定義のアクセス保護ルールを使用して、コンピューターを未承認の変更から保護します。
McAfee 定義ルール
説明
[[ダウンロードされたプ
ログラム ファイル] フ
ォルダーでのブラウザー
によるファイルの起動]
Web ブラウザー経由でのソフトウェアのインストールを防止します。
このルールを使用すると、正規のソフトウェアもインストールがブロックされる可能性が
あります。このルールを有効にする前にアプリケーションをインストールするか、インス
トール プロセスを除外対象に追加してください。
デフォルトでは、このルールに [報告] が設定されています。
このルールを使用すると、アドウェアとスパイウェアはこのフォルダーで実行ファイルを
実行できなくなります。
[登録済み拡張子の変更] ファイルの拡張子が登録されている HKEY_CLASSES_ROOT のレジストリ キーを保護
します。
このルールはマルウェアによる登録済み拡張子の改ざんを防ぎます。マルウェアは、拡張
子の登録を改ざんすることで検出を回避しようとします。
ベストプラクティス: レジストリの拡張子登録を変更する正規のアプリケーションをイ
ンストールする場合には、このルールを無効にしてください。
このルールは [EXE またはその他の実行ファイルの乗っ取り] と同等ですが、制限は厳し
くなります。
[ユーザー権限ポリシー
の変更]
Windows のセキュリティ情報が保存されているレジストリ値を保護します。
ワームが管理者権限のあるアカウントを変更できないようにします。
[Program Files フォル Program Files フォルダーで新しい実行ファイルの作成を禁止します。
ダーでの新しい実行ファ このルールにより、アドウェアやスパイウェアが Program Files フォルダーで新し
イルの作成]
い .EXE ファイルや .DLL ファイルを作成できなくなります。また、新しい実行ファイル
のインストールもできません。
ベストプラクティス: このルールを有効にする前にアプリケーションをインストールす
るか、ブロックされたプロセスを除外リストに追加してください。
[Windows フォルダー ネットワーク経由だけでなく、プロセスによるファイルの作成を防止します。
での新しい実行ファイル このルールにより、Windows フォルダーで .EXE ファイルと .DLL ファイルが作成でき
の作成]
なくなります。
ベストプラクティス: Windows フォルダーに必要なプロセスは除外リストに追加してく
ださい。
[レジストリ エディター Windows レジストリの項目を保護し、レジストリ エディターとタスク マネージャーの
とタスク マネージャー 無効化を防ぎます。
の無効化]
アウトブレーク中は、このルールを無効にしてレジストリの変更を可能にするか、タスク
マネージャーを開いてアクティブなプロセスを停止してください。
[共通ユーザー フォルダ
ーでの Windows スク
リプト ホスト
(CScript.exe または
Wscript.exe) によるス
クリプトの実行]
68
名前に temp を含むフォルダーで Windows スクリプティング ホストが VBScript や
JavaScript を実行できないようにします。
トロイの木馬だけでなく、アドウェアとスパイウェアが使用する不審な Web インストー
ルを阻止できます。
このルールを有効にすると、正規のスクリプトやサードパーティ アプリケーションのイ
ンストールや実行ができなくなる可能性があります。
McAfee Endpoint Security 10.5
製品ガイド
脅威対策 の使用
脅威対策 の管理
3
McAfee 定義ルール
説明
[.EXE または他の実行
ファイルの拡張子の変
更]
HKEY_CLASSES_ROOT の下にある .EXE、.BAT、他の実行ファイルのレジストリ キ
ーを保護します。
このルールはマルウェアによるレジストリ キーの変更を阻止します。このキーが改ざん
されると、他の実行ファイルと一緒にウイルスの実行が可能になります。
このルールは [登録済み拡張子の変更] と同等ですが、制限は緩くなります。
[ブラウザー ヘルパー
アドウェア、スパイウェア、トロイの木馬がブラウザー ヘルパー オブジェクトとしてホ
オブジェクトまたはシェ スト コンピューターにインストールされないようにします。
ル拡張機能のインストー
システムにアドウェアやスパイウェアがインストールされないようにします。
ル]
ベストプラクティス: 正規のカスタムまたはサードパーティ アプリケーションがこれら
のオブジェクトをインストールする場合、これらのアプリケーションを除外リストに追加
してください。 インストール後、ルールを再度有効にしてください。インストールした
ブラウザー ヘルパー オブジェクトの動作がこのルールの影響を受けることはありませ
ん。
[新しい CLSID、APPID、 新しい COM サーバーのインストールまたは登録を防ぎます。
TYPELIB のインストー Internet Explorer や Microsoft Office の COM アドオンとして自身をインストールす
ル]
るアドウェアとスパイウェアの侵入を阻止します。
ベストプラクティス: COM アドオンを登録する正規のアプリケーションを除外リストに
追加して許可してください (Adobe Flash などの共通アプリケーションも含む)。
[Windows コア プロセ
スの変更]
なりすましによるファイルの作成または実行を阻止します。
[Internet Explorer の
設定の変更]
プロセスが Internet Explorer の設定を変更できないようにします。
[ネットワーク設定の変
更]
除外リストにないプロセスはシステムのネットワーク設定を変更できなくなります。
Windows のプロセス名を悪用したウイルスやトロイの木馬の実行を防ぎます。 本物の
Windows ファイルには適用されません。
トロイの木馬、アドウェア、スパイウェアによるブラウザー設定の改ざんを阻止します。
たとえば、スタート ページの変更や、お気に入りのインストールを防ぎます。
ネットワーク トラフィックをキャプチャしてサードパーティのサイトに送信し、ブラウ
ザーの動作などのデータを転送する複数層サービス プロバイダーから保護します。
ベストプラクティス: ネットワーク設定の変更が必要になるプロセスを除外リストに追
加するか、変更中はルールを無効にしてください。
[自動実行するプログラ
ムの登録]
システム起動時に自動実行を試みるアドウェア、スパイウェア、トロイの木馬、ウイルス
をブロックします。
このルールにより、除外リストにないプロセスは、システム起動時に実行するプロセスを
登録できなくなります。
ベストプラクティス: 正規のアプリケーションは除外リストに追加するか、ルールを有効
にする前にインストールしてください。
[ローカル ファイルまた リモート コンピューターからの読み取りアクセスと書き込みアクセスを阻止します。
はフォルダーに対するリ 共有に潜伏するワークの拡散を防ぎます。
モート アクセス]
一般的な環境の場合、このルールはサーバーではなくワークステーションに有効です。ま
た、実際に攻撃を受けている場合にのみ効力を発揮します。
ファイルがプッシュされる管理対象のコンピューターの場合、更新やパッチのインストー
ルができなくなります。 このルールは、McAfee ePO の管理機能に影響を及ぼしませ
ん。
McAfee Endpoint Security 10.5
製品ガイド
69
3
脅威対策 の使用
脅威対策 の管理
McAfee 定義ルール
説明
[リモートからの自動実
行ファイルの作成]
他のコンピューターからの接続を阻止し、自動実行ファイル (autorun.inf) の作成や変
更を防ぎます。
自動実行ファイルはプログラム ファイルを自動的に実行します。たとえば、CD にある
セットアップ ファイルなどが該当します。
このルールは、CD からスパイウェアやアドウェアが実行されないようにします。
デフォルトでは、このルールに [ブロック] と [報告] が選択されています。
[リモートからのファイ すべての共有に対する書き込みをブロックします。
ルまたはフォルダーの作 このルールを有効にすると、書き込みアクセスを阻止し、感染の拡大を防ぐことができま
成または変更]
す。アウトブレークの発生時に有効です。 コンピューターやネットワークの使用を制限
するマルウェアもブロックされます。
一般的な環境の場合、このルールはサーバーではなくワークステーションに有効です。ま
た、実際に攻撃を受けている場合にのみ効力を発揮します。
ファイルがプッシュされる管理対象のコンピューターの場合、更新やパッチのインストー
ルができなくなります。 このルールは、McAfee ePO の管理機能に影響を及ぼしませ
ん。
[リモートからのポータ
ブル実行可能ファイ
ル、.INI、.PIF ファイ
ル、コア システムの場所
の作成または変更]
他のコンピューターからの接続を阻止し、実行ファイル (Windows フォルダー内のファ
イルなど) の変更を防ぎます。 このルールは、ウイルスに感染する可能性が高いファイ
ルの種類にのみ適用されます。
ウイルスやワームがネットワーク上のオープン共有や管理共有を介して短時間で拡散し
ないようにします。
[共通ユーザー フォルダ 名前に temp を含むフォルダーからの実行ファイルの起動をブロックします。
ーでのファイルの実行] このルールは、ユーザーまたはシステムの一時フォルダーに侵入し、実行を試みるマルウ
ェアを阻止します。 このようなマルウェアは、電子メールの添付ファイルやダウンロー
ドしたプログラムに感染している可能性があります。
保護レベルは最高になりますが、正規のアプリケーションもインストールできなくなる可
能性があります。
[共通ユーザー フォルダ ブラウザーまたは電子メール クライアントからソフトウェアをインストールするアプリ
ーでの共通プログラムに ケーションをブロックします。
よるファイルの実行]
このルールにより、電子メールの添付ファイルや実行ファイルが Web ページ上で実行で
きなくなります。
ベストプラクティス: 一時フォルダーを使用するアプリケーションをインストールする
には、プロセスを除外リストに追加してください。
関連トピック:
67 ページの「McAfee 定義のアクセス保護ルールを設定する」
ユーザー定義のアクセス保護ルールを設定する
ユーザー定義のルールは、McAfee 定義ルールで提供される保護機能を補います。 これらのルールを追加して有効に
したり、無効にして削除することができます。また、ルールの設定を変更することもできます。
開始する前に
Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、
管理者としてログオンしています。
ベストプラクティス: アクセス保護ルールを作成してランサムウェアから保護する方法については、PD25203 を参照
してください。
70
McAfee Endpoint Security 10.5
製品ガイド
脅威対策 の使用
脅威対策 の管理
3
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
Endpoint Security クライアントを開きます。
2
メインの [ステータス] ページで [脅威対策] をクリックします。
あるいは、[アクション] メニュー
から [設定] を選択し、[設定] ページで [脅威対策] をクリックします。
3
[詳細を表示] をクリックします。
4
[アクセス保護] をクリックします。
5
ルールを作成します。[ルール] セクションで [追加] をクリックします。
[ルールの追加] ページで設定を行います。
a
[実行ファイル] セクションで [追加] をクリックし、実行ファイルのプロパティを設定します。[保存] を 2
回クリックします。
[実行ファイル]のテーブルに何も指定しないと、すべての実行ファイルにルールが適用されます。
b
[ユーザー名] セクションで [追加] をクリックし、ユーザー名のプロパティを設定します。
[ユーザー名]のテーブルに何も指定しないと、すべてのユーザーにルールが適用されます。
c
[サブルール] セクションで [追加] をクリックして、サブルールのプロパティを設定します。
ベストプラクティス: パフォーマンスの低下を防ぐため、[読み取り] 操作は選択しないでください。
[対象] セクションで [追加] をクリックし、対象の情報を設定します。[保存] を 2 回クリックします。
6
7
[ルール] セクションで、ルールに [ブロック]、[報告] またはその両方を選択します。
•
すべてをブロックまたは報告するには、最初の行で [ブロック] または [報告] を選択します。
•
ルールを無効にするには、[ブロック] と [報告] の選択を解除します。
[適用] をクリックして変更を保存するか、[キャンセル] をクリックします。
関連トピック:
72 ページの「アクセス保護からプロセスを除外する」
アクセス保護でサブルールの対象が評価される方法
各対象には、対象または除外ディレクティブが追加されます。
McAfee Endpoint Security 10.5
製品ガイド
71
3
脅威対策 の使用
脅威対策 の管理
サブルールでシステム イベントを評価する場合、次の条件を満たすと true と評価されます。
•
1 つ上の追加が true と評価されます。
かつ
•
すべての除外が false と評価されている。
除外は対象よりも優先します。 例:
•
1 つのサブルールで C:\marketing\jjohns が対象と除外に設定されていると、このファイルにサブルールはト
リガーされません。
•
サブルールにすべてのファイルが指定され、C:\marketing\jjohns が除外されていると、ファイルが C:
\marketing\jjohns でない場合にサブルールがトリガーされます。
•
サブルールで対象に C:\marketing\* が設定され、C:\marketing\jjohns が除外されている場合、C:
\marketing\anyone にサブルールがトリガーされますが、C:\marketing\jjohns ではトリガーされません。
アクセス保護からプロセスを除外する
信頼されたプログラムがブロックされた場合には、ポリシー別またはルール別の除外対象を作成してプロセスを除外
します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
Endpoint Security クライアントを開きます。
2
メインの [ステータス] ページで [脅威対策] をクリックします。
あるいは、[アクション] メニュー
72
3
[詳細を表示] をクリックします。
4
[アクセス保護] をクリックします。
McAfee Endpoint Security 10.5
から [設定] を選択し、[設定] ページで [脅威対策] をクリックします。
製品ガイド
脅威対策 の使用
脅威対策 の管理
5
アクセス保護が有効になっていることを確認します。
6
次のいずれかを実行します。
操作...
3
手順...
すべてのルールから 1 [除外対象] セクションで [追加] をクリックして、すべてのルールから除外するプロセ
プロセスを除外す
スを追加します。
る。
2 [実行ファイルの追加] ページで実行ファイルのプロパティを設定します。
3 [保存]、[適用] の順にクリックして、設定を保存します。
ユーザー定義ルール 1 既存のユーザー定義ルールを編集するか、ルールを追加します。
に追加または除外す
るプロセスを指定し 2 [ルールの追加] または [ルールの編集] ページの [実行ファイル] セクションで [追
ます。
加] をクリックして、除外対象または対象の実行ファイルを追加します。
3 [実行ファイルの追加] ページで、実行ファイルのプロパティ (対象に追加するか、除外
するかなど) を設定します。
4 [保存] を 2 回クリックして [適用] をクリックし、設定を保存します。
バッファー オーバーフロー エクスプロイトのブロック
エクスプロイト防止は、バッファー オーバーフローを悪用した任意のコードの実行を阻止します。この機能は、ユー
ザー モードの API 呼び出しを監視し、バッファー オーバフローの結果として発生した呼び出しを検知します。
脅威を検出すると、設定に従って情報がアクティビティ ログに記録され、クライアント システムに表示されます。
また、管理サーバーに送信されます。
脅威対策 は、エクスプロイト防止コンテンツ ファイルを使用して、Microsoft Internet Explorer、Microsoft
Outlook、Outlook Express、Microsoft Word、MSN Messenger などのアプリケーションを保護します。
Host Intrusion Prevention 8.0 は、Endpoint Security 10.5 と同じシステムにインストールできます。 McAfee
Host IPS を有効にすると、エクスプロイト防止が無効になります。ポリシー設定で有効になっていても無効になりま
す
バッファー オーバーフロー エクスプロイトの仕組み
攻撃者は、バッファー オーバーフローの弱点を突き、入力プロセス用に予約された固定サイズのメモリー バッファ
ーをあふれさせ、任意のコードを実行しようとします。 コードの実行に成功すると、攻撃先のコンピューターが乗っ
取られたり、データが不正にアクセスされる可能性があります。
マルウェアによる攻撃の多くがバッファー オーバーフロー攻撃です。この攻撃では、スタック内の隣接するメモリー
を上書きして攻撃を実行します。
バッファー オーバーフロー攻撃には次の 2 つの種類があります。
•
スタック領域に対する攻撃。ユーザーの入力を格納するスタック メモリー オブジェクトを利用します (大半は
このタイプです)。
•
ヒープ領域に対する攻撃。プログラム用に予約されているメモリ領域をオーバーフローさせます (稀です)。
固定サイズのスタック メモリーは、ユーザーの入力が発生するまで空の状態です。 プログラムがユーザーから入力
を受信すると、データがスタックの最上位に格納され、戻り先のメモリー アドレスが割り当てられます。 スタック
が処理されると、プログラムが指定した戻り先のアドレスにユーザーの入力が送信されます。
McAfee Endpoint Security 10.5
製品ガイド
73
3
脅威対策 の使用
脅威対策 の管理
スタック領域に対するバッファー オーバーフロー攻撃の流れは次のようになります。
1
スタックをオーバーフローさせる。
プログラムを作成すると、特定の量のメモリー空間がデータ用に予約されます。 予約された空間よりも大きいデ
ータが書き込まれると、メモリー スタックがオーバーフローします。 この場合、入力に不正なデータが含まれて
いると問題になります。
2
オーバーフローを悪用する。
プログラムがユーザーからの入力を待機します。 攻撃者がスタック サイズを超える命令を入力すると、この命令
は予約済み空間の外側に保存されます。
3
マルウェアを実行する。
スタック バッファー空間を超えると、命令は自動的に実行されません。 バッファー オーバーフローが発生した
段階では、まずプログラムがクラッシュします。 攻撃者が、不正な命令を参照する戻り先メモリー アドレスを埋
め込んでいると、プログラムはこのアドレスを使用して回復を試みます。 戻り先アドレスが有効な場合、不正な
命令が実行されます。
4
権限を悪用する。
侵害されたアプリケーションと同じ権限でマルウェアが実行されます。 プログラムは通常、カーネル モードで実
行されるか、サービス アカウントから継承された権限で実行されます。このため、攻撃者にオペレーティング シ
ステムが完全に乗っ取られる可能性があります。
シグネチャとその機能
エクスプロイト防止のシグネチャは、既知の攻撃と動作を比較するルールから構成されます。ルールに一致すると、
アクションが実行されます。 McAfee では、エクスプロイト防止のコンテンツ更新でシグネチャを配布しています。
シグネチャは、アプリケーション保護ルール リストに定義された特定のアプリケーションを保護します。 攻撃を検
出すると、エクスプロイト防止は攻撃で開始した動作を停止します。
エクスプロイト防止のコンテンツ ファイルが更新されるときに、必要に応じてシグネチャのリストも更新されます。
これらのシグネチャのアクション設定を変更できますが、シグネチャの追加、削除、変更はできません。 特定のファ
イル、共有、レジストリ キー、レジストリ値、プロセス、サービスを保護するには、アクセス保護のカスタム ルー
ルを作成します。
アクション
アクションは、シグネチャのトリガー時にエクスプロイト防止が実行する処理です。
•
[ブロック] - 操作を阻止します。
•
[報告] - 操作を許可し、イベントを報告します。
このいずれかを選択しないと、シグネチャは無効になります。エクスプロイト防止は操作を許可しますが、イベント
の報告は行いません。
エクスプロイト防止のコンテンツ ファイルは、重大度に応じてシグネチャのアクションを自動的に設定します。 特
定のシグネチャのアクションは、エクスプロイト防止の設定にある [シグネチャ] セクションで変更できます。 シグ
ネチャのアクションに対する変更は、コンテンツの更新後も維持されます。
動作ルール
動作ルールは、ゼロデイ攻撃を阻止し、オペレーティング システムとアプリケーションの正常な動作を維持します。
ヒューリスティックな動作ルールには、正規のアクティビティのプロファイルが定義されています。 これらのルール
に一致しないアクティビティは不審とみなされ、応答をトリガーします。 たとえば、動作ルールで、Web サーバー
プロセスだけに HTML ファイルへのアクセスを許可しているとします。 この場合、他のプロセスが HTML ファイル
74
McAfee Endpoint Security 10.5
製品ガイド
3
脅威対策 の使用
脅威対策 の管理
へのアクセスを試みると、エクスプロイト防止は指定されたアクションを実行します。 この保護方法はアプリケーシ
ョンのシールディングとエンベロープ化といいますが、この方法では、アプリケーションとそのデータの侵害を阻止
し、他のアプリケーションへの攻撃を未然に防ぎます。
また、動作ルールでは、バッファー オーバーフロー エクスプロイトをブロックし、バッファー オーバーフロー攻撃
によるコードの実行を阻止します。このようなコードの実行方法は一般的な攻撃手口の一つです。
重大度レベル
各シグネチャにはデフォルトの重大度レベルが設定されています。重大度は攻撃を受ける危険性を表します。
•
[高] - 明確に識別可能なセキュリティ脅威や不正なアクションを阻止するシグネチャ。 これらのシグネチャの
多くは既知のエクスプロイト固有のものです。
エクスプロイト攻撃からシステムを保護するため、重大度高のシグネチャには、すべてのホストで [[ブロック]]
を設定してください。
•
[中] - 動作に対応したシグネチャで、環境外でのアプリケーションの動作を阻止します (Web サーバーと
Microsoft SQL Server 2000 を保護する顧客を対象としています)。
ベストプラクティス: 重要なサーバーでは、調整を行った後で、重大度中のシグネチャに [[ブロック]] を設定して
ください。
•
[低] - 動作に対応したシグネチャで、アプリケーションを保護します。 アプリケーションとシステム リソース
をロックし、変更できないようにします。
重大度低のシグネチャに [[ブロック]] を設定すると、システムのセキュリティは強化されますが、追加の調整が
必要になります。
•
[情報] - セキュリティ リスクの原因となるるシステム設定の変更を通知します。また、重要なシステム情報へ
のアクセス試行も通知します。 システムが正常に稼働している間にこのレベルのイベントが発生した場合、攻撃
の証拠とはなりません。
•
[無効] - エクスプロイト防止コンテンツ ファイルで無効になっているシグネチャのリストを表示します。
重大度が無効になっているシグネチャは有効にできません。
アプリケーション保護ルールとその機能
アプリケーション保護ルールでは、エクスプロイト防止シグネチャでモニタリングする実行ファイルを定義します。
リストにない実行ファイルはモニタリングされません。
エクスプロイト防止シグネチャには次の 2 つのクラスがあります。
•
バッファー オーバーフロー シグネチャは、プロセスが使用するメモリー空間をモニタリングし、メモリーを保護
します。
•
API シグネチャは、ユーザー モードで実行されているプロセスとカーネル間の API 呼び出しをモニタリングし
ます。
McAfee が提供するエクスプロイト防止コンテンツに、保護されるアプリケーションのリストが含まれています。 脅
威対策では、これらのアプリケーションがエクスプロイト対策設定の [アプリケーション保護ルール] セクションに
表示されます。
常に最新の保護状態を維持するため、エクスプロイト防止コンテンツの更新で McAfee 定義のアプリケーション保護
ルールが置換され、[エクスプロイト防止] の設定に最新のアプリケーション保護ルールが表示されます。
McAfee 定義のアプリケーション保護ルールの対象ステータスを有効化、無効化、削除または変更できます。 独自の
アプリケーション保護ルールを作成して複製することもできます。 これらのルールに対する変更は、コンテンツの更
新後も維持されます。
McAfee Endpoint Security 10.5
製品ガイド
75
3
脅威対策 の使用
脅威対策 の管理
リスト内に矛盾するアプリケーション保護ルールが存在する場合、対象よりも除外の対象ステータスが優先されます。
Endpoint Security クライアントには、クライアント システムで現在実行中のアプリケーションだけでなく、保護対
象のアプリケーションがすべて表示されます。 この動作は、McAfee Host IPS と異なります。
管理対象システムの場合、Endpoint Security クライアントで作成されたアプリケーション保護ルールが McAfee
ePO に送信されません。このため、管理者が新しいポリシーを配備すると、ルールが上書きされる場合があります。
エクスプロイト防止を設定する
クライアント システムでアプリケーションによる任意のコードの実行を阻止するには、エクスプロイト防止の除外対
象、McAfee 定義のシグネチャ、アプリケーション保護ルールを設定します。
開始する前に
Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、
管理者としてログオンしています。
McAfee 定義のシグネチャにアクションを設定できます。 McAfee 定義のアプリケーション保護ルールの対象ステ
ータスを有効化、無効化、削除または変更できます。独自のアプリケーション保護ルールを作成して複製することも
できます。 これらのルールに対する変更は、コンテンツの更新後も維持されます。
エクスプロイト防止で保護されるプロセスの一覧については、KB58007 を参照してください。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
Endpoint Security クライアントを開きます。
2
メインの [ステータス] ページで [脅威対策] をクリックします。
あるいは、[アクション] メニュー
から [設定] を選択し、[設定] ページで [脅威対策] をクリックします。
3
[詳細を表示] をクリックします。
4
[エクスプロイト防止] をクリックします。
5
ページで設定を行い、[適用] をクリックして変更を保存するか、[キャンセル] をクリックします。
関連トピック:
26 ページの「管理者としてログオンする」
エクスプロイト防止からプロセスを除外する
信頼されたプログラムがブロックされた場合には、除外対象を作成して、エクスプロイト防止の対象外にします。 除
外するプロセスは、プロセス名、呼び出し側のモジュール、API、シグネチャ ID で指定できます。 アプリケーショ
ン保護ルールを作成して、プロセスを保護対象に追加したり、保護対象から除外することもできます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
Endpoint Security クライアントを開きます。
2
メインの [ステータス] ページで [脅威対策] をクリックします。
あるいは、[アクション] メニュー
3
76
から [設定] を選択し、[設定] ページで [脅威対策] をクリックします。
[詳細を表示] をクリックします。
McAfee Endpoint Security 10.5
製品ガイド
脅威対策 の使用
脅威対策 の管理
4
[エクスプロイト防止] をクリックします。
5
[エクスプロイト防止]が有効になっていることを確認します。
6
次のいずれかを実行します。
操作...
手順...
すべてのルールからプ
ロセスを除外する。
1 [除外対象] セクションで [追加] をクリックします。
3
2 [除外対象の追加] ページで、除外対象のプロパティを設定します。
3 [保存]、[適用] の順にクリックして、設定を保存します。
ユーザー定義のアプリ
1 既存のユーザー定義ルールを編集するか、アプリケーション保護ルールを追加しま
ケーション保護ルール
す。
に追加または除外する
プロセスを指定します。 2 [ルールの追加] または [ルールの編集] ページの [実行ファイル] セクションで
[追加] をクリックして、除外対象また対象の実行ファイルを追加します。
3 [実行ファイルの追加] ページで実行ファイルのプロパティを設定します。
4 [保存] を 2 回クリックして [適用] をクリックし、設定を保存します。
エクスプロイト防止の除外対象とその機能
誤検知は、ユーザーがルーチンワークとして行っている動作が攻撃と解釈された場合に発生します。 誤検知を防ぐに
は、この動作の除外項目を作成します。
除外対象を設定すると、誤検知のアラートを減らすことができます。不要なデータ フローを最小限にし、本当のセキ
ュリティ脅威のアラートだけを受信できます。
たとえば、クライアントのテスト中に、クライアントが「Java - 一時フォルダーでの不審なファイルの作成」シグ
ネチャを認識したとします。 このシグネチャは、Java アプリケーションが Windows 一時フォルダーでファイルの
作成を試みていることを通知しています。 Java アプリケーションによって Windows 一時フォルダーにマルウェ
アがダウンロードされる可能性があるため、このシグネチャでトリガーされたイベントからアラームが生成されます。
この場合、トロイの木馬の感染が疑われます。 ただし、プロセスが正規の目的で一時フォルダーにファイルを作成す
ることもあります (たとえば、Java アプリケーションでファイルを保存する場合)。このような場合には、除外対象
を作成してこのアクションを許可できます。
エクスプロイト防止の違反イベントが発生した場合、イベントに関連するプロセスが含まれます。また、呼び出し側
のモジュール、API または署名が含まれる場合もあります。 違反イベントが誤検知の可能性がある場合、これらの識
別子を指定して除外対象を追加できます。
管理対象システムの場合、Endpoint Security クライアントで作成されたエクスプロイト防止の除外対象が McAfee
ePO に送信されません。このため、管理者が新しいポリシーを配備すると、ルールが上書きされる場合があります。
McAfee ePO でエクスプロイト防止ポリシーにグローバル除外項目を設定します。
除外対象を指定する場合には、次の点に注意してください。
•
それぞれの除外項目は独立した存在です。複数の除外項目は論理輪で結合されます。1 つでも除外項目が一致す
ると、脅威イベントは発生しません。
•
プロセス、呼び出し側モジュール、API、シグネチャの 1 つ以上を指定する必要があります。
•
呼び出し側モジュールまたは API を含む除外対象は DEP に適用されません。
•
プロセスの除外対象を指定する場合には、1 つ以上の識別子を指定する必要があります。たとえば、ファイル名
またはパス、MD5 ハッシュ または 署名者 を使用します。
•
複数の識別子を指定すると、すべての識別子が適用されます。
McAfee Endpoint Security 10.5
製品ガイド
77
3
脅威対策 の使用
脅威対策 の管理
•
複数の識別子を使用して一致する識別子がない場合 (たとえば、ファイル名と MD5 ハッシュが同じファイルに適
用されていない場合など)、除外対象は無効になります。
•
除外対象では大文字と小文字は区別されません。
•
MD5 ハッシュを除き、すべての ID にワイルドカードを使用できます。
•
除外対象にシグネチャ ID を追加すると、指定したシグネチャのプロセスのみが除外対象になります。 シグネチ
ャ ID を指定すると、すべてのシグネチャのプロセスが除外対象になります。
不審なプログラムの検出
不審なプログラムから管理対象コンピューターを保護するには、環境内で検出するファイルとプログラムを指定し、
検出を有効にします。
不審なプログラムは迷惑行為を行うソフトウェアです。セキュリティの状態を変更したり、システムのプライバシー
ポリシーを改ざんする場合もあります。不審なプログラムは、ユーザーがダウンロードしたプログラムに埋め込まれ
ている場合があります。スパイウェア、アドウェア、ダイヤラーなどが不審なプログラムです。
1
オンアクセス スキャナーとオンデマンド スキャナーが検出する不審なプログラムを指定するには、オプションを
使用します。
2
不審なプログラムの検出を有効にして、検出時に実行するアクションを次のポリシーに指定します。
•
オンアクセス スキャン
•
オンデマンド スキャン
関連トピック:
78 ページの「検出する不審なプログラムを指定する」
79 ページの「不審なプログラムの検出を有効にして応答を設定する」
81 ページの「オンアクセス スキャンを設定する」
87 ページの「オンデマンド スキャン を設定する」
検出する不審なプログラムを指定する
オンアクセス スキャナーとオンデマンド スキャナーが不審なプログラムとして処理するプログラムを指定するに
は、オプションを使用します。
開始する前に
Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、
管理者としてログオンしています。
スキャナーは、ユーザーが指定したプログラムと AMCore コンテンツ ファイルに指定したプログラムを検出します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
Endpoint Security クライアントを開きます。
2
メインの [ステータス] ページで [脅威対策] をクリックします。
あるいは、[アクション] メニュー
78
3
[詳細を表示] をクリックします。
4
[オプション] をクリックします。
McAfee Endpoint Security 10.5
から [設定] を選択し、[設定] ページで [脅威対策] をクリックします。
製品ガイド
脅威対策 の使用
脅威対策 の管理
5
3
[不審なプログラムの検出] で次の操作を行います。
•
[追加] をクリックして、不審なプログラムとして識別されるファイルまたはプログラムの名前を入力します。
オプションで説明を指定することもできます。
脅威が検出されると、検出名が [説明] に表示されます。
•
変更する不審なプログラムの名前または説明をダブルクリックします。
•
既存の不審なプログラムを選択して [削除] をクリックし、プログラムをリストから削除します。
関連トピック:
26 ページの「管理者としてログオンする」
不審なプログラムの検出を有効にして応答を設定する
オンアクセス スキャナーとオンデマンド スキャナーで不審なプログラムの検出を有効にして、検出時の応答を指定
します。
開始する前に
Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、
管理者としてログオンしています。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
オンアクセス スキャン設定します。
a
Endpoint Security クライアントを開きます。
b
メインの [ステータス] ページで [脅威対策] をクリックします。
あるいは、[アクション] メニュー
す。
2
から [設定] を選択し、[設定] ページで [脅威対策] をクリックしま
c
[詳細を表示] をクリックします。
d
[オンアクセス スキャン] をクリックします。
e
[プロセス設定] で、オンアクセス スキャン ポリシー に [不審なプログラムを検出] を選択します。
f
[アクション] で、不審なプログラムに対する応答を設定します。
オンデマンド スキャン を設定します。
a
Endpoint Security クライアントを開きます。
b
メインの [ステータス] ページで [脅威対策] をクリックします。
あるいは、[アクション] メニュー
す。
から [設定] を選択し、[設定] ページで [脅威対策] をクリックしま
c
[詳細を表示] をクリックします。
d
[オンデマンド スキャン] をクリックします。
McAfee Endpoint Security 10.5
製品ガイド
79
3
脅威対策 の使用
脅威対策 の管理
スキャンの種類 ([フル スキャン]、[クイック スキャン]、[右クリック スキャン]) ごとに次の操作を行いま
す。
e
•
[不審なプログラムを検出] を選択します。
•
[アクション] で、不審なプログラムに対する応答を設定します。
関連トピック:
81 ページの「オンアクセス スキャンを設定する」
87 ページの「オンデマンド スキャン を設定する」
26 ページの「管理者としてログオンする」
共通のスキャン設定を行う
オンアクセス スキャンとオンデマンド スキャンの両方に適用される設定を指定するには、脅威対策 の オプションを
設定します。
開始する前に
Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、
管理者としてログオンしています。
次の設定はすべてのスキャンに適用されます。
•
隔離場所と隔離項目の保存期間。この期間を過ぎると、隔離項目は自動的に削除されます。
•
スキャン対象から除外する検出名
•
検出する不審なプログラム (スパイウェア、アドウェアなど)
•
McAfee GTI ベースの利用統計のフィードバック
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
Endpoint Security クライアントを開きます。
2
メインの [ステータス] ページで [脅威対策] をクリックします。
あるいは、[アクション] メニュー
から [設定] を選択し、[設定] ページで [脅威対策] をクリックします。
3
[詳細を表示] をクリックします。
4
[オプション] をクリックします。
5
ページで設定を行い、[適用] をクリックして変更を保存するか、[キャンセル] をクリックします。
関連トピック:
26 ページの「管理者としてログオンする」
81 ページの「オンアクセス スキャンを設定する」
87 ページの「オンデマンド スキャン を設定する」
McAfee GTI の機能
オンアクセス スキャナーまたはオンデマンド スキャナーで McAfee GTI を有効にすると、スキャナーは不審なファ
イルにヒューリスティック スキャンを実行します。
スキャナーは、McAfee Labs がホスティングしている中央のデータベース サーバーにサンプルのフィンガープリン
トまたはハッシュを送信し、マルウェアかどうかを判断します。 ハッシュを送信するので、McAfee Labs が次のコ
ンテンツ ファイルで更新を公開する前に脅威を検出できる場合があります。
80
McAfee Endpoint Security 10.5
製品ガイド
脅威対策 の使用
脅威対策 の管理
3
サンプルがマルウェアかどうか判断するときに McAfee GTI が使用する感度レベルを設定できます。 感度レベルを
高くすると、検出されるマルウェアの数は多くなります。 ただし、検出数が増えると、誤検知も増える可能性があり
ます。 McAfee GTI のデフォルトの感度レベルは 中 に設定されています。 オンアクセス スキャンとオンデマンド
スキャンの設定で、スキャナーごとに感度レベルを設定します。
共通設定の設定で Endpoint Security レピュテーション情報を取得するときにプロキシ サーバーに接続するように
McAfee GTI を設定できます。
McAfee GTI に関するよくある質問については、KB53735 を参照してください。
オンアクセス スキャンを設定する
脅威検出時に送信するメッセージなど、オンアクセス スキャンの設定を行います。プロセスの種類別に異なる設定を
行うことができます。
開始する前に
Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、
管理者としてログオンしています。
スキャン設定オプションの詳細については、ヘルプで脅威対策の [オプション] 設定を確認してください。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
Endpoint Security クライアントを開きます。
2
メインの [ステータス] ページで [脅威対策] をクリックします。
あるいは、[アクション] メニュー
から [設定] を選択し、[設定] ページで [脅威対策] をクリックします。
3
[詳細を表示] をクリックします。
4
[オンアクセス スキャン] をクリックします。
5
[オンアクセス スキャンを有効にする] を選択して、オンアクセス スキャナーを有効にし、オプションを変更し
ます。
6
すべてのプロセスに標準の設定を使用するか、危険度高と危険度低のプロセスに別の設定を使用するかどうかを
指定します。
7
•
標準設定 — [標準] タブでスキャンの設定を行います。
•
プロセスの種類別に異なる設定を使用する場合 - タブ ([標準]、[危険度高]、[危険度低]) を選択して、プロ
セスの種類別にスキャンを設定します。
[適用] をクリックして変更を保存するか、[キャンセル] をクリックします。
関連トピック:
26 ページの「管理者としてログオンする」
80 ページの「共通のスキャン設定を行う」
McAfee Endpoint Security 10.5
製品ガイド
81
3
脅威対策 の使用
脅威対策 の管理
オンアクセス スキャナーの実行条件の選択
オンアクセス スキャナーの実行条件を指定できます。[ディスクへの書き込み時]、[ディスクからの読み取り時]、
[McAfee が選択する] から選択できます。
ディスクへの書き込み時 (書き込みスキャン)
書き込みスキャンを選択しても、スキャンの前後でファイルへのアクセスは阻止されません。このため、システムは攻
撃を受ける可能性があります。
[書き込みスキャン] を選択すると、ディスクへのファイルの書き込みが完了した後でスキャナーがファイルを検査し
ます。 スキャナーが書き込みスキャンを実行する前に、ファイルに対して読み取り、オープン、実行操作が実行され
る可能性があるため、感染する可能性があります。 書き込みスキャンの実行中に、書き込まれたファイルにアプリケ
ーションがアクセスすると、共有違反が発生します。
オンアクセス スキャナーは次のファイルをスキャンします。
•
ローカルドライブで作成または変更されたファイル。
•
ネットワーク ドライブからローカル ドライブにコピーまたは移動したファイル ([ネットワーク ドライブ上をス
キャンする] オプションが有効になっている場合)。
•
ローカル ドライブからネットワーク ドライブにコピーまたは移動したファイル ([ネットワーク ドライブ上をス
キャンする] オプションが有効になっている場合)。
ディスクからの読み取り時 (読み取りスキャン)
ベストプラクティス: アウトブレークを防ぐため、読み取りスキャン オプションを有効にしてください。
[読み取りスキャン] を選択すると、ファイルが正常な状態であることが確認されない限り、スキャナーはファイルへ
のアクセスを阻止します。
オンアクセス スキャナーは次のファイルをスキャンします。
•
ローカル ドライブから読み取り、オープン、実行されたファイル。
•
ネットワーク ドライブから読み取り、オープン、実行されたファイル ([ネットワーク ドライブ上をスキャンす
る] オプションが有効になっている場合)。
McAfee が選択する
ベストプラクティス: 保護機能とパフォーマンスを最高の状態にするため、このオプションを有効にしてください。
このオプションを選択すると、オンアクセス スキャナーは信頼ロジックを使用してスキャンを最適化します。 信頼
ロジックのスキャン回避で不要なスキャンを排除することで、セキュリティとパフォーマンスを強化します。 たとえ
ば、McAfee は一部のプログラムを信頼できるプログラムと見なします。 McAfee が、これらのプログラムが改ざん
されていないことを確認すると、スキャナーは最適化されたスキャンを実行します。
オンアクセス スキャンの機能
オンアクセス スキャナーは、システムの最下位層 (ファイル システムのフィルター ドライバー) と連携し、システ
ムに入っていくる最初の段階でファイルをスキャンします。
オンアクセス スキャナーは、脅威を検出すると、サービス インターフェースに通知を表示します。
McAfee GTI を設定すると、スキャナーはヒューリスティック スキャンを実行し、不審なファイルを検出します。
82
McAfee Endpoint Security 10.5
製品ガイド
3
脅威対策 の使用
脅威対策 の管理
Windows 8 と 10 - インストール済みの Windows ストア アプリのパスで脅威が検出されると、スキャナーは
そのオブジェクトに改ざんというマークを付けます。 Windows は、アプリのタイトルに改ざんフラグを追加しま
す。 このアプリを実行すると、Windows は問題を通知し、Windows ストアにリダイレクトして再インストールを
指示します。
スキャナーは、次の条件に従って項目をスキャンするかどうか判断します。
•
ファイルの拡張子が設定と一致している。
•
ファイル情報がグローバル スキャン キャッシュになない。
•
ファイルが除外対象になっていない。あるいは以前にスキャンされていない。
読み取り時のスキャン
読み取り時のスキャンを選択した場合、ファイルの読み取り、オープン、実行が試行されると、スキャナーは次の処
理を行います。
1
要求をブロックします。
2
項目がスキャン対象かどうか判断します。
•
ファイルがスキャン要件を満たしていない場合、ファイルのブロックを解除して、ファイル情報をキャッシュ
に保存し、操作を許可します。
•
ファイルのスキャンが必要な場合には、スキャン エンジンがファイルをスキャンし、現在読み込まれている
AMCore コンテンツ ファイルのシグネチャと比較します。
•
ファイルが感染していない場合、ファイルのブロックを解除し、結果をキャッシュに保存します。
•
ファイルが脅威に感染している場合には、ファイルに対するアクセスを拒否し、設定されているアクショ
ンを実行します。
たとえば、アクションにファイルの駆除が指定されている場合、スキャナーは次の処理を実行します。
1
現在読み込まれている AMCore コンテンツ ファイルの情報を使用してファイルを駆除します。
2
結果をアクティビティ ログに記録します。
3
ファイルに脅威が存在することをユーザーに通知し、実行するアクション (ファイルの駆除または削
除) を確認します。
書き込み時のスキャン
ディスクへの書き込みが完了し、ファイルがクローズした後でスキャナーがファイルを検査します。
書き込み時のスキャンを選択した場合、ディスクへのファイルの書き込みが完了すると、スキャナーが次の処理を行
います。
1
項目がスキャン対象かどうか判断します。
a
ファイルがスキャン要件を満たしていない場合、ファイル情報をキャッシュに保存し、操作を許可します。
b
ファイルのスキャンが必要な場合には、スキャン エンジンがファイルをスキャンし、現在読み込まれている
AMCore コンテンツ ファイルのシグネチャと比較します。
•
ファイルが感染していない場合、結果をキャッシュに保存します。
•
ファイルで脅威を検出した場合、設定されているアクションを実行します。
スキャナーは、ファイルに対するアクセスを拒否しません。
McAfee Endpoint Security 10.5
製品ガイド
83
3
脅威対策 の使用
脅威対策 の管理
グローバル スキャン キャッシュが消去されるタイミング
Endpoint Security サービスまたはシステムが再起動すると、オンアクセス スキャンの検出リストがクリアされま
す。
次の場合、脅威対策はグローバル スキャン キャッシュをクリアします。すべてのファイルを再スキャンします。
•
オンアクセス スキャン の設定が変更された場合
•
Extra.DAT ファイルが追加された場合
•
システムがセーフ モードで再起動した場合。
プロセスが信頼済みの証明書で署名されている場合、署名に使用した証明書がキャッシュに保存されます。この証明
書は再起動後もキャッシュに残ります。 キャッシュにある信頼済みの証明書で署名されたプロセスがアクセスして
いるファイルが、スキャンの対象になることは殆どありません。このため、スキャンが回避されるので、パフォーマ
ンスが向上します。
84
McAfee Endpoint Security 10.5
製品ガイド
3
脅威対策 の使用
脅威対策 の管理
ベストプラクティス: ユーザーに対するオンアクセス スキャンの影響を最小限に抑える方法
システムに対するオンアクセス スキャンの影響を最小限に抑えるには、システム パフォーマンスへの影響を回避す
るオプションを選択して、必要な場合にのみスキャンを実行します。
パフォーマンス オプションを選択する
スキャン オプションによっては、システムのパフォーマンスが低下する可能性があります。 このオプションは、特
定の項目のスキャンが必要な場合にのみ選択してください。 オンアクセス スキャンの設定で、これらのオプション
を選択したり、選択を解除します。
•
[サービスのスタートアップ時とコンテンツの更新時にプロセスをスキャンする] - 次の場合に、メモリー内に存
在するすべてのプロセスを再スキャンします。
•
オンアクセス スキャンを再度有効にした後
•
コンテンツ ファイルの更新後
•
システムの起動後
•
McShield.exe プロセスの開始後
一部のプログラムまたは実行ファイルは、システムの開始時に自動的に起動します。システムのスタートアップ
時間を短縮するには、このオプションの選択を解除してください。
•
[信頼されたインストーラーをスキャン] - MSI ファイル (msiexec.exe がインストールし、McAfee または
Microsoft が署名したファイル) または Windows Trusted Installer サービス ファイルをスキャンします。
Microsoft アプリケーション インストーラーのパフォーマンスを改善する場合には、このオプションの選択を解
除してください。
必要な対象だけをスキャンする
ファイルの種類によっては、スキャンを実行すると、システムのパフォーマンスが低下する可能性があります。 この
オプションは、その種類のファイルのスキャンが必要な場合にのみ選択してください。オンアクセス スキャンの設定
で、[スキャン対象] セクションで、これらのオプションを選択したり、選択を解除します。
•
[ネットワーク ドライブ上をスキャンする] - ネットワーク ドライブ上のリソースをスキャンします。
パフォーマンスを向上させるには、このオプションを選択しないでください。
•
[バックアップ用に開いたファイル] - バックアップ ソフトウェアがアクセスしたときにファイルをスキャンし
ます。
ほとんどの環境では、この設定を選択する必要はありません。
•
[圧縮されたアーカイブ ファイル] - .jar ファイルなどのアーカイブ ファイル (圧縮ファイル) 内のコンテンツ
をスキャンします。
アーカイブに感染ファイルが含まれている場合でも、アーカイブを展開しない限り、ファイルがシステムに感染
することはありません。 アーカイブを展開すると、オンアクセス スキャンがファイルを検査し、マルウェアを検
出します。
ScriptScan について
ScriptScan は、JavaScript と VBScript のコードを実行前にスキャンし、不正なスクリプトかどうかを検証するブ
ラウザー ヘルパー オブジェクトです。 スクリプトに問題がない場合、JavaScript または VBScript が処理されま
す。 不正なスクリプトを検出すると、ScriptScan がスクリプトの実行をブロックします。
ScriptScan は、Internet Explorer でのみスクリプトを検査します。 システム全体でスクリプトを検査しません。ま
た、wscript.exe や cscript.exe で実行されたスクリプトも検査しません。
McAfee Endpoint Security 10.5
製品ガイド
85
3
脅威対策 の使用
脅威対策 の管理
脅威対策のインストール後に初めて Internet Explorer を起動すると、プロンプトが表示され、1 つ以上の McAfee
アドオンを有効にするように指示されます。 ScriptScan でスクリプトをスキャンするには:
•
ScriptScan を有効にする を選択する必要があります。 ScriptScan は、デフォルトで有効になっています。
•
アドオンをブラウザーで有効にする必要があります。
Internet Explorer の起動後に ScriptScan を有効にしても、Internet Explorer のこのインスタンスでは不審なスク
リプトが検出されません。 不正なスクリプトを検出するには、ScriptScan を有効にした後で Internet Explorer を
再起動する必要があります。
•
スクリプトに脅威が存在しない場合、スクリプトをネイティブ Windows スクリプト ホストに渡します。
•
スクリプトで潜在的な脅威が検出された場合、スクリプト スキャナーがスクリプトの実行を阻止します。
ベストプラクティス: ScriptScan の除外対象
スクリプト数の多いサイトや Web アプリケーションの場合、ScriptScan を有効にするとパフォーマンスが低下す
る可能性があります。 ScriptScan を無効にするのではなく、信頼サイトの URL を除外対象に指定することをお勧
めします。たとえば、イントラネット内のサイトや、安全性が確認されている Web アプリケーションを除外対象に
設定します。
ScriptScan の除外対象として部分文字列または部分的な URL を指定できます。 除外対象に指定した文字列が
URL の一部と一致すると、URL が除外されます。
URL 除外対象を作成する場合:
86
•
ワイルドカードは使用できません。
•
完全な URL を指定するほど、パフォーマンスが向上します。
•
ポート番号を指定しないでください。
•
完全修飾ドメイン名 (FQDN) と NetBIOS 名だけを使用してください。
McAfee Endpoint Security 10.5
製品ガイド
脅威対策 の使用
脅威対策 の管理
3
プロセスのスキャン設定を決める方法
次のプロセスに従って、プロセス タイプごとに異なる設定を行うかどうかを判断してください。
オンデマンド スキャン を設定する
この設定では、フル スキャン、クイック スキャン、右クリック スキャンの 3 つのオンデマンド スキャンの動作を
定義します。
開始する前に
Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、
管理者としてログオンしています。
スキャン設定オプションの詳細については、ヘルプで脅威対策の [オプション] 設定を確認してください。
McAfee Endpoint Security 10.5
製品ガイド
87
3
脅威対策 の使用
脅威対策 の管理
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
Endpoint Security クライアント を開きます。
2
メインの [ステータス] ページで [脅威対策] をクリックします。
あるいは、[アクション] メニュー
から [設定] を選択し、[設定] ページで [脅威対策] をクリックします。
3
[詳細を表示] をクリックします。
4
[オンデマンド スキャン] をクリックします。
5
タブをクリックして、指定したスキャンの設定を行います。
6
•
[フル スキャン]
•
[クイック スキャン]
•
[右クリック スキャン]
ページで設定を行い、[適用] をクリックして変更を保存するか、[キャンセル] をクリックします。
関連トピック:
26 ページの「管理者としてログオンする」
80 ページの「共通のスキャン設定を行う」
92 ページの「スキャン タスクとスケジュールを設定して実行する」
オンデマンド スキャンの機能
オンデマンド スキャナーは、ファイル、フォルダー、メモリー、レジストリをスキャンし、マルウェア感染の有無を
確認します。
オンデマンド スキャンを実行するタイミングと頻度を設定します。手動でシステムをスキャンすることも、実行スケ
ジュールを設定することもできます。また、システム起動時に実行することもできます。
1
オンデマンド スキャナーは、次の条件に従ってスキャン対象の項目を判断します。
•
ファイルの拡張子が設定と一致している。
•
ファイルがキャッシュ内にないか、実行またはスキャンされていない (スキャナーがスキャン キャッシュを使
用している場合)。
McAfee GTI を設定すると、スキャナーはヒューリスティック スキャンを実行し、不審なファイルを検出します。
2
ファイルがスキャン条件に一致すると、現在読み込まれている AMCore コンテンツ ファイルのマルウェア シグ
ネチャとファイル内の情報を比較します。
•
ファイルが感染していない場合、結果をキャッシュに保存し、次の項目をスキャンします。
•
ファイルで脅威を検出した場合、設定されているアクションを実行します。
たとえば、アクションにファイルの駆除が指定されている場合、スキャナーは次の処理を実行します。
88
1
現在読み込まれている AMCore コンテンツ ファイルの情報を使用してファイルを駆除します。
2
結果をアクティビティ ログに記録します。
3
ファイルで脅威を検出したことをユーザーに通知します。項目名と実行したアクションも通知します。
McAfee Endpoint Security 10.5
製品ガイド
脅威対策 の使用
脅威対策 の管理
3
Windows 8 と 10 - インストール済みの Windows ストア アプリのパスで脅威が検出されると、スキャ
ナーはそのオブジェクトに改ざんというマークを付けます。 Windows は、アプリのタイトルに改ざんフラグ
を追加します。 このアプリを実行すると、Windows は問題を通知し、Windows ストアにリダイレクトして
再インストールを指示します。
3
項目がスキャン要件を満たしていない場合、スキャナーはその項目をチェックしません。すべてのデータをスキ
ャンするまで処理を継続します。
次のオンデマンド スキャンが開始すると、オンデマンド スキャンの検出リストがクリアされます。
Extra.DAT が読み込まれると、脅威対策 はグローバル スキャン キャッシュをクリアします。すべてのファイルを再
スキャンします。
ベストプラクティス: ユーザーに対するオンデマンド スキャンの影響を最小限に抑える方法
システムに対するオンデマンド スキャンの影響を最小限に抑えるには、システム パフォーマンスへの影響を回避す
るオプションを選択して、必要な場合にのみスキャンを実行します。
システムがアイドル状態の場合にのみスキャンする
ユーザーに影響を及ぼさないようにスキャンを実行する最も簡単な方法は、コンピューターがアイドル状態のときに
だけオンデマンド スキャンを行う方法です。
このオプションを有効にすると、キーボード操作やマウス操作などのディスクまたはユーザー アクティビティを検出
したときに脅威対策がスキャンを一時停止します。 脅威対策は、ユーザーが 3 分間システムにアクセスしないと、
スキャンを再開します。
以下の操作が可能です。
•
ユーザーのアクティビティで一時停止したスキャンの再開をユーザーに許可します。
•
システムがアイドル状態の場合にのみスキャンを再開します。
McAfee Endpoint Security 10.5
製品ガイド
89
3
脅威対策 の使用
脅威対策 の管理
このオプションは、サーバー システムで無効にしてください。また、ユーザーがリモート デスクトップ接続 (RDP)
でアクセスしているシステムでも無効にしてください。 脅威対策は McTray を使用してシステムがアイドル状態か
どうかを判断します。 RDP だけで接続されているシステムの場合、McTray は開始しません。オンデマンド スキャ
ナーは実行されません。 この問題を回避するには、RDP でログオンするときに McTray を手動で実行します (デフ
ォルトでは C:\Program Files\McAfee\Agent\mctray.exe)。
[スキャン タスク]の設定タブにあるパフォーマンス セクションで、システムがアイドル状態の場合にのみスキャン
を選択します。
スキャンを自動的に一時停止する
システムがバッテリーで動作している場合には、スキャン タスクを一時停止すると、パフォーマンスを改善できま
す。 ブラウザー、メディア プレイヤー、プレゼンテーションなどのアプリケーションが全画面表示で実行されてい
るときにスキャンを一時停止することもできます。 システムを電源に接続したり、全画面モードを解除するとすぐに
スキャンが再開します。
•
[システムがバッテリーで動作している場合にスキャンを実行しない]
•
[システムがプレゼンテーション モードの場合にスキャンを実行しない] ([いつでもスキャン] を有効にした場合
に使用可能)
スキャン タスクの [設定] タブにある [パフォーマンス] セクションで、次のオプションを選択します。
ユーザーにスキャンの延期を許可する
[いつでもスキャン] を選択すると、スケジュール スキャンの延期を 1 時間単位 (最大 24 時間まで) または無制限
に許可することができます。 1 回に延期できる時間は 1 時間です。 たとえば、[ユーザーが延期できる最大回数] オ
プションを 2 に設定すると、ユーザーはスキャンを 2 回 (2 時間) 延期できます。 指定した最大時間を経過すると、
スキャンが続行します。 このオプションを 0 に設定して無期限の延期を許可した場合、ユーザーはスキャンの延期
を無期限で行うことができます。
[スキャン タスク]の [設定] タブにある [パフォーマンス] セクションで、[ユーザーにスキャンの延期を許可] を選
択します。
差分スキャンを実行してスキャン アクティビティを制限する
差分スキャンまたは再開可能なスキャンを実行して、オンデマンド スキャンのアクティビティを制限します。システ
ム全体を複数のセッションでスキャンします。 差分スキャンを実行するには、スケジュール スキャンに制限時間を
追加します。 制限時間に達すると、スキャンが停止します。 このタスクを次に開始すると、前回のスキャンが停止
した位置 (ファイルとフォルダー構造) からスキャンが再開します。
[スキャン タスク]のスケジュール タブにあるオプション セクションで、次の時間実行が続く場合は停止する を選択
します。
システム使用率を設定する
システム使用率 とは、スキャン中にスキャナーに割り当てられる CPU 時間の量を表します。 システムでエンドユー
ザーが操作を行っている場合には、システム使用率を [低] に設定します。
[スキャン タスク]の設定タブにあるパフォーマンス セクションで、システム使用率 を選択します。
90
McAfee Endpoint Security 10.5
製品ガイド
脅威対策 の使用
脅威対策 の管理
3
必要な対象だけをスキャンする
ファイルの種類によっては、スキャンを実行すると、システムのパフォーマンスが低下する可能性があります。 この
オプションは、その種類のファイルのスキャンが必要な場合にのみ選択してください。[設定] タブの [スキャン タス
ク] で、[スキャン対象] セクションのオプションを選択または選択解除します。
•
[ストレージに移動したファイル]
オフラインのデータ ストレージ ソリューションによってファイルがスタブ ファイルに置換される場合がありま
す。 スタブが存在すると、ファイルが移行済みであることを意味します。スキャナーがスタブ ファイルを検出す
ると、スキャン前にローカル システムにファイルをリストアします。 リストア プロセスを実行すると、システ
ム パフォーマンスが低下する可能性があります。
ストレージ内のファイルをスキャンする特別な理由がない限り、このオプションを選択しないでください。
•
[圧縮されたアーカイブ ファイル]
アーカイブに感染ファイルが含まれている場合でも、アーカイブを展開しない限り、ファイルがシステムに感染
することはありません。 アーカイブを展開すると、オンアクセス スキャンがファイルを検査し、マルウェアを検
出します。
ベストプラクティス: 圧縮されたアーカイブ ファイルをスキャンすると、システムのパフォーマンスが低下する
可能性があります。システムのパフォーマンスを向上させるため、このオプションは選択しないでください。
関連トピック:
87 ページの「オンデマンド スキャン を設定する」
92 ページの「スキャン タスクとスケジュールを設定して実行する」
システム使用率の機能
オンデマンド スキャナーは、Windows の [優先度の設定] を使用して、スキャン プロセスと脅威の優先度を判断し
ます。システム使用率 (スロットル) の設定を使用すると、スキャン プロセス中にオンデマンド スキャナーに割り当
てられる CPU 時間を指定できます。
スキャンのシステム使用率を「低」に設定すると、他の実行中アプリケーションのパフォーマンスが向上します。エ
ンド ユーザーが作業中のシステムでは「低」が適切な設定です。逆に、システム使用率を「標準」に設定すると、ス
キャン速度が向上します。エンド ユーザーの作業量が殆どなく、ボリュームが大きいシステムの場合、「標準」が適
切な設定になります。
それぞれのタスクは、他のタスクの制限に関係なく、個別に実行されます。
表 3-2 デフォルトのプロセス設定
Windows の [優先度
の設定] の値
脅威対策 プロセ
ス設定
オプションの結果...
[低]
実行中の他のアプリケーションのパフォーマンスが向上します。エ
低
ンドユーザーが作業中の場合には、このオプションを選択してくださ
い。
[標準以下 ]
スキャンのシステム使用率が McAfee ePO のデフォルト値に設定さ
れます。
[標準] (デフォル
ト)
スキャン速度が速くなります。エンド ユーザーの作業量が殆どなく、 標準
ボリュームが大きいシステムの場合には、このオプションを選択して
ください。
McAfee Endpoint Security 10.5
標準以下
製品ガイド
91
3
脅威対策 の使用
脅威対策 の管理
リモート ストレージ スキャンの機能
リモート ストレージが管理するファイルのコンテンツをスキャンするように、オンデマンド スキャナーを設定でき
ます。
リモート ストレージは、ローカル システムで使用可能なストレージ容量を監視します。 リモート ストレージは、必
要に応じてファイルのコンテンツ (データ) をクライアント システムからストレージ デバイス (テープ ライブラリ
など) に自動的に移行します。 移行されたファイルをユーザーが開くと、リモート ストレージはストレージ デバイ
ス上のデータを自動的に呼び出します。
リモート ストレージが管理するファイルをスキャンするようにオンデマンド スキャナーを設定するには、[ストレー
ジに移動したファイル] オプションを選択します。 コンテンツが移行されたファイルを検出すると、スキャナーはロ
ーカル システムにファイルを復元してからスキャンを実行します。
詳細については、「リモート ストレージとは」を参照してください。
スキャン タスクとスケジュールを設定して実行する
Endpoint Security クライアントの 共通設定で、[フル スキャン] と [クイック スキャン] のデフォルト タスクの
スケジュールを設定したり、カスタム スキャン タスクを作成できます。
開始する前に
Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、
管理者としてログオンしています。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
Endpoint Security クライアントを開きます。
2
[アクション] メニュー
3
[詳細を表示] をクリックします。
4
[共通設定] から [タスク] をクリックします。
5
このページでスキャン タスクを設定します。
操作...
から [設定] を選択します。
手順
カスタム スキャン タ 1 [追加] をクリックします。
スクを作成する。
2 名前を入力して、ドロップダウン リストから [カスタム スキャン] を選択し、[次へ]
をクリックします。
3 スキャン タスクとスケジュールを設定して、[OK] をクリックしてタスクを保存しま
す。
スキャン タスクを変
更する。
• タスクをダブルクリックして変更を行い、[OK] をクリックしてタスクを保存します。
カスタム スキャン タ • タスクを選択して、[削除] をクリックします。
スクを削除する。
スキャン タスクのコ
ピーを作成する。
92
1 タスクを選択して、[複製] をクリックします。
2 名前を入力して設定を行い、[OK] をクリックしてタスクを保存します。
McAfee Endpoint Security 10.5
製品ガイド
脅威対策 の使用
Endpoint Security クライアント インターフェース リファレンス - 脅威対策
操作...
3
手順
[フル スキャン] また 1 [フル スキャン] または [クイック スキャン] をダブルクリックします。
は [クイック スキャ
ン] タスクのスケジュ 2 [スケジュール] タブをクリックしてスケジュールを変更し、[OK] をクリックしてタ
ールを変更する。
スクを保存します。
自社管理システムの場合には、[フル スキャン] と [クイック スキャン] のタスクを設
定できます。
デフォルトでは、毎週水曜日の午前 0 時に [フル スキャン] が実行されます。 [クイッ
ク スキャン] は、毎日午後 7 時に実行されます。 スケジュールは有効です。
スキャン タスクを実
行する。
• タスクを選択して、[今すぐ実行] をクリックします。
タスクがすでに実行中の場合 (一時停止と遅延も含む)、ボタンが [表示] に変わります。
変更を適用する前にタスクを実行すると、Endpoint Security クライアントがプロンプ
トを表示し、設定を保存するかどうか確認します。
6
[適用] をクリックして変更を保存するか、[キャンセル] をクリックします。
関連トピック:
26 ページの「管理者としてログオンする」
87 ページの「オンデマンド スキャン を設定する」
56 ページの「フル スキャンまたはクイック スキャンを実行する」
Endpoint Security クライアント インターフェース リファレンス - 脅威対
策
Endpoint Security クライアント インターフェースのページでコンテキスト ヘルプを利用できます。
目次
[隔離] ページ
脅威対策 - アクセス保護
脅威対策 - エクスプロイト防止
脅威対策 - オンアクセス スキャン
脅威対策 - オンデマンド スキャン
スキャンする場所
McAfee GTI
アクション
除外対象の追加または除外対象の編集
脅威対策 - オプション
AMCore コンテンツのロールバック
McAfee Endpoint Security 10.5
製品ガイド
93
3
脅威対策 の使用
Endpoint Security クライアント インターフェース リファレンス - 脅威対策
[隔離] ページ
隔離領域の項目を管理します。
表 3-3
オプション
オプション
定義
[削除]
選択した項目を隔離領域から削除します。
削除された項目は復元できません。
[復元]
隔離領域から項目を復元します。
Endpoint Security は、項目を元の場所に復元し、隔離領域から削除します。
復元する項目に脅威が存在している場合、Endpoint Security は項目をすぐに隔離領域に戻します。
[再スキャン] 隔離領域で選択した項目を再度スキャンします。
項目に脅威が存在しない場合、Endpoint Security は項目を元の場所に復元し、隔離領域から削除
します。
列見出し
隔離リストのソート条件...
[検出名]
検出名
[種類]
脅威の種類。[トロイの木馬] や [アドウェア] など。
[隔離期日]
項目を隔離している期間
[オブジェクト数]
検出結果のオブジェクト数
[AMCore コンテンツのバージョン]
脅威を識別した AMCore コンテンツのバージョン番号
[再スキャンのステータス]
再スキャンのステータス (項目が再スキャンされた場合):
• [正常] - 再スキャンの結果、脅威は見つかりませんでした。
• [感染] - 再スキャンで Endpoint Security が脅威を検出しました。
関連トピック:
60 ページの「隔離項目を管理する」
61 ページの「検出名」
62 ページの「隔離項目の再スキャン」
脅威対策 - アクセス保護
設定したルールに従って、システムのアクセス ポイントを保護します。 アクセス保護は、要求されたアクションと
ルールのリストを比較し、ルールに従って処理を実行します。
ベストプラクティス: アクセス保護ルールを作成してランサムウェアから保護する方法については、PD25203 を参照
してください。
表 3-4
94
オプション
セクション
オプション
定義
[アクセス保護]
[アクセス保護を有効にする]
アクセス保護の機能を有効にします。
McAfee Endpoint Security 10.5
製品ガイド
脅威対策 の使用
Endpoint Security クライアント インターフェース リファレンス - 脅威対策
3
表 3-5 詳細オプション
セクショ
ン
オプシ 説明
ョン
[除外対
象]
すべてのルールで、指定したプロセス (実行ファイル) へのアクセスが許可されます。
• [追加] - プロセスを除外リストに追加します。
• 項目をダブルクリックします。 — 選択した項目を変更します。
• [削除] - 選択した項目を削除します。
• [複製] - 選択した項目のコピーを作成します。
[ルール]
アクセス保護ルールを設定します。
McAfee 定義ルールを有効または無効にしたり、変更することはできますが、削除することは
できません。
• [追加] - カスタム ルールを作成し、リ
ストに追加します。
• [ブロック] (のみ) - ログに記録せずに
アクセスをブロックします。
• 項目をダブルクリックします。 — 選択
した項目を変更します。
• [報告] (のみ) - アクセスをブロックせ
ずにログに記録します。
• [削除] - 選択した項目を削除します。
• [ブロック] と [報告] - アクセスをブ
ロックして、ログに記録します。
• [複製] - 選択した項目のコピーを作成
します。
ベストプラクティス: ルールによる影響が分からない場合には、[ブロック] ではなく [報告] を
選択してください。これにより、アクセスをブロックせずに警告を表示します。 ログとレポー
トをモニタリングして、アクセスをブロックするかどうか判断してください。
すべてをブロックまたは報告するには、最初の行で [ブロック] または [報告] を選択します。
ルールを無効にするには、[ブロック] と [報告] の選択を解除します。
関連トピック:
67 ページの「McAfee 定義のアクセス保護ルールを設定する」
70 ページの「ユーザー定義のアクセス保護ルールを設定する」
105 ページの「[除外項目の追加] または [除外項目の編集]」
95 ページの「[ルールの追加] または [ルールの編集]」
68 ページの「McAfee 定義のアクセス保護ルール」
[ルールの追加] または [ルールの編集]
ユーザー定義のアクセス保護ルールを追加または編集します。
McAfee Endpoint Security 10.5
製品ガイド
95
3
脅威対策 の使用
Endpoint Security クライアント インターフェース リファレンス - 脅威対策
表 3-6
オプション
セク オプ
ショ ショ
ン
ン
定義
[オ [名
プシ 前]
ョ
ン]
ルール名を指定または表示します。 (必須)
[アク
ショ
ン]
ルールのアクションを指定します。
• [ブロック] (のみ) - ログに記録せずにアクセスをブロックします。
• [報告] (のみ) - アクセスをブロックせずに警告します。
• [ブロック] と [報告] - アクセスをブロックして、ログに記録します。
ベストプラクティス: ルールによる影響が分からない場合には、[ブロック] ではなく [報告] を選択し
てください。これにより、アクセスをブロックせずに警告を表示します。 ログとレポートをモニタリ
ングして、アクセスをブロックするかどうか判断してください。
すべてをブロックまたは報告するには、最初の行で [ブロック] または [報告] を選択します。
ルールを無効にするには、[ブロック] と [報告] の選択を解除します。
[実行
ファ
イル]
ルールの実行ファイルを指定します。
• [追加] - 新しい実行ファイルを作成し、リストに追加します。
• 項目をダブルクリックします。 — 選択した項目を変更します。
• [削除] - 選択した項目を削除します。
• [複製] - 選択した項目のコピーを作成します。
• [対象ステータスを切り替える] - 項目の対象ステータスが [対象] または [除外] に変わります。
[ユー
ザー
名]
ルールを適用するユーザー名を指定します (ユーザー定義のルールの場合のみ)。
• [追加] - ユーザー名を選択してリストに追加します。
• 項目をダブルクリックします。 — 選択した項目を変更します。
• [削除] - 選択した項目を削除します。
• [複製] - 選択した項目のコピーを作成します。
• [対象ステータスを切り替える] - 項目の対象ステータスが [対象] または [除外] に変わります。
[サブ
ルー
ル]
サブルールを設定します (ユーザー定義のルールの場合のみ)。
• [追加] - 新しいサブルールを作成し、リストに追加します。
• 項目をダブルクリックします。 — 選択した項目を変更します。
• [削除] - 選択した項目を削除します。
• [複製] - 選択した項目のコピーを作成します。
[メ
モ]
項目の補足情報を入力します。
関連トピック:
105 ページの「[除外項目の追加] または [除外項目の編集]」
97 ページの「ユーザー名の追加またはユーザー名の編集」
97 ページの「サブルールの追加またはサブルールの編集」
96
McAfee Endpoint Security 10.5
製品ガイド
脅威対策 の使用
Endpoint Security クライアント インターフェース リファレンス - 脅威対策
3
ユーザー名の追加またはユーザー名の編集
ルールを適用するユーザーを追加または編集します (ユーザー定義のルールの場合のみ)。
表 3-7
オプション
オプショ
ン
定義
[名前]
ルールを適用するユーザー名を指定します。
次の形式でユーザーを指定します。
• ローカル ユーザー - 有効な項目は次のとおりです。
<マシン名>\<ローカル ユーザー名>
.\<ローカル ユーザー名>
.\administrator (ローカル管理者の場合)
• ドメイン ユーザー — <ドメイン名>\<ドメイン ユーザー名>
• ローカル システム - <ローカル\システム> の形式でシステムの NT AUTHORITY\System アカ
ウントを指定します。
[対象ステ
ータス]
ユーザーの対象ステータスを表します。
• [対象] - 指定したユーザーによって実行されたファイルがサブルールに違反すると、ルールがトリ
ガーします。
• [除外] - 指定したユーザーによって実行されたファイルがサブルールに違反しても、ルールはトリ
ガーされません。
関連トピック:
95 ページの「[ルールの追加] または [ルールの編集]」
サブルールの追加またはサブルールの編集
ユーザー定義のアクセス保護サブルールを追加または編集します。
表 3-8
オプション
オプショ 定義
ン
[名前]
サブルールの名前を指定します。
[サブル サブルールの種類を指定します。
ールの種 サブルールの種類を変更すると、[対象] テーブルで以前に定義した項目は削除されます。
類]
• [ファイル] - ファイルまたはディレクトリを保護します。 たとえば、アクセスをブロックまたは報
告するカスタム ルールを作成し、重要な情報を含む Excel シートを削除します。
• [レジストリ キー] - 指定したキーを保護します。 レジストリ キーは、レジストリ値を格納するコン
テナーです。 例: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run
• [レジストリ キー] - 指定した値を保護します。 レジストリ値はレジストリ キーに格納され、レジス
トリ キーとは別に参照されます。 例: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\Autorun
• [プロセス] - 指定したプロセスを保護します。 たとえば、プロセスで試行された操作をブロックま
たは報告するカスタム ルールを作成します。
• [サービス] - 指定したサービスを保護します。 たとえば、サービスの停止または開始を防止するカ
スタム ルールを作成します。
McAfee Endpoint Security 10.5
製品ガイド
97
3
脅威対策 の使用
Endpoint Security クライアント インターフェース リファレンス - 脅威対策
表 3-8
オプション (続き)
オプショ 定義
ン
[操作]
サブルールの種類で許可された操作が表示されます。 サブルールに適用する操作を 1 つ以上指定する
必要があります。
ベストプラクティス: パフォーマンスの低下を防ぐため、[読み取り] 操作は選択しないでください。
[ファイル]:
• [読み取り専用属性または隠し属性の変更] - 指定したフォルダー内でのこれらのファイル属性の変
更をブロックまたは報告します。
• [作成] - 指定したフォルダー内でのファイルの作成をブロックまたは報告します。
• [削除] - 指定したフォルダー内でのファイルの削除をブロックまたは報告します。
• [実行] - 指定したフォルダー内でのファイルの実行をブロックまたは報告します。
• [権限の変更] - 指定したフォルダー内でのファイルに対する権限の変更をブロックまたは報告しま
す。
• [読み取り] - 指定したファイルに対する読み取りをブロックまたは報告します。
• [名前の変更] - 指定したファイルに対する名前の変更をブロックまたは報告します。
98
McAfee Endpoint Security 10.5
製品ガイド
脅威対策 の使用
Endpoint Security クライアント インターフェース リファレンス - 脅威対策
表 3-8
3
オプション (続き)
オプショ 定義
ン
[宛先ファイル] の対象を指定した場合、有効な操作は [名前の変更] だけです。
• [書き込み] - 指定したファイルに対する書き込みをブロックまたは報告します。
[レジストリ キー]:
• [書き込み] - 指定したキーに対する書き込みをブロックまたは報告します。
• [作成] - 指定したキーの作成をブロックまたは報告します。
• [削除] - 指定したキーの削除をブロックまたは報告します。
• [読み取り] - 指定したキーに対する読み取りをブロックまたは報告します。
• [列挙] - 指定したレジストリ キーのサブキーの列挙をブロックまたは報告します。
• [読み込み] - 指定したレジストリ キーとそのサブキーのアップロードをブロックまたは報告しま
す。
• [置換] - 指定したレジストリ キーとサブキーの置換をブロックまたは報告します。
• [復元] - 指定したファイルへのレジストリ情報の保存や、指定したキーのコピーをブロックまたは報
告します。
• [権限の変更] - 指定したレジストリ キーとサブキーに対する権限の変更をブロックまたは報告しま
す。
[レジストリ値]:
• [書き込み] - 指定した値に対する書き込みをブロックまたは報告します。
• [作成] - 指定した値の作成をブロックまたは報告します。
• [削除] - 指定した値の削除をブロックまたは報告します。
• [読み取り] - 指定した値に対する読み取りをブロックまたは報告します。
[プロセス]:
• [任意のアクセス権] - 任意のアクセス権でのプロセスの開始をブロックまたは報告します。
• [スレッド作成] - スレッド作成権限でのプロセスの開始をブロックまたは報告します。
• [変更] - 変更権限でのプロセスの開始をブロックまたは報告します。
• [終了] - 終了権限でのプロセスの開始をブロックまたは報告します。
• [実行] - 指定した実行ファイルの実行をブロックまたは報告します。
ルールに対象の実行ファイルを 1 つ以上追加する必要があります。
McAfee Endpoint Security 10.5
製品ガイド
99
3
脅威対策 の使用
Endpoint Security クライアント インターフェース リファレンス - 脅威対策
表 3-8
オプション (続き)
オプショ 定義
ン
[実行] の場合、対象プロセスの実行が試行されたときにイベントが生成されます。 その他の操作の場
合には、対象プロセスが実行されたときにイベントが生成されます。
[サービス]:
• [開始] - サービスの開始をブロックまたは報告します。
• [停止] - サービスの停止をブロックまたは報告します。
• [一時停止] - サービスの一時停止をブロックまたは報告します。
• [続行] - 一時停止後のサービスの続行をブロックまたは報告します。
• [作成] - サービスの作成をブロックまたは報告します。
• [削除] - サービスの削除をブロックまたは報告します。
• [ハードウェア プロファイルを有効にする] - サービスのハードウェア プロファイルの有効化をブロ
ックまたは報告します。
• [ハードウェア プロファイルを無効にする] - サービスのハードウェア プロファイルの無効化をブロ
ックまたは報告します。
• [起動モードを変更する] - サービスの起動モード (ブート、システム、自動、手動、無効) の変更を
ブロックまたは報告します。
• [ログイン情報を変更する] - サービスのログイン情報の変更をブロックまたは報告します。
[対象]
• [追加] - ルールの対象を指定します。 対象は、選択したルールの種類によって変わります。 サブル
ールに 1 つ以上の対象を追加する必要があります。
[追加] をクリックして対象ステータスを選択し、追加または除外する対象を入力または選択します。
• 項目をダブルクリックします。 — 選択した項目を変更します。
• [削除] - 選択した項目を削除します。
関連トピック:
95 ページの「[ルールの追加] または [ルールの編集]」
101 ページの「対象」
105 ページの「[除外項目の追加] または [除外項目の編集]」
100
McAfee Endpoint Security 10.5
製品ガイド
脅威対策 の使用
Endpoint Security クライアント インターフェース リファレンス - 脅威対策
3
対象
対象のステータスと定義を指定します。
表 3-9
オプション
セク オプション
ショ
ン
[対
象]
定義
対象がサブルールに一致するかどうかを決定します。 対象のステータスも指定します。
• [対象] - サブルールが指定した対象に一致します。
• [除外] - サブルールが指定したサブルールに一致しません。
対象に [対象]または[除外]のいずれかのディレクティブを追加します。
[ファイル]
サブルール
タイプを選択
した場合...
[ファイル] サブルールにファイル名、フォルダー名、パス、ドライブ タイプを指定します。
• [ファイル パス] - ファイルを参照して選択します。
• [宛先ファイル] - [名前の変更] 操作の対象となるファイル名またはパスを参照して選択
します。
[宛先ファイル] の対象を選択すると、[名前の変更] 操作 (のみ) が選択されます。
• [ドライブの種類] - ドロップダウン リストから対象となるドライブの種類を選択します。
• [リムーバブル] - USB ドライブ上のファイルまたは USB ポートで接続されている他
のリムーバブル ドライブ上のファイル。Windows To Go がインストールされているド
McAfee Endpoint Security 10.5
製品ガイド
101
3
脅威対策 の使用
Endpoint Security クライアント インターフェース リファレンス - 脅威対策
表 3-9
オプション (続き)
セク オプション
ショ
ン
定義
ライブも該当します。 CD、DVD またはフロッピーディスク上のファイルはこの種類に
該当しません。
この種類のドライブをブロックすると、Windows To Go がインストールされたドライブ
もブロックされます。
• [ネットワーク] - ネットワーク共有上のファイル
• [固定] - ローカル ハードドライブなどの固定ハードディスク上のファイル
• [CD/DVD] - CD または DVD 上のファイル
• [フロッピー] - フロッピー ディスク上のファイル
ワイルドカードとして ?、*、** を使用できます。
ファイル サブルールの対象のベストプラクティス
例:
• c:\testap という名前のファイルまたはフォルダーを保護する場合、c:\testap または c:
\testap\ を対象に指定します。
• フォルダーのコンテンツを使用する場合には、ワイルドカードとしてアスタリスクを使用
します (c:\testap\*)。
• フォルダーとサブフォルダーのコンテンツを保護する場合には、アスタリスクを 2 つ使用
します (c:\testap\**)。
システム環境変数を使用できます。 環境変数は以下のいずれかの形式で指定できます。
• $(EnvVar) - $(SystemDrive), $(SystemRoot)
• %EnvVar% - %SystemRoot%, %SystemDrive%
システム定義の環境変数の中には、$(var) 構文でアクセスできない場合があります。特に
or 文字を含む変数はアクセスできません。 %var% 構文を使用すると、この問題を回避でき
ます。
ユーザー環境変数を使用できません。
102
McAfee Endpoint Security 10.5
製品ガイド
脅威対策 の使用
Endpoint Security クライアント インターフェース リファレンス - 脅威対策
表 3-9
3
オプション (続き)
セク オプション
ショ
ン
サブルール
タイプに [レ
ジストリ キ
ー] を選択し
た場合...
定義
root キーを使用してレジストリ キーを定義します。 次の root キーを使用できます。
• HKLM または HKEY_LOCAL_MACHINE
• HKCU または HKEY_CURRENT_USER
• HKCR または HKEY_CLASSES_ROOT
• HKCCS は、HKLM/SYSTEM/CurrentControlSet と HKLM/SYSTEM/ControlSet00X に
一致します。
• HKLMS は HKLM/Software (32 ビット/64 ビット システム) と HKLM/Software/
Wow6432Node (64 ビット システムのみ) に一致します。
• HKCUS は HKCU/Software (32 ビット/64 ビット システム) と HKCU/Software/
Wow6432Node (64 ビット システムのみ) に一致します。
• HKULM は HKLM または HKCU として処理されます。
• HKULMS は HKLMS または HKCUS として処理されます。
• HKALL は HKLM または HKU として処理されます。
ワイルドカードとして ?、*、** を使用できます。また、エスケープ文字として | (パイプ)
を使用できます。
レジストリ キー サブルールの対象のベストプラクティス
例:
• HKLM\SOFTWARE\testap という名前のレジストリ キーの場合、対象として HKLM
\SOFTWARE\testap または HKLM\SOFTWARE\testap\ を使用します。
• レジストリ キーのコンテンツの場合には、ワイルドカードとしてアスタリスクを使用しま
す (HKLM\SOFTWARE\testap\*)。
• レジストリ キーとサブキーのコンテンツの場合には、アスタリスクを 2 つ使用します
(HKLM\SOFTWARE\testap\**)。
• レジストリ キーとそのキーの値の場合、[書き込み] 操作を有効にします。
McAfee Endpoint Security 10.5
製品ガイド
103
3
脅威対策 の使用
Endpoint Security クライアント インターフェース リファレンス - 脅威対策
表 3-9
オプション (続き)
セク オプション
ショ
ン
サブルール
タイプに [レ
ジストリ値]
を選択した場
合...
定義
root キーを使用してレジストリ値を定義します。 次の root キーを使用できます。
• HKLM または HKEY_LOCAL_MACHINE
• HKCU または HKEY_CURRENT_USER
• HKCR または HKEY_CLASSES_ROOT
• HKCCS は、HKLM/SYSTEM/CurrentControlSet と HKLM/SYSTEM/ControlSet00X に
一致します。
• HKLMS は HKLM/Software (32 ビット/64 ビット システム) と HKLM/Software/
Wow6432Node (64 ビット システムのみ) に一致します。
• HKCUS は HKCU/Software (32 ビット/64 ビット システム) と HKCU/Software/
Wow6432Node (64 ビット システムのみ) に一致します。
• HKULM は HKLM または HKCU として処理されます。
• HKULMS は HKLMS または HKCUS として処理されます。
• HKALL は HKLM または HKU として処理されます。
ワイルドカードとして ?、*、** を使用できます。また、エスケープ文字として | (パイプ)
を使用できます。
レジストリ値サブルールの対象のベストプラクティス
例:
• HKLM\SOFTWARE\testap という名前のレジストリ値の場合、対象として HKLM
\SOFTWARE\testap を使用します。
• レジストリ キーのレジストリ値の場合には、ワイルドカードとしてアスタリスクを使用し
ます (HKLM\SOFTWARE\testap\*)。
• レジストリ キーとサブキーのレジストリ値の場合には、アスタリスクを 2 つ使用します
(HKLM\SOFTWARE\testap\**)。
104
McAfee Endpoint Security 10.5
製品ガイド
脅威対策 の使用
Endpoint Security クライアント インターフェース リファレンス - 脅威対策
表 3-9
3
オプション (続き)
セク オプション
ショ
ン
定義
サブルール
[プロセス] サブルールのファイル名またはパス、MD5 ハッシュ、署名者の対象が表示されま
タイプに [プ す。
ロセス] を選 MD5 ハッシュ以外では、ワイルドカードとして ?、* または ** を使用できます。
択した場合...
プロセス サブルールの対象のベストプラクティス
例:
• c:\testap.exe という名前のプロセスの場合、対象のファイル名またはパスとして c:
\testap.exe を使用します。
• フォルダー内のすべてのプロセスの場合、ワイルドカードとしてアスタリスクを使用しま
す (c:\testap\*)。
• フォルダーとサブフォルダー内のすべてのプロセスの場合、アスタリスクを 2 つ使用しま
す (c:\testap\**)。
サブルール
[サービス] サブルールのサービス名または表示名が表示されます。
タイプに [サ
• [サービスの登録名] - レジストリの HKLM_LOCAL_MACHINE\SYSTEM
ービス] を選
\CurrentControlSet\Services\ の下にあるキーの値がサービス名として表示されます。
択した場合...
• [サービスの表示名] - HKLM_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\<サービス名>\ の DisplayName レジストリ値がサービス名として表示され
ます。 これは、サービス マネージャーに表示される名前です。
たとえば、AdobeARMservice サーボスの表示名は Adobe Acrobat Update Service にな
ります。
ワイルドカードとして ? と * を使用できます。
サービス サブルールの対象のベストプラクティス
たとえば、すべての Adobe サービスを表示名で保護するには、ワイルドカードとしてアスタ
リスクを使用します (例: Adobe*)。
関連トピック:
97 ページの「サブルールの追加またはサブルールの編集」
[除外項目の追加] または [除外項目の編集]
ポリシー レベルで除外する実行ファイルを追加または編集します。あるいは、ルール レベルで対象にしたり、除外
する実行ファイルの追加または編集を行います。
対象と除外対象を指定する場合には、次の点に注意してください。
•
1 つ以上の識別子を指定する必要がります。たとえば、ファイル名またはパス、MD5 ハッシュ または 署名者 を
使用します。
•
複数の識別子を指定すると、すべての識別子が適用されます。
•
複数の識別子を使用して一致する識別子がない場合 (たとえば、ファイル名と MD5 ハッシュが同じファイルに適
用されていない場合など)、対象または除外対象は無効になります。
•
対象と除外対象は、大文字と小文字が区別されません。
•
MD5 ハッシュを除き、すべての ID にワイルドカードを使用できます。
McAfee Endpoint Security 10.5
製品ガイド
105
3
脅威対策 の使用
Endpoint Security クライアント インターフェース リファレンス - 脅威対策
表 3-10
オプション
オプション
定義
[名前]
実行ファイルの名前を指定します。
このフィールドは、[ファイル名またはパス]、[MD5 ハッシュ] または [署名者]と一緒に使用する
必要があります。
[対象ステータ 実行ファイルの対象ステータスを表します。
ス]
• [対象] - 実行ファイルがサブルールに違反すると、ルールがトリガーします。
• [除外] - 実行ファイルがサブルールに違反すると、ルールがトリガーされません。
[対象ステータス] は、ルールまたはプロセス サブルールの対象に実行ファイルを追加する場合に
のみ表示されます。
[ファイル名ま 追加または編集する実行ファイルの名前あるいはパスを指定します。
たはパス]
[参照] をクリックして、実行ファイルを選択してください。
ファイルのパスにワイルドカードを使用できます。
[MD5 ハッシ
ュ]
プロセスの MD5 ハッシュ (32 桁の 16 進数) を指定します。
[署名者]
[デジタル署名検査を有効にする] — この検査により、暗号化ハッシュで署名された後、コードが
改ざんされたり、壊れていないことが保証されます。
有効にする場合、次のオプションを指定します。
• [任意の署名を許可する] - 任意のプロセス署名者が署名したファイルを許可します。
• [署名者] - 指定したプロセス署名者が署名したファイルだけを許可します。
実行ファイルに署名者の識別名 (SDN) が必要です。カンマとスペースも含めて、該当するフィ
ールドの項目と完全に一致させる必要があります。
Endpoint Security クライアントのイベント ログと McAfee ePO 脅威イベント ログのイベン
トで、プロセスの署名者が正しい形式で表示されます。 例:
C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR, CN=MICROSOFT WINDOWS
実行ファイルの SDN を取得するには:
1 実行ファイルを右クリックし、[プロパティ] を選択します。
2 [デジタル署名] タブで署名者を選択して、[詳細] をクリックします。
3 [全般] タブで [証明書の表示] をクックします。
4 [詳細] タブで、[サブジェクト] フィールドを選択します。 署名者の識別名が表示されます。
Firefox の場合、この署名者の識別名は次のようになります。
• CN = Mozilla Corporation
• OU = Release Engineering
• O = Mozilla Corporation
• L = Mountain View
• S = California
• C = US
[メモ]
項目の補足情報を入力します。
関連トピック:
95 ページの「[ルールの追加] または [ルールの編集]」
106
McAfee Endpoint Security 10.5
製品ガイド
3
脅威対策 の使用
Endpoint Security クライアント インターフェース リファレンス - 脅威対策
脅威対策 - エクスプロイト防止
バッファー オーバーフロー エクスプロイトがコンピューター上で任意のコードを実行しないように、エクスプロイ
ト防止を有効にして設定します。
エクスプロイト防止で保護されるプロセスの一覧については、KB58007 を参照してください。
Host Intrusion Prevention 8.0 は、Endpoint Security 10.5 と同じシステムにインストールできます。 McAfee
Host IPS を有効にすると、エクスプロイト防止が無効になります。ポリシー設定で有効になっていても無効になりま
す
表 3-11
オプション
セクション
オプション
定義
[エクスプロイト防
止]
[エクスプロイト防止を
有効にする]
エクスプロイト防止の機能を有効にします。
このオプションンを有効にしないと、システムがマルウェアの
攻撃を受ける可能性があります。
表 3-12 詳細オプション
セクション
オプション
定義
[汎用特権昇
格の防止]
[汎用特権昇
格の防止を有
効にする]
汎用特権昇格の防止 (GPEP) サポートを有効にします。(デフォルトは無効です)
GPEP は、エクスプロイト防止コンテンツの GPEP シグネチャを使用して、カーネ
ル モードまたはユーザー モードの特権昇格エクスプロイトを阻止します。
このオプションを使用すると、GPEP バッファー ーバーフローーのシグネチャ
6052 の重大度が 高 に引き上げられます。指定されたアクションに応じて脅威が
ブロックまたは報告されます。
GPEP は大量の誤検知を報告する可能性があるため、このオプションはデフォルト
で無効になっています。
[Windows デ [Windows デ Windows データ実行防止 (DEP) 統合を有効にします。(デフォルトは無効です)
ータ実行防
ータ実行防止 次のオプションを選択します。
止]
を有効にす
る]
• McAfee アプリケーション保護リストで 32 ビット アプリケーションに DEP を
有効にし (まだ有効になっていない場合)、汎用的なバッファー オーバーフロー対
策 (GBOP) の代わりに使用します。
呼び出し側の検証と対象の API モニタリングは引き続き施行されます。
• DEP を有効にした 32 ビット アプリケーションで DEP 検出をモニタリングし
ます。
• McAfee アプリケーション保護リストにある 64 ビット アプリケーションの
DEP 検出をモニタリングします。
• すべての DEP 検出を記録し、イベントを McAfee ePO に送信します。
このオプションを無効にしても、Windows DEP ポリシーで DEP が有効になって
いるプロセスに影響を及ぼしません。
[除外対象]
実行するプロセス、呼び出し側モジュール、API または署名を指定します。
呼び出し側モジュールまたは API を含む除外対象は DEP に適用されません。
• [追加] - 除外対象を作成してリストに追加します。
• 項目をダブルクリックします。 — 選択した項目を変更します。
• [削除] - 選択した項目を削除します。
• [複製] - 選択した項目のコピーを作成します。
McAfee Endpoint Security 10.5
製品ガイド
107
3
脅威対策 の使用
Endpoint Security クライアント インターフェース リファレンス - 脅威対策
表 3-12 詳細オプション (続き)
セクション
オプション
[シグネチャ]
定義
McAfee 定義のエクスプロイト防止シグネチャのアクション ([ブロック] または
[報告]) を変更します。
重大度を変更したり、シグネチャを作成することはできません。
シグネチャを無効にするには、[ブロック] と [報告] の選択を解除します。
[次の重大度
のシグネチャ
を表示]
重大度または無効なステータスで、[シグネチャ] リストをフィルタリングします。
• [高]
• [中]
• [低]
• [情報]
• [無効]
重大度が無効になっているシグネチャは有効にできません。
[ブロック]
(のみ)
シグネチャに一致する動作をブロックしますが、ログには記録しません。
[報告] (のみ) シグネチャに一致する動作をログに記録しますが、ブロックはしません。
シグネチャ ID 9990 で [報告のみ] は選択できません。
[ブロック] と シグネチャに一致する動作をブロックし、ログ委に記録します。
[報告]
[アプリケー
ション保護ル
ール]
アプリケーション保護ルールを設定します。
• [追加] - アプリケーション保護ルールを作成してリストに追加します。
• 項目をダブルクリックします。 — 選択した項目を変更します。
• [削除] - 選択した項目を削除します。(ユーザー定義のルールのみ)
• [複製] - 選択した項目のコピーを作成します。(ユーザー定義のルールのみ)
関連トピック:
76 ページの「エクスプロイト防止を設定する」
108 ページの「除外対象の追加または除外対象の編集」
除外対象の追加または除外対象の編集
エクスプロイト防止の除外対象を追加または編集します。
除外対象を指定する場合には、次の点に注意してください。
108
•
プロセス、呼び出し側モジュール、API、シグネチャの 1 つ以上を指定する必要があります。
•
呼び出し側モジュールまたは API を含む除外対象は DEP に適用されません。
•
プロセスの除外対象を指定する場合には、1 つ以上の識別子を指定する必要があります。たとえば、ファイル名
またはパス、MD5 ハッシュ または 署名者 を使用します。
•
複数の識別子を指定すると、すべての識別子が適用されます。
•
複数の識別子を使用して一致する識別子がない場合 (たとえば、ファイル名と MD5 ハッシュが同じファイルに適
用されていない場合など)、除外対象は無効になります。
McAfee Endpoint Security 10.5
製品ガイド
3
脅威対策 の使用
Endpoint Security クライアント インターフェース リファレンス - 脅威対策
•
除外対象では大文字と小文字は区別されません。
•
MD5 ハッシュとシグネチャ ID を除き、すべての ID にワイルドカードを使用できます。
•
除外対象にシグネチャ ID を追加すると、指定したシグネチャのプロセスのみが除外対象になります。 シグネチ
ャ ID を指定すると、すべてのシグネチャのプロセスが除外対象になります。
表 3-13
オプション
セクション オプション
定義
[プロセス] [名前]
除外するプロセス名を指定します。 エクスプロイト防止は、場所に関係なくプロセス
を除外します。
このフィールドは、[ファイル名またはパス]、[MD5 ハッシュ] または [署名者]と一緒
に使用する必要があります。
[ファイル名
またはパス]
追加または編集する実行ファイルの名前あるいはパスを指定します。
[MD5 ハッ
シュ]
プロセスの MD5 ハッシュ (32 桁の 16 進数) を指定します。
[署名者]
[デジタル署名検査を有効にする] — この検査により、暗号化ハッシュで署名された後、
コードが改ざんされたり、壊れていないことが保証されます。
[参照] をクリックして、実行ファイルを選択してください。
有効にする場合、次のオプションを指定します。
• [任意の署名を許可する] - 任意のプロセス署名者が署名したファイルを許可しま
す。
• [署名者] - 指定したプロセス署名者が署名したファイルだけを許可します。
実行ファイルに署名者の識別名 (SDN) が必要です。カンマとスペースも含めて、該
当するフィールドの項目と完全に一致させる必要があります。
Endpoint Security クライアントのイベント ログと McAfee ePO 脅威イベント ロ
グのイベントで、プロセスの署名者が正しい形式で表示されます。 例:
C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR,
CN=MICROSOFT WINDOWS
実行ファイルの SDN を取得するには:
1 実行ファイルを右クリックし、[プロパティ] を選択します。
2 [デジタル署名] タブで署名者を選択して、[詳細] をクリックします。
3 [全般] タブで [証明書の表示] をクックします。
4 [詳細] タブで、[サブジェクト] フィールドを選択します。 署名者の識別名が表示さ
れます。 Firefox の場合、この署名者の識別名は次のようになります。
• CN = Mozilla Corporation
• OU = Release Engineering
• O = Mozilla Corporation
• L = Mountain View
• S = California
• C = US
[呼び出し [名前]
側モジュー
ル]
McAfee Endpoint Security 10.5
実行ファイルが読み込むモジュール名 (DLL) が表示されます。通常、この実行ファイ
ルには、呼び出しを行う固有の書き込みメモリーがあります。
このフィールドは、[ファイル名またはパス]、[MD5 ハッシュ] または [署名者]と一緒
に使用する必要があります。
製品ガイド
109
3
脅威対策 の使用
Endpoint Security クライアント インターフェース リファレンス - 脅威対策
表 3-13
オプション (続き)
セクション オプション
定義
[ファイル名
またはパス]
追加または編集する実行ファイルの名前あるいはパスを指定します。
[MD5 ハッ
シュ]
プロセスの MD5 ハッシュ (32 桁の 16 進数) を指定します。
[署名者]
[デジタル署名検査を有効にする] — この検査により、暗号化ハッシュで署名された後、
コードが改ざんされたり、壊れていないことが保証されます。
[参照] をクリックして、実行ファイルを選択してください。
有効にする場合、次のオプションを指定します。
• [任意の署名を許可する] - 任意のプロセス署名者が署名したファイルを許可しま
す。
• [署名者] - 指定したプロセス署名者が署名したファイルだけを許可します。
実行ファイルに署名者の識別名 (SDN) が必要です。カンマとスペースも含めて、該
当するフィールドの項目と完全に一致させる必要があります。
Endpoint Security クライアントのイベント ログと McAfee ePO 脅威イベント ロ
グのイベントで、プロセスの署名者が正しい形式で表示されます。 例:
C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR,
CN=MICROSOFT WINDOWS
実行ファイルの SDN を取得するには:
1 実行ファイルを右クリックし、[プロパティ] を選択します。
2 [デジタル署名] タブで署名者を選択して、[詳細] をクリックします。
3 [全般] タブで [証明書の表示] をクックします。
4 [詳細] タブで、[サブジェクト] フィールドを選択します。 署名者の識別名が表示さ
れます。 Firefox の場合、この署名者の識別名は次のようになります。
• CN = Mozilla Corporation
• OU = Release Engineering
• O = Mozilla Corporation
• L = Mountain View
• S = California
• C = US
[API]
[名前]
呼び出される API (アプリケーション プログラミング インターフェース) の名前を指
定します。
[シグネチ
ャ]
[シグネチャ
ID]
エクスプロイト防止の複数のシグネチャ識別子をカンマ区切りで指定します。
[メモ]
項目の補足情報を入力します。
関連トピック:
76 ページの「エクスプロイト防止からプロセスを除外する」
110
McAfee Endpoint Security 10.5
製品ガイド
脅威対策 の使用
Endpoint Security クライアント インターフェース リファレンス - 脅威対策
3
[ルールの追加] または [ルールの編集]
ユーザー定義のアプリケーション保護ルールを追加または編集します。
表 3-14
[セク
ショ
ン]
オプション
オプシ
ョン
定義
[名前]
ルール名を指定または表示します。 (必須)
[ステ
ータ
ス]
項目を有効または無効にします。
[対象
ステー
タス]
実行ファイルの対象ステータスを表します。
• [対象] - 実行ファイル リストにある実行ファイルが実行されている場合に、ルールをトリガー
します。
• [除外] - 実行ファイル リストにある実行ファイルが実行されている場合に、ルールをトリガー
しません。
[実行
ファイ
ル]
ルールの実行ファイルを指定します。
• [追加] - リストに実行ファイルを追加します。
• 項目をダブルクリックします。 — 選択した項目を変更します。
• [削除] - 選択した項目を削除します。
• [複製] - 選択した項目のコピーを作成します。
[メモ]
項目の補足情報を入力します。
McAfee 定義のアプリケーション保護ルールの場合、保護されている実行ファイルの名前がこのフ
ィールドに表示されます。
[実行ファイルの追加] または[実行ファイルの編集]
アプリケーション保護ルールに実行ファイルを追加したり、ルールの実行ファイルを編集します。
実行ファイルを設定する場合には、次の点に注意してください。
•
1 つ以上の識別子を指定する必要がります。たとえば、ファイル名またはパス、MD5 ハッシュ または 署名者 を
使用します。
•
複数の識別子を指定すると、すべての識別子が適用されます。
•
複数の識別子を使用して一致する識別子がない場合 (たとえば、ファイル名と MD5 ハッシュが同じファイルに適
用されていない場合など)、実行ファイルの定義は無効になります。
表 3-15
オプション
セクション
オプション
定義
[プロパテ
ィ]
[名前]
プロセス名を指定します。
このフィールドは、[ファイル名またはパス]、[MD5 ハッシュ] または [署名者]と
一緒に使用する必要があります。
[ファイル名ま
たはパス]
追加または編集する実行ファイルの名前あるいはパスを指定します。
[MD5 ハッシ
ュ]
プロセスの MD5 ハッシュ (32 桁の 16 進数) を指定します。
McAfee Endpoint Security 10.5
[参照] をクリックして、実行ファイルを選択してください。
製品ガイド
111
3
脅威対策 の使用
Endpoint Security クライアント インターフェース リファレンス - 脅威対策
表 3-15
オプション (続き)
セクション
オプション
定義
[署名者]
[デジタル署名検査を有効にする] — この検査により、暗号化ハッシュで署名された
後、コードが改ざんされたり、壊れていないことが保証されます。
有効にする場合、次のオプションを指定します。
• [任意の署名を許可する] - 任意のプロセス署名者が署名したファイルを許可し
ます。
• [署名者] - 指定したプロセス署名者が署名したファイルだけを許可します。
実行ファイルに署名者の識別名 (SDN) が必要です。カンマとスペースも含めて、
該当するフィールドの項目と完全に一致させる必要があります。
Endpoint Security クライアントのイベント ログと McAfee ePO 脅威イベント
ログのイベントで、プロセスの署名者が正しい形式で表示されます。 例:
C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR,
CN=MICROSOFT WINDOWS
実行ファイルの SDN を取得するには:
1 実行ファイルを右クリックし、[プロパティ] を選択します。
2 [デジタル署名] タブで署名者を選択して、[詳細] をクリックします。
3 [全般] タブで [証明書の表示] をクックします。
4 [詳細] タブで、[サブジェクト] フィールドを選択します。 署名者の識別名が表示
されます。 Firefox の場合、この署名者の識別名は次のようになります。
• CN = Mozilla Corporation
• OU = Release Engineering
• O = Mozilla Corporation
• L = Mountain View
• S = California
• C = US
[メモ]
項目の補足情報を入力します。
脅威対策 - オンアクセス スキャン
オンアクセス スキャンを有効にして、設定を行います。
表 3-16
オプション
セクション
オプション
[オンアクセス ス
キャン]
[オンアクセス スキャン オンアクセス スキャン を有効にします。
を有効にする]
デフォルトは有効です。
[システム起動時にオン
アクセス スキャンを有
効にする]
定義
コンピューターの起動時にオンアクセス スキャンを有効にします。
デフォルトは有効です。
[各ファイル スキャンの 1 つのファイルをスキャンする制限時間を秒単位で指定します。
最大秒数を指定]
デフォルトは有効です。
デフォルト値は 45 秒です。
制限時間を超えると、スキャンを停止し、メッセージをログに記録し
ます。
112
McAfee Endpoint Security 10.5
製品ガイド
3
脅威対策 の使用
Endpoint Security クライアント インターフェース リファレンス - 脅威対策
表 3-16
オプション (続き)
セクション
オプション
定義
[ブート セクターをスキ ディスクのブート セクターを調査します。
ャン]
デフォルトは有効です。
ベストプラクティス: ディスクにスキャン不能なブート セクター
が存在する場合には、ブート セクター スキャンの選択を解除して
ください。
[サービスのスタートア
ップ時とコンテンツの
更新時にプロセスをス
キャンする]
次の場合に、メモリー内に存在するすべてのプロセスをスキャンしま
す。
• オンアクセス スキャンを再度有効にした後
• コンテンツ ファイルの更新後
• システムの起動後
• McShield.exe プロセスの開始後
デフォルトは無効です。
ベストプラクティス: 一部のプログラムまたは実行ファイルは、シ
ステムの開始時に自動的に起動します。システムのスタートアッ
プ時間を短縮するには、このオプションの選択を解除してくださ
い。
オンアクセス スキャナーを有効にすると、すべてのプロセスが実行
時にスキャンされます。
[信頼されたインストー
ラーをスキャン]
MSI ファイル (msiexec.exe がインストールし、McAfee または
Microsoft が署名したファイル) または Windows Trusted
Installer サービス ファイルをスキャンします。
デフォルトは無効です。
ベストプラクティス: Microsoft アプリケーション インストーラ
ーのパフォーマンスを改善する場合には、このオプションの選択を
解除してください。
[ローカル フォルダー間 ローカル フォルダー間でコピーを行ったときにファイルをスキャン
でコピーが実行された
します。
ときにスキャンする]
このオプション:
• 無効 - 宛先フォルダー内の項目だけがスキャンされます。
• 有効 - ソース (読み取り) フォルダーと宛先 (書き込み) フォル
ダーの両方の項目がスキャンされます。
デフォルトは無効です。
[ネットワーク フォルダ ネットワーク フォルダーまたはリムーバブル USB ドライブからコ
ーやリムーバブル ドラ ピーを行ったときにファイルをスキャンします。
イブからコピーすると
きにスキャンする]
このオプションを選択しないと、システムがマルウェアの攻撃を受
ける可能性があります。
デフォルトは有効です。
[McAfee GTI]
McAfee Endpoint Security 10.5
McAfee GTI を有効にして設定を行います。
製品ガイド
113
3
脅威対策 の使用
Endpoint Security クライアント インターフェース リファレンス - 脅威対策
表 3-16
オプション (続き)
セクション
オプション
定義
[ScriptScan]
[ScriptScan を有効に
する]
Internet Explorer で JavaScript と VBScript のスキャンを有効
にして、不審なスクリプトの実行を防ぎます。
デフォルトは無効です。
Internet Explorer の起動後に ScriptScan を有効にしても、
Internet Explorer のこのインスタンスでは不審なスクリプトが
検出されません。 不正なスクリプトを検出するには、ScriptScan
を有効にした後で Internet Explorer を再起動する必要がありま
す。
[次の URL または部分
的な URL を除外する]
ScriptScan の除外対象を URL で指定します。
[追加] - URL を除外リストに追加します。
[削除] - 除外リストから URL を削除します。
URL にワイルドカードは使用できません。 実行された URL から文
字列や URL が除外されます。 たとえば、msn.com を除外すると、
次の URL も除外されます。
• http://weather.msn.com
• http://music.msn.com
表 3-17 詳細オプション
セクション オプション
[脅威検出
時のユーザ
ー メッセ
ージ]
定義
[脅威の検出時にオンア 脅威が検出されたときに、クライアント ユーザーに対するメッセージを [オ
クセス スキャン ウィ
ンアクセス スキャン] ページに表示します。
ンドウをユーザーに表 デフォルトは有効です。
示]
このオプションを選択すると、検出リストに脅威が存在する場合に、このペ
ージを [今すぐスキャン] ページから表示できます。
Endpoint Security サービスまたはシステムが再起動すると、オンアクセス
スキャンの検出リストがクリアされます。
[メッセージ]
脅威が検出されたときにクライアント ユーザーに表示するメッセージを指定
します。
デフォルトのメッセージは McAfee Endpoint Security が脅威を検出しまし
た です。
[プロセス
の設定]
[すべてのプロセスに標 オンアクセス スキャンの実行時に、すべてのプロセスに同じ設定が適用され
準設定を使用する]
ます。
[危険度高と危険度低の プロセスの種類ごとに異なるスキャン設定を行います。
プロセスに別の設定を
使用する]
[標準]
危険度高、危険度低のいずれでもないプロセスを設定します。
デフォルトは有効です。
[危険度高]
危険度高のプロセスを設定します。
[危険度低]
危険度低のプロセスを設定します。
[追加]
[危険度高] または [危険度低] リストにプロセスを追加します。
[削除]
[危険度高] または [危険度低] リストからプロセスを削除します。
[スキャン] [スキャンのタイミング]
114
McAfee Endpoint Security 10.5
製品ガイド
3
脅威対策 の使用
Endpoint Security クライアント インターフェース リファレンス - 脅威対策
表 3-17 詳細オプション (続き)
セクション オプション
定義
[ディスクへの書き込み コンピューターまたは他のデータ ストレージで書き込み操作または変更操作
時]
が実行されたときに、ファイルをスキャンします。
[ディスクからの読み取 コンピューターまたは他のデータ ストレージで読み取り操作が実行されたと
り時]
きに、ファイルをスキャンします。
[McAfee が選択する]
McAfee がスキャン対象のファイルを選択します。信頼ロジックでスキャン
を最適化します。 信頼ロジックで不要なスキャンを排除することで、セキュ
リティとパフォーマンスを強化します。
ベストプラクティス: 保護機能とパフォーマンスを最高の状態にするため、
このオプションを有効にしてください。
[ディスクの読み取り/
書き込み時にスキャン
しない]
[危険度低] のプロセスのみをスキャンの対象外にします。
[スキャン対象]
[すべてのファイル]
種類に関係なく、すべてのファイルをスキャンします。
このオプションを選択しないと、システムがマルウェアの攻撃を受ける可能
性があります。
[デフォルトと指定した スキャン:
ファイルの種類]
• 現在の AMCore コンテンツ ファイルに定義されている拡張子のデフォル
ト リスト (拡張子のないファイルも含む)
• ユーザーが指定する追加の拡張子
複数の拡張子を指定する場合にはカンマで区切ってください。
• (オプション) デフォルトのリストにある既知のマクロ脅威と指定した拡張
子のファイル
[指定したファイルの種 次のいずれかまたは両方をスキャンします。
類のみ]
• 指定した拡張子のファイルのみ (カンマ区切りの拡張子リスト)
• 拡張子のないすべてのファイル
[ネットワーク ドライ
ブ上をスキャンする]
ネットワーク ドライブ上のリソースをスキャンします。
ベストプラクティス: パフォーマンスを向上させるには、このオプションを
選択しないでください。
[バックアップ用に開い バックアップ ソフトウェアがアクセスしたときにファイルをスキャンしま
たファイル]
す。
ベストプラクティス: ほとんどの環境では、この設定を選択する必要はあり
ません。
[圧縮されたアーカイブ .jar ファイルなどのアーカイブ ファイル (圧縮ファイル) 内のコンテンツを
ファイル]
スキャンします。
ベストプラクティス: 圧縮されたアーカイブ ファイルをスキャンすると、シ
ステムのパフォーマンスが低下する可能性があります。システムのパフォ
ーマンスを向上させるため、このオプションは選択しないでください。
[圧縮された MIME 形
式のファイル]
McAfee Endpoint Security 10.5
MIME (Multipurpose Internet Mail Extensions) 形式のファイルを検出
し、デコードしてスキャンします。
製品ガイド
115
3
脅威対策 の使用
Endpoint Security クライアント インターフェース リファレンス - 脅威対策
表 3-17 詳細オプション (続き)
セクション オプション
定義
[追加のスキャン オプション]
[不審なプログラムを検 スキャナーで不審なプログラムを検出します。
出]
スキャナーは、脅威対策のオプション設定を使用して、不審なプログラムを
検出します。
[未知のプログラム脅威 McAfee GTI を使用して、実行ファイルを装うマルウェアを検出します。
を検出する]
[未知のマクロ脅威を検 McAfee GTI を使用して、未知のマクロ ウイルスを検出します。
出する]
[アクショ
ン]
脅威を検出したときのスキャナーのアクションを指定します。
[除外対象]
スキャン対象から除外するファイル、フォルダー、ドライブを指定します。
[追加]
除外リストに項目を追加します。
[削除]
除外リストから項目を削除します。
関連トピック:
81 ページの「オンアクセス スキャンを設定する」
121 ページの「McAfee GTI」
122 ページの「アクション」
124 ページの「除外対象の追加または除外対象の編集」
脅威対策 - オンデマンド スキャン
システムで実行される事前設定とカスタムのオンデマンド スキャンを設定します。
ロギングの設定については、共通設定モジュールの設定を参照してください。
これにより、次の操作を行った場合のスキャナーの動作が決まります。
116
•
Endpoint Security クライアントの [今すぐスキャン] ページで [フル スキャン] または [クイック スキャン]
を選択した場合
•
管理者として、Endpoint Security クライアントで [設定] 、 [共通設定] 、 [タスク] の順に移動して、カスタ
ム オンデマンド スキャン タスクを実行した場合
•
ファイルまたはフォルダーを右クリックして、ポップアップ メニューから [脅威のスキャン] を選択した場合
McAfee Endpoint Security 10.5
製品ガイド
3
脅威対策 の使用
Endpoint Security クライアント インターフェース リファレンス - 脅威対策
表 3-18
オプション
セクション
オプション
定義
[スキャン対象]
[ブート セクタ
ー]
ディスクのブート セクターを調査します。
ベストプラクティス: ディスクにスキャン不能なブート セクターが存在する
場合には、ブート セクター スキャンの選択を解除してください。
[ストレージに
移動したファイ
ル]
リモート ストレージが管理しているファイルをスキャンします。
オフラインのデータ ストレージ ソリューションによってファイルがスタブ フ
ァイルに置換される場合があります。 スタブが存在すると、ファイルが移行済
みであることを意味します。スキャナーがスタブ ファイルを検出すると、スキ
ャン前にローカル システムにファイルをリストアします。 リストア プロセス
を実行すると、システム パフォーマンスが低下する可能性があります。
ベストプラクティス: ストレージ内のファイルをスキャンする特別な理由がな
い限り、このオプションを選択しないでください。
[圧縮された
MIME (Multipurpose Internet Mail Extensions) 形式のファイルを検出し、
MIME 形式のフ デコードしてスキャンします。
ァイル]
[圧縮されたア
.jar ファイルなどのアーカイブ ファイル (圧縮ファイル) 内のコンテンツをス
ーカイブ ファイ キャンします。
ル]
ベストプラクティス: このスキャン オプションは、システムが使用されていな
い業務時間外に実行してください。圧縮されたアーカイブ ファイルをスキャ
ンすると、システムのパフォーマンスが低下する可能性があります。
[サブフォルダ
指定したフォルダーのすべてのサブフォルダーがスキャンされます。
ー] ([右クリッ
ク スキャン] の
み)
[追加のスキャ
ン オプション]
[不審なプログ
ラムを検出]
スキャナーで不審なプログラムを検出します。
[未知のプログ
ラム脅威を検出
する]
McAfee GTI を使用して、実行ファイルを装うマルウェアを検出します。
[未知のマクロ
脅威を検出す
る]
McAfee GTI を使用して、未知のマクロ ウイルスを検出します。
スキャナーは、脅威対策のオプション設定を使用して、不審なプログラムを検
出します。
[スキャンする
場所]
([フル スキャ
スキャン対象の場所を指定します。
ン] と [クイッ これらのオプションは、[フル スキャン]、[クイック スキャン]、カスタム ス
ク スキャン] の キャンにのみ適用されます。
み)
[スキャンする
ファイルの種
類]
[すべてのファ
イル]
種類に関係なく、すべてのファイルをスキャンします。
McAfee では、[すべてのファイル] オプションを有効にすることを強くお勧め
します。
このオプションを選択しないと、システムがマルウェアの攻撃を受ける可能性
があります。
McAfee Endpoint Security 10.5
製品ガイド
117
3
脅威対策 の使用
Endpoint Security クライアント インターフェース リファレンス - 脅威対策
表 3-18
オプション (続き)
セクション
オプション
定義
[デフォルトと
指定したファイ
ルの種類]
スキャン:
• 現在の AMCore コンテンツ ファイルに定義されている拡張子のデフォルト
リスト (拡張子のないファイルも含む)
• ユーザーが指定する追加の拡張子
複数の拡張子を指定する場合にはカンマで区切ってください。
• (オプション) デフォルトのリストにある既知のマクロ脅威と指定した拡張
子のファイル
[指定したファ
イルの種類の
み]
次のいずれかまたは両方をスキャンします。
• 指定した拡張子のファイルのみ (カンマ区切りの拡張子リスト)
• 拡張子のないすべてのファイル
[McAfee GTI]
McAfee GTI を有効にして設定を行います。
[除外対象]
スキャン対象から除外するファイル、フォルダー、ドライブを指定します。
[追加]
除外リストに項目を追加します。
[削除]
除外リストから項目を削除します。
[アクション]
[パフォーマン
ス]
脅威を検出したときのスキャナーのアクションを指定します。
[スキャン キャ
ッシュを使用]
スキャナーで既存のスキャン結果を使用します。
ベストプラクティス: このオプションを選択すると、重複スキャンを少なくし、
パフォーマンスが向上します。
[システムの使
用率]
スキャン中にスキャナーに割り当てられる CPU 時間を指定できます。
それぞれのタスクは、他のタスクの制限に関係なく、個別に実行されます。
• [低] - 実行中の他のアプリケーションのパフォーマンスが向上します。
ベストプラクティス: エンドユーザーが作業中の場合には、このオプション
を選択してください。
• [標準以下] - スキャンのシステム使用率が McAfee ePO のデフォルト値
に設定されます。
• [標準] (デフォルト) - スキャン速度が速くなります。
ベストプラクティス: エンド ユーザーの作業量が殆どなく、ボリュームが大
きいシステムの場合には、このオプションを選択してください。
[スケジュール
スキャン オプ
ション]
118
McAfee Endpoint Security 10.5
これらのオプションは、[フル スキャン]、[クイック スキャン]、カスタム ス
キャンにのみ適用されます。
製品ガイド
脅威対策 の使用
Endpoint Security クライアント インターフェース リファレンス - 脅威対策
表 3-18
3
オプション (続き)
セクション
オプション
定義
[システムがア
イドル状態の場
合にのみスキャ
ンする]
システムがアイドル状態の場合にのみスキャンを実行します。
脅威対策は、システムでキーボード操作やマウス操作が発生すると、スキャン
を一時停止します。 脅威対策は、ユーザー (と CPU) が 5 分間アイドル状態に
なると、スキャンを再開します。
このオプションは、サーバー システムで無効にしてください。また、ユーザー
がリモート デスクトップ接続 (RDP) でアクセスしているシステムでも無効に
してください。 脅威対策は McTray を使用してシステムがアイドル状態かど
うかを判断します。 RDP だけで接続されているシステムの場合、McTray は開
始しません。オンデマンド スキャナーは実行されません。 この問題を回避す
るには、RDP でログオンするときに McTray を手動で実行します (デフォルト
では C:\Program Files\McAfee\Agent\mctray.exe)。
[いつでもスキ
ャン]
ユーザーの操作中もスキャンを実行します。次のオプションを指定できます。
[ユーザーにスキャンの延期を許可] - ユーザーにスケジュール スキャンの延
期を許可し、スキャン延期オプションを指定します。
• [1 時間以内にユーザーが延期できる最大回数] - ユーザーが 1 時間にスキ
ャンを延期できる回数 (1–23) を指定します。
• [ユーザー メッセージ] - スキャンの開始前にユーザーに表示するメッセー
ジを指定します。
デフォルトのメッセージは「McAfee Endpoint Security がシステムのス
キャンを開始します」です。
• [メッセージの期間 (秒)] - スキャンの開始前にメッセージを表示する時間
を秒数で指定します。 有効な範囲は 30 から 300 です。デフォルトは 45
秒です。
[システムがプレゼンテーション モードの場合にスキャンを実行しない] - シ
ステムがプレゼンテーション モードの場合にスキャンを延期します。
[システムがバ
ッテリーで動作
している場合に
スキャンを実行
しない]
システムがバッテリーで動作している場合にスキャンを延期します。
関連トピック:
87 ページの「オンデマンド スキャン を設定する」
92 ページの「スキャン タスクとスケジュールを設定して実行する」
56 ページの「フル スキャンまたはクイック スキャンを実行する」
58 ページの「ファイルまたはフォルダーをスキャンする」
119 ページの「スキャンする場所」
121 ページの「McAfee GTI」
122 ページの「アクション」
124 ページの「除外対象の追加または除外対象の編集」
スキャンする場所
スキャン対象の場所を指定します。
これらのオプションは、[フル スキャン]、[クイック スキャン]、カスタム スキャンにのみ適用されます。
McAfee Endpoint Security 10.5
製品ガイド
119
3
脅威対策 の使用
Endpoint Security クライアント インターフェース リファレンス - 脅威対策
表 3-19
オプション
セクション
オプション
定義
[スキャンす
る場所]
[サブフォルダーをス
キャン]
次のオプションを選択したときに、指定したボリュームのサブフォルダーを
すべてスキャンします。
• [ホーム フォルダー]
• [一時フォルダー]
• [ユーザー プロファイル フォ
ルダー]
• [ファイルまたはフォルダー]
• [Program Files フォルダー]
このチェック ボックスをオフにすると、ボリュームのルート レベルのみが
スキャンされます。
[場所を指定]
スキャン対象の場所を指定します。
• [追加] - スキャンする場所を追加します。
[追加] をクリックして、ドロップダウン メニューから場所を選択します。
• 項目をダブルクリックします。 — 選択した項目を変更します。
• [削除] - スキャンする場所を削除します。
場所を選択して、[削除] をクリックします。
[メモリー内のルート
キット]
システム メモリーをスキャンし、ルートキット、非表示プロセス、マルウェ
アが自身の存在を隠蔽するような動作がないかどうか確認します。 このス
キャンは、他のすべてのスキャンに先立って実行されます。
このオプションンを有効にしないと、システムがマルウェアの攻撃を受け
る可能性があります。
[実行中のプロセス]
実行中のすべてのプロセスのメモリをスキャンします。
ファイルを駆除する 以外の[アクション]は、[スキャンを続行] として処理
されます。
このオプションンを有効にしないと、システムがマルウェアの攻撃を受け
る可能性があります。
[登録済みのファイル] Windows レジストリが参照しているファイルをスキャンします。
スキャナーがレジストリでファイル名を検索し、ファイルが存在するかどう
か確認します。スキャン対象のファイル リストを作成して、ファイルをスキ
ャンします。
120
[マイ コンピュータ
ー]
コンピューターに物理的に接続されているドライブまたはネットワーク ド
ライブが割り当てられているドライブをすべてスキャンします。
[すべてのローカル ド
ライブ]
コンピューター上のすべてのドライブとそのサブフォルダーをスキャンし
ます。
[すべての固定ドライ
ブ]
コンピューターに物理的に接続しているすべてのドライブをスキャンしま
す。
[すべてのリムーバブ
ル ドライブ]
リムーバブル ドライブとコンピューターに接続している他のストレージ デ
バイスをすべてスキャンします。ただし、Windows To Go がインストール
されているデバイスは除きます。
[すべてのネットワー
ク ドライブ]
コンピューターのネットワーク ドライブに論理的にマッピングされている
ネットワーク上のドライブをスキャンします。
[ホーム フォルダー]
スキャンを開始するユーザーのホーム フォルダーをスキャンします。
[ユーザー プロファイ
ル フォルダー]
スキャンを開始したユーザーのプロファイルをスキャンします。ユーザー
の My Documents フォルダーも対象となります。
McAfee Endpoint Security 10.5
製品ガイド
3
脅威対策 の使用
Endpoint Security クライアント インターフェース リファレンス - 脅威対策
表 3-19
オプション (続き)
セクション
オプション
定義
[Windows フォルダ
ー]
Windows フォルダーの内容をスキャンします。
[Program Files フォ
ルダー]
Program Files フォルダーの内容をスキャンします。
[一時フォルダー]
一時フォルダーの中身をスキャンします。
[ごみ箱]
ごみ箱に含まれるコンテンツをスキャンします。
[ファイルまたはフォ
ルダー]
指定したファイルまたはフォルダーをスキャンします。
[レジストリ]
レジストリ キーと値をスキャンします。
関連トピック:
116 ページの「脅威対策 - オンデマンド スキャン」
McAfee GTI
McAfee GTI (Global Threat Intelligence) を有効にして設定を行います。
表 3-20
オプション
セクション
オプシ 定義
ョン
[McAfee
GTI を有効
にする]
ヒューリスティック検査を有効または無効にします。
• 有効にすると、サンプルのフィンガープリントまたはハッシュが McAfee Labs に送信さ
れ、マルウェアかどうかが確認されます。 ハッシュを送信するので、McAfee Labs が次
の AMCore コンテンツ ファイルで更新を公開する前に脅威を検出できる場合がありま
す。
• 無効にすると、フィンガープリントやデータが McAfee Labs に送信されません。
[感度レベ
ル]
検出したサンプルがマルウェアかどうかを判断する場合に使用する感度レベルを設定しま
す。
感度レベルを高くすると、検出されるマルウェアの数は多くなります。 ただし、検出数が増
えると、誤検知も増える可能性があります。
[非常
に低
い]
誤検知の検出とリスクは、通常の AMCore コンテンツ ファイルの場合と同じです。
McAfee Labs が次の AMCore コンテンツ ファイルの更新を待たずにコンテンツを公開す
ると、脅威対策で検出が可能になります。
この設定は、ユーザー権限が制限され、強力なセキュリティ設定の存在するデスクトップと
サーバーで使用してください。
この設定を有効にすると、1 台のコンピューターで 1 日平均 10 から 15 のクエリーが実行
されます。
[低]
この設定は、強力なセキュリティ設定のあるラップトップ、デスクトップまたはサーバーの
最小推奨事項です。
この設定を有効にすると、1 台のコンピューターで 1 日平均 10 から 15 のクエリーが実行
されます。
McAfee Endpoint Security 10.5
製品ガイド
121
3
脅威対策 の使用
Endpoint Security クライアント インターフェース リファレンス - 脅威対策
表 3-20
オプション (続き)
セクション
オプシ 定義
ョン
[中]
この設定を使用するのは、マルウェアに感染する通常のリスクが、誤検知のリスクよりも大
きい場合です。 McAfee Labs 独自のヒューリスティック チェックによって、マルウェアの
可能性が高いものが検出されます。 ただし、一部の検出は誤検知の可能性があります。 この
設定を使用すると、McAfee Labs は人気のあるアプリケーションとオペレーティング シス
テム ファイルが誤って検出されていないどうか確認します。
この設定は、ラップトップ、デスクトップまたはサーバーの最小推奨事項です。
この設定を有効にすると、1 台のコンピューターで 1 日平均 20 から 25 のクエリーが実行
されます。
[高]
この設定は、定期的に感染しているシステムまたは領域に使用してください。
この設定を有効にすると、1 台のコンピューターで 1 日平均 20 から 25 のクエリーが実行
されます。
[非常
に高
い]
この設定は、オペレーティング システム以外のボリュームで使用してください。
このレベルで検出されるものはマルウェアと推定されますが、誤検知かどうか判断できるほ
ど十分なテストは実施されていません。
この設定は、スキャンするボリュームやディレクトリでプログラムやオペレーティング シス
テムが実行されない場合にのみ使用してください。
この設定を有効にすると、1 台のコンピューターで 1 日平均 20 から 25 のクエリーが実行
されます。
関連トピック:
112 ページの「脅威対策 - オンアクセス スキャン」
116 ページの「脅威対策 - オンデマンド スキャン」
165 ページの「Web 管理 - オプション」
アクション
脅威を検出したときのスキャナーのアクションを指定します。
表 3-21
オプション
セクション
オプション
定義
スキャンの種類
オンアクセス ス
キャン
[脅威を検出した場
合の最初の対応]
脅威を検出したときにスキャナーが最初に実行するアクションを指定します。
[ファイル ア 感染の可能性があるファイルに対するア
クセスを拒否 クセスを拒否します。
する]
[スキャンを
続行する]
脅威を検出したときにファイルのスキャ
ンを続行します。 隔離領域に項目は移
動しません。
[ファイルを
駆除する]
可能であれば、検出したファイルから脅
威を駆除します。
[ファイルを
削除する]
感染の可能性があるファイルを削除しま
す。
[最初の対応が失敗
した場合]
122
オンデマンド ス
キャン
McAfee Endpoint Security 10.5
脅威を検出し、最初のアクションが失敗した場合にスキャナーが実行するアク
ションを指定します。
製品ガイド
脅威対策 の使用
Endpoint Security クライアント インターフェース リファレンス - 脅威対策
表 3-21
3
オプション (続き)
セクション
オプション
定義
スキャンの種類
オンアクセス ス
キャン
オンデマンド ス
キャン
[ファイル ア 感染の可能性があるファイルに対するア
クセスを拒否 クセスを拒否します。
する]
[スキャンを
続行する]
脅威を検出したときにファイルのスキャ
ンを続行します。 隔離領域に項目は移
動しません。
[ファイルを
削除する]
感染の可能性があるファイルを削除しま
す。
[不審なプログラム
に対する最初の対
応]
不審なプログラムを検出した場合にスキャナーが最初に実行するアクションを
指定します。
このオプションは、[不審なプログラムを検出] を選択した場合にのみ使用でき
ます。
[ファイル ア 感染の可能性があるファイルに対するア
クセスを拒否 クセスを拒否します。
する]
[ファイル ア 感染の可能性があるファイルに対するア
クセスを許可 クセスを許可します。
する]
[スキャンを
続行する]
脅威を検出したときにファイルのスキャ
ンを続行します。 隔離領域に項目は移
動しません。
[ファイルを
駆除する]
可能であれば、検出したファイルから不
審なプログラムのファイルを駆除しま
す。
[ファイルを
削除する]
不審なプログラムを削除します。
[最初の対応が失敗
した場合]
不審なプログラムを検出し、最初のアクションが失敗した場合にスキャナーが
実行するアクションを指定します。
このオプションは、[不審なプログラムを検出] を選択した場合にのみ使用でき
ます。
[ファイル ア 感染の可能性があるファイルに対するア
クセスを拒否 クセスを拒否します。
する]
[ファイル ア 感染の可能性があるファイルに対するア
クセスを許可 クセスを許可します。
する]
[スキャンを
続行する]
脅威を検出したときにファイルのスキャ
ンを続行します。 隔離領域に項目は移
動しません。
[ファイルを
削除する]
不審なプログラムを自動的に削除しま
す。
関連トピック:
112 ページの「脅威対策 - オンアクセス スキャン」
116 ページの「脅威対策 - オンデマンド スキャン」
McAfee Endpoint Security 10.5
製品ガイド
123
3
脅威対策 の使用
Endpoint Security クライアント インターフェース リファレンス - 脅威対策
除外対象の追加または除外対象の編集
除外対象の定義を追加または編集します。
表 3-22
オプション
セクシ
ョン
オプション
[除外対
象]
定義
スキャンの種類
オンアクセ
ス
オンデマン
ド
除外対象の種類を指定し、詳細を記述します。
[ファイル名ま 除外するファイル名またはパスを指定します。
たはパス]
ファイルのパスにワイルドカードを使用できます。
Windows でフォルダーを除外するには、パスの最後にバ
ックスラッシュ (\) を付けてください。
必要であれば、[サブフォルダーも除外] を選択します。
[ファイル タ
イプ]
除外するファイルの種類 (拡張子) を指定します。
[ファイルの経 除外するファイルのアクセス タイプ ([修正]、[アクセス] (オ
過日数]
ンデマンド スキャンのみ)、[作成]) を選択し、[最小経過日
数] を指定します。
[除外時
期]
選択した項目を除外するタイミングを指定します。
[ディスクへの ディスクまたは他のストレージ デバイスに対するファイルの
書き込み時ま 書き込みまたは読み取り操作時にスキャン対象から除外しま
たはディスク す。
からの読み取
り時]
[ディスクから コンピューターまたは他のストレージ デバイスに対するファ
の読み取り時] イルの読み込み操作時にスキャン対象から除外します。
[ディスクへの ディスクまたは他のストレージ デバイスに対するファイルの
書き込み時]
書き込みまたは変更操作時にスキャン対象から除外します。
関連トピック:
112 ページの「脅威対策 - オンアクセス スキャン」
116 ページの「脅威対策 - オンデマンド スキャン」
64 ページの「除外対象でのワイルドカードの使用」
63 ページの「除外対象の設定」
脅威対策 - オプション
隔離、不審なプログラム、除外対象など、脅威対策の機能に適用される設定を行います。
このセクションには、詳細オプションだけが表示されます。
124
McAfee Endpoint Security 10.5
製品ガイド
脅威対策 の使用
Endpoint Security クライアント インターフェース リファレンス - 脅威対策
表 3-23
3
詳細オプション
セクション
オプション
定義
[Quarantine
Manager]
[隔離フォルダ
ー]
隔離フォルダーの場所を指定するか、デフォルトの場所を使用します。デ
フォルトは次のとおりです。
c:\Quarantine
隔離フォルダーは 190 文字までです。
[隔離データの最 隔離ファイルの保管日数 (1-999) を指定します。この期間が経過したフ
大保管日数を指 ァイルは自動的に削除されます。 デフォルトは 30 日です。
定]
[検出名で除外]
[次の検出名を除 除外対象を検出名で指定します。
外]
たとえば、オンアクセス スキャナーとオンデマンド スキャナーが
Installation Check の脅威を検出しないように指定するには、
Installation Check と入力します。
[追加] - 検出名を除外リストに追加します。 [追加] をクリックして、検
出名を入力します。
項目をダブルクリックします。 — 選択した項目を変更します。
[削除] - 除外リストから検出名を削除します。 名前を選択して、[削除]
をクリックします。
[不審なプログラム
の検出]
[ユーザー定義の 不審なプログラムとして処理するファイルまたはプログラムを個別に指定
不審なプログラ します。
ムを除外]
スキャナーは、ユーザーが指定したプログラムと AMCore コンテンツ フ
ァイルに指定したプログラムを検出します。
サイズが 0 バイトでユーザー定義の不審なプログラムは、スキャナーによ
って検出されません。
• [追加] - 不審なプログラムを独自に定義します。
[追加] をクリックして名前を入力します。Tab を押して説明を入力し
ます。
• [名前]- 不審なプログラムのファイル名を指定します。
• [説明] - 検出時に検出名として表示される情報を指定します。
• 項目をダブルクリックします。 — 選択した項目を変更します。
• [削除] - リストから不審なプログラムを削除します。
表からプログラムを選択して、[削除] をクリックします。
[プロアクティブ デ
ータ分析]
McAfee Endpoint Security 10.5
診断情報と使用状況のデータを McAfee に匿名で送信する:
[McAfee GTI フ McAfee GTI ベースの利用統計フィードバックを有効にして、クライアン
ィードバック]
ト システムで実行中のファイルとプロセスに関する匿名データを収集し
ます。
製品ガイド
125
3
脅威対策 の使用
Endpoint Security クライアント インターフェース リファレンス - 脅威対策
表 3-23
詳細オプション (続き)
セクション
オプション
定義
[セーフティ パ
ルス]
AMCore コンテンツ ファイルの更新前後でクライアント システムの正常
性チェックを実行し、結果を McAfee に送信します。
結果は暗号化され、SSL 経由で McAfee に送信されます。 McAfee は、
これらのレポート データを集計して異常を識別し、コンテンツ関連の脅威
を未然に防ぎます。 封じ込めから修復までを短時間に行うには、このよう
な問題を迅速に検出する必要があります。
セーフティ パルスが次の種類のデータを収集します。
• オペレーティング システムのバージョンとロケール
• McAfee 製品のバージョン
• AMCore コンテンツとエンジンのバージョン
• McAfee と Microsoft の実行プロセスの情報
[AMCore コンテ クライアント システムを更新する前に、AMCore コンテンツ ファイルの
ンツ レピュテー レピュテーションを McAfee GTI から取得します。
ション]
• McAfee GTI がファイルを許可すると、Endpoint Security が AMCore
コンテンツを更新します。
• McAfee GTI がファイルを許可しない場合、Endpoint Security は
AMCore コンテンツを更新しません。
関連トピック:
80 ページの「共通のスキャン設定を行う」
AMCore コンテンツのロールバック
AMCore コンテンツを以前のバージョンに変更します。
エクスプロイト防止のコンテンツ更新はロールバックできません。
オプション
定義
[読み込むバージ
ョンを選択]
以前の AMCore コンテンツ ファイルの中で読み込むファイルのバージョン番号を指定しま
す。
Endpoint Security は、クライアント システムに 2 つ前までのバージョンを保持します。
前のバージョンに変更すると、Endpoint Security が現在のバージョンの AMCore コンテンツ
をシステムから削除します。
関連トピック:
27 ページの「AMCore コンテンツのバージョンを変更する」
126
McAfee Endpoint Security 10.5
製品ガイド
4
ファイアウォール の使用
ファイアウォール は、コンピューターとネットワークまたはインターネットの間でフィルターとして機能します。
目次
ファイアウォール の機能
McAfee システム トレイ アイコンでのファイアウォールの無効化をユーザーに許可する
McAfee システム トレイ アイコンからファイアウォール期限付きグループを表示したり、有効にします。
ファイアウォール の管理
Endpoint Security クライアント インターフェース リファレンス - ファイアウォール
ファイアウォール の機能
ファイアウォール は、すべての受信トラフィックと送信トラフィックをスキャンします。
ファイアウォール は、条件と関連アクションが設定されているルールのリストを使用し、送受信されるトラフィック
を検査します。トラフィックがルール内のすべての条件を満たすと、ファイアウォール はルールに従って処理を実行
し、ファイアウォール を通過するトラフィックを許可またはブロックします。
検出した脅威の情報が保存され、レポートが作成されます。これにより、コンピューターに存在するセキュリティ問
題を管理者に通知します。
ファイアウォール のオプションとルールにより、ファイアウォール の動作が決まります。 ルール グループを使用す
ると、ルールの管理を簡単に行うことができます。
クライアント インターフェース モードが [フル アクセス] に設定されている場合、あるいは管理者としてログオン
している場合には、Endpoint Security クライアント を使用してルールとグループを設定できます。 管理対象シス
テムの場合、管理者がポリシーの更新を配備したときに、ユーザーが作成したルールとグループが上書きされる場合
があります。
関連トピック:
129 ページの「ファイアウォール オプションを設定する」
133 ページの「Firewall ルールの機能」
135 ページの「ファイアウォール ルール グループの機能」
McAfee システム トレイ アイコンでのファイアウォールの無効化をユーザー
に許可する
設定方法によっては、McAfee システム トレイ アイコンからファイアウォールを有効または無効にできます。
設定によっては、これらのオプションが使用できない場合があります。
McAfee Endpoint Security 10.5
製品ガイド
127
4
ファイアウォール の使用
McAfee システム トレイ アイコンからファイアウォール期限付きグループを表示したり、有効にします。
タスク
•
McAfee システム トレイ アイコンを右クリックし、[クイック設定] メニューから [Endpoint Security ファイ
アウォールを無効にする] オプションを選択します。
ファイアウォールが有効になっている場合、[Endpoint Security ファイアウォールを無効にする] が表示されま
す。
設定によっては、ファイアウォールを無効にする理由を入力するように指示される場合があります。
McAfee システム トレイ アイコンからファイアウォール期限付きグループを
表示したり、有効にします。
McAfee システム トレイ アイコンからファイアウォール期限付きグループを表示したり、有効または無効にします。
設定によっては、これらのオプションが使用できない場合があります。
タスク
•
McAfee システム トレイ アイコンを右クリックし、[クイック設定] メニューからオプションを選択します。
•
[ファイアウォール期限付きグループを有効にする] - ファイアウォール期限付きグループを有効にし、所定
の期間、アクセスを制限するルールを適用する前にインターネット アクセスを許可します。 期限付きグルー
プが有効になっている場合、このオプションは [ファイアウォール期限付きグループを無効にする] になりま
す。
このオプションを選択するたびに、グループの期限がリセットされます。
設定によっては、ファイアウォールを有効にする理由を入力するように指示される場合があります。
•
[ファイアウォール期限付きグループを表示する] - 期限付きグループの名前と各グループの残り時間を表示
します。
期限付きグループについて
期限付きグループは、期間限定でアクティブになるファイアウォール ルール グループです。
たとえば、期限付きグループを有効にすると、特定のクライアント システムをパブリック ネットワークに接続して、
VPN 接続を確立することができます。
設定に応じて、次のいずれかの方法でグループを有効にします。
•
指定したスケジュール。
•
McAfee システム トレイ アイコンのオプション。
ファイアウォール の管理
管理者は、ファイアウォール オプションを設定して、Endpoint Security クライアント のルールとグループを作成
できます。
管理対象システムの場合、McAfee ePO からポリシーを変更すると、[設定] ページから行った変更が上書きされます。
128
McAfee Endpoint Security 10.5
製品ガイド
ファイアウォール の使用
ファイアウォール の管理
4
ファイアウォール オプションを変更する
管理者は、Endpoint Security クライアント から ファイアウォール のオプションを変更できます。
タスク
•
129 ページの「ファイアウォール オプションを設定する」
ファイアウォールの有効化/無効化、適応モードの有効化、その他のファイアウォール オプションの設定
を行うには、オプション で設定を行います。
•
130 ページの「DNS トラフィックをブロックする」
ファイアウォールの保護を調整するには、ブロックする FQDN のリストを作成します。 ファイアウォ
ールは、ドメイン名に対応する IP アドレスとの接続をブロックします。
•
131 ページの「ルールとグループで使用するネットワークを定義する」
ルールとグループで使用するネットワークのアドレス、サブネットまたは範囲を定義します。 これらの
ネットワークを信頼されたネットワークに指定することもできます。
•
132 ページの「信頼された実行ファイルを設定する」
環境で安全性が確認されている実行ファイルのリストを定義または編集します。
関連トピック:
130 ページの「FAQ - McAfee GTI とファイアウォール」
ファイアウォール オプションを設定する
ファイアウォールの有効化/無効化、適応モードの有効化、その他のファイアウォール オプションの設定を行うには、
オプション で設定を行います。
開始する前に
Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、
管理者としてログオンしています。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
Endpoint Security クライアントを開きます。
2
メインの [ステータス] ページで [Firewall] をクリックします。
あるいは、[アクション] メニュー
3
から [設定] を選択し、[設定] ページで [Firewall] をクリックします。
[Firewall を有効にする] を選択して Firewall を有効にし、オプションを変更します。
Host Intrusion Prevention 8.0 は、Endpoint Security 10.5 と同じシステムにインストールできます。
McAfee Host IPS ファイアウォールがインストールされ、有効になっている場合、ポリシー設定で有効にしても
Endpoint Security ファイアウォールが無効になります。
4
[詳細を表示] をクリックします。
5
ページで設定を行い、[適用] をクリックして変更を保存するか、[キャンセル] をクリックします。
関連トピック:
26 ページの「管理者としてログオンする」
McAfee Endpoint Security 10.5
製品ガイド
129
4
ファイアウォール の使用
ファイアウォール の管理
DNS トラフィックをブロックする
ファイアウォールの保護を調整するには、ブロックする FQDN のリストを作成します。 ファイアウォールは、ドメ
イン名に対応する IP アドレスとの接続をブロックします。
開始する前に
Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、
管理者としてログオンしています。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
Endpoint Security クライアントを開きます。
2
メインの [ステータス] ページで [ファイアウォール] をクリックします。
あるいは、[アクション] メニュー
ます。
から [設定] を選択し、[設定] ページで [ファイアウォール] をクリックし
3
[DNS ブロック] で[追加] をクリックします。
4
ブロックするドメインの FQDN を入力して、[保存] をクリックします。
ワイルドカードとして * と ? を使用できます。 例: *domain.com
重複する項目は自動的に削除されます。
5
[保存] をクリックします。
6
[適用] をクリックして変更を保存するか、[キャンセル] をクリックします。
FAQ - McAfee GTI とファイアウォール
ここでは、よくある質問について紹介します。
ファイアウォール オプションを使用すると、McAfee GTI が危険度高と評価したネットワーク接続からの受信トラフ
ィックと送信トラフィックをブロックできます。 この FAQ では、McAfee GTI の機能とファイアウォールへの影響
について説明します。
McAfee GTI とは何ですか?
McAfee GTI は、世界のインターネット評価情報を提供するシステムで、インターネット上で正常な動作と問
題のある動作を特定します。 McAfee GTI は、世界各地で発生している電子メールの送信パターン、Web ア
クティビティ、マルウェア、システム間の通信をリアルタイムに分析します。 McAfee GTI は、分析結果を使
用してレピュテーション スコアを動的に算出しています。このスコアにより、Web ページの閲覧によりネッ
トワークが晒される危険度が分かります。 IP アドレス、ドメイン、特定のメッセージ、URL、画像などのレ
ピュテーション スコアはデータベースに格納されています。
McAfee GTI に関するよくある質問については、KB53735 を参照してください。
McAfee GTI とファイアウォールの関係を教えてください。
McAfee GTI オプションを選択すると、[McAfee GTI — Endpoint Security ファイアウォール サービスを
許可] と [McAfee GTI — 評価を取得] の 2 つのルールが作成されます。 最初のルールで McAfee GTI へ
の接続が許可されます。2 つ目のルールでは、接続のレピュテーション結果とブロックしきい値に従ってトラ
フィックを許可またはブロックします。
「レピュテーション」とはどういう意味ですか?
インターネット上の各 IP アドレスについて、McAfee GTI はレピュテーションを計算します。 McAfee GTI
は、送受信やホスティング状態、顧客やパートナーから収集した環境データを元にインターネットの脅威状況
に関する評価を行います。 レピュテーションは、この分析に基づき、次の 4 つのクラスで表されます。
130
McAfee Endpoint Security 10.5
製品ガイド
ファイアウォール の使用
ファイアウォール の管理
4
•
[ブロックなし] (最小リスク) - コンテンツやトラフィックの正規の送信元または送信先であることが確
認されています。
•
[危険度高] - この送信元/宛先は、McAfee が危険と見なす不審なコンテンツ/トラフィックを送信または
ホスティングしています。
•
[危険度中] - この送信元/宛先は、McAfee が不審と見なす振る舞いを示しています。 このサイトのコン
テンツ/トラフィックには特別な警戒が必要です。
•
[未確認] - このサイトは、コンテンツやトラフィックの正規の送信元または送信先の可能性もあります
が、詳しい調査が必要なプロパティがあります。
McAfee GTI によって遅延が発生しますか? また、どのくらい発生しますか?
McAfee GTI がレピュテーション情報を検索するときに、遅延時間が発生します。 McAfee では、この時間を
最小限に抑えるため、様々な工夫を行っています。 McAfee GTI:
•
オプションが選択された場合にのみ、レピュテーションを確認します。
•
インテリジェント キャッシュ アーキテクチャを使用しています。 ネットワークの通常の使用パターンで
は、レピュテーション クエリーを送信せず、キャッシュを参照します。
ファイアウォールが McAfee GTI サーバーに接続できない場合、トラフィックは停止しますか?
ファイアウォールが McAfee GTI サーバーに接続できない場合、該当するすべての接続にデフォルトの許可レ
ピュテーションが自動的に割り当てられます。 ファイアウォールは後続のルールの分析を続行します。
ルールとグループで使用するネットワークを定義する
ルールとグループで使用するネットワークのアドレス、サブネットまたは範囲を定義します。 これらのネットワーク
を信頼されたネットワークに指定することもできます。
開始する前に
Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、
管理者としてログオンしています。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
Endpoint Security クライアントを開きます。
2
メインの [ステータス] ページで [ファイアウォール] をクリックします。
あるいは、[アクション] メニュー
ます。
3
から [設定] を選択し、[設定] ページで [ファイアウォール] をクリックし
[詳細を表示] をクリックします。
McAfee Endpoint Security 10.5
製品ガイド
131
4
ファイアウォール の使用
ファイアウォール の管理
4
[定義済みネットワーク] で、以下のいずれかの操作を行います。
操作...
手順
新しいネットワークを
定義する。
[追加] をクリックして、信頼できるネットワークの詳細を入力します。
信頼できるネットワークとして定義するには、[信頼] ドロップダウン メニューから
[はい] を選択します。
[いいえ] を選択すると、ルールとグループで使用するように定義されますが、ネット
ワークからの送受信トラフィックは自動的に信頼されません。
5
ネットワークの定義を
変更する。
各列の項目をダブルクリックして、新しい情報を入力します。
ネットワークを削除す
る。
行を選択して、[削除] をクリックします。
[適用] をクリックして変更を保存するか、[キャンセル] をクリックします。
信頼できるネットワークについて
信頼できるネットワークは、組織で安全性を確認している IP アドレス、IP アドレスの範囲、サブネットです。
信頼されたネットワークを定義すると、ファイアウォール ルール リストの先頭に、このリモート ネットワークの許
可ルールが双方向で作成されます。
信頼できるネットワークを定義すると、これらのネットワークに適用する Firewall ルールを作成できます。信頼で
きるネットワークは、Firewall で McAfee GTI の例外としても機能します。
ベストプラクティス: この機能を利用するには、ネットワークをファイアウォール ルールとグループに追加するとき
に、[ネットワークの種類] で [定義済みのネットワーク] を選択します。
信頼された実行ファイルを設定する
環境で安全性が確認されている実行ファイルのリストを定義または編集します。
開始する前に
Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、
管理者としてログオンしています。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
Endpoint Security クライアントを開きます。
2
メインの [ステータス] ページで [ファイアウォール] をクリックします。
あるいは、[アクション] メニュー
ます。
3
132
から [設定] を選択し、[設定] ページで [ファイアウォール] をクリックし
[詳細を表示] をクリックします。
McAfee Endpoint Security 10.5
製品ガイド
4
ファイアウォール の使用
ファイアウォール の管理
4
[信頼された実行ファイル] で、以下のいずれかの操作を行います。
操作...
手順
新しい信頼された実行ファイルを定義する。 [追加] をクリックして、信頼された実行ファイルの詳細を入力し
ます。
5
実行ファイルの定義を変更する。
各列の項目をダブルクリックして、新しい情報を入力します。
実行ファイルを削除する。
行を選択して、[削除] をクリックします。
[適用] をクリックして変更を保存するか、[キャンセル] をクリックします。
信頼された実行ファイルとアプリケーションについて
信頼された実行ファイルは、安全性が確認され、既知の脆弱性が存在しない実行ファイルです。
信頼された実行ファイルを設定すると、ファイアウォール ルール リストの先頭に、この実行ファイルの許可ルール
が双方向で作成されます。
システムで安全な実行ファイルのリストを維持すると、誤検知の件数を大幅に減らすことができます。 たとえば、バ
ックアップ アプリケーションの実行時には頻繁に誤検知が発生する可能性があります。 誤検知を避けるには、バッ
クアップ アプリケーションを信頼された実行ファイルに設定します。
信頼された実行ファイルは、バッファー オーバーフローや不正な使用といった一般的な問題に対する脆弱性がありま
す。 したがって、ファイアウォールは信頼された実行ファイルの監視を継続し、イベントをトリガーして攻撃を防ぎ
ます。
Firewall カタログには、実行ファイルとアプリケーションの両方が登録されています。 カタログの実行ファイルは、
コンテナー アプリケーションに関連付けることができます。 カタログの実行ファイルとアプリケーションを信頼さ
れた実行ファイルのリストに追加できます。 定義すると、ルールとグループで実行ファイルを参照できます。
ファイアウォール ルールとグループを設定する
管理者は、ファイアウォール から Endpoint Security クライアント ルールとグループを設定できます。
タスク
•
139 ページの「ファイアウォール ルールとグループを作成/管理する」
管理対象システムの場合、管理者がポリシーの更新を配備したときに、ユーザーが Endpoint Security
クライアント で作成したルールとグループが上書きされる場合があります。
•
141 ページの「接続の分離グループを作成する」
特定のパラメーターでネットワークに接続している場合にのみ適用されるルールを設定するには、接続
分離 Firewall ルール グループを作成します。
•
142 ページの「期限付きグループを作成する」
ファイアウォール期限付きグループを作成すると、クライアント システムが VPN に接続するまでイン
ターネットへのアクセスが制限されます。
Firewall ルールの機能
ファイアウォール ルールでは、ネットワーク トラフィックの処理方法を決定します。各ルールには、トラフィック
が満たす必要がある一連の条件とアクション (トラフィックの許可またはブロック) が定義されています。
ファイアウォール は、ルールの条件と一致するトラフィックを見つけると、関連付けられたアクションを実行しま
す。
ルールは、広範囲に定義することも (すべての IP トラフィックなど)、狭い範囲で定義することもできます (特定の
アプリケーションまたはサービスの特定など)。また、オプションも設定できます。ルールを機能、サービスまたはア
プリケーションに従って分類すると、管理作業が簡単になります。ルールと同様に、ルール グループにもネットワー
ク、トランスポート、アプリケーション、スケジュール、場所の各オプションが定義できます。
McAfee Endpoint Security 10.5
製品ガイド
133
4
ファイアウォール の使用
ファイアウォール の管理
ファイアウォール は、次の順序でルールを適用します。
1
ファイアウォールは、ファイアウォール ルール リストの上部にあるルールを適用します。
トラフィックがルールの条件と一致すると、ファイアウォール がトラフィックを許可またはブロックします。リ
ストにある他のルールは適用しません。
2
トラフィックが最初のルールの条件に一致しない場合、ファイアウォール はリスト内の次のルールを処理します。
トラフィックに一致するルールが見つかるまで、この処理を繰り返します。
3
一致するルールがない場合、Firewall は自動的にトラフィックをブロックします。
適応モードが有効な場合には、トラフィックの許可ルールが作成されます。阻止したトラフィックが、リストにある
1 つ以上のルールに適合する場合があります。この場合、ファイアウォール はリストで最初に一致したルールのみを
適用します。
ベスト プラクティス
より具体的なルールをリストの上位に置き、一般的なルールを下位に置きます。 これにより、ファイアウォール が
トラフィックを適切にフィルタリングします。
たとえば、IP アドレス 10.10.10.1 を除くすべての HTTP 要求を許可するには、次の 2 つのルールを作成します。
•
ブロック ルール - IP アドレス 10.10.10.1 からの HTTP トラフィックをブロックします。これは具体的なル
ールです。
•
許可ルール - HTTP サービスを使用するすべてのトラフィックを許可します。これは一般的なルールです。
Firewall ルール リストで、ブロック ルールを許可ルールよりも上に配置します。Firewall がアドレス 10.10.10.1
からの HTTP 要求を阻止するときに、最初に一致したルールでトラフィックがブロックされます。
134
McAfee Endpoint Security 10.5
製品ガイド
4
ファイアウォール の使用
ファイアウォール の管理
一般的な許可ルールを具体的なブロック ルールよりも上に置くと、ファイアウォール はブロック ルールよりも前に
許可ルールで要求を処理します。この場合、このアドレスからの HTTP 要求をブロックしたくても、トラフィックは
許可されます。
ファイアウォール ルール グループの機能
ファイアウォール ルール グループを使用すると、ルールの管理を簡単に行うことができます。 ファイアウォール ル
ール グループを使用しても、ファイアウォールがグループ内のルールを処理する方法は変更されません。ファイアウ
ォールは、上から下に向けてルールを処理します。
ファイアウォールは、グループ内のルールの設定よりも前にグループの設定を処理します。 これらの設定に矛盾があ
る場合、グループの設定が優先します。
位置情報を使用するグループの作成
ファイアウォールを使用すると、場所別にグループを設定し、接続の分離を作成できます。 グループで場所とネット
ワーク オプションを使用すると、ネットワーク アダプター別にグループを設定できます。 ネットワーク アダプター
グループを使用すると、複数のネットワーク インターフェースを搭載したコンピューターでアダプター別にルールを
適用できます。 場所のステータスを有効にし、場所の名前を指定すると、各ネットワーク アダプターで許可された
以下の接続パラメーターを使用できます。
[場所]:
•
ePO との接続が必要
•
プライマリ WINS サーバーの IP アドレス
•
接続別の DNS サフィックス
•
セカンダリ WINS サーバーの IP アドレス
•
デフォルト ゲートウェイの IP アドレス
•
ドメインとの接続 (HTTPS)
•
DHCP サーバーの IP アドレス
•
レジストリ キー
•
URL 解決を照会する DNS サーバー
[ネットワーク]:
•
ローカル ネットワークの IP アドレス
•
接続の種類
2 つの場所別グループが 1 つの接続に適用される場合、ファイアウォール では通常の優先順位を使用し、ルール リ
ストで適用可能な最初のグループを処理します。 最初のグループに該当するルールがない場合、ルールの処理が継続
します。
ファイアウォール は、アクティブな接続に対して場所別グループのパラメーターを照合し、グループ内のルールを適
用します。 ルールを小さいルール セットとして扱い、通常の優先順位を適用します。 阻止したトラフィックと一致
しないルールがある場合、ファイアウォールは無視します。
選択したオプション...
結果...
位置認識を有効にする
場所の名前が必要です。
ePO との接続が必要
McAfee ePO と接続可能で、サーバーの FQDN が解決されています。
ローカル ネットワーク
アダプターの IP アドレスがリスト項目のいずれかと一致している必要があります。
接続別の DNS サフィックス アダプターの DNS サフィックスがリスト項目のいずれかと一致している必要があ
ります。
デフォルト ゲートウェイ
デフォルト アダプターのゲートウェイ IP がリスト項目の少なくとも 1 つと一致し
ている必要があります。
DHCP サーバー
アダプターの DHCP サーバーの IP がリスト項目の少なくとも 1 つと一致している
必要があります。
McAfee Endpoint Security 10.5
製品ガイド
135
4
ファイアウォール の使用
ファイアウォール の管理
選択したオプション...
結果...
DNS サーバー
アダプターの DNS サーバーの IP がリスト項目の少なくとも 1 つと一致している
必要があります。
プライマリ WINS サーバー
アダプターのプライマリ WINS サーバーの IP がリスト項目の少なくとも 1 つと一
致している必要があります。
セカンダリ WINS サーバー
アダプターのセカンダリ WINS サーバーの IP がリスト項目の少なくとも 1 つと一
致している必要があります。
ドメインとの接続 (HTTPS)
指定したドメインと HTTPS で接続する必要があります。
ファイアウォール ルール グループと接続の分離
接続の分離を使用すると、グループが特定のネットワークにアクセスしたときに不要なトラフィックの受信を防ぐこ
とができます。
グループで接続の分離を有効にし、アクティブなネットワーク インターフェース カード (NIC) がグループの条件に
一致すると、ファイアウォール が次の条件に一致するトラフィックを処理します。
•
Firewall ルール リストでグループよりも上にある許可ルール
•
グループ条件
他のトラフィックはすべてブロックされます。
接続の分離が有効になっているグループに、トランスポート オプションまたは実行ファイルは関連付けられません。
136
McAfee Endpoint Security 10.5
製品ガイド
ファイアウォール の使用
ファイアウォール の管理
4
接続の分離の例として、企業環境とホテルの 2 つの設定を考えてみましょう。 アクティブな Firewall ルール リス
トには、ルールおよびグループが次の順序で含まれています。
1
基本接続ルール
2
VPN 接続ルール
3
企業 LAN 接続ルールが設定されたグループ
4
VPN 接続ルールが設定されたグループ
McAfee Endpoint Security 10.5
製品ガイド
137
4
ファイアウォール の使用
ファイアウォール の管理
例: 企業ネットワークでの接続の分離
接続ルールは、企業 LAN 接続ルールが設定されたグループが検出されるまで処理されます。 このグループの設定は
次のとおりです。
•
接続の種類 = 有線
•
接続別 DNS サフィックス = mycompany.com
•
デフォルト ゲートウェイ
•
接続の分離 = 有効
コンピューターには、LAN と無線 LAN の両方のアダプターが装備されています。 このコンピューターは、無線接続
で会社のネットワークに接続します。 無線 LAN のインターフェースが有効な状態になっているため、事務所以外の
ホットスポットにも接続します。 基本アクセス用のルールが Firewall ルール リストの最上位にあるため、コンピュ
ーターは両方のネットワークに接続します。 有線 LAN 接続がアクティブで、企業 LAN グループの条件を満たして
います。 Firewall は LAN を通じてトラフィックを処理しますが、接続の分離が有効であるため、LAN を通過しな
いその他すべてのトラフィックはブロックされます。
例: ホテルでの接続の分離
接続ルールは、VPN 接続ルールが設定されたグループが検出されるまで処理されます。 このグループの設定は次の
とおりです。
•
接続の種類 = 仮想
•
接続別 DNS サフィックス = vpn.mycompany.com
•
IP アドレス = VPN コンセントレーターに固有な範囲のアドレス
•
接続の分離 = 有効
一般的な接続ルールでは、ホテルで有効期限のあるアカウントを設定して、インターネット アクセスが可能になりま
す。 VPN 接続ルールにより接続が許可され、VPN トンネルが使用されます。 トンネルが確立された後、VPN クラ
イアントは VPN グループの条件に一致する仮想アダプターを作成します。 Firewall が許可したトラフィックだけ
が、VPN トンネル内部に入り、基本トラフィックは実際のアダプター上を通過します。 ネットワーク上でホテルの
他の客がコンピューターにアクセスしようとすると、有線無線に関係なくブロックされます。
事前定義のファイアウォール ルール グループ
ファイアウォールには、いくつかのファイアウォール グループが事前に定義されています。
ファイアウォール
グループ
説明
[McAfee コア ネッ McAfee 提供のコア ネットワーク ルールです。McAfee アプリケーションと DNS を許可す
トワーク]
るルールも含まれています。
これらのルールは変更または削除できません。 ファイアウォールのオプションにあるグルー
プは無効にできません。この操作を行うと、クライアントとのネットワーク通信が遮断される
可能性があります。
[管理者が追加]
管理サーバーで管理者が定義したルールです。
これらのルールを Endpoint Security クライアント で変更したり、削除することはできませ
ん。
[ユーザーが追加]
Endpoint Security クライアント で定義したルールです。
ポリシーの設定によっては、これらのルールがポリシー施行時に上書きされる場合があります。
138
McAfee Endpoint Security 10.5
製品ガイド
ファイアウォール の使用
ファイアウォール の管理
ファイアウォール
グループ
説明
[適応]
適応モードのシステムで自動的に作成されるクライアント除外ルールです。
4
ポリシーの設定によっては、これらのルールがポリシー施行時に上書きされる場合があります。
[デフォルト]
McAfee 提供のデフォルト ルールです。
これらのルールを変更したり、削除することはできません。
ファイアウォール ルールとグループを作成/管理する
管理対象システムの場合、管理者がポリシーの更新を配備したときに、ユーザーが Endpoint Security クライアン
ト で作成したルールとグループが上書きされる場合があります。
開始する前に
Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、
管理者としてログオンしています。
[Firewall ルール] テーブルでは、優先順位に従ってグループとルールが表示されます。 ルールを列でソートすること
はできません。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
Endpoint Security クライアントを開きます。
2
メインの [ステータス] ページで [ファイアウォール] をクリックします。
あるいは、[アクション] メニュー
ます。
3
から [設定] を選択し、[設定] ページで [ファイアウォール] をクリックし
ファイアウォール ルールとグループを管理するには、次のタスクを実行します。
操作...
手順
Firewall グループのルールを表示しま
す。
をクリックします。
Firewall グループを折りたたみます。
をクリックします。
既存のルールを変更します。
ルールが変更できるのは、[ユーザ
ー追加] グループだけです。
1 [ユーザー追加] グループを展開します。
2 ルールをダブルクリックします。
3 ルールの設定を変更します。
4 [OK] をクリックして、変更を保存します。
グループ内の既存のルールを表示しま
す。
McAfee Endpoint Security 10.5
1 グループを展開します。
2 下部ペインに詳細を表示するルールを選択します。
製品ガイド
139
4
ファイアウォール の使用
ファイアウォール の管理
操作...
手順
ルールを作成します。
1 [ルールの追加] をクリックします。
2 ルールの設定を指定します。
3 [OK] をクリックして、変更を保存します。
[ユーザー追加] グループの最後にルールが表示されます。
ルールのコピーを作成します。
1 ルールを選択して、[複製] をクリックします。
コピーしたルールが [ユーザー追加] グループの最後に同じ名前で
表示されます。
2 ルールの名前と設定を変更します。
ルールを削除します。
ルールを削除できるのは、[ユーザ
ー追加] グループと [適応] グル
ープだけです。
グループを作成します。
1 グループを展開します。
2 ルールを選択して、[削除] をクリックします。
1 [グループの追加] をクリックします。
2 グループの設定を指定します。
3 [OK] をクリックして、変更を保存します。
[ユーザー追加] グループにグループが表示されます。
グループ間でルールとグループを移動
します。
ルールとグループを移動できる
のは、[ユーザー追加] グループだ
けです。
要素を移動するには、次の手順に従います。
1 移動する要素を選択します。
移動可能な要素の左側にグリップ
が表示されます。
2 ドラッグ アンド ドロップで要素を新し位置に移動します。
要素をドロップできる位置に青線が表示されます。
4
[適用] をクリックして変更を保存するか、[キャンセル] をクリックします。
関連トピック:
140 ページの「Firewall ルールで使用可能なワイルドカード」
26 ページの「管理者としてログオンする」
141 ページの「接続の分離グループを作成する」
Firewall ルールで使用可能なワイルドカード
Firewall ルールの一部の値では、ワイルドカードを使用できます。
パスとアドレスで使用可能な Firewall
ファイル、レジストリ キー、実行ファイル、URL のパスには次のワイルドカードが使用できます。
Firewall グループの場所を表すレジストリ キーのパスには、ワイルドカードを使用できません。
140
?
疑問符
1 つの文字。
*
アスタリスク
複数の文字。ただし、スラッシュと (/) と円記号 (\) は除く。この文字は、サブフォルダー
のないフォルダーのルート レベルの内容と比較する場合に使用します。
McAfee Endpoint Security 10.5
製品ガイド
ファイアウォール の使用
ファイアウォール の管理
** 二重アスタリス
ク
複数の文字。スラッシュと (/) と円記号 (\) も含む。
|
ワイルドカードのエスケープ。
パイプ
4
二重アスタリスク (**) は |*|* とエスケープします。
その他の値で使用可能なワイルドカード
パス情報を含まないスラッシュ付きの値では、次のワイルドカードを使用できます。
?
疑問符
1 つの文字。
*
アスタリスク
複数の文字。スラッシュと (/) と円記号 (\) も含む。
|
パイプ
ワイルドカードのエスケープ。
接続の分離グループを作成する
特定のパラメーターでネットワークに接続している場合にのみ適用されるルールを設定するには、接続分離 Firewall
ルール グループを作成します。
開始する前に
Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、
管理者としてログオンしています。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
Endpoint Security クライアントを開きます。
2
メインの [ステータス] ページで [ファイアウォール] をクリックします。
あるいは、[アクション] メニュー
ます。
から [設定] を選択し、[設定] ページで [ファイアウォール] をクリックし
3
[ルール] で、[グループの追加] をクリックします。
4
[説明] で、グループのオプションを指定します。
5
[場所] で、[位置認識を有効にする] と [接続の分離を有効にする] を選択します。 次に、比較する場所の条件を
選択します。
6
[ネットワーク] の [接続の種類] で、このグループのルールに適用する接続の種類 ([有線]、[無線]、[仮想]) を
選択します。
接続の分類グループでは、[トランスポート] と[アプリケーション] の設定は使用できません。
7
[OK] をクリックします。
8
このグループに新しいルールを作成するか、Firewall ルール リストから既存のルールをグループに移動します。
9
[適用] をクリックして変更を保存するか、[キャンセル] をクリックします。
関連トピック:
136 ページの「ファイアウォール ルール グループと接続の分離」
135 ページの「ファイアウォール ルール グループの機能」
McAfee Endpoint Security 10.5
製品ガイド
141
4
ファイアウォール の使用
Endpoint Security クライアント インターフェース リファレンス - ファイアウォール
期限付きグループを作成する
ファイアウォール期限付きグループを作成すると、クライアント システムが VPN に接続するまでインターネットへ
のアクセスが制限されます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
Endpoint Security クライアントを開きます。
2
メインの [ステータス] ページで [ファイアウォール] をクリックします。
あるいは、[アクション] メニュー
ます。
3
から [設定] を選択し、[設定] ページで [ファイアウォール] をクリックし
デフォルトの設定でファイアウォール グループを作成します。デフォルトの設定では、インターネット接続が許
可されます。
たとえば、ポート 80 で HTTP トラフィックを許可します。
4
[スケジュール] セクションで、グループを有効にする方法を選択します。
•
[スケジュールを有効にする] - グループを有効にする開始時間と終了時間を指定します。
•
[スケジュールを無効にして McAfee システム トレイ アイコンでグループを有効にする] - McAfee システ
ム トレイ アイコンからのグループの有効化をユーザーに許可します。グループは、指定した期間 (分) 有効
な状態を維持します。
期限付きグループの管理をユーザーに許可する場合、グループを有効にする前に理由の入力を要求することも
できます。
5
[OK] をクリックして、変更を保存します。
6
必要なトラフィックを許可する VPN ネットワークに対応する接続分離グループを作成します。
ベストプラクティス: クライアント システムの接続隔離グループからの送信トラフィックをのみを許可する場合
には、このグループよりも下にファイアウォール ルールを配置しないでください。
7
[適用] をクリックして変更を保存するか、[キャンセル] をクリックします。
関連トピック:
141 ページの「接続の分離グループを作成する」
Endpoint Security クライアント インターフェース リファレンス - ファイ
アウォール
Endpoint Security クライアント インターフェースのページでコンテキスト ヘルプを利用できます。
目次
ファイアウォール - オプション
ファイアウォール — ルール
ファイアウォール - オプション
ファイアウォール モジュールを有効または無効にします。保護オプションを設定し、ネットワークと信頼できる実行
ファイルを定義します。
変更をキャンセルして、McAfee のデフォルト値に戻するには、[デフォルトに戻す] をクリックします。
142
McAfee Endpoint Security 10.5
製品ガイド
4
ファイアウォール の使用
Endpoint Security クライアント インターフェース リファレンス - ファイアウォール
ロギングの設定については、共通設定モジュールの設定を参照してください。
Host Intrusion Prevention 8.0 は、Endpoint Security 10.5 と同じシステムにインストールできます。 McAfee
Host IPS ファイアウォールがインストールされ、有効になっている場合、ポリシー設定で有効にしても Endpoint
Security ファイアウォールが無効になります。
表 4-1
オプション
セクショ
ン
[保護オ
プショ
ン]
オプション
定義
[ファイアウォール
を有効にする]
ファイアウォール モジュールを有効または無効にします。
[サポートされてい サポートされていないプロトコルを使用するトラフィックをすべて許可します。
ないプロトコルのト 無効にすると、サポートされていないプロトコルを使用するトラフィックはすべ
ラフィックを許可す てブロックされます。
る]
[ファイアウォール ファイアウォール サービスが開始するまで、送信トラフィックは許可しますが、
サービスが開始する 受信トラフィックは許可しません。
まで送信トラフィッ
クのみを許可する]
このオプションを無効にすると、ファイアウォールは、サービス開始前に発生し
たすべてのトラフィックを許可します。これにより、システムが脆弱になる可能
性があります。
[ブリッジド トラフ
ィックを許可]
許可:
• 受信パケット 宛先の MAC アドレスが対応の VM MAC アドレス範囲内にあ
り、システムのローカル MAC アドレスでない場合。
• 送信パケット 送信元の MAC アドレスが対応の MAC アドレス範囲内にあり、
システムのローカル MAC アドレスでない場合。
[ファイアウォール ファイアウォールが攻撃の可能性を検出すると、アラートを自動的に表示します。
侵入アラートを有効
にする]
[DNS ブ
ロック]
[ドメイン名]
ブロックするドメイン名を定義します。
適用すると、ファイアウォール ルール リストの先頭に近い位置にルールを追加
し、ドメイン名を解決する IP アドレスとの接続をブロックします。
• [追加] - ドメイン名をブロック リストに追加します。 複数のドメインを指定
する場合には、ドメインをカンマ (,) または改行で区切ってください。
ワイルドカードとして * と ? を使用できます。 例: *domain.com
重複する項目は自動的に削除されます。
• 項目をダブルクリックします。 — 選択した項目を変更します。
• [削除] - 選択したドメイン名をブロック リストから削除します。
McAfee Endpoint Security 10.5
製品ガイド
143
4
ファイアウォール の使用
Endpoint Security クライアント インターフェース リファレンス - ファイアウォール
表 4-2 詳細オプション
セクション オプション
定義
[調整オプ
ション]
トラフィックの許可ルールを自動的に作成します。
[適応モードを有
効にする]
ベストプラクティス: ファイアウォールのトンネリング中にのみ、少数のシステ
ムで適応モードを有効にします。 このモードを有効にすると、大量のクライアン
ト ルールが生成される場合があります。これらのルールは McAfee ePO サーバ
ーで処理されるため、パフォーマンスが低下する可能性があります。
[McAfee コア ネ
ットワーク ルー
ルを無効にする]
組み込みの McAfee ネットワーク ルール ([McAfee コア ネットワーク] ルール
グループ) を無効にします。
デフォルトは無効です。
このオプションを有効にすると、クライアントのネットワーク通信が遮断される
可能性があります。
[ブロックされた
ブロックされたすべてのトラフィックを ファイアウォールの Endpoint
トラフィックをす Security クライアント イベント ログ (FirewallEventMonitor.log) に記録しま
べてログに記録す す。
る]
デフォルトは有効です。
[許可されたトラ
許可されたすべてのトラフィックをファイアウォールの Endpoint Security ク
フィックをすべて ライアント イベント ログ (FirewallEventMonitor.log) に記録します。
ログに記録する]
デフォルトは無効です。
このオプションを有効にすると、パフォーマンスが低下する場合があります。
[McAfee
[McAfee GTI の
GTI ネット 一致を侵入として
ワーク レ
扱う]
ピュテーシ
ョン]
McAfee GTI ブロックしきい値に一致するトラフィックを侵入として扱います。
このオプションを有効にすると、アラートが表示され、管理サーバーにイベント
が送信されます。この情報は、Endpoint Security クライアント ログ ファイル
に追加されます。
信頼できるネットワーク ポリシーの IP アドレスは McAfee GTI の対象外にな
ります。
デフォルトは有効です。
[一致するトラフ
McAfee GTI ブロックしきい値に一致するトラフィックを検出として扱います。
ィックをログに記 このオプションを有効にすると、管理サーバーにイベントが送信されます。この
録する]
情報は、Endpoint Security クライアント ログ ファイルに追加されます。
デフォルトは有効です。
信頼できるネットワーク ポリシーの IP アドレスは McAfee GTI の対象外にな
ります。
[信頼されていな
署名のない実行ファイルまたは McAfee GTI レピュテーションが「不明」の実行
い実行ファイルを ファイルをすべてブロックします。
すべてブロックす
る]
144
McAfee Endpoint Security 10.5
製品ガイド
4
ファイアウォール の使用
Endpoint Security クライアント インターフェース リファレンス - ファイアウォール
表 4-2 詳細オプション (続き)
セクション オプション
定義
[受信ネットワー
ネットワーク接続で受信または送信トラフィックをブロックする McAfee GTI
クのレピュテーシ の評価しきい値を指定します。
ョンしきい値]
• [ブロックなし] - コンテンツやトラフィックの正規の送信元または送信先で
[送信ネットワー
あることが確認されています。
クのレピュテーシ
• [危険度高] - この送信元/宛先は、McAfee が危険と見なす不審なコンテンツ/
ョンしきい値]
トラフィックを送信またはホスティングしています。
• [危険度中] - この送信元/宛先は、McAfee が不審と見なす振る舞いを示して
います。 このサイトのコンテンツ/トラフィックには特別な警戒が必要です。
• [未確認] - このサイトは、コンテンツやトラフィックの正規の送信元または送
信先の可能性もありますが、詳しい調査が必要なプロパティがあります。
[ステート
[FTP プロトコル
フル ファ
検査を実行する]
イアウォー
ル]
FTP 接続の追跡を許可します。送信 FTP クライアント トラフィックに 1 つの
ファイアウォール ルールが、受信 FTP サーバー トラフィックには 1 つのファイ
アウォール ルールが必要です。
選択しないと、受信 FTP クライアント トラフィックと送信 FTP サーバー トラフ
ィックに追加のルールが必要になります。
[TCP 接続がタイ 接続と一致するパケットが送受信されない場合に、確立されていない TCP 接続の
ムアウトするまで アクティブ状態を維持する時間 (秒単位) を指定します。 有効な範囲は 1–240
の秒数 (1-240)] です。
[UDP または
ICMP エコー仮想
接続タイムアウト
までの秒数
(1-300)]
[定義済み
のネットワ
ーク]
接続と一致するパケットが送受信されない場合に、確立されていない UDP または
ICMP エコー仮想接続のアクティブ状態を維持する時間 (秒単位) を指定します。
このオプションを使用すると、仮想接続と一致するパケットが送受信されるたび
に、この設定値にリセットされます。 有効な範囲は 1-300 です。
ルールとグループで使用するネットワークのアドレス、サブネットまたは範囲を
定義します。
• [追加] - 定義済みネットワークのリストにネットワークのアドレス、サブネッ
トまたは範囲を追加します。
[追加] をクリックして、フィールドに入力してネットワークを定義します。
• 項目をダブルクリックします。 — 選択した項目を変更します。
• [削除] - 選択したアドレスを定義済みネットワークのリストから削除します。
[アドレスの種類]
定義するネットワーク アドレスの種類を指定します。
[信頼]
• [はい] - ネットワークからのトラフィックをすべて許可します。
信頼されたネットワークを定義すると、ファイアウォール ルール リストの先頭
に、このリモート ネットワークの許可ルールが双方向で作成されます。
• [いいえ] - 定義済みネットワークのリストにネットワークを追加し、ルールを
作成します。
[所有者]
[信頼され
た実行ファ
イル]
安全で、既知の脆弱性がない実行ファイルを指定します。 これらの実行ファイル
は、感染が確認されない限り、すべての操作の実行が許可されます。
信頼された実行ファイルを設定すると、ファイアウォール ルール リストの先頭
に、この実行ファイルの許可ルールが双方向で作成されます。
• [追加] - 信頼された実行ファイルを追加します。
• 項目をダブルクリックします。 — 選択した項目を変更します。
• [削除] - 信頼リストから実行ファイルを削除します。
McAfee Endpoint Security 10.5
製品ガイド
145
4
ファイアウォール の使用
Endpoint Security クライアント インターフェース リファレンス - ファイアウォール
関連トピック:
129 ページの「ファイアウォール オプションを設定する」
131 ページの「ルールとグループで使用するネットワークを定義する」
132 ページの「信頼された実行ファイルを設定する」
151 ページの「実行ファイルの追加 または 実行ファイルの編集」
ファイアウォール — ルール
ファイアウォール ルールとグループを管理します。
追加と削除ができるのは、ユーザーが追加したグループのルールとグループだけです。 ファイアウォールは、新規に
追加されたルールをこのグループに自動的に移動します。
変更をキャンセルして、設定を工場出荷時のデフォルト値に戻するには、[デフォルトに戻す] をクリックします。
表 4-3 オプション
セクショ
ン
オプション
定義
[ ルール]
[ルールの追加]
ファイアウォール ルールを作成します。
[グループの追加]
ファイアウォール グループを作成します。
項目をダブルクリッ
クします。
選択した項目を変更します。
[複製]
選択した項目のコピーを作成します。
[削除]
選択したファイアウォールの項目を削除します。
ルール グループ
リストで移動可能な要素を表示します。
要素を選択してドラッグし、新しい位置にドロップします。
要素をドロップできる位置に青線が表示されます。
関連トピック:
139 ページの「ファイアウォール ルールとグループを作成/管理する」
146 ページの「ルールの追加またはルールの編集、グループの追加またはグループの編集」
ルールの追加またはルールの編集、グループの追加またはグループの編集
ファイアウォール ルールとグループを追加または編集します。
表 4-4
オプション
セクシ
ョン
オプション
定義
[説明]
[名前]
項目の名前を指定します (必要な場合)。
[ステータス]
項目を有効または無効にします。
[アクションを
指定する]
[許可] - 項目が一致する場合、トラフィックがファイアウォールを通過しま
す。
ルー グル
ル
ープ
[ブロック] - 項目が一致する場合、トラフィックがファイアウォールで遮断
されます。
146
McAfee Endpoint Security 10.5
製品ガイド
4
ファイアウォール の使用
Endpoint Security クライアント インターフェース リファレンス - ファイアウォール
表 4-4
セクシ
ョン
オプション (続き)
オプション
定義
ルー グル
ル
ープ
[一致する場合は侵入として扱う] - ルールに一致したトラフィックを侵入
として扱います。 このオプションを有効にすると、アラートが表示され、管
理サーバーにイベントが送信されます。この情報は、Endpoint Security ク
ライアント ログ ファイルに追加されます。
ベストプラクティス: 大量のイベントが生成されるため、[許可] ルールでは
このオプションを有効にしないでください。
[一致するトラフィックをログに記録する] - ルールに一致したトラフィッ
クを検出として扱います。 このオプションを有効にすると、管理サーバーに
イベントが送信されます。この情報は、Endpoint Security クライアントの
ログ ファイルに追加されます。
[方向]
方向を指定します。
• [いずれか] - 受信トラフィックと送信トラフィックを監視します。
• [受信] - 受信トラフィックを監視します。
• [送信] - 送信トラフィックを監視します。
[場所]
[メモ]
項目の補足情報を入力します。
[位置認識を有
効にする]
グループの場所情報を有効または無効にします。
[名前]
場所の名前を指定します (必要な場合)。
[接続の分離を
有効にする]
グループに一致するアダプターが存在するときに、グループに一致しないネ
ットワーク アダプター上のトラフィックをブロックします。
接続の分類グループでは、[トランスポート] と[アプリケーション] の設定
は使用できません。
このオプションを使用すると、外部の不審な送信元から送信されたトラフィ
ックが、企業ネットワーク内に侵入しないようにブロックできます。 ただ
し、ファイアウォール内でグループよりも前にあるルールがこのようなトラ
フィックを許可している場合には、この方法でトラフィックをブロックする
ことはできません。
接続の分離が有効であり、NIC がグループに一致する場合、次のいずれかの
場合にのみトラフィックが許可されます。
• グループの前にトラフィックが [許可ルール]と比較されます。
• NIC を通過するトラフィックがグループと比較される。トラフィックを許
可するルールがグループ内またはグループの下に存在する。
グループに一致する NIC がない場合、グループは無視され、ルールの照合が
続行されます。
[ePO との接続 McAfee ePO サーバーと通信を行い、サーバーの完全修飾ドメイン名の参照
が必要]
が解決されている場合にのみ、グループの比較を有効にします。
McAfee Endpoint Security 10.5
製品ガイド
147
4
ファイアウォール の使用
Endpoint Security クライアント インターフェース リファレンス - ファイアウォール
表 4-4
セクシ
ョン
オプション (続き)
オプション
定義
ルー グル
ル
ープ
[場所の条件]
• [接続別の DNS サフィックス] - 接続別の DNS サフィックスを
example.com の形式で指定します。
• [デフォルト ゲートウェイ] - デフォルト ゲートウェイの単一 IP アドレ
スを IPv4 または IPv6 形式で指定します。
• [DHCP サーバー] - DHCP サーバーの単一 IP アドレスを IPv4 または
IPv6 形式で指定します。
• [DNS サーバー] - ドメイン名サーバーの単一 IP アドレスを IPv4 また
は IPv6 形式で指定します。
• [プライマリー WINS サーバー] - プライマリー WINS サーバーの単一
IP アドレスを IPv4 または IPv6 形式で指定します。
• [セカンダリ WINS サーバー] - セカンダリ WINS サーバーの単一 IP
アドレスを IPv4 または IPv6 形式で指定します。
• [ドメインとの接続 (HTTPS)] - 指定したドメインに HTTPS で接続可能
でなければなりません。
• [レジストリ キー] - レジストリ キーとキーの値を指定します。
1 [追加] をクリックします。
2 [値] 列に、次の形式でレジストリ キーを指定します。
<ROOT>\<KEY>\[VALUE_NAME]
• <ROOT> - 短縮形の HKLM ではなく、完全な root 名
(HKEY_LOCAL_MACHINE) を入力してください。
• <KEY> - root の下にあるキー名です。
• [VALUE_NAME] - キー値の名前です。 値の名前を入力しないと、
デフォルトの値が使用されます。
例:
• IPv4 — 123.123.123.123
• IPv6 — 2001:db8:c0fa:f340:9219: bd20:9832:0ac7
[ネッ
トワー
ク]
項目に適用されるネットワーク ホスト オプションを指定します。
[ネットワーク
プロトコル]
項目に適用されるネットワーク プロトコルを指定します。
[すべてのプロ
トコル]
IP プロトコルと IP 以外のプロトコルの両方を許可します。
[IP プロトコ
ル]
IP 以外のプロトコルを除外します。
トランスポート プロトコルまたはアプリケーションを指定している場合に
は、IP プロトコルのみ使用可能です。
• [IPv4 プロトコル]
• [IPv6 プロトコル]
どちらのチェックボックスも選択しないと、IP プロトコルが適用されます。
IPv4 と IPv6 の両方を選択できます。
148
McAfee Endpoint Security 10.5
製品ガイド
4
ファイアウォール の使用
Endpoint Security クライアント インターフェース リファレンス - ファイアウォール
表 4-4
セクシ
ョン
オプション (続き)
オプション
定義
ルー グル
ル
ープ
[IP 以外のプロ IP 以外のプロトコルのみを対象にします。
トコル]
• [リストから EtherType を選択する] -EtherType を指定します。
• [カスタム EtherType を指定する] - IP 以外のプロトコルの EtherType
値 (4 個の 16 進数) を指定します。 EtherType の値については、
Ethernet 番号を参照してください。 たとえば、AppleTalk には 809B、
NetBEUI には 8191、IPX には 8037 をそれぞれ入力します。
[接続の種類]
適用される接続の種類を表します。
• [有線]
• [無線]
• [仮想]
[仮想] 接続タイプは、物理的なアダプターではなく、VPN または仮想マシ
ン アプリケーション (VMware など) のアダプターです。
[ネットワーク
を指定する]
項目に適用されるネットワークを指定します。
• [追加] - ネットワークを作成して追加します。
• 項目をダブルクリックします。 — 選択した項目を変更します。
• [削除] - リストからネットワークを削除します。
[トラ
ンスポ
ート]
項目に適用されるトランスポート オプションを指定します。
[トランスポー 項目に関連するトランスポート プロトコルを選択します。
ト プロトコル] プロトコルを選択して [追加] をクリックして、ポートを追加します。
• [すべてのプロトコル] - IP、IP 以外、非対応のプロトコルを許可します。
• [TCP] と [UDP] - ドロップダウンから選択します。
• [ローカル ポート] - 項目が適用されるローカル トラフィック サービ
スまたはポートを指定します。
• [リモート ポート] - 項目が適用されるローカル トラフィック サービ
スまたは別のコンピューターのポートを指定します。
[ローカル ポート] と [リモート ポート] には、次のいずれかを指定しま
す。
• 1 つのサービス。 例: 23
• 範囲。 例: 1 - 1024
• ポートまたはポート範囲のカンマ区切りリスト。 例: 80, 8080, 1-10,
8443 (4 つまで指定可)
デフォルトでは、すべてのサービスとポートにルールが適用されます。
• [ICMP] - [メッセージの種類] ドロップダウンで ICMP メッセージの種
類を指定します。 ICMP を参照してください。
• [ICMPv6] - [メッセージの種類] ドロップダウンで ICMP メッセージの
種類を指定します。 ICMPv6 を参照してください。
• [その他] - 一般的でないプロトコルのリストから選択します。
McAfee Endpoint Security 10.5
製品ガイド
149
4
ファイアウォール の使用
Endpoint Security クライアント インターフェース リファレンス - ファイアウォール
表 4-4
セクシ
ョン
オプション (続き)
オプション
[実行
ファイ
ル]
定義
ルー グル
ル
ープ
ルールに適用する実行ファイルを指定します。
• [追加] - 実行ファイルを作成して追加します。
• 項目をダブルクリックします。 — 選択した項目を変更します。
• [削除] - リストから実行ファイルを削除します。
[スケ
ジュー
ル]
ルールまたはグループのスケジュール設定を指定します。
[スケジュール
を有効にする]
期限付きルールまたはグループのスケジュールを有効にします。
スケジュールを無効にすると、グループ内のルールに適用されません。
• [開始時間] - スケジュールを有効にする開始時間を指定します。
• [終了時間] - スケジュールを無効にする開始時間を指定します。
• 曜日 - スケジュールを有効にする曜日を指定します。
開始時間と終了時間は 24 時間形式で指定します。 たとえば、午後 1 時の場
合に h 13:00 と表します。
ファイアウォール期限付きグループのスケジュールを設定したり、McAfee
システム トレイ アイコンからの操作をユーザーに許可できます。
[スケジュール スケジュールを使用せず、一定の時間 McAfee システム トレイ アイコンか
を無効にして
らの期限付きグループの有効化をユーザーに許可します。
McAfee シス
テム トレイ ア
ベストプラクティス: このオプションは、ホテルなどで、VPN 接続が確立す
る前にブロードバンド ネットワーク アクセスを許可する場合に使用しま
イコンでグル
ープを有効に
す。
する]
このオプションを選択すると、McAfee システム トレイ アイコンの [クイッ
ク設定] の下に追加のメニュー オプションが表示されます。
• [ファイアウォール期限付きグループを有効にする] - ファイアウォール
期限付きグループを有効にし、所定の期間、アクセスを制限するルールを
適用する前にインターネット アクセスを許可します。 期限付きグループ
が有効になっている場合、このオプションは [ファイアウォール期限付き
グループを無効にする] になります。
このオプションを選択するたびに、グループの期限がリセットされます。
設定によっては、ファイアウォールを有効にする理由を入力するように指
示される場合があります。
• [ファイアウォール期限付きグループを表示する] - 期限付きグループの
名前と各グループの残り時間を表示します。
[グループを有
効にする時間
(1 - 60 分)]
McAfee システム トレイ アイコンから [ファイアウォールの期限付きグル
ープを有効にする] を選択してから期限付きグループが無効になるまでの時
間 (1 分から 60 分) を指定します。
関連トピック:
139 ページの「ファイアウォール ルールとグループを作成/管理する」
142 ページの「期限付きグループを作成する」
128 ページの「McAfee システム トレイ アイコンからファイアウォール期限付きグループを表示したり、
有効にします。」
152 ページの「[ネットワークの追加] または [ネットワークの編集]」
151 ページの「実行ファイルの追加 または 実行ファイルの編集」
150
McAfee Endpoint Security 10.5
製品ガイド
ファイアウォール の使用
Endpoint Security クライアント インターフェース リファレンス - ファイアウォール
4
実行ファイルの追加 または 実行ファイルの編集
ルールまたはグループに関連する実行ファイルを追加または編集します。
表 4-5
オプション
オプション
定義
[名前]
実行ファイルの名前を指定します。
このフィールドは、[ファイル名またはパス]、[ファイルの説明]、[MD5 ハッシュ] または署名
者と一緒に使用する必要があります。
[ファイル名また
はパス]
追加または編集する実行ファイルの名前あるいはパスを指定します。
[参照] をクリックして、実行ファイルを選択してください。
ファイルのパスにワイルドカードを使用できます。
[ファイルの説
明]
ファイルの説明が表示されます。
[MD5 ハッシュ]
プロセスの MD5 ハッシュ (32 桁の 16 進数) を指定します。
[署名者]
[デジタル署名検査を有効にする] — この検査により、暗号化ハッシュで署名された後、コード
が改ざんされたり、壊れていないことが保証されます。
有効にする場合、次のオプションを指定します。
• [任意の署名を許可する] - 任意のプロセス署名者が署名したファイルを許可します。
• [署名者] - 指定したプロセス署名者が署名したファイルだけを許可します。
実行ファイルに署名者の識別名 (SDN) が必要です。カンマとスペースも含めて、該当するフ
ィールドの項目と完全に一致させる必要があります。
Endpoint Security クライアントのイベント ログと McAfee ePO 脅威イベント ログのイベ
ントで、プロセスの署名者が正しい形式で表示されます。 例:
C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR, CN=MICROSOFT
WINDOWS
実行ファイルの SDN を取得するには:
1 実行ファイルを右クリックし、[プロパティ] を選択します。
2 [デジタル署名] タブで署名者を選択して、[詳細] をクリックします。
3 [全般] タブで [証明書の表示] をクックします。
4 [詳細] タブで、[サブジェクト] フィールドを選択します。 署名者の識別名が表示されます。
Firefox の場合、この署名者の識別名は次のようになります。
• CN = Mozilla Corporation
• OU = Release Engineering
• O = Mozilla Corporation
• L = Mountain View
• S = California
• C = US
[メモ]
McAfee Endpoint Security 10.5
項目の補足情報を入力します。
製品ガイド
151
4
ファイアウォール の使用
Endpoint Security クライアント インターフェース リファレンス - ファイアウォール
[ネットワークの追加] または [ネットワークの編集]
ルールまたはグループに関連するネットワークを追加または編集します。
表 4-6
オプション
オプション
定義
[名前]
ネットワーク アドレス名を指定します (必要な場合)。
[種類]
いずれかを選択します。
ルール グループ
• [ローカル ネットワーク] - ローカル ネットワークを作成して追加しま
す。
• [リモート ネットワーク] - リモート ネットワークを作成して追加しま
す。
[追加]
ネットワーク リストにネットワークの種類を追加します。
項目をダブルクリ 選択した項目を変更します。
ックします。
[削除]
選択した項目を削除します。
[アドレスの種類] トラフィックの送信元または送信先を指定します。 [アドレスの種類] ドロ
ップダウン リストから選択します。
[アドレス]
ネットワークに追加する IP アドレスを指定します。
ワイルドカードも使用できます。
関連トピック:
152 ページの「アドレスの種類」
アドレスの種類
定義されたネットワークにアドレスの種類を指定します。
表 4-7
オプション
オプション
定義
[単一 IP アドレス] 特定の IP アドレスを指定します。 例:
• IPv4 — 123.123.123.123
• IPv6 — 2001:db8::c0fa:f340:9219:bd20:9832:0ac7*
[サブネット]
ネットワーク上の任意のアダプターのサブネット アドレスを指定します。 例:
• IPv4 — 123.123.123.0/24
• IPv6 — 2001:db8::0/32
[ローカル サブネッ ローカル アダプターのサブネット アドレスを指定します。
ト]
[範囲]
IP アドレスの範囲を指定します。 範囲の開始点と終了点を入力します。 例:
• IPv4 — 123.123.1.0 – 123.123.255.255
• IPv6 — 2001:db8::0000:0000:0000:0000 –
2001:db8::ffff:ffff:ffff:ffff
[完全修飾ドメイン
名]
FQDN を指定します (例: www.example.com)。
[任意のローカル IP 任意のローカル IP アドレスを指定します。
アドレス]
152
McAfee Endpoint Security 10.5
製品ガイド
ファイアウォール の使用
Endpoint Security クライアント インターフェース リファレンス - ファイアウォール
表 4-7
4
オプション (続き)
オプション
定義
[任意の IPv4 アド
レス]
任意の IPv4 アドレスを指定します。
[任意の IPv6 アド
レス]
任意の IPv6 アドレスを指定します。
McAfee Endpoint Security 10.5
製品ガイド
153
4
ファイアウォール の使用
Endpoint Security クライアント インターフェース リファレンス - ファイアウォール
154
McAfee Endpoint Security 10.5
製品ガイド
5
Web 管理の使用
Web 管理 の保護機能は閲覧または検索中に表示されます。
目次
Web 管理の機能について
Web 管理の機能にアクセスする
Web 管理 の管理
Endpoint Security クライアント インターフェース リファレンス - Web 管理
Web 管理の機能について
管理対象システムで Web 管理を実行すると、Web サイトの検索または閲覧時に脅威に関する情報が通知されます。
McAfee では、Web サイトを分析し、テスト結果に基づいて色別の安全性評価を割り当てます。 この色は、サイト
の安全性レベルを表しています。
このソフトウェアは、テスト結果に基づいて Web の脅威をユーザーに通知します。
検索結果のページ - サイトの横にアイコンが表示されます。 このアイコンの色はサイトの安全性評価を表してい
ます。 このアイコンを使用すると、より詳しい情報を確認できます。
ブラウザー ウィンドウ - ブラウザーにボタンが表示されます。 このボタンの色はサイトの安全性評価を表してい
ます。 このボタンをクリックすると、より詳しい情報を確認できます。
通信上の問題が発生すると、ボタンでも問題を通知します。また、問題の特定の役立つテストをすぐに実行できます。
安全性レポート - 検出された脅威の種類やテスト結果などから算出された安全性評価を確認できます。
管理対象システムの場合、管理者は次のことを行うポリシーを作成します。
•
システムで Web 管理を有効または無効にしたり、ブラウザー プラグインの無効化をユーザーに許可または禁止
します。
•
サイト、ページ、ダウンロードに対するアクセスを安全性評価またはコンテンツの種類で制御します。
たとえば、危険なサイトをブロックし、注意が必要なサイトを警告します。
•
URL とドメインに基づいてブロックまたは拒否するサイトは識別します。
•
Web 管理のファイル、レジストリ キー、レジストリ値、サービス、プロセスの削除や変更を禁止します。
•
禁止サイトの閲覧時に表示する通知をカスタマイズします。
•
ネットワーク コンピューターで発生したブラウザー アクティビティを監視し、制限します。また、Web サイト
に関する詳細レポートを作成します。
McAfee Endpoint Security 10.5
製品ガイド
155
5
Web 管理の使用
Web 管理の機能について
自社管理システムの場合、次の設定を行うことができます。
•
システムで Web 管理を有効または無効にする
•
サイト、ページ、ダウンロードに対するアクセスを安全性評価またはコンテンツの種類で制御します。
たとえば、危険なサイトをブロックし、注意が必要なサイトを警告します。
対応ブラウザーと非対応ブラウザー
Web 管理は次のブラウザーに対応しています。
•
Microsoft Internet Explorer 11
•
Google Chrome - 現在のバージョン
Chrome では、[バルーンの表示] オプションを使用できません。
•
Mozilla Firefox - 現在のバージョン
•
Mozilla Firefox ESR (Extended Support Release) - 現在のバージョンと前のバージョン
Google と Mozilla は頻繁に新しいバージョンをリリースしています。このため、Web 管理が最新の更新で機能しな
い場合があります。 Google や Mozilla の変更に対応するため、Web 管理のパッチがリリースされています。
Web 管理は、Microsoft Edge に対応していません。
Web 管理が対応しているブラウザーの最新情報については、KB82761 をご覧ください。
自社管理のシステムの場合、デフォルトですべてのブラウザー (非対応のブラウザーも含む) を使用できます。
関連トピック:
157 ページの「閲覧時に Web 管理のボタンが脅威の存在を表している場合」
158 ページの「検索時に安全性アイコンが脅威の存在を表している場合」
158 ページの「サイト レポートの詳細」
159 ページの「安全性評価をコンパイルする方法」
Web 管理がサイトとダウンロードをブロックまたは警告する方法
ユーザーが閲覧したサイトやアクセスしたリソースがブロックまたは警告されると、Web 管理は理由を通知するペ
ージまたはポップアップ メッセージを表示します。
サイトに設定する評価アクションは次のとおりです。
•
[警告] - Web 管理が警告を表示し、ユーザーにサイトの危険性を通知します。
[キャンセル] をクリックすると、前の閲覧サイトに戻ります。
前に閲覧したサイトにブラウザー タブがない場合、[キャンセル] は使用できません。
[続行] をクリックすると、サイトに進みます。
•
[ブロック] - Web 管理がメッセージを表示し、サイトをブロックしてアクセスを拒否したことをユーザーに通
知します。
[OK] をクリックすると、前の閲覧サイトに戻ります。
前に閲覧したサイトにブラウザー タブがない場合、[OK] は使用できません。
156
McAfee Endpoint Security 10.5
製品ガイド
5
Web 管理の使用
Web 管理の機能について
サイトからのダウンロードに設定する評価アクションは次のとおりです。
•
[警告] - Web 管理が警告を表示し、ユーザーにダウンロード ファイルの危険性を通知します。
[ブロック] を選択すると、ダウンロードを中止し、前のサイトに戻ります。
[続行] を選択すると、ダウンロードを続行します。
•
[ブロック] - Web 管理がメッセージを表示し、サイトをブロックしてダウンロードを拒否したことをユーザー
に通知します。
[OK] をクリックすると、サイトに戻ります。
閲覧時に Web 管理のボタンが脅威の存在を表している場合
Web サイトの閲覧時に、色分けされたボタン
トの安全性評価を表しています。
がブラウザーに表示されます。 このボタンの色はサイ
安全性評価は、HTTP と HTTPS プロトコルの URL にのみ適用されます。
Internet
Explorer と
Safari
(Macintosh)
Firefox と
Chrome
説明
このサイトは毎日 McAfee SECURE でテストされ、安全であることが確認
されています。(Windows のみ)
™
このサイトは安全です。
このサイトには問題が存在する可能性があります。
このサイトには重大な問題が存在します。
このサイトは評価されていません。
このボタンは FILE (file://) プロトコルの URL に表示されます。
McAfee GTI サーバーに接続できないため、評価情報が確認できません。
Web 管理はこのサイトを McAfee GTI に確認していません。このサイトは
内部のサイトか、プライベート IP アドレスの範囲内にあります。
これはフィッシング詐欺サイトです。
フィッシング詐欺は、ユーザー名、パスワード、クレジットカード上などの
重要な情報を盗み出す詐欺行為です。 フィッシング詐欺は、電子通信で信
頼された組織を装います。
この設定では、このサイトが許可されています。
この設定で Web 管理 が無効になっています。
ボタンの場所はブラウザーによって異なります。
•
Internet Explorer - Web 管理 ツールバー
•
Firefox - Firefox ツールバーの右隅
•
Chrome - アドレス バー
関連トピック:
160 ページの「閲覧中にサイトの情報を表示する」
McAfee Endpoint Security 10.5
製品ガイド
157
5
Web 管理の使用
Web 管理の機能について
検索時に安全性アイコンが脅威の存在を表している場合
一般的な検索エンジン (Google、Yahoo、Bing、Ask など) でキーワードを入力すると、検索結果ページに表示され
たサイトの横に色分けされた安全性アイコンが表示されます。ボタンの色は、サイトの安全性評価に対応しています。
テストでは重大な問題は発見されませんでした。
テストによって、注意が必要な問題が見つかりました。 たとえば、ブラウザーのデフォルト設定が変更された
り、ポップアップが表示されたり、スパムではない電子メールが大量に送信される可能性があります。
テストによって、このサイトにアクセスする前に注意が必要な重大な問題が見つかりました。 たとえば、スパ
ム メールを受信したり、アドウェアが一緒にダウンロードされる可能性があります。
設定により、このサイトがブロックされています。
このサイトは評価されていません。
関連トピック:
161 ページの「検索でサイト レポートを表示する」
サイト レポートの詳細
Web サイトのサイト レポートでは、特定の脅威に関する詳細を確認できます。
サイト レポートは McAfee GTI 評価サーバーから配信されます。このレポートでは次の情報が提供されます。
項目...
内容...
概要
Web サイトの全体的な評価。次のテスト結果から評価を行っています。
• 独自のデータ収集技術と分析技術により、Web サイトの電子メール送信とダウンロード ファイルを評
価します。
• Web サイト自体を検証し、過剰なポップアップや、ホームページの変更を要求するなどの迷惑行為を
行うかどうか確認します。
• Web サイトの関連サイトを分析し、他の不審なサイトと関係があるかどうか確認します。
• McAfee の分析結果と脅威情報サービスのフィードバックを提供します。
関連サイ McAfee が危険と評価したサイトにユーザーを誘導する可能性を検証します。
ト
多くの場合、不審なサイトは他の不審なサイトにリンクしています。 このようなサイトは、利用者を不
審なサイトに誘導することを第一の目的としています。 他の危険なサイトへのリンク数が多い場合は危
険なサイトとして評価します。 この場合、Web 管理 は、関連サイトから危険なサイトと判断します。
Web ス テスト結果に基づいて、Web サイトで行われている電子メールの送受信状況について全般的な評価を行
パムのテ います。
スト
McAfee では、サイトに電子メール アドレスを入力した後に受信する電子メールの量と、受信する電子
メールがスパムである可能性に基づいて評価します。 いずれかの値が許容範囲を超えている場合、
McAfee はそのサイトを注意が必要なサイトとして警告します。 両方の値が許容範囲を超えている場
合、またはいずれかの値が特に多い場合には、McAfee は危険なサイトとして警告します。
ダウンロ テスト結果に基づいて、サイトからダウンロード可能なソフトウェアがテスト コンピューターに及ぼす
ード テ
影響について全体的な評価を行います。
スト
McAfee は、ウイルスに感染したダウンロードが存在するサイトや、未評価のソフトウェア (アドウェア
やスパイウェアを見なされるソフトウェア) を追加するサイトを危険なサイトとして警告します。 この
評価では、プログラムのダウンロードで接続したネットワーク サーバーや、ブラウザーの設定またはコ
ンピューターのレジストリ ファイルに対する変更も考慮します。
関連トピック:
161 ページの「検索でサイト レポートを表示する」
160 ページの「閲覧中にサイトの情報を表示する」
158
McAfee Endpoint Security 10.5
製品ガイド
Web 管理の使用
Web 管理の機能にアクセスする
5
安全性評価をコンパイルする方法
McAfee では、様々な基準でサイトをテストし、その結果から共通の脅威を検出して、安全性を評価しています。
自動テストでは以下の方法で Web サイトの安全性評価が決定されます。
•
ファイルをダウンロードして、ダウンロードで持ち込まれたウイルスおよび不審なプログラムがないか確認する。
•
サインアップ フォームに連絡先を入力して、スパムを受信するかどうか確認する。また、サイトやその関連サイ
トからスパム以外の電子メールを大量に受信するかどうか確認する。
•
ポップアップ ウィンドウが過剰に表示されないかどうか確認する。
•
サイトがブラウザーの脆弱性を利用していないかを確認する。
•
サイトで採用された不正行為または詐欺行為がないかを確認する。
チームは、テストの結果から安全性レポートを作成します。安全性レポートには以下の情報も含まれます。
•
サイトの所有者から送信されたフィードバック。サイトで採用されている安全対策の説明や、サイトに関するユ
ーザー フィードバックへの回答が含まれる場合があります。
•
サイト ユーザーが送信したフィードバック。フィッシング詐欺や不審なショッピング サイトなどの報告が含ま
れる場合があります。
•
McAfee の専門家による詳細な分析結果
McAfee GTI サーバーには、サイトの評価とレポートが保存されます。
Web 管理の機能にアクセスする
ブラウザーから Web 管理の機能にアクセスします。
タスク
•
159 ページの「ブラウザーで Web 管理プラグインを有効にする」
閲覧と検索中に Web 脅威の通知を受信する場合、設定によっては Web 管理プラグインを手動で有効に
する必要があります。
•
160 ページの「閲覧中にサイトの情報を表示する」
ブラウザーの Web 管理 ボタンを使用すると、サイトの情報を確認できます。 ボタンの動作はブラウザ
ーによって異なります。
•
161 ページの「検索でサイト レポートを表示する」
検索結果ページの安全性アイコンを使用して、サイトに関する詳細情報を確認します。
ブラウザーで Web 管理プラグインを有効にする
閲覧と検索中に Web 脅威の通知を受信する場合、設定によっては Web 管理プラグインを手動で有効にする必要が
あります。
開始する前に
Web 管理モジュールを有効にする必要があります。
プラグインには別の名称もあります。Internet Explorer ではアドオン、Firefox と Chrome では拡張機能といわれ
ています。
Internet Explorer または Chrome を最初に起動したときに、プラグインを有効にするかどうか確認される場合が
あります。 最新の情報については、KnowledgeBase の記事 KB87568 を参照してください。
McAfee Endpoint Security 10.5
製品ガイド
159
5
Web 管理の使用
Web 管理の機能にアクセスする
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
•
プラグインを有効にする手順はブラウザーによって異なります。
Internet
Explorer
• [有効] をクリックします。
Chrome
[拡張機能を有効にする] をクリックします。
• 複数のプラグインが使用可能な場合には、[アドオンの選択] をクリックして、Web 管理ツール
バーで [有効] をクリックします。
Web 管理プラグインを有効にするように指示されない場合には、手動で有効にすることもできま
す。
1 [設定] 、 [拡張機能] の順にクリックします。
2 [有効] をクリックして、Endpoint Security Web 管理を有効にします。
3 Firefox を再起動します。
Firefox
1 Mozilla Firefox のスタートページで、[アドオン] 、 [拡張機能] の順にクリックします。
2 [有効] を選択して、Endpoint Security Web 管理を有効にします。
Internet Explorer の場合、Web 管理ツールバーを無効にすると、Web 管理プラグインも無効にするように指示
されます。 管理対象システムのポリシー設定でプラグインの削除または無効化を防止すると、ツールバーが表示さ
れていない場合でも Web 管理プラグインは有効のままです。
閲覧中にサイトの情報を表示する
ブラウザーの Web 管理 ボタンを使用すると、サイトの情報を確認できます。 ボタンの動作はブラウザーによって
異なります。
開始する前に
•
Web 管理モジュールを有効にする必要があります。
•
Web 管理 プラグインをブラウザーで有効にする必要があります。
•
[オプション] 設定で [クライアント ブラウザーでツールバーを表示しない] オプションを無効にす
る必要があります。
Internet Explorer を全画面表示で実行すると、Web 管理ツールバーが表示されません。
Web 管理メニューを表示するには、次の手順に従います。
Internet Explorer と Firefox
Chrome
ツールバーで
アドレス バーで
ボタンをクリックします。
ボタンをクリックします。
タスク
1
Web 管理 ツールバーの上にカーソルを置くと、バルーンが開き、サイトの安全性評価の概要が表示されます。
(Internet Explorer と Firefox の場合のみ)
160
McAfee Endpoint Security 10.5
製品ガイド
Web 管理の使用
Web 管理 の管理
2
5
サイトの安全性評価を含む詳細なサイト レポートを表示します。
•
Web 管理のボタンをクリックします。
•
Web 管理のメニューから [サイト レポートの表示] を選択します。
•
サイト バルーンの [サイト レポートを読む] リンクをクリックします。 (Internet Explorer と Firefox の
場合のみ)
関連トピック:
157 ページの「閲覧時に Web 管理のボタンが脅威の存在を表している場合」
158 ページの「サイト レポートの詳細」
検索でサイト レポートを表示する
検索結果ページの安全性アイコンを使用して、サイトに関する詳細情報を確認します。
タスク
1
カーソルを安全性アイコンの上に置きます。バルーンが開き、サイトの安全性レポートの概要が表示されます。
2
バルーンの [安全性レポートを読む] をクリックします。別のブラウザー ウィンドウが開き、サイトの詳しい安
全性レポートが表示されます。
関連トピック:
158 ページの「検索時に安全性アイコンが脅威の存在を表している場合」
158 ページの「サイト レポートの詳細」
Web 管理 の管理
管理者は、Web 管理 の設定を指定し、保護機能を有効にしたり、カスタマイズできます。また、Web カテゴリによ
るブロックやロギングを設定できます。
管理対象システムの場合、McAfee ePO からポリシーを変更すると、[設定] ページから行った変更が上書きされます。
Web 管理 オプションを設定する
Web 管理 を有効にして、Endpoint Security クライアントからオプションを設定できます。
開始する前に
Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、
管理者としてログオンしています。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
Endpoint Security クライアントを開きます。
2
メインの [ステータス] ページで [Web 管理] をクリックします。
あるいは、[アクション] メニュー
3
[詳細を表示] をクリックします。
4
[オプション] をクリックします。
McAfee Endpoint Security 10.5
から [設定] を選択し、[設定] ページで [Web 管理] をクリックします。
製品ガイド
161
5
Web 管理の使用
Web 管理 の管理
5
[Web 管理を有効にする] を選択して Web 管理を有効にし、オプションを変更します。
操作...
手順...
メモ
保護機能は無効にせず、 [クライアント ブラウザーでツールバーを表示
ブラウザーの Web 管理 しない] を選択します。
ツールバーで非表示にす
る。
ブラウザー イベントを [イベント ロギング] セクションで設定を行い
追跡してレポートに使用 ます。
する。
Web 管理イベントをクライアント
システムから管理サーバーに送信
し、クエリーとレポートで使用でき
るように設定します。
不明な URL をブロック [アクション施行] で、McAfee GTI が検証して
または警告する。
いないサイトに対するアクションを設定しま
す。[ブロック]、[許可] または [警告] を選択
します。
ダウンロードの前にファ [アクション施行] で [ダウンロードでファイル
イルをスキャンする。
のスキャンを有効にする] を選択して、ブロッ
クする McAfee GTI 危険度を選択します。
ローカル プライベート [アクション施行] の [許可する追加の IP アド
ネットワークに外部サイ レスと範囲を指定する] で [追加] をクリック
トを追加する。
し、外部 IP アドレスまたは範囲を入力します。
検索結果で危険なサイト [安全な検索] で、[安全な検索を有効にする] を
をブロックする。
選択します。検索エンジンを選択して、危険な
サイトのリンクをブロックするかどうかを指定
します。
安全な検索は、安全性の評価に基づ
いて、検索結果から不正なサイトを
自動的にフィルタリングします。
Web 管理は、デフォルトの検索エン
ジンとして Yahoo を使用します。
安全な検索 は、Internet Explorer
でのみ使用できます。
デフォルトの検索エンジンを変更し
た場合には、ブラウザーを再起動し
て変更を有効にしてください。
ユーザーが Internet Explorer を
開くと、Web 管理がポップアップを
表示し、指定した検索エンジンで
McAfee 安全な検索に切り替えるか
どうか確認します。 Internet
Explorer で検索エンジンがロック
されていると、安全な検索のポップ
アップが表示されません。
6
他のオプションを必要に応じて設定します。
7
[適用] をクリックして変更を保存するか、[キャンセル] をクリックします。
関連トピック:
163 ページの「ファイル ダウンロードのスキャン方法」
26 ページの「管理者としてログオンする」
162
McAfee Endpoint Security 10.5
製品ガイド
Web 管理の使用
Web 管理 の管理
5
ファイル ダウンロードのスキャン方法
Web 管理は、ファイルのダウンロード要求を脅威対策に送信し、ダウンロードの前にスキャンを実行します。
McAfee Endpoint Security 10.5
製品ガイド
163
5
Web 管理の使用
Web 管理 の管理
McAfee GTI の機能
McAfee GTI サーバーには、Web 管理で使用するサイトの評価とレポートが保存されます。 ダウンロード ファイル
をスキャンするように Web 管理を設定すると、スキャナーは McAfee GTI から提供されるファイル レピュテーシ
ョンを使用して不審なファイルを検出します。
スキャナーは、McAfee Labs がホスティングしている中央のデータベース サーバーにサンプルのフィンガープリン
トまたはハッシュを送信し、マルウェアかどうかを判断します。 ハッシュを送信するので、McAfee Labs が次のコ
ンテンツ ファイルで更新を公開する前に脅威を検出できる場合があります。
サンプルがマルウェアかどうか判断するときに McAfee GTI が使用する感度レベルを設定できます。 感度レベルを
高くすると、検出されるマルウェアの数は多くなります。 ただし、検出数が増えると、誤検知も増える可能性があり
ます。 McAfee GTI のデフォルトの感度レベルは非常に高に設定されています。 Web 管理の [オプション] ポリシ
ー設定で、ダウンロード ファイルのスキャンの感度レベルを設定します。
共通設定の設定で McAfee GTI レピュテーション情報を取得するときにプロキシ サーバーに接続するように
Endpoint Security を設定できます。
McAfee GTI に関するよくある質問については、KB53735 を参照してください。
評価アクションを指定して、Web カテゴリに基づいてサイト アクションをブロ
ックする
[コンテンツによるアクション] で設定を行い、安全性評価に基づいてサイトとファイル ダウンロードに適用するア
クションを指定します。 それぞれの Web カテゴリでサイトのブロックまたは許可を指定します。
開始する前に
Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、
管理者としてログオンしています。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
Endpoint Security クライアントを開きます。
2
メインの [ステータス] ページで [Web 管理] をクリックします。
あるいは、[アクション] メニュー
から [設定] を選択し、[設定] ページで [Web 管理] をクリックします。
3
[詳細を表示] をクリックします。
4
[コンテンツによるアクション] をクリックします。
5
[Web カテゴリのブロック] セクションの [Web カテゴリ] で、[ブロック] オプションを有効または無効にしま
す。
サイトがブロックしないカテゴリの場合、Web 管理は評価アクションも適用します。
6
[評価アクション] セクションで、McAfee が定義する安全性評価に従ってサイトとファイル ダウンロードに適用
するアクションを指定します。
これらのアクションは、Web カテゴリでブロックされないサイトにも適用されます。
7
164
[適用] をクリックして変更を保存するか、[キャンセル] をクリックします。
McAfee Endpoint Security 10.5
製品ガイド
5
Web 管理の使用
Endpoint Security クライアント インターフェース リファレンス - Web 管理
関連トピック:
165 ページの「Web カテゴリによるアクセス制御」
165 ページの「安全性評価によるアクセス制御」
26 ページの「管理者としてログオンする」
Web カテゴリによるアクセス制御
Web カテゴリを使用すると、McAfee が定義するカテゴリに基づいて、サイトに対するアクセスを制御できます。
オプションを指定すると、サイトに含まれるコンテンツの種類に基づいてサイトへのアクセスを許可またはブロック
することができます。
コンテンツによるアクションで Web カテゴリ ブロックを有効にすると、Web サイトのカテゴリがブロックまたは
許可されます。 Web カテゴリには、ギャンブル、ゲーム、インスタント メッセージなどがあります。 McAfee で
は、約 105 の Web カテゴリを定義しています。
クライアントのユーザーがサイトにアクセスすると、サイトの Web カテゴリが確認されます。 サイトが定義済みの
カテゴリに該当すると、コンテンツによるアクション設定に従ってアクセスがブロックまたは許可されます。 ブロッ
クされないカテゴリのサイトとファイル ダウンロードの場合、評価アクションが適用されます。
安全性評価によるアクセス制御
安全性評価に応じてアクションを設定し、サイトまたはサイトのリソースへのアクセスを許可するかどうかを決めま
す。
[コンテンツによるアクション] で、安全性評価に基づいてサイトやファイル ダウンロードを許可、警告、ブロック
するかどうかを指定します。 これにより、全体的に安全と評価されているサイトでも、危険な可能性があるファイル
のアクセスを制限できます。
Endpoint Security クライアント インターフェース リファレンス - Web
管理
Endpoint Security クライアント インターフェースのページでコンテキスト ヘルプを利用できます。
目次
Web 管理 - オプション
Web 管理 — コンテンツによるアクション
Web 管理 - オプション
アクションの施行、安全な検索、メールの注釈など、Web 管理のオプションを設定します。
ロギングの設定については、共通設定モジュールの設定を参照してください。
表 5-1
オプション
セクシ オプション
ョン
定義
[オプ
ショ
ン]
Web 管理を無効または有効にします。(デフォルトは有効です)
[Web 管理を有効に
する]
[クライアント ブラウ この機能を無効にせずに、ブラウザーの Web 管理ツールバーを非表示にします。
ザーでツールバーを
(デフォルトは無効です)
表示しない]
McAfee Endpoint Security 10.5
製品ガイド
165
5
Web 管理の使用
Endpoint Security クライアント インターフェース リファレンス - Web 管理
表 5-1
オプション (続き)
セクシ オプション
ョン
定義
[イベ [安全と評価されたサ すべての安全サイトのコンテンツ カテゴリを記録します。
ント
イトの Web カテゴリ この機能を有効にすると、McAfee ePO サーバーのパフォーマンスが低下する場合
ロギン を記録する]
があります。
グ]
[Web 管理の iFrame HTML iframe を表示する危険なサイトと注意が必要なサイトをブロックしたとき
イベントを記録する] に記録します。
[アク [McAfee GTI が未確 McAfee GTI が評価していないサイトに適用するデフォルトのアクションを指定
ション 認のサイトにこのア
します。
施行] クションを適用する] •
[許可] (デフォルト) - ユーザーにサイトへのアクセスを許可します。
• [警告] - サイトに関する危険の可能性をユーザーに通知する警告を表示しま
す。 操作を続行するには、警告を解除する必要があります。
• [ブロック] - サイトへのアクセスをブロックし、サイト ダウンロードをブロッ
クしたことを通知するメッセージを表示します。
[HTML iFrame サポ
ートを有効にする]
HTML iframe を表示する悪質なサイト (危険) や不審なサイト (注意が必要) への
アクセスをブロックします。(デフォルトは有効です)
[McAfee GTI 評価サ Web 管理が McAfee GTI サーバーに接続できない場合、デフォルトで Web サイ
ーバーにアクセスで
トへのアクセスをブロックします。
きない場合にデフォ
ルトでサイトをブロ
ックする]
[すべてのサイトでフ
ィッシング詐欺ペー
ジをブロックする]
すべてのフィッシング詐欺ページをブロックし、コンテンツの評価アクションを上
書きします。(デフォルトは有効です)
[ダウンロードでファ
イルのスキャンを有
効にする]
ダウンロードの前にすべてのファイル (.zip、.exe、.ecx、.cab、.msi、.rar、
.scr、.com) をスキャンします。(デフォルトは有効です)
このオプションを有効にすると、Web 管理と脅威対策がファイルを駆除済みと認識
するまで、ファイルへのアクセスがブロックされます。
Web 管理がファイルに関する情報を McAfee GTI から取得します。 McAfee GTI
がファイルを許可すると、Web 管理がファイルを脅威対策に送信し、スキャンを実
行します。 ダウンロード ファイルが脅威として検出されると、Endpoint
Security がファイルに対してアクションを実行し、ユーザーに警告します。
[McAfee GTI 感度レ Web 管理がファイルのダウンロードに使用する McAfee GTI 感度レベルを指定し
ベル]
ます。
[除外
対象]
[Web 管理の評価ま
指定された IP アドレスまたはアドレス範囲をローカル プライベート ネットワー
たはブロックから除
クに追加し、評価またはブロックの対象外にします。
外する IP アドレスま デフォルトでは、プライベート IP アドレスが除外されます。
たは IP アドレスの範
囲を指定する]
ベストプラクティス: 外部のサイトをローカル ネットワーク内のサイトとして扱
う場合には、このオプションを使用します。
• [追加] - ローカル ネットワーク内のプライベート アドレスのリストに IP アド
レスを追加します。
• 項目をダブルクリックします。 — 選択した項目を変更します。
• [削除] - ローカル ネットワーク内のプライベート アドレスのリストから IP ア
ドレスを削除します。
166
McAfee Endpoint Security 10.5
製品ガイド
5
Web 管理の使用
Endpoint Security クライアント インターフェース リファレンス - Web 管理
表 5-1
オプション (続き)
セクシ オプション
ョン
定義
[安全
な検
索]
[安全な検索を有効に
する]
安全な検索を有効にします。安全性評価に基づいて、検索結果で不正なサイトを自
動的にブロックします。
[対応ブラウザーでデ
フォルトの検索エン
ジンを設定する]
対応ブラウザーで使用するデフォルトの検索エンジンを指定します。
• [Yahoo]
• [Google]
• [Bing]
• [Ask]
[検索結果で危険なサ
イトのリンクをブロ
ックする]
検索結果で、危険なサイトのリンクをクリックできないようにします。
表 5-2 詳細オプション
セクション
オプション
定義
[メールの注 [ブラウザー ベースのメールで注釈機能を有効にする] ブラウザベースの電子メール クライアント
釈]
(Yahoo! メールと Gmail) で URL に注釈機
能を有効にします。
[ブラウザー ベース以外のメールで注釈機能を有効に
する]
32 ビットのメール管理ツール (Microsoft
Outlook、Outlook Express など) で URL
の注釈機能を有効にします。
関連トピック:
161 ページの「Web 管理 オプションを設定する」
163 ページの「ファイル ダウンロードのスキャン方法」
167 ページの「McAfee GTI」
McAfee GTI
McAfee GTI (Global Threat Intelligence) を有効にして設定を行います。
表 5-4
セク
ショ
ン
オプション
オプシ
ョン
[感度
レベ
ル]
定義
検出したサンプルがマルウェアかどうかを判断する場合に使用する感度レベルを設定します。
感度レベルを高くすると、検出されるマルウェアの数は多くなります。 ただし、検出数が増える
と、誤検知も増える可能性があります。
[非常に
低い]
誤検知の検出とリスクは、通常の AMCore コンテンツ ファイルの場合と同じです。 McAfee
Labs が次の AMCore コンテンツ ファイルの更新を待たずにコンテンツを公開すると、脅威対策
で検出が可能になります。
この設定は、ユーザー権限が制限され、強力なセキュリティ設定の存在するデスクトップとサー
バーで使用してください。
[低]
この設定は、強力なセキュリティ設定のあるラップトップ、デスクトップまたはサーバーの最小
推奨事項です。
McAfee Endpoint Security 10.5
製品ガイド
167
5
Web 管理の使用
Endpoint Security クライアント インターフェース リファレンス - Web 管理
表 5-4
セク
ショ
ン
オプション (続き)
オプシ
ョン
定義
[中]
この設定を使用するのは、マルウェアに感染する通常のリスクが、誤検知のリスクよりも大きい
場合です。 McAfee Labs 独自のヒューリスティック チェックによって、マルウェアの可能性が
高いものが検出されます。 ただし、一部の検出は誤検知の可能性があります。 この設定を使用
すると、McAfee Labs は人気のあるアプリケーションとオペレーティング システム ファイルが
誤って検出されていないどうか確認します。
この設定は、ラップトップ、デスクトップまたはサーバーの最小推奨事項です。
[高]
この設定は、定期的に感染しているシステムまたは領域に使用してください。
[非常に
高い]
この設定は、オペレーティング システム以外のボリュームで使用してください。
このレベルで検出されるものはマルウェアと推定されますが、誤検知かどうか判断できるほど十
分なテストは実施されていません。
この設定は、スキャンするボリュームやディレクトリでプログラムやオペレーティング システム
が実行されない場合にのみ使用してください。
関連トピック:
165 ページの「Web 管理 - オプション」
Web 管理 — コンテンツによるアクション
評価済みのサイトや Web コンテンツ カテゴリに Web 管理が実行するアクションを定義します。
サイトとファイル ダウンロードの場合、Web 管理は評価アクションを適用します。
168
McAfee Endpoint Security 10.5
製品ガイド
5
Web 管理の使用
Endpoint Security クライアント インターフェース リファレンス - Web 管理
表 5-5
オプション
セクション オプション
定義
[評価アク
ション]
危険、注意が必要、未評価のサイトに対するアクションを指定します。
[サイトの評価
アクション]
安全と評価されたサイトとダウンロードは自動的に許可されます。
• [許可] - ユーザーにサイトへのアクセスを許可します。
([未評価サイト] のデフォルト)
• [警告] - サイトに関する危険の可能性をユーザーに通知する警告を表示します。
前に閲覧したサイトに戻るには [キャンセル] をクリックします。先に進むには
[続行] をクリックします。
前に閲覧したサイトにブラウザー タブがない場合、[キャンセル] は使用できませ
ん。
([注意が必要なサイト] のデフォルト)
• [ブロック] - サイトへのアクセスをブロックし、サイトをブロックしたことを通
知するメッセージを表示します。
前に閲覧したサイトに戻るには、[OK] をクリックします。
前に閲覧したサイトにブラウザー タブがない場合、[OK] は使用できません。
([危険なサイト] のデフォルト)
[ファイル ダウ 危険、注意が必要、未評価のファイル ダウンロードに対するアクションを指定しま
ンロードの評
す。
価アクション] 評価アクションは、[オプション] 設定で [ダウンロードでファイルのスキャンを有効
にする] が有効になっている場合にのみ適用されます。
• [許可] - ユーザーがダウンロードを続行することを許可します。
([未評価サイト] のデフォルト)
• [警告] - ダウンロード ファイルに関する危険の可能性をユーザーに通知する警告
を表示します。 ダウンロードを終了または続行するには、警告を閉じる必要があり
ます。
([注意が必要なサイト] のデフォルト)
• [ブロック] - メッセージを表示し、ダウンロードをブロックしてファイルのダウ
ンロードを拒否したことをユーザーに通知します。
([危険なサイト] のデフォルト)
表 5-6 詳細オプション
セクション
オプション
定義
[Web カテゴリのブロック] [Web カテゴリのブロック コンテンツ カテゴリに従ってサイトのブロックを有効に
を有効にする]
します。
[ブロック]
このカテゴリのサイトへのアクセスをブロックします。
サイトをブロックしたことを通知するメッセージを表示
します。
[Web カテゴリ]
Web カテゴリを表示します。
関連トピック:
164 ページの「評価アクションを指定して、Web カテゴリに基づいてサイト アクションをブロックする」
165 ページの「安全性評価によるアクセス制御」
165 ページの「Web カテゴリによるアクセス制御」
McAfee Endpoint Security 10.5
製品ガイド
169
5
Web 管理の使用
Endpoint Security クライアント インターフェース リファレンス - Web 管理
170
McAfee Endpoint Security 10.5
製品ガイド
6
適応型脅威対策の使用
適応型脅威対策は、Endpoint Security のオプション モジュールです。コンテンツを分析し、ファイル レピュテー
ション、ルール、レピュテーションしきい値に従ってアクションを判断します。
適応型脅威対策 は、McAfee ePO Cloud で管理されているシステムで使用できません。
目次
適応型脅威対策について
ファイル レピュテーション プロンプトに応答する
適応型脅威対策の管理
Endpoint Security クライアント インターフェース リファレンス - 適応型脅威対策
適応型脅威対策について
適応型脅威対策 - コンテンツを分析し、ファイル レピュテーション、ルール、レピュテーションしきい値に従って
アクションを判断します。
適応型脅威対策は、レピュテーションに基づいてファイルの隔離、ブロック、駆除を行います。適応型脅威対策と
Real Protect スキャナーの統合により、クラウドとクライアント システムでレピュテーションを自動的に分析でき
ます。
適応型脅威対策は、Endpoint Security のオプション モジュールです。 脅威情報の情報源と機能を追加するには、
Threat Intelligence Exchange サーバーを配備します。 詳細については、販売店または営業担当者に確認してくだ
さい。
適応型脅威対策 は、McAfee ePO Cloud で管理されているシステムで使用できません。
適応型脅威対策の利点
適応型脅威対策を使用すると、レピュテーションが不明または不正と評価されたファイルが環境内で検出された場合
の対応を設定できます。 また、脅威の履歴情報と実行されたアクションも確認できます。
適応型脅威対策には次の利点があります。
•
セキュリティ脅威やマルウェアを迅速に検出し、阻止できます。
•
感染したシステムやデバイスを特定し、環境への拡散状況を把握できます。
•
レピュテーションとリスク条件に従って特定のファイルや証明書をすぐに隔離、ブロックまたは駆除できます。
•
Real Protect スキャナーの統合により、クラウドとクライアント システムでレピュテーションを自動的に分析で
きます。
•
McAfee Advanced Threat Defense と McAfee GTI がリアルタイムで連係し、マルウェア分類の評価と詳細
データを提供します。 これにより、脅威に迅速に対応し、環境内で情報を共有することができます。
®
McAfee Endpoint Security 10.5
製品ガイド
171
6
適応型脅威対策の使用
適応型脅威対策について
適応型脅威対策のコンポーネント
適応型脅威対策には、オプションのコンポーネントとして、TIE サーバーと Data Exchange Layer があります。
適応型脅威対策は、Endpoint Security のオプション モジュールで、レピュテーションに基づいてファイルまたは
証明書を隔離、ブロック、駆除するポリシーを作成できます。 また、適応型脅威対策と Real Protect スキャナーの
統合により、クラウドとクライアント システムでレピュテーションを自動的に分析できます。
適応型脅威対策には次のコンポーネントを統合できます。
•
TIE サーバー。ファイルと証明書のレピュテーションの情報を保存し、他のシステムに送信します。
TIE サーバーはオプションです。 サーバーの詳細については、
『Threat Intelligence Exchange 製品ガイド』を
参照してください。
•
Data Exchange Layer - 管理対象システムの適応型脅威対策と TIE サーバー間の双方向通信を可能にする
クライアントとブローカー。
Data Exchange Layer はオプションですが、TIE サーバーと通信を行う場合には必須です。 詳細については、
『McAfee Data Exchange Layer 製品ガイド』を参照してください。
これらのコンポーネントには McAfee ePO の拡張ファイルがあり、いくつかの新機能とレポートを追加します。
TIE と Data Exchange Layer が存在する場合、適応型脅威対策とサーバーがファイル レピュテーション情報を交
換します。 この情報は、Data Exchange Layer フレームワークにより、管理対象エンドポイントに迅速に配信され
ます。 また、McAfee Enterprise Security Manager (McAfee ESM) や McAfee Network Security Platform
など、Data Exchange Layer にアクセスする他の McAfee 製品と共有されます。
®
®
図 6-1 適応型脅威対策で TIE サーバーと Data Exchange Layer を使用する場合
172
McAfee Endpoint Security 10.5
製品ガイド
適応型脅威対策の使用
適応型脅威対策について
6
TIE サーバーと Data Exchange Layer が存在しない場合、適応型脅威対策 は McAfee GTI に接続し、ファイル レ
ピュテーション情報を取得します。
図 6-2 適応型脅威対策と McAfee GTI
適応型脅威対策の機能
適応型脅威対策は、ルールに従って、複数のデータポイント (レピュテーション、ローカルの情報、コンテキスト情
報など) でアクションを判断します。 このルールは個別に管理できます。
TIE サーバーの通信状況に応じて、適応型脅威対策の機能が異なります。
•
TIE サーバーに接続可能な場合、適応型脅威対策 は Data Exchange Layer フレームワークを使用して企業全体
でファイルと脅威情報を迅速に共有します。 脅威が最初に検出されたシステムや感染元を特定し、脅威をすぐに
ブロックすることができます。
適応型脅威対策と TIE サーバーを併用すると、環境内のローカル レベルでファイル レピュテーションを管理で
きます。 実行するファイルとブロックするファイルを決めると、Data Exchange Layer はすぐにこの情報を環
境全体で共有します。
•
TIE サーバーが利用不能でシステムがインターネットに接続している場合、適応型脅威対策は McAfee GTI を使
用してレピュテーションを判断します。
•
TIE サーバーが利用不能でシステムがインターネットに接続していない場合には、適応型脅威対策は、ローカル
システムの情報を使用してファイルのレピュテーションを判断します。
McAfee Endpoint Security 10.5
製品ガイド
173
6
適応型脅威対策の使用
適応型脅威対策について
適応型脅威対策を使用する場合のシナリオ
•
ファイルをすぐにブロックする - 適応型脅威対策がネットワーク内で不明なファイルを検出すると、ネットワー
ク管理者に警告します。 ファイル情報を McAfee に送信して分析を依頼することなく、管理者はすぐにファイル
をブロックできます。 使用可能であれば、ファイルを実行したファイル数を TIE サーバーで確認し、Advanced
Threat Defense を使用してファイルが脅威かどうかを確認できます。
•
カスタム ファイルの実行を許可する - 会社で、デフォルトのレピュテーションが「不正」または「不審」のフ
ァイルを定期的に使用しています。たとえば、自社で作成したカスタム ファイルはこのカテゴリに分類されます。
このファイルは、McAfee に分析を依頼して最新の DAT ファイルを受信しなくても実行を許可できるので、管理
者はファイルのレピュテーションを「信頼」に変更できます。これにより、このファイルに対する警告やプロン
プトが表示されなくなります。
•
コンテナー内でのファイルの実行を許可する - 組織内でレピュテーションが不明なファイルが最初に使用され
るときに、コンテナー内でのファイルの実行を許可するように指定できます。 この場合、管理者はアプリケーシ
ョン動的隔離の設定で隔離ルールを設定します。 隔離ルールでは、隔離されたアプリケーションに禁止するアク
ションを定義します。
接続状況を確認する
クライアント システムの適応型脅威対策が TIE サーバーまたは McAfee GTI からファイル レピュテーションを取
得しているかどうか確認するには、Endpoint Security クライアント の [バージョン情報] ページを表示します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
Endpoint Security クライアントを開きます。
2
[アクション] メニュー
3
左側の [適応型脅威対策] をクリックします。
から [バージョン情報] を選択します。
適応型脅威対策の[接続状況] フィールドに、以下のいずれかが表示されます。
•
[脅威情報の接続性] - TIE サーバーに接続して、エンタープライズ レベルのレピュテーション情報を取得し
ています。
•
[McAfee GTI 接続のみ] - McAfee GTI に接続して、グローバル レベルのレピュテーション情報を取得して
います。
•
[切断] - TIE サーバーまたは McAfee GTI に接続していません。 適応型脅威対策 は、ローカル システムの
情報を使用してファイルのレピュテーションを特定します。
レピュテーションの判定方法
管理対象システムでファイルの実行が試行されると、ファイルと証明書のレピュテーションが確認されます。
ファイルまたは証明書のレピュテーションは次の流れで判定されます。
174
1
ユーザーまたはシステムがファイルの実行を試みます。
2
Endpoint Security が除外対象を参照して、検査対象のファイルを特定します。
3
Endpoint Security がファイルを検査しますが、有効性とレピュテーションは判断できません。
4
適応型脅威対策モジュールがファイルを検査し、問題のファイルとローカル システムのプロパティを収集します。
McAfee Endpoint Security 10.5
製品ガイド
適応型脅威対策の使用
適応型脅威対策について
5
6
このモジュールがローカル レピュテーション キャッシュでファイル ハッシュを確認します。 ファイル ハッシ
ュが見つかると、モジュールがファイルの普及度とレピュテーション データをキャッシュから取得します。
•
ローカル レピュテーション キャッシュにファイル ハッシュがない場合、モジュールは TIE サーバーにクエ
リーを送信します。 ハッシュが見つかると、モジュールがハッシュから普及度データを取得します (使用可能
な任意のレピュテーションを含む)。
•
TIE サーバーまたはデータベースにファイル ハッシュがない場合、サーバーから McAfee GTI にクエリーを
送信し、ファイル ハッシュ レピュテーションを取得します。 McAfee GTI が使用可能な情報 (不明、不正な
ど) を送信し、サーバーがこの情報を保管します。
以下の両方の条件を満たすと、サーバーがスキャン用のファイルを送信します。
•
Advanced Threat Defense が使用可能で、レピュテーション プロバイダーとして登録されている場合、
サーバーは Advanced Threat Defense レピュテーションがローカルに存在しているかどうか確認しま
す。存在しない場合、このファイルを送信候補として設定します。
•
エンドポイントのポリシーで Advanced Threat Defense へのファイル送信が設定されている。
『Advanced Threat Defense が存在する場合の追加手順』を参照してください。
6
サーバーが検出されたデータに基づき、企業側でのファイル ハッシュの経過時間、普及度データ、レピュテーシ
ョンをモジュールに戻します。 ファイルが環境内で初めて見つかった場合、サーバーはファイル インスタンスの
ログも適応型脅威対策モジュールに送信します。 McAfee Web Gateway が存在し、レピュテーション スコアを
送信すると、TIE サーバーがファイルのレピュテーションを戻します。
7
モジュールがこのメタデータを評価し、ファイルのレピュテーションを判定します。
•
ファイルとシステムのプロパティ
•
企業での経過時間と普及度データ
•
レピュテーション
8
ファイルを実行しているシステムのポリシーに従って、モジュールが操作を実行します。
9
モジュールがレピュテーション情報、ファイルの状態 (ブロック、許可または隔離) を使用してサーバーを更新し
ます。 また、McAfee ePO 経由で脅威イベントを McAfee Agent に送信します。
10 サーバーがファイル ハッシュのレピュテーション変更イベントを公開します。
Advanced Threat Defense が存在する場合
Advanced Threat Defense が存在する場合、次のプロセスが実行されます。
1
システムが Advanced Threat Defense にファイルを送信するように設定され、ファイルが環境内で初めて検出
された場合、システムがファイルを TIE サーバーに送信します。 次に、TIE サーバーがファイルを Advanced
Threat Defense に送信し、スキャンを実行します。
2
Advanced Threat Defense がファイルをスキャンし、ファイル レピュテーションの結果を Data Exchange
Layer 経由で TIE サーバーに送信します。 サーバーがデータベースを更新し、適応型脅威対策が有効になってい
るすべてのシステムに最新のレピュテーション情報を送信し、環境をすぐに保護します。 適応型脅威対策または
他の McAfee 製品がこのプロセスを開始する場合もあります。 いずれの場合も、適応型脅威対策がレピュテーシ
ョンを処理し、データベースに保存します。
Advanced Threat Defense と 適応型脅威対策 の統合方法については、『McAfee Advanced Threat Defense 製
品ガイド』を参照してください。
McAfee Web Gateway が存在する場合
McAfee Web Gateway が存在する場合、次のプロセスが実行されます。
McAfee Endpoint Security 10.5
製品ガイド
175
6
適応型脅威対策の使用
ファイル レピュテーション プロンプトに応答する
•
ファイルをダウンロードすると、McAfee Web Gateway がレポートを TIE サーバーに送信し、サーバーがレピ
ュテーション スコアをデータベースに保存します。 サーバーがモジュールからファイル レピュテーション要求
を受信すると、McAfee Web Gateway と他のレピュテーション プロバイダーから受信したファイル レピュテー
ションを戻します。
TIE サーバーを使用して McAfee Web Gateway が情報を交換する方法については、
『McAfee Web Gateway 製
品ガイド』でプロキシに関する章を参照してください。
キャッシュの消去
•
•
次のようにルールの設定が変更されると、適応型脅威対策キャッシュ全体が消去されます。
•
1 つ以上のルールの状態が変更された場合 (たとえば、有効から無効)。
•
ルール セットの割り当てが変更された場合 (たとえば、[バランス] から [セキュリティ])。
個々のファイルまたは証明書のキャッシュは次の場合に消去されます。
•
キャッシュが最後に更新されてから 30 日を超えている場合。
•
ディスク上でファイルが変更された場合。
•
TIE サーバーがレピュテーションの変更イベントを生成した場合。
適応型脅威対策が次にファイルの通知を受信したときに、レピュテーションが再計算されます。
ファイル レピュテーション プロンプトに応答する
システムで特定のレピュテーションのファイルを実行すると、適応型脅威対策がプロンプトを表示し、入力が要求さ
れる場合があります。 このプロンプトは、適応型脅威対策がインストールされ、プロンプトが表示されている場合に
のみ表示されます。
管理者が設定したレピュテーションしきい値を超えると、プロンプトが表示されます。 たとえば、レピュテーション
しきい値が「不明」の場合、レピュテーションが「不明」以下のファイルを検出すると Endpoint Security がプロ
ンプトを表示します。
オプションを選択しないと、適応型脅威対策は管理者が設定したデフォルトのアクションを実行します。
プロンプト、タイムアウト、デフォルトのアクションは、適応型脅威対策の設定方法によって異なります。
Windows 8 と 10 は、トースト通知 (ポップアップされるメッセージ) を使用してアラートとプロンプトの両方を通
知します。 トースト通知をクリックすると、デスクトップ モードで通知が表示されます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
(オプション) プロンプトで、管理者に送信するメッセージを入力します。
たとえば、ファイルを説明するメッセージを使用したり、システム上のファイルを許可またはブロックする条件
を記述します。
2
[許可] または [ブロック] をクリックします。
[許可]
ファイルを許可します。
[ブロック]
システム上でファイルをブロックします。
適応型脅威対策が同じファイルで繰り返しプロンプトを表示しないようにするには、[この決定を記憶する] を選
択します。
176
McAfee Endpoint Security 10.5
製品ガイド
適応型脅威対策の使用
適応型脅威対策の管理
6
適応型脅威対策は、ユーザーの選択またはデフォルトのアクションを実行し、プロンプト ウィンドウを終了します。
適応型脅威対策の管理
管理者は、ルール グループの選択、レピュテーションしきい値の設定、Real Protect の有効化、アプリケーション
の動的隔離の設定など、適応型脅威対策の設定を指定できます。
管理対象システムの場合、McAfee ePO からポリシーを変更すると、[設定] ページから行った変更が上書きされます。
適応型脅威対策は、Endpoint Security のオプション モジュールです。 脅威情報の情報源と機能を追加するには、
Threat Intelligence Exchange サーバーを配備します。 詳細については、販売店または営業担当者に確認してくだ
さい。
適応型脅威対策 は、McAfee ePO Cloud で管理されているシステムで使用できません。
はじめに
適応型脅威対策をインストールしたら次の作業を行います。
適応型脅威対策 を開始するには、次の作業を行います。
1
ブロック、許可または隔離の対象を判定する適応型脅威対策ポリシーを作成します。
2
適応型脅威対策を監視モードで実行してファイルの普及度を設定し、環境内で適応型脅威対策が検出する内容を
確認します。 適応型脅威対策が、ブロックの可能性、駆除の可能性、隔離の可能性 のイベントを生成し、有効な
場合に実行するアクションを表示します。 ファイルの普及度は、環境内でファイルが確認される頻度を表します。
3
ポリシーを監視してファイルまたは証明書のレピュテーションを調整し、環境内で許可する内容を制御します。
ファイルの普及度の設定と監視
インストールと配備を行った後に、ファイルの普及度を現在の脅威情報を設定します。
環境での実行内容を確認して、ファイルと証明書のレピュテーション情報を TIE サーバー データベースに追加でき
ます。 この情報はモジュールのグラフとダッシュボードにも反映され、ファイルと証明書に関する詳細なレピュテー
ション情報を確認できます。
まず最初に、1 つ以上の 適応型脅威対策 ポリシーを作成して、環境内の少数のシステムで実行します。 ポリシーで
は次のことを指定します。
•
システムで特定のレピュテーションのファイルま
たは証明書の実行を許可する条件
•
ユーザーにプロンプトを表示してアクションを確
認する条件
•
ファイルまたは証明書をブロックする条件
•
ファイルを Advanced Threat Defense に送信
して詳しい分析を行う条件
•
アプリケーションが隔離される条件
ファイルの普及度を設定するときに、ポリシーを監視モードで実行できます。 ファイルと証明書のレピュテーション
がデータに追加されます。ブロックの可能性、駆除の可能性、隔離の可能性のイベントが生成されますが、アクショ
ンは実行されません。 ポリシーを施行すると、適応型脅威対策 がブロック、許可または隔離した対象を確認できま
す。
モニタリングと調整
環境内でポリシーを実行すると、レピュテーション データがデータベースに追加されます。
McAfee Endpoint Security 10.5
製品ガイド
177
6
適応型脅威対策の使用
適応型脅威対策の管理
McAfee ePO のダッシュボードとイベント ビューを使用すると、ポリシーに従ってブロック、許可または隔離され
たファイルと証明書を確認できます。
エンドポイント、ファイル、ルールまたは証明書ごとに詳細を表示して、識別された項目数と実行されたアクション
を簡単に確認できます。 項目をクリックしてドリルダウンすると、適切なアクションが実行されるように、特定のフ
ァイルまたは証明書のレピュテーションを調整できます。
たとえば、ファイルのデフォルトのレピュテーションが不審または不明でも、信用できることを確認している場合に
は、レピュテーションを信用に変更できます。 変更すると、アプリケーションは環境内での実行が許可されます。ブ
ロックされたり、ユーザーにアクションを確認することはありません。 環境内で使用している内部ファイルまたはカ
スタム ファイルの場合、レピュテーションの変更が可能です。
•
TIE レピュテーション機能を使用すると、特定のファイルまたは証明書の名前で検索を実行できます。 会社名、
SHA-1 と SHA-256 のハッシュ、MD5、説明、McAfee GTI の情報など、ファイルまたは証明書の詳細を確認
できます。 ファイルの場合、TIE レピュテーションの詳細ページから VirusTotal のデータに直接アクセスし、
追加情報を入手できます。
•
[レポート ダッシュボード] ページでは、複数の種類のレピュテーション情報を同時に表示できます。 環境内で
先週確認された新しいファイルの数、レピュテーション別のファイル数、最近レピュテーションが変更されたフ
ァイル、最近新しいファイルを実行したシステムなどの情報を確認できます。 ダッシュボードの項目をクリック
すると、詳細情報が表示されます。
•
有害または不審なファイルを見つけた場合、そのファイルを実行したシステムや感染したシステムをすぐに特定
できます。
•
必要に応じて、ファイルまたは証明書のレピュテーションを変更します。 この情報はデータベースにすぐに反映
され、McAfee ePO.で管理されているすべてのデバイスに送信されます。 ファイルと証明書は、レピュテーショ
ンに従ってブロック、許可または隔離されます。
特定のファイルまたは証明書の処理方法が分からない場合には、次の操作を行います。
•
調査中は実行がブロックされます。
脅威対策の駆除アクションではファイルが削除されますが、ブロックしても実行が許可されないだけで、ファ
イルが削除されることはありません。 ファイルを検査し、アクションが決まるまで、ファイルはそのままの
状態で残ります。
•
隔離された状態で実行が許可されます。
アプリケーションの動的隔離が、特定のレピュテーションのアプリケーションをコンテナー内で実行し、隔離
ルールに従ってアクションを実行します。 アプリケーションの実行は許可されますが、隔離ルールによって
は失敗するアクションがあります。
•
ファイルまたは証明書のレピュテーションをデータベースにインポートすると、他のレピュテーション ソースに
基づいて特定のファイルまたは証明書を許可あるいはブロックできます。 これにより、インポートした設定を特
定のファイルまたは証明書に使用できます。サーバーで個別に設定する必要はありません。
•
TIE レピュテーション ページの レピュテーションの合計 列には、最も普及しているレピュテーションとそのプ
ロバイダーが表示されます。 (TIE サーバー 2.0 以降)
•
TIE レピュテーション ページの 最後に適用されたルール 列には、エンドポイントの各ファイルに最後に適用さ
れた検出ルールによるレピュテーション情報が表示されます。
このページをカスタマイズするには、[アクション] 、 [列の選択] の順に選択します。
詳細な分析を行うファイルの送信
ファイルのレピュテーションが不明な場合、ファイルを Advanced Threat Defense に送信して詳しい分析を行う
ことができます。 送信するファイル TIE サーバー ポリシーに指定します。
178
McAfee Endpoint Security 10.5
製品ガイド
適応型脅威対策の使用
適応型脅威対策の管理
6
Advanced Threat Defense がゼロデイ マルウェアを検出し、ウイルス対策シグネチャとレピュテーションを使用
してリアルタイムでエミュレーションを行います。レピュテーション レベルとファイル サイズに従って、適応型脅
威対策 から Advanced Threat Defense にファイルを自動的に送信できます。 Advanced Threat Defense から
送信されたファイル レピュテーション情報は、TIE サーバー データベースに追加されます。
McAfee GTI 利用統計情報
McAfee GTI に送信されたファイルと証明書の情報は、レピュテーション情報の解釈と強化に使用されます。 以下の
表では、ファイルと証明書、ファイルのみ、証明書のみの場合に McAfee GTI が提供する情報について説明します。
カテゴリ
説明
ファイルと
証明書
• TIE サーバーとモジュールのバージョン
• TIE サーバーが行ったレピュテーション設定の上書き
• 外部のレピュテーション情報 (例: Advanced Threat Defense)
ファイルの
み
• ファイル名、タイプ、パス、サイズ、製品、
発行者、普及度
• レポーティング モジュールが監視モードか
どうか
• SHA-1、SHA-256、MD5 の情報
• ファイルに対するアクション (許可、ブロッ
ク、隔離、駆除)
• 報告を行うコンピューターのオペレーティ
ング システムのバージョン
• ファイルを検出した製品。例: Advanced
Threat Defense または脅威対策
• ファイルに設定されたレピュテーション
(最大、最小、平均)
証明書のみ
• SHA-1 情報
• 証明書発行者の名前とサブジェクト
• 証明書の発効日と有効期限
McAfee では、個人を特定できる情報を収集しません。また、McAfee 以外にこれらの情報を公開することもありま
せん。
アプリケーションの動的隔離
アプリケーションの動的隔離を使用すると、レピュテーションを指定して、特定のアプリケーションをコンテナー内
で実行できます。
適応型脅威対策は、アプリケーションの動的隔離にコンテナー内のアプリケーションの実行を要求します。 隔離され
たアプリケーションには、隔離ルールに応じて特定のアクションが許可されません。
この技術を使用すると、アプリケーションが環境内で実行できるアクションを制限し、安全でない可能性がある不明
なアプリケーションを評価できます。 アプリケーションの動的隔離が特定のアクションをブロックしている場合、ア
プリケーションは使用できますが、実行できない機能もあります。 アプリケーションが安全であることを確認した
ら、アプリケーションが通常どおり実行されるように、Endpoint Security 適応型脅威対策または TIE サーバーを
設定できます。
アプリケーションの動的隔離を使用するには:
1
適応型脅威対策を有効にします。[オプション] 設定で、アプリケーションの動的隔離をトリガーするレピュテー
ションしきい値を指定します。
2
[アプリケーションの動的隔離] 設定で、McAfee 定義の隔離ルールと除外対象を設定します。
McAfee Endpoint Security 10.5
製品ガイド
179
6
適応型脅威対策の使用
適応型脅威対策の管理
関連トピック:
182 ページの「隔離されたアプリケーションの許可」
183 ページの「McAfee 定義の隔離ルールを設定する」
182 ページの「アプリケーションの動的隔離のトリガーしきい値を有効にする」
アプリケーションの動的隔離の機能
適応型脅威対策は、アプリケーションのレピュテーションを使用して、制限付きのアプリケーションの実行をアプリ
ケーションの動的隔離に要求するかどうかを判断します。 指定したレピュテーションしきい値に達したファイルを
環境内で実行しようとすると、アプリケーションの動的隔離は隔離ルールに従って安全でないアクションをブロック
したり、ログに記録します。
アプリケーションが隔離ブロック ルールをトリガーすると、アプリケーションの動的隔離は、隔離されたアプリケー
ションの全体的なレピュテーションにこの情報を追加します。
McAfee Active Response などの他の技術から隔離を要求される場合があります。 アプリケーションの動的隔離で
登録された複数の技術がアプリケーションの隔離を要求すると、それぞれの要求が追加されます。 すべての技術が解
放するまで、アプリケーションは隔離された状態になります。 隔離を要求した技術が無効になったり、削除される
と、アプリケーションの動的隔離はこれらのアプリケーションを解放します。
アプリケーションの動的隔離のワークフロー
1
プロセスが開始します。
2
適応型脅威対策がファイル レピュテーションを確認します。
TIE サーバーが使用可能な場合、適応型脅威対策がこのサーバーからアプリケーションのレピュテーションを取
得します。 TIE サーバーが使用できない場合、適応型脅威対策は McAfee GTI からレピュテーション情報を取得
します。
レピュテーションが不明で、Real Protect のクラウド ベースとクライアント ベースのスキャナーが有効な場合、
適応型脅威対策は Real Protect にクエリーを送信し、レピュテーションを取得します。
3
アプリケーションのレピュテーションが隔離レピュテーションしきい値と同等か下回っている場合、適応型脅威
対策は、プロセスの開始と隔離要求をアプリケーションの動的隔離に通知します。
4
アプリケーションの動的隔離がプロセスを隔離します。
アプリケーションの動的隔離のイベントは、McAfee ePO の脅威イベント ログで確認できます。
5
180
隔離されたアプリケーションの安全性を確認した場合、隔離されず正常に実行されるように設定できます。
McAfee Endpoint Security 10.5
製品ガイド
適応型脅威対策の使用
適応型脅威対策の管理
6
関連トピック:
182 ページの「隔離されたアプリケーションの許可」
McAfee Endpoint Security 10.5
製品ガイド
181
6
適応型脅威対策の使用
適応型脅威対策の管理
隔離されたアプリケーションの許可
隔離されたアプリケーションが安全であることを確認したら、環境内で通常どおりの実行を許可できます。
•
アプリケーションの動的隔離の設定にあるグローバル除外リストにアプリケーションを追加します。
この場合、隔離を要求した技術の数に関係なく、アプリケーションが隔離領域から解放され、通常どおり実行さ
れます。
•
レピュテーションしきい値を上げて隔離から除外されるように、適応型脅威対策を設定します。
この場合、別の技術がアプリケーションの隔離を要求していなければ、アプリケーションが隔離領域から解放さ
れ、通常どおり実行されます。
•
TIE サーバーが使用可能な場合、実行を許可するレベルにファイルのレピュテーションを変更します (たとえば、
[信頼できることが確認されている])。
この場合、別の技術がアプリケーションの隔離を要求していなければ、アプリケーションが隔離領域から解放さ
れ、通常どおり実行されます。
『McAfee Threat Intelligence Exchange 製品ガイド』を参照してください。
関連トピック:
184 ページの「アプリケーションの動的管理からプロセスを除外する」
アプリケーションの動的隔離のトリガーしきい値を有効にする
アプリケーションの動的隔離技術を使用すると、特定のレピュテーションのアプリケーションをコンテナー内で実行
するように指定し、アプリケーションで実行されるアクションを制限できます。 アプリケーションの動的隔離アクシ
ョンの施行を有効にし、アプリケーションを隔離するレピュテーションしきい値を指定します。
開始する前に
Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、
管理者としてログオンしています。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
Endpoint Security クライアントを開きます。
2
メインの [ステータス] ページで [適応型脅威対策] をクリックします。
あるいは、[アクション] メニュー
す。
182
から [設定] を選択し、[設定] ページで [適応型脅威対策] をクリックしま
3
[詳細を表示] をクリックします。
4
[オプション] をクリックします。
5
適応型脅威対策 が有効になっていることを確認します。
6
[レピュテーションしきい値に達したときにアプリケーションの動的隔離を開始する] を選択します。
7
アプリケーションを隔離するレピュテーションしきい値を指定します。
•
[信頼できる可能性がある]
•
[不明] ([セキュリティ] ルール グループのデフォルト)
•
[不正な可能性がある] ([バランス] ルール グループのデフォルト)
McAfee Endpoint Security 10.5
製品ガイド
適応型脅威対策の使用
適応型脅威対策の管理
•
[不正な可能性がある] ([生産性] ルール グループのデフォルト)
•
[不正なことが確認されている]
6
アプリケーションの動的隔離のしきい値は、
「ブロック」と「駆除」のしきい値よりも高くする必要があります。
たとえば、「ブロック」のしきい値が [不正なことが確認されている] に設定されている場合、アプリケーション
の動的隔離のしきい値は [不正な可能性が非常に高い] 以上に設定する必要があります。
8
[適用] をクリックして変更を保存するか、[キャンセル] をクリックします。
McAfee 定義の隔離ルールを設定する
McAfee 定義の隔離ルールは、隔離されたアプリケーションのアクションをブロックしたり、ログに記録します。 ブ
ロックと報告の設定は変更できますが、ルールの変更または削除は実行できません。
開始する前に
Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、
管理者としてログオンしています。
アプリケーションの動的隔離の詳細については、KB87843 を参照してください。報告ルールやブロック ルールを設
定する場合のベストプラクティスも記載されています。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
Endpoint Security クライアントを開きます。
2
メインの [ステータス] ページで [適応型脅威対策] をクリックします。
あるいは、[アクション] メニュー
す。
から [設定] を選択し、[設定] ページで [適応型脅威対策] をクリックしま
3
[詳細を表示] をクリックします。
4
[アプリケーションの動的隔離] をクリックします。
5
[隔離ルール] セクションで、ルールに [ブロック]、[報告] またはその両方を選択します。
6
•
すべてをブロックまたは報告するには、最初の行で [ブロック] または [報告] を選択します。
•
ルールを無効にするには、[ブロック] と [報告] の選択を解除します。
[除外対象] セクションで、アプリケーションの動的隔離から除外する実行ファイルを追加します。
[除外対象] リストにあるプロセスは、隔離されずに通常どおり実行されます。
7
[適用] をクリックして変更を保存するか、[キャンセル] をクリックします。
関連トピック:
184 ページの「アプリケーションの動的管理からプロセスを除外する」
隔離されたアプリケーションを管理する
アプリケーションの動的隔離が信頼できるアプリケーションを隔離した場合、Endpoint Security クライアントでこ
のアプリケーションを隔離対象から除外できます。 アプリケーションを除外して解放すると、アプリケーションは
McAfee Endpoint Security 10.5
製品ガイド
183
6
適応型脅威対策の使用
適応型脅威対策の管理
[隔離されたアプリケーション] から削除され、[除外対象] に追加されます。これにより、以降の処理で隔離されな
くなります。
開始する前に
Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、
管理者としてログオンしています。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
Endpoint Security クライアントを開きます。
2
メインの [ステータス] ページで [適応型脅威対策] をクリックします。
あるいは、[アクション] メニュー
す。
から [設定] を選択し、[設定] ページで [適応型脅威対策] をクリックしま
3
[詳細を表示] をクリックします。
4
[アプリケーションの動的隔離] をクリックします。
5
[隔離されたアプリケーション] セクションでアプリケーションを選択して、[除外] をクリックします。
6
[実行ファイルの追加] ページで実行ファイルのプロパティを設定し、[保存] をクリックします。
アプリケーションが [除外対象] リストに表示されます。 [適用] をクリックするまで、アプリケーションは [隔
離されたアプリケーション] リストに残ります。 [設定] ページに戻ると、アプリケーションは [除外対象] リス
トにのみ表示されます。
7
[適用] をクリックして変更を保存するか、[キャンセル] をクリックします。
アプリケーションの動的管理からプロセスを除外する
信頼されたプログラムが隔離された場合には、アプリケーションの動的隔離の除外対象を作成して、隔離されないよ
うにします。
Endpoint Security クライアントで作成した除外対象は、クライアント システムにのみ適用されます。 この除外対
象は McAfee ePO に送信されません。[アプリケーションの動的隔離] 設定の [除外対象] セクションには表示され
ません。
管理対象システムの場合、McAfee ePO の [アプリケーションの動的隔離] 設定でグローバル除外対象を作成します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
Endpoint Security クライアントを開きます。
2
メインの [ステータス] ページで [適応型脅威対策] をクリックします。
あるいは、[アクション] メニュー
す。
184
から [設定] を選択し、[設定] ページで [適応型脅威対策] をクリックしま
3
[詳細を表示] をクリックします。
4
[アプリケーションの動的隔離] をクリックします。
5
[除外対象] セクションで [追加] をクリックして、すべてのルールから除外するプロセスを追加します。
McAfee Endpoint Security 10.5
製品ガイド
適応型脅威対策の使用
適応型脅威対策の管理
6
[実行ファイルの追加] ページで実行ファイルのプロパティを設定します。
7
[保存]、[適用] の順にクリックして、設定を保存します。
6
適応型脅威対策 のオプションを設定する
適応型脅威対策 の設定により、実行、隔離、ブロック、駆除するファイルまたは証明書が決まります。また、ユーザ
ーにアクションを確認することもできます。
開始する前に
Endpoint Security クライアントのインターフェース モードが [フル アクセス] に設定されているか、
管理者としてログオンしています。
McAfee ePO でポリシーを変更すると、[設定] ページの変更が上書きされます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
Endpoint Security クライアントを開きます。
2
メインの [ステータス] ページで [適応型脅威対策] をクリックします。
あるいは、[アクション] メニュー
す。
から [設定] を選択し、[設定] ページで [適応型脅威対策] をクリックしま
3
[詳細を表示] をクリックします。
4
[オプション] をクリックします。
5
ページで設定を行い、[適用] をクリックして変更を保存するか、[キャンセル] をクリックします。
ファイルと証明書のブロックまたは許可
ファイルと証明書には、コンテンツとプロパティに基づいて脅威レピュテーションが設定されます。 適応型脅威対策
のポリシーでは、環境内のシステムでブロックまたは許可するファイルと証明書をレピュテーション レベルに基づい
て判断します。
システムのセキュリティ レベルには 3 つあります。これにより、システムのタイプ別にルールの調整を行います。
各レベルは、不正または不審なファイルと証明書を識別する特定のルールに関連付けられています。
•
[生産性] - 頻繁に変更されるシステムです。信用されたプログラムのインストールと削除、更新の受信が頻繁に
行われます。 たとえば、開発環境にあるコンピューターのシステムが該当します。 この設定のポリシーはルール
が少なくなります。 ブロックは必要最小限になり、新しいファイルを検出すると、プロンプトが表示されます。
•
[バランス] - 新しいプログラムのインストールや変更が頻繁に発生しない標準的なビジネス システムです。 こ
の設定のポリシーはルールが多くなります。 ブロックとプロンプトの数が増えます。
•
[セキュリティ] - IT 部門が管理するシステムです。厳密に管理され、変更もほとんど発生しません。 金融機関
や政府機関で重要な情報や機密情報にアクセスするシステムが該当します。 この設定はサーバーにも使用されま
す。 この設定のポリシーでは、使用されるルールが最大になります。 ブロックとプロンプトの数がさらに増えま
す。
セキュリティ レベルに関連付けられているルールを表示するには、[メニュー] 、 [サーバー設定] の順に選択しま
す。 [カテゴリの設定] リストで、[適応型脅威対策] を選択します。
ポリシーに割り当てるセキュリティ レベルを決める場合には、ポリシーを使用するシステムのタイプだけでなく、ブ
ロックとプロンプトが発生する回数も考慮してください。 作成したポリシーをコンピューターまたはデバイスに割
り当て、ブロックとプロンプトの発生回数を確認します。
McAfee Endpoint Security 10.5
製品ガイド
185
6
適応型脅威対策の使用
Endpoint Security クライアント インターフェース リファレンス - 適応型脅威対策
Real Protect スキャンの使用
Real Protect スキャナーは、エンドポイントで不審なファイルとアクティビティを調査します。機械学習の技術を駆
使して不正なパターンを検出します。 スキャナーは、この情報を使用してゼロデイ マルウェアを検出します。
Windows オペレーティング システムによっては、Real Protect 技術を使用できません。 詳細については、
KB82761 を参照してください。
Real Protect スキャナーは、2 つの場所で自動解析を実行します。
•
クラウド上
クラウド ベースの Real Protect は、ファイルの属性と動作情報を収集し、クラウド上の機械学習システムに送
信して分析を行います。
このオプションを使用する場合、McAfee GTI レピュテーションの使用で誤検知が発生しないように、インター
ネットに接続する必要があります。
ベストプラクティス: インターネットに接続していないシステムでは、クラウドベースの Real Protect を無効に
してください。
•
クライアント システム上
クライアント ベースの Real Protect は、クライアント システムで機械学習技術を使用して、ファイルが既知の
マルウェアと一致するかどうか判断します。クライアント システムがインターネットに接続している場合、Real
Protect は、クラウドに利用統計情報を送信しますが、分析にはクラウドを使用しません。
クライアント システムが TIE から評価情報を取得している場合には、誤検知を回避するためにインターネットに
接続する必要はありません。
ベストプラクティス: 誤検知を回避するために片方または両方の選択を解除するようにサポートから指示されない限
り、Real Protect の両方のオプションを有効にしてください。
個人を特定できる情報 (PII) はクラウドに送信されません。
Endpoint Security クライアント インターフェース リファレンス - 適応型
脅威対策
Endpoint Security クライアント インターフェースのページでコンテキスト ヘルプを利用できます。
目次
適応型脅威対策 — アプリケーションの動的隔離
適応型脅威対策 - オプション
適応型脅威対策 — アプリケーションの動的隔離
設定したルールに従って、隔離されたアプリケーションで実行可能なアクションを制限し、システムを保護します。
186
McAfee Endpoint Security 10.5
製品ガイド
適応型脅威対策の使用
Endpoint Security クライアント インターフェース リファレンス - 適応型脅威対策
表 6-1
6
オプション
セクション
オプシ 説明
ョン
[隔離ルール]
アプリケーションの動的隔離ルールを設定します。
McAfee 定義の隔離ルールで行うアクション (ブロックまたは報告) を変更できます。ただ
し、これらのルールを変更したり、削除することはできません。
• [ブロック] (のみ) - 隔離されたアプリケーションがルールに指定されたアクションの
実行を試みると、ロギングを行わずにアクションをブロックします。
• [報告] (のみ) - アプリケーションがルール内のアクションを試みると、ログに記録しま
す。アプリケーションによるアクションの実行はブロックしません。
• [ブロック] と [報告] - アクセスをブロックして、ログに記録します。
ベストプラクティス: ルールによる影響が分からない場合には、[ブロック] ではなく [報告]
を選択してください。これにより、アクセスをブロックせずに警告を表示します。 ログとレ
ポートをモニタリングして、アクセスをブロックするかどうか判断してください。
すべてをブロックまたは報告するには、最初の行で [ブロック] または [報告] を選択しま
す。
ルールを無効にするには、[ブロック] と [報告] の選択を解除します。
[隔離された
アプリケーシ
ョン]
現在隔離されているアプリケーションの一覧が表示されます。
• [除外] - 隔離されたアプリケーションを [除外対象] リストに移動します。このアプリ
ケーションは隔離領域から解放され、通常どおり実行されます。
表 6-2 詳細オプション
セクション
オプション
[除外対象]
説明
プロセスを隔離の対象外にします。
• [追加] - プロセスを除外リストに追加します。
• 項目をダブルクリックします。 — 選択した項目を変更します。
• [削除] - 選択した項目を削除します。
• [複製] - 選択した項目のコピーを作成します。
関連トピック:
180 ページの「アプリケーションの動的隔離の機能」
187 ページの「[除外項目の追加] または [除外項目の編集]」
183 ページの「McAfee 定義の隔離ルールを設定する」
184 ページの「アプリケーションの動的管理からプロセスを除外する」
[除外項目の追加] または [除外項目の編集]
アプリケーションの動的隔離から除外する実行ファイルを追加または編集します。
除外対象を指定する場合には、次の点に注意してください。
•
1 つ以上の識別子を指定する必要がります。たとえば、ファイル名またはパス、MD5 ハッシュ または 署名者 を
使用します。
•
複数の識別子を指定すると、すべての識別子が適用されます。
•
複数の識別子を使用して一致する識別子がない場合 (たとえば、ファイル名と MD5 ハッシュが同じファイルに適
用されていない場合など)、除外対象は無効になります。
McAfee Endpoint Security 10.5
製品ガイド
187
6
適応型脅威対策の使用
Endpoint Security クライアント インターフェース リファレンス - 適応型脅威対策
•
除外対象では大文字と小文字は区別されません。
•
MD5 ハッシュを除き、すべての ID にワイルドカードを使用できます。
表 6-3
オプション
オプション
定義
[名前]
実行ファイルの名前を指定します。
このフィールドは、[ファイル名またはパス]、[MD5 ハッシュ] または [署名者]と一緒に使用す
る必要があります。
[ファイル名ま
たはパス]
追加または編集する実行ファイルの名前あるいはパスを指定します。
[参照] をクリックして、実行ファイルを選択してください。
ファイルのパスにワイルドカードを使用できます。
[MD5 ハッシ
ュ]
プロセスの MD5 ハッシュ (32 桁の 16 進数) を指定します。
[署名者]
[デジタル署名検査を有効にする] — この検査により、暗号化ハッシュで署名された後、コードが
改ざんされたり、壊れていないことが保証されます。
有効にする場合、次のオプションを指定します。
• [任意の署名を許可する] - 任意のプロセス署名者が署名したファイルを許可します。
• [署名者] - 指定したプロセス署名者が署名したファイルだけを許可します。
実行ファイルに署名者の識別名 (SDN) が必要です。カンマとスペースも含めて、該当するフ
ィールドの項目と完全に一致させる必要があります。
Endpoint Security クライアントのイベント ログと McAfee ePO 脅威イベント ログのイベ
ントで、プロセスの署名者が正しい形式で表示されます。 例:
C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR, CN=MICROSOFT
WINDOWS
実行ファイルの SDN を取得するには:
1 実行ファイルを右クリックし、[プロパティ] を選択します。
2 [デジタル署名] タブで署名者を選択して、[詳細] をクリックします。
3 [全般] タブで [証明書の表示] をクックします。
4 [詳細] タブで、[サブジェクト] フィールドを選択します。 署名者の識別名が表示されます。
Firefox の場合、この署名者の識別名は次のようになります。
• CN = Mozilla Corporation
• OU = Release Engineering
• O = Mozilla Corporation
• L = Mountain View
• S = California
• C = US
[メモ]
188
項目の補足情報を入力します。
McAfee Endpoint Security 10.5
製品ガイド
6
適応型脅威対策の使用
Endpoint Security クライアント インターフェース リファレンス - 適応型脅威対策
適応型脅威対策 - オプション
適応型脅威対策 モジュールの設定を行います。
表 6-4
オプション
セクション オプション
定義
[オプショ
ン]
適応型脅威対策 モジュールを有効にします。
[適応型脅威対策を有効
にする]
デフォルトは有効です。
[Threat Intelligence
TIE サーバーがファイル情報を匿名で McAfee に送信します。
Exchange サーバーに
匿名での診断情報と使用
状況データの収集を許可
する]
[Threat Intelligence
Global Threat Intelligence サーバーに接続できない場合にファイル レピ
Exchange サーバーに
ュテーション情報を TIE プロキシから取得します。
接続できない場合に
McAfee GTI ファイル
レピュテーションを使用
する]
[ユーザーに設定の変更 管理対象システムで Threat Intelligence Exchange 1.0 の設定の変更を
を許可しない (Threat
禁止します。
Intelligence Exchange
1.0 クライアントのみ)]
[ルールの
割り当て]
[生産性]
[生産性] ルール グループを割り当てます。
信頼されたソフトウェアのインストールや更新が頻繁に発生する変更頻度
の高いシステムには、このグループを使用します。
このグループの場合、使用するルールの数が最小になります。 新しいファ
イルの検出時にプロンプトまたはブロックされる回数が最も少なくなりま
す。
[バランス]
[バランス] ルール グループを割り当てます。
新しいソフトウェアのリリースや変更の頻度が頻繁でない標準的なビジネ
ス システムには、このグループを使用します。
このグループでは、[生産性]グループよりも多くのルールが使用されるた
め、プロンプトまたはブロックが表示される回数も多くなります。
[セキュリティ]
[セキュリティ] ルール グループを割り当てます。
IT 管理のシステムや厳密な管理下にあるサーバーなど、変更の少ないシス
テムには、このグループを使用します。
[バランス] グループに比べると、プロンプトまたはブロック数の回数が多
くなります。
[Real
Protect ス
キャン]
[クライアント ベースの クライアント ベースの Real Protect スキャンを有効にして、クライアント
スキャンを有効にする] システムで機械学習を実行し、ファイルが既知のマルウェアと一致するかど
うか判断します。クライアント システムがインターネットに接続している
場合、Real Protect は、クラウドに利用統計情報を送信しますが、分析に
はクラウドを使用しません。
クライアント システムが TIE から評価情報を取得している場合には、誤検
知を回避するためにインターネットに接続する必要はありません。
ベストプラクティス: 誤検知を回避するために選択を解除するようにサポ
ートから指示されない限り、このオプションを選択してください。
Windows オペレーティング システムによっては、Real Protect 技術を使
用できません。 詳細については、KB82761 を参照してください。
McAfee Endpoint Security 10.5
製品ガイド
189
6
適応型脅威対策の使用
Endpoint Security クライアント インターフェース リファレンス - 適応型脅威対策
表 6-4
オプション (続き)
セクション オプション
定義
[クラウド ベースのスキ クラウド ベースの Real Protect スキャンを有効にして、ファイルの属性と
ャンを有効にする]
動作情報を収集し、クラウド上の機械学習システムに送信して分析を行いま
す。
このオプションを使用する場合、McAfee GTI レピュテーションの使用で誤
検知が発生しないように、インターネットに接続する必要があります。
ベストプラクティス: インターネットに接続していないシステムでは、ク
ラウドベースの Real Protect を無効にしてください。
Windows オペレーティング システムによっては、Real Protect 技術を使
用できません。 詳細については、KB82761 を参照してください。
[アクショ
ン施行]
[監視モードを有効にす
る]
適応型脅威対策 イベント (ブロックの可能性、駆除の可能性 または 隔離の
可能性) を生成し、サーバーに送信しますが、アクションは実行しません。
監視モードは、適応型脅威対策 の調整中にのみ、少数のシステムで一時的
に有効にしてください。
このモードを有効にすると、適応型脅威対策 はイベントの収集を行うだけ
でアクションを実行しません。このため、システムが脆弱になる可能性が
あります。
[レピュテーションしき レピュテーションが指定したしきい値に達したときにアプリケーションを
い値に達したときにアプ 隔離します。
リケーションの動的隔離 • [信頼できる可能性がある]
を開始する]
• [不明] ([セキュリティ] ルール グループのデフォルト)
• [不正な可能性がある] ([バランス] ルール グループのデフォルト)
• [不正な可能性がある] ([生産性] ルール グループのデフォルト)
• [不正なことが確認されている]
アプリケーションの動的隔離のしきい値は、「ブロック」と「駆除」のしき
い値よりも高くする必要があります。 たとえば、
「ブロック」のしきい値が
[不正なことが確認されている] に設定されている場合、アプリケーション
の動的隔離のしきい値は [不正な可能性が非常に高い] 以上に設定する必要
があります。
指定したレピュテーションしきい値に達したアプリケーションを環境内で
実行しようとすると、アプリケーションの動的隔離はコンテナー内での実行
を許可し、隔離ルールに従って安全でないアクションをブロックしたり、ロ
グに記録します。
190
McAfee Endpoint Security 10.5
製品ガイド
6
適応型脅威対策の使用
Endpoint Security クライアント インターフェース リファレンス - 適応型脅威対策
表 6-4
オプション (続き)
セクション オプション
定義
[レピュテーションしき ファイルのレピュテーションが特定のしきい値に達したときにファイルを
い値が次の場合にブロッ ブロックします。次のしきい値を指定します。
ク]
• [信頼できる可能性がある]
• [不明]
• [不正な可能性がある] ([セキュリティ] ルール グループのデフォルト)
• [不正な可能性がある] ([バランス] ルール グループのデフォルト)
• [不正なことが確認されている] ([生産性] ルール グループのデフォル
ト)
環境で特定のレピュテーションしきい値のファイルの実行が試行されると、
ファイルの実行は阻止されますが、ファイル自体は削除されません。 ファ
イルの安全性が確認され、実行する必要がある場合には、ファイルの実行を
許可するレピュテーション レベル (信頼できる可能性があるなど) に変更
します。
[レピュテーションしき
い値が次の場合に駆除]
ファイルのレピュテーションが特定のしきい値に達したときにファイルを
駆除します。次のしきい値を指定します。
• [不正な可能性がある]
• [不正な可能性が非常に高い]
• [不正なことが確認されている] ([バランス] と [セキュリティ] ルール
グループのデフォルト)
[生産性] ルール グループのデフォルトは選択されていません。
ベストプラクティス: 駆除時にファイルが削除される可能性があるため、
このオプションには「不正なことが確認されている」を指定してください。
McAfee Endpoint Security 10.5
製品ガイド
191
6
適応型脅威対策の使用
Endpoint Security クライアント インターフェース リファレンス - 適応型脅威対策
表 6-5 詳細オプション
セクション
オプション
説明
[Advanced
Threat
Defense]
[未確認のファイルを
McAfee Advanced
Threat Defense に送
信して分析する]
実行ファイルを McAfee Advanced Threat Defense に送信して分析
します。
有効にすると、次の場合に Advanced Threat Defense がポート 443
を使用して HTTPS 経由で 適応型脅威対策にファイルを送信します。
• ファイルに関する TIE の情報が Advanced Threat Defense サー
バーにない。
• ファイルのレピュテーションが指定したレベル以下になっている。
• ファイルのサイズが指定した制限以下になっている。
HTTPS で失敗すると、適応型脅威対策は HTTP 経由でファイルを送信
します。
Advanced Threat Defense サーバーの管理ポリシーに TIE サーバ
ーの情報を指定します。
[レピュテーションしき
い値が次の場合にファ
イルを送信]
ファイル レピュテーションが特定のしきい値に達したときに、
Advanced Threat Defense にファイルを送信します。
• [信頼できる可能性が非常に高い]
• [不明]
• [不正な可能性が非常に高い]
すべてのルール グループのデフォルトは [不明] です。
[サイズ制限 (MB)]
Advanced Threat Defense に送信するファイルのサイズを制限しま
す (1 MB から 10 MB)。
デフォルトは 5 MB です。
関連トピック:
185 ページの「適応型脅威対策 のオプションを設定する」
182 ページの「アプリケーションの動的隔離のトリガーしきい値を有効にする」
185 ページの「ファイルと証明書のブロックまたは許可」
186 ページの「Real Protect スキャンの使用」
192
McAfee Endpoint Security 10.5
製品ガイド
索引
A
Endpoint Security Client (続き)
Advanced Threat Defense 178
使用、レピュテーションの判定 174
送信先、ファイル 185
[AMCore コンテンツのロールバック] ページ 27
AMCore コンテンツ ファイル
システム スキャン 55
保護情報の表示 21
マルウェアのスキャン 55
Endpoint Security クライアント
解除、インターフェースのロック 26
Extra.DAT ファイル 28, 29
カスタム更新タスク、作成 37
Real Protect エンジンとコンテンツ 11
管理の種類 10
オンアクセス スキャンの概要 82
更新、セキュリティ対策 22
オンデマンド スキャンの概要 88
実行、スキャン 56
シグネチャとエンジンの更新 11
設定、更新のソース サイト 34
説明 10
設定、セキュリティ 32
適用型脅威対策スキャナーとルール 11
説明 14
変更、バージョン 27
使い方 12
Ask、安全性アイコン 158
デフォルトのクライアント更新タスク、スケジュール 37
デフォルトのクライアント更新タスク、設定 36
B
デフォルトのクライアント更新タスク、説明 36
Bing、安全性アイコン 158
表示、イベント ログ 23
表示、ヘルプ 20
開く 12
C
フル スキャンとクイック スキャン、スケジュール 92
Chrome
Web 管理のボタン 157
対応ブラウザー 155, 160
表示、サイト情報 160
有効、Web 管理プラグイン 159
Common モジュールの設定
設定 30
ロギング 31
CPU 時間、オンデマンド スキャン 91
保護、パスワード 32
ポリシー設定 16
ミラーリング タスク、設定 39
ミラーリング タスク、設定とスケジュール 38
モジュール 17
ログオン、管理者として 26
ログ、説明 24
Endpoint Security、管理 26
Endpoint Security、コンピューターの保護法法 10
Extended Support Release、参照:Firefox ESR、対応ブラウザー
D
Data Exchange Layer、適応型脅威対策 172, 173
DNS トラフィック、ブロック 130
Extra.DAT ファイル
AMCore コンテンツ ファイル 11
オンアクセス スキャンの概要 82
オンデマンド スキャンの概要 88
E
使用 28
Edge、Web 管理で非対応 155
Endpoint Security Client
管理タイプ 21
ダウンロード 29
バージョン情報 28
読み込み 29
起動 19
脅威検出の管理 59
脅威のサマリー 15
McAfee Endpoint Security 10.5
製品ガイド
193
索引
F
McAfee GTI (続き)
Web 管理の通信エラー 157
Firefox
ESR、対応ブラウザー 155
オンアクセス スキャン、機能 82
Web 管理のボタン 157
オンアクセス スキャン、設定 81
対応ブラウザー 155, 160
オンデマンド スキャン、機能 88
表示、サイト情報 160
オンデマンド スキャン、設定 87
概要、Web 管理 164
有効、Web 管理プラグイン 159
Firewall
概要、脅威対策 80
指定、プロキシ サーバーの設定 33
管理 128
除外対象 132
Firewall オプション
設定、感度レベル 80
変更 129
適応型脅威対策 172, 173
Firewall ルール
適応型脅威対策の接続状況 174
ワイルドカードの使用 140
ネットワーク レピュテーション、ファイアウォールで設定 129
ファイアウォール オプション、設定 129
G
GBOP シグネチャ、参照:汎用的なバッファー オーバーフロー対策のシ
グネチャ
Google
Chrome 155
安全性アイコン 158
ファイルのスキャン、ダウンロードの前 161, 163
ブロック イベント、サーバーへの送信 129
よくある質問、ファイアウォール 130
利用統計、フィードバック 80
McAfee Labs
AMCore コンテンツ ファイル、更新 11
Extra.DAT 29
対応する検索エンジン 158
GPEP シグネチャ、参照:汎用特権昇格防止シグネチャ
Extra.DAT のダウンロード 28
McAfee GTI 80, 130, 164
H
Host IPS、エクスプロイト防止 73
情報の入手、脅威 60
McAfee SECURE、Web 管理のボタン 157
McAfee アイコン、参照:システム トレイ アイコン、McAfee
I
McAfee クライアント、参照:Endpoint Security クライアント
Internet Explorer
ScriptScan、サポート 85
対応ブラウザー 155, 160
McAfee コア ネットワーク ルール グループ、ファイアウォール 138
McAfee システム トレイ アイコンに表示されたステータス、Endpoint
Security 12
表示、Endpoint Security のヘルプ 20
McAfee セキュリティ ステータス ページ、表示 12
表示、サイト情報 160
McAfee 定義の隔離ルール
有効、Web 管理プラグイン 159
IP アドレス 131
ベストプラクティス 183
McAfee 定義ルール、アクセス保護 68
位置情報を使用するグループ 135
McAfee 定義ルール、アプリケーションの動的隔離 183
信頼された 132
McAfee 保護クライアント、参照:Endpoint Security Client
ルール グループ 135
McTray、開始 89
Microsoft Internet Explorer、参照:Internet Explorer
M
Mozilla Firefox、参照:Firefox
McAfee Active Response、アプリケーション動的隔離 180
McAfee Agent
P
製品更新タスクとリポジトリ リスト 35
McAfee Endpoint Security Client、参照:Endpoint Security Client
McAfee ePO
PII、クラウドに送信されない 186
Product Improvement Program 178
管理タイプ 22
R
更新、セキュリティ対策 10
Real Protect スキャナー 180, 186
McAfee ePO Cloud 管理タイプ 22
McAfee GTI
管理 177
コンテンツ ファイルの更新 11
Real Protect スキャナー 186
Web Control 安全性評価 159
Web Control サイト レポート 158
Web カテゴリ 165
194
McAfee Endpoint Security 10.5
製品ガイド
索引
S
Web 管理 (続き)
有効、プラグイン 159
Safari (Macintosh)
Web 管理のボタン 157
ScriptScan
ログ ファイル 24
Web サイト
説明 85
安全性評価 159
対応、Internet Explorer のみ 85
閲覧保護 157
ベストプラクティス、除外対象 85
検索時の保護 158
表示、Web 管理サイト レポート 160
無効、デフォルト 85
有効 81
Web サイト、アクセス制御
Web カテゴリ 164, 165
安全性評価による 165
T
Threat Intelligence Exchange サーバー、参照:TIE サーバー
Threat Prevention
オンアクセス スキャン、設定 81
オンデマンド スキャン、説明 88
Web サイト、警告
安全性評価による 165
評価 164
Web サイト、ブロック
Web カテゴリ 164, 165
管理 63
安全性評価による 165
不審なプログラム、検出 78
危険なサイト、検索結果 161
TIE サーバー
評価 164
Real Protect スキャナー 186
適応型脅威対策 172, 173
適応型脅威対策の接続状況 174
未評価または不明 161
Windows 8 と 10
応答、脅威検出プロンプト 20
起動、Endpoint Security Client 19
U
説明、通知メッセージ 14
URL
Windows ストア アプリ、脅威の検出 82, 88
除外、ScriptScan 81
Windows の [優先度の設定] の値 91
除外、スクリプト スキャン 63
Y
W
Yahoo
安全性アイコン 158
Web Control
アイコンの説明 158
対応する検索エンジン 158
管理 161
デフォルトの検索エンジン 161
検索エンジンと安全性アイコン 158
サイト レポート 158
あ
バルーンとアイコン 161
アーカイブ ファイル、スキャンの回避 89
Web カテゴリ、ブロックと警告 165
Web カテゴリ、ブロックまたは警告 164
Web 管理
アーカイブ、スキャン オプションの指定 81, 87
アーカイブファイル、スキャンの回避 85
アイコン、McAfee、参照:システム トレイ アイコン、McAfee
Endpoint Security クライアント 17
アイコン、、参照:システム トレイ アイコン、McAfee
アクティビティ ログ 24
アイコン、Web Control 158
機能 155
アイドル時にスキャン 21
設定 161
アクション、Threat Prevention
説明 9
検出時に実行するアクションの指定 81
デバッグ ログ 24
不審なプログラム 79
動作、サイトとダウンロードの警告 156
動作、サイトとダウンロードのブロック 156
ユーザーに許可、感染ファイルの駆除と削除 81
アクション、脅威対策
表示、サイト情報 160
実行、隔離項目 60
表示、サイト レポート 160
指定、ウイルス検出時 87
ファイル ダウンロードのスキャン方法 163
ユーザーに許可、感染ファイルの駆除と削除 87
ボタン、説明 157
[アクション] メニュー、説明 14
メニュー 157
アクセス保護
有効 161
McAfee Endpoint Security 10.5
McAfee 定義ルール、設定 67
製品ガイド
195
索引
アクセス保護 (続き)
McAfee 定義ルール、説明 68
い
位置情報を使用するグループ
除外、プロセス 63
作成 141
説明 65
接続の分離 136
プロセス、対象と除外 67, 72
ユーザー定義ルール、設定 70
説明 135
イベント
ルール、説明 66
監視モード 177
例 65
イベント、Web 管理ブラウザー イベントの追跡 161
ログ ファイル 24
イベント ログ、Endpoint Security クライアント
アクセス保護ルール
更新エラー 22
除外と対象 72
説明 24
アクセス モード、Endpoint Security クライアント 16
アクティビティ ログ、Endpoint Security クライアント 24
圧縮されたアーカイブ ファイル、スキャンの回避 85, 89
表示、イベント ログ 23
今すぐ更新、ボタン 23
[今すぐスキャン] ボタン 56
アップグレード、クライアント ソフトウェアのコンポーネント 10
色、Web 管理のボタン 157
アドウェア、説明 61
インストーラーのスキャン、信頼 81
アドオン、ブラウザー、参照:プラグイン
アプリ、Windows ストア 82, 88
インターネット
Real Protect スキャナー 186
アプリケーション、隔離
管理、Endpoint Security クライアント 183
適応型脅威対策 173
インターフェース モード
許可、通常どおりの実行 182
設定、クライアント セキュリティ 32
アプリケーション、説明 133
標準アクセス 26, 32
アプリケーションの動的隔離
ロック、クライアント インターフェース 32
McAfee 定義ルール、設定 183
管理 177
管理、隔離されたアプリケーション 183
う
ウイルス
機能 180
許可、隔離されたアプリケーションの通常どおりの実行 182
検出、スキャン時 56
説明 179
検出に対する応答 20
適応型脅威対策 173
シグネチャ 11
プロセス、対象と除外 184
スキャンによる検出 58
ベストプラクティス 183
バージョン情報 61
有効、トリガーしきい値 182
アプリケーションの動的管理
ログ ファイル 24
アプリケーション保護ルール 75
え
影響のないスキャン 89
エクスプロイト
除外と対象 76
仕組み、バッファー オーバーフロー エクスプロイト 73
設定 76
ブロック、バッファー オーバースロー 76
アラート、Threat Prevention
オンデマンド スキャンの概要 88
アラート、ファイアウォール 14
安全性評価
ブロック、バッファー オーバーフロー 73
エクスプロイト防止
Host IPS 73
アプリケーション保護ルール 75
Web 管理 155
コンテンツ ファイル 74
Web サイトの評価方法 159
コンテンツ ファイルの更新 11
アクションの設定、サイトとダウンロード 164
除外、プロセス 63
安全性アイコン 158
設定 76
制御、サイトへのアクセス 165
説明 73
安全性レポート、参照:レポート、Web Control
説明、シグネチャ 74
安全な検索、Web 管理の設定 161
プロセス、対象と除外 76
ログ ファイル 24
エラー、更新 22
エラー メッセージ、システム トレイ アイコンの状態 12
196
McAfee Endpoint Security 10.5
製品ガイド
索引
エラー ログ、Endpoint Security クライアント 24
オンデマンド スキャン (続き)
リモート ストレージ スキャン 92
エンドポイント防止
プロセス、除外対象 77
ログ ファイル 24
右クリック スキャンの実行 58
お
応答の設定、不審なプログラム 79
か
オプション
開始、適応型脅威対策 177
オンアクセス スキャンの設定 81
書き込み時のスキャン
ワークフロー 82
設定、オンデマンド スキャン 87
マルウェアのスキャン 55
オプション、Common
設定 30
書き込みスキャン 82
拡張機能、ブラウザー、参照:プラグイン
隔離、脅威対策
再スキャン、隔離項目 62
ロギングの更新、設定 31
設定、場所と保存期間 80
オプション、脅威対策
共通のスキャン設定 80
隔離されたアプリケーション、アプリケーションの動的隔離
管理、Endpoint Security クライアント 183
不審なプログラム 78
オプション、共通設定
クライアント更新のソースサイト、設定 34
隔離されたアプリケーションのリスト、管理 183
隔離の可能性、イベント 177
クライアント更新のソース サイト、設定 34
隔離ページ 60
更新、設定 36
隔離ルール
更新の設定 34
アプリケーションの動的隔離 179
自己保護、設定 30
カスタム更新タスク、参照:タスク、Endpoint Security クライアント
スケジュール、オンデマンド スキャン 55
カスタム スキャン、参照:オンデマンド スキャン
プロキシ サーバー、設定 33
カスタム ルール、参照:ユーザー定義ルール、アクセス保護
オプション、ファイアウォール
管理者パスワード
信頼された実行ファイル 133
定義済みのネットワーク 131
効果 32
監視モード
Advanced Threat Protection イベント 177
オンアクセス スキャン
ScriptScan 85
適応型脅威対策イベント 177
概要 82
感度レベル、McAfee GTI 80, 164
脅威の検出 20
管理外、参照:自社管理、説明
最適化、信頼ロジック 82
管理者
除外、項目 63
定義 10
スキャン、スクリプト 85
パスワード 26
ログオン、Endpoint Security クライアント 26
スキャン ポリシーの数 87
設定 80, 81
管理者が追加したルール グループ、ファイアウォール 138
説明 55
管理者のログオン ページ
Endpoint Security Client の起動時 19
ディスクへの書き込み時とディスクからの読み取り時 82
不審なプログラムの検出、有効 79
ログ ファイル 24
ロックの解除、クライアント インターフェース 26
管理タイプ
[オンアクセス スキャン] ページ 59
説明 22
オンデマンド更新、参照:手動更新の実行
表示 21
オンデマンド スキャン
概要 88
システム使用率 91
実行、フル スキャンまたはクイック スキャン 56
除外、項目 63
設定 80
説明 55
ファイルまたはフォルダーのスキャン 58
不審なプログラムの検出、有効 79
プロンプトに対する応答 21
McAfee Endpoint Security 10.5
き
キーロガー、説明 61
機械学習、Real Protect スキャナー 186
期限付きグループ
管理、McAfee システム トレイ アイコンから 12
期限付きグループ、ファイアウォール
管理、システム トレイ アイコンから 128
作成 142
説明 128
製品ガイド
197
索引
危険度高プロセス、指定 81
クライアント ロギングの設定 31
危険度低プロセス、指定 81
グループ、ファイアウォール、参照:ファイアウォール ルール グループ
機能
Endpoint Security クライアント、ポリシーによるアクセス 16
グローバル除外対象、エクスプロイト防止 77
有効と無効 27
グローバル スキャン キャッシュ
オンアクセス スキャン 82
キャッシュ、グローバル スキャン
オンデマンド スキャン 88
オンアクセス スキャン 82
オンデマンド スキャン 88
け
脅威
AMCore コンテンツ ファイル 11
検索
Windows ストア アプリ 82, 88
安全性アイコン 158
アクセス ポイント違反 65
アクセス保護プロセス 65
結果からブロック、危険なサイト 161
検出
安全性評価 159
応答 20
隔離フォルダー 60
管理 56, 59
検出に対する応答 20
種類 58
検出の管理 59
タイプ 56
再スキャン、隔離項目 62
名前 61
種類 61
名前で除外 80
情報の入手、McAfee Labs から 60
メッセージ、ユーザーに表示 87
スキャンによる検出 58
ユーザーに表示するメッセージ 81
脅威対策
レポートの送信、管理サーバー 10
Endpoint Security クライアント 17
[検出結果の表示] ボタン 59
アクセス保護、機能 67
検出定義ファイル、参照:コンテンツ ファイル
エクスプロイト防止の機能 76
オプション、不審なプログラム 78
こ
オンアクセス スキャン、説明 82
攻撃、バッファー オーバーフロー エクスプロイト 73
オンデマンド スキャン、設定 87
更新
説明 9
ファイルのスキャン、ダウンロードの前 161, 163
脅威のサマリー、説明 15
[脅威をスキャン] ページ 58
共通設定モジュール、Endpoint Security クライアント 9, 17
共通設定モジュール、設定
McAfee GTI プロキシ サーバー、設定 33
[今すぐ更新] ボタン、Endpoint Security クライアント 22
キャンセル 22
更新内容 23
セキュリティ更新オプション 12
更新、Endpoint Security
設定、更新のソース サイト 34
設定、動作 34
クライアント インターフェース セキュリティ 32
設定とスケジュール、クライアント 37
クライアント更新のソース サイト、設定 34
デフォルトのクライアント更新、設定 36
更新設定 36
デフォルトのクライアント更新タスク、説明 36
更新の設定 34
更新、Threat Prevention
自己保護 30
Extra.DAT ファイル 29
ソース サイト、クライアント更新 34
更新、脅威対策
概要 11
く
確認、手動 12, 22
コンテンツ ファイル 10
クイック スキャン
実行、Endpoint Security クライアントから 56
種類、スキャン 55
更新、ファイアウォール
確認、手動 22
スケジュール、クライアント 92
更新ページ 22
設定 87
誤検知
駆除の可能性、イベント 177
クライアント、参照:Endpoint Security Client
減少、エクスプロイト防止の除外対象の作成 77
ファイアウォール、削減 133
クライアント インターフェース モード、オプション 16
個人を特定できる情報、参照:PII
クライアント ソフトウェア、定義 10
コンテンツ カテゴリ、参照:Web カテゴリ
198
McAfee Endpoint Security 10.5
製品ガイド
索引
コンテンツによるアクション、設定
Web 管理 165
自社管理、説明 22
システム使用率オプション、概要 91
コンテンツによるアクションの設定、Web 管理 164
システム スキャン、種類 55
コンテンツの更新 11
システム トレイ アイコン
セキュリティの更新、オプション 23
コンテンツの更新、クライアントから 22
コンテンツ ファイル
システム トレイ アイコン、McAfee 12, 32
Extra.DAT ファイル 28, 29
起動、Endpoint Security Client 19
オンデマンド スキャンの概要 88
更新、セキュリティ 12
検出 20
設定、Endpoint Security へのアクセス 32
更新、エクスプロイト防止 74
定義 12
更新の確認、手動 22
ファイアウォール期限付きグループ 12
手動確認、更新 12
有効化と表示、期限付きグループ 128
スケジュール、クライアントからの更新 37
有効化と無効化、ファイアウォール 127
説明 10
[システムのスキャン] ページ 56, 59
変更、AMCore バージョン 27
システム パフォーマンス
軽減、システムに対する影響 89
軽減、スキャンの影響 85
さ
サーバー システム、アイドル時にスキャン 89
サーバー、プロキシ、参照:プロキシ サーバー
事前定義のファイアウォール ルール グループ 138
実行ファイル
除外、アクセス保護 72
再開可能なスキャン、参照:差分スキャン
除外、エクスプロイト防止 76
サイト
信頼された、参照:信頼された実行ファイル
安全性評価 159
閲覧保護 157
検索時の保護 158
表示、Web 管理サイト レポート 160
ブロックと警告、動作 156
設定、信頼された 132
優先度、オンアクセス スキャン 91
手動更新、実行 22
手動スキャン
Endpoint Security Client から実行 58
サイト、アクセス制御
実行、Endpoint Security クライアントから 56
Web カテゴリ 164, 165
安全性評価による 165
サイト、警告
安全性評価による 165
評価 164
サイト、ブロック
Web カテゴリ 164, 165
安全性評価による 165
評価 164
サイト レポート、参照:レポート、Web Control
サブルール、アクセス保護
説明、スキャンの種類 55
証明書
評価の判定方法 174
証明書、スキャンの回避 82
ジョーク プログラム、説明 61
除外
URL の指定、ScriptScan 81
オンアクセス スキャンでのファイル、フォルダー、ドライブの指定
81
除外対象
McAfee GTI 132
対象と除外 72
ScriptScan、ベストプラクティス 85
評価、対象による 71
アクセス保護、すべてのルール 72
差分スキャン 89
アプリケーションの動的隔離 183, 184
エクスプロイト防止 77
し
エクスプロイト防止、すべてのルール 76
しきい値
オンデマンド スキャン、指定 87
有効、アプリケーションの動的隔離のトリガーしきい値 182
シグネチャ
既知の脅威情報 11
シグネチャ、エクスプロイト防止
除外、シグネチャ ID 77
グローバル、エクスプロイト防止 77
検出名 80
使用、ワイルドカード 64
設定 63
ルート レベル 64
設定 76
除外対象、エクスプロイト防止、参照:除外対象 エクスプロイト防止
説明 74
侵入、ファイアウォール アラートの有効化 129
自己保護、設定 30
McAfee Endpoint Security 10.5
信頼されたインストーラー、スキャン 81
製品ガイド
199
索引
信頼された実行ファイル
設定 132
スキャンの延期、概要 89
スキャンの回避
McAfee が選択する、スキャン オプション 82
定義 133
信頼済み証明書、スキャンの回避 82
信頼済み証明書 82
信頼できるネットワーク、参照:ネットワーク
ベストプラクティス、オンアクセス スキャン 85
信頼ロジック、オンアクセス スキャンの最適化 82
ベストプラクティス、オンデマンド スキャン 89
スキャン ページ、表示 20, 56
す
スクリプト スキャン
除外、URL 63
スキャナー
Real Protect 180
スクリプト、スキャン 85
スキャナー、Real Protect 186
スケジュール、オンデマンド スキャンの延期 89
スタート メニュー、Endpoint Security Client の起動 19
スキャン
Web 管理 163
スタック領域への攻撃、バッファー オーバーフロー エクスプロイト 73
延期、一時停止、再開、キャンセル 21
スタンドアロン、参照:自社管理、説明
カスタム、クライアントでの作成とスケジュール設定 92
ステータス
接続、確認 174
共通設定、オンアクセスとオンデマンド 80
実行、Endpoint Security クライアントから 56
[ステータス] ページ、脅威サマリーの表示 15
種類 55
ステルス型脅威、説明 61
スケジュール、Endpoint Security クライアント 92
スパイウェア、説明 61
プロンプトに対する応答 21
スレッド、優先度 91
読み取りと書き込み 82
スロットル、設定 91
ワイルドカードの使用、除外対象 64
右クリック スキャンの実行 58
せ
スキャン、アイドル時 89
脆弱性、参照:脅威
スキャン エンジン、AMCore コンテンツ ファイルの概要 11
製品更新
スキャン オプション、ユーザーに対する影響の軽減 85
確認、手動 12, 22
スキャン オプション、ユーザーへの影響を軽減 89
スケジュール、クライアント 37
スキャン、オンアクセス
ScriptScan 85
製品更新クライアント タスク
説明 35
概要 82
リポジトリ リスト 35
脅威の検出、Windows ストア アプリの脅威 82
セキュリティ
脅威の検出、応答 20
軽減、ユーザーへの影響 85
設定、クライアント インターフェースのセキュリティ 32
セキュリティ対策
最適化、信頼ロジック 82
維持、最新の状態 10
除外、項目 63
セキュリティの更新、システム トレイ オプション 23
設定 81
セキュリティ レベル
ポリシー数 87
例 185
スキャン、オンデマンド
接続、McAfee GTI または TIE サーバー 174
脅威の検出、Windows ストア アプリ 88
接続状況、確認 174
軽減、ユーザーへの影響 89
設定
システム使用率 91
クライアント更新のソース サイト、設定 34
除外、項目 63
更新、設定 34, 36
スケジュール、クライアント 92
設定 87
ソース サイト、設定 34
設定、Threat Prevention
リモート ストレージ スキャン 92
スキャン回避
オンアクセス スキャン 79
オンデマンド スキャン 79
ベストプラクティス、スキャン 63
設定、Web 管理
スキャン、カスタム、参照:スキャン、オンデマンド
アクセス制御、Web カテゴリ 165
スキャン キャッシュ
アクセス制御、安全性評価 165
オンアクセス スキャン 82
オンデマンド スキャン 88
[スキャン結果の表示] ボタン 56
200
McAfee Endpoint Security 10.5
制御、Web アクセス 164
設定、脅威対策
アクセス保護、機能 67
製品ガイド
索引
設定、脅威対策 (続き)
設定、不審なプログラム 78
つ
通知メッセージ
設定、適応型脅威対策
Windows 8 と 10 14
アプリケーションの動的隔離技術 183
説明 14
設定、ファイアウォール
使い方、Endpoint Security クライアント 12
オプション 132
設定ページ
オンアクセス スキャン、設定 81
て
オンデマンド スキャン、設定 87
定義、ネットワーク 131
管理、ファイアウォール ルールとグループ 139
適応型脅威対策
Endpoint Security クライアント 17
クライアント インターフェース モード 16
更新、設定 36
Real Protect スキャナー 186
更新の設定 34
アクティビティ ログ 24
変更、ファイアウォール オプション 129
アプリケーションの動的隔離技術 183
ロギングの設定 31
管理 177
コンテンツ ファイルの更新 11
[設定] ページ
クライアント インターフェースのセキュリティ、設定 32
コンポーネント 172
自己保護、設定 30
シナリオ 173
プロキシ サーバー、設定 33
設定 185
説明ページ 10
設定、アプリケーションの動的隔離のトリガーしきい値 182
そ
説明、Real Protect 186
説明 9, 171
デバッグ ログ 24
ソフトウェア更新
利点 171
確認、手動 12, 22
ログ ファイル 24
スケジュール、クライアント 37
ワークフローの例 177
適応モード
た
設定、ファイアウォール 129
対象
ルールの優先順位 133
アクセス保護サブルール 72
適応ルール グループ、ファイアウォール 138, 139
エクスプロイト防止、アプリケーション保護ルール 76
デスクトップ モード、Windows 8 と 10
対象、アクセス保護
応答、脅威検出プロンプト 20
評価、サブルールによる 71
例 71
対象の API モニタリング、シグネチャ 11
通知メッセージ 14
デバッグ ログ、Endpoint Security クライアント 24
デフォルトのクライアント更新タスク
ダイヤラー、説明 61
スケジュール、Endpoint Security クライアント 37
ダウンロード
設定 36
ブロックと警告、動作 156
設定、更新のソース サイト 34
ダウンロード要求、参照:ファイルのダウンロード
タスク、Endpoint Security
説明 36
デフォルト ルール グループ、ファイアウォール 138
デフォルトのクライアント更新、説明 36
タスク、Endpoint Security クライアント
と
カスタム更新、設定とスケジュール 37
動的ルール グループ、ファイアウォール 138
設定とスケジュール、ミラーリング タスク 38
トースト通知、Windows 8 と 10 14, 20
デフォルトのクライアント更新、スケジュール 37
ドメイン、ブロック 130
デフォルトのクライアント更新、設定 36
トラフィック
ミラーリング タスク、説明 39
タスク、脅威対策
カスタム スキャン、スケジュール 92
送信の許可、ファイアウォール サービスの開始まで 129
ファイアウォールによるスキャン 127
トロイの木馬
フルスキャンとクイック スキャン、スケジュール 92
検出、スキャン時 56
フル スキャンとクイック スキャン、説明 55
スキャンによる検出 58
バージョン情報 61
McAfee Endpoint Security 10.5
製品ガイド
201
索引
ファイアウォール (続き)
に
認証情報、リポジトリ リスト 35
説明 9
説明、期限付きグループ 12
デバッグ ログ 24
ね
ファイアウォール ルールの機能 133
ネットワーク
信頼された 132
定義 131
ネットワーク アダプター、接続許可 135
ネットワーク ドライブ、スキャン オプションの指定 81
ブロック、DNS トラフィック 130
変更、オプション 129
有効、McAfee システム トレイ アイコンから 12
有効化と表示、期限付きグループ 128
有効化と無効化、システム トレイ アイコンから 127
有効と無効 129
は
[バージョン情報] ページ 21
適応型脅威対策の接続状況 174
パスワード
アクセス制御、クライアント 32
管理者 26
設定、クライアント セキュリティ 32
パスワード クラッカー、説明 61
バックアップ、スキャン オプションの指定 81, 87
ハッシュ、説明 80, 164
バッファー オーバーフロー エクスプロイト、説明 73
パフォーマンス、参照:システム パフォーマンス
バルーン、Web Control 158, 161
汎用的なバッファー オーバーフロー対策、シグネチャ 11
汎用特権昇格の防止、シグネチャ 11
ルール、参照:ファイアウォール ルール
ログ ファイル 24
ファイアウォール グループ、参照:ファイアウォール ルール グループ
ファイアウォールの設定
オプション 132
ファイアウォール ルール
機能 133
許可とブロック 133
順番と優先順位 133
設定 133
ファイアウォールの機能 127
ファイアウォール ルール グループ
位置情報、作成 141
位置情報、説明 135
期限付きグループの管理、システム トレイ アイコン 128
期限付きグループの管理、システム トレイ アイコンから 12
ひ
作成、期限付きグループ 142
ヒープ領域への攻撃、バッファー オーバーフロー エクスプロイト 73
事前定義 138
評価、Web Control、参照:安全性評価
接続の分離 136
評価、安全性、参照:安全性評価
設定 133
標準アクセス モード
ファイアウォールの機能 127
管理、ファイアウォール ルールとグループ 139
効果、パスワードの設定 32
設定、クライアント セキュリティ 32
ポリシー設定 16
ログオン、管理者として 26
優先順位 135
ファイアウォール、ルール グループ
期限付きグループ、説明 128
ファイル
Endpoint Security クライアント ログ 23
管理、隔離 60
ふ
再スキャン、隔離 62
ファイアウォール
種類、スキャンの回避 85, 89
Endpoint Security クライアント 17
McAfee GTI FAQ 130
ワイルドカード、除外対象ワイルドカード 64
アクティビティ ログ 24
スキャンの実行 58
位置情報を使用するグループ、作成 141
設定、隔離 80
位置情報を使用するグループ、説明 135
評価の判定方法 174
管理、ルールとグループ 139
防止、変更 30
期限付きグループ、説明 128
ログ ファイル 24
スキャン対象外、特定のタイプ 63
ログ ファイルの設定 31
機能 127
コンテンツの更新、クライアントから 22
ファイル、コンテンツ
作成、期限付きグループ 142
Extra.DAT と AMCore 11
侵入アラート 14
Extra.DAT ファイル 28, 29
信頼された実行ファイル 133
Extra.DAT ファイルの使用 28
Extra.DAT ファイルの読み込み 29
202
McAfee Endpoint Security 10.5
製品ガイド
索引
ファイル、コンテンツ (続き)
フル スキャン
エクスプロイト防止 11
実行、Endpoint Security クライアントから 56
オンデマンド スキャンの概要 88
スケジュール、クライアント 92
シグネチャと更新 11
設定 87
説明 55
適応型脅威対策 11
変更、AMCore コンテンツのバージョン 27
プロキシ サーバー
設定、McAfee GTI 33
ファイル ダウンロード
設定、リポジトリ リスト 35
スキャン、脅威対策 163
ブロック、不明なサイト 161
プロセス
除外、エクスプロイト防止 76, 77
ブロックまたは警告、評価 164
対象と除外、アクセス保護 72
ファイルと証明書、送信 185
ファイルと証明書、ブロック 185
ファイルの送信、分析
Advanced Threat Defense 178
Product Improvement Program 178
プロセス、Threat Prevention
指定、危険度高と危険度低 81
スキャン 81
プロセス、アプリケーションの動的隔離
ファイル レピュテーション
応答、プロンプト 176
除外対象 184
プロセス、脅威対策
フィッシング詐欺、サイト ユーザーが送信したレポート 159
除外 63
ブート セクター、スキャン 81, 87
スキャン 82
フォルダー
管理、隔離 60
対象と除外、アクセス保護 67
プロセス、適応型脅威対策
再スキャン、隔離 62
スキャンの実行 58
対象と除外、アプリケーションの動的隔離 184
プロセスの設定、オンデマンド スキャン 91
設定、隔離 80
ブロックの可能性、イベント 177
ワイルドカード、除外対象 64
プロンプト、Endpoint Security
Windows 8 と 10 20
不審なプログラム
検出、スキャン時 56
応答 20
検出の設定 78
応答、ファイル レピュテーション 176
検出の有効化 79, 81
検出に対する応答 20
指定 78
スキャンに対する応答 21
指定、検出対象のプログラム 80
説明 14
除外、項目 63
スキャンによる検出 58
バージョン情報 61
有効化、検出 87
ワイルドカード、除外対象 64
不審なプログラム、検出 87
不審なプログラムの検出、有効 81
プライベート ネットワーク、外部サイトの追加 161
ブラウザー
対応 155, 160
動作、サイトとダウンロードのブロック 156
非対応 155
表示、サイト情報 160
無効、Web 管理プラグイン 161
有効、Web 管理プラグイン 159
ブラウザー アドオン、参照:プラグイン
ブラウザーの拡張機能、参照:プラグイン
プラグイン
有効 159
フル アクセス モード
変更、ファイアウォール オプション 129
ポリシー設定 16
McAfee Endpoint Security 10.5
へ
ページ
McAfee セキュリティ ステータス 12
イベント ログ 23
オンアクセス スキャン 20, 59
隔離 60
脅威をスキャン 58
更新 22
システムのスキャン 56, 59
スキャン、表示 56
設定 16, 30–34, 36, 87, 129
説明 10
バージョン情報 21
ロールバック、AMCore コンテンツ 27
ベストプラクティス
McAfee 定義の隔離ルール 183
Real Protect スキャナー 186
ScriptScan、除外対象 85
アプリケーションの動的隔離 183
改善、スキャン パフォーマンス 63
製品ガイド
203
索引
ベストプラクティス (続き)
軽減、オンアクセス スキャンの影響 85
め
メッセージ、Endpoint Security
軽減、オンデマンド スキャンの影響 89
説明 14
使用、信頼されたネットワーク 132
設定、クライアント セキュリティ 32
表示、脅威検出時 81, 87
メニュー
パスワード 32
Web 管理 160
プロキシ サーバーからの除外、McAfee GTI 33
アクション 14, 27
ヘルプ、表示 14, 20
設定 14, 16, 17, 129, 139
バージョン情報 21
ほ
ヘルプ 14, 20
保護
情報の表示 21
も
設定、自己保護 30
使い方 12
モジュール
Endpoint Security クライアント、ポリシーによるアクセス 16
保護情報、表示 21
インストール、Endpoint Security クライアント 17
ホスト侵入防止、エクスプロイト防止 73
情報の表示 21
ボタン
今すぐスキャン 56
検出結果の表示 59
スキャン結果の表示 56
ボタン、Web 管理 157
ポップアップと安全性評価 159
ポリシー
アクセス、Endpoint Security クライアント 16
クライアント機能 12
説明、Endpoint Security 9
モジュール、Common
ロギングの設定 31
モジュール、Web 管理
機能、McAfee GTI 164
モジュール、脅威対策
機能、McAfee GTI 80
モジュール、共通設定
McAfee GTI プロキシ サーバー、設定 33
定義 10
クライアント更新のソース サイト、設定 34
ポリシー、Common
更新、設定 36
設定 30
更新の設定 34
ポリシー、脅威対策
自己保護、設定 30
オンアクセス スキャン 87
設定、クライアント更新のソース サイト 34
オンデマンド スキャン、遅延 89
共通のスキャン設定 80
ゆ
ユーザー アカウント、クライアントに対するアクセス制御 32
ま
ユーザーが追加したルール グループ、ファイアウォール 138, 139
マルウェア
検出、スキャン時 56
検出に対する応答 20
スキャン 55
ユーザー定義ルール、アクセス保護
設定 70
優先順位
ファイアウォール グループ 135
スキャンによる検出 58
み
ファイアウォール ルール 133
よ
右クリック スキャン
Windows エクスプローラーから実行 58
設定 87
要件
Real Protect スキャナー 186
よくある質問、McAfee GTI 130
説明 55
ミラーリング タスク
設定 39
設定とスケジュール 38
読み取り時のスキャン
ワークフロー 82
読み取りスキャン 82
ら
ランサムウェア
作成、アクセス保護ルール 70
204
McAfee Endpoint Security 10.5
製品ガイド
索引
レピュテーション (続き)
り
リポジトリ リスト
概要 35
有効、アプリケーションの動的隔離のトリガーしきい値 182
レポート、Web Control 158, 159
Web サイトの安全性 158
クライアントの場所 35
表示 161
優先順位、リポジトリ リスト 35
リモート管理ツール、説明 61
レポート、Web 管理
リモート ストレージ スキャン、概要 92
安全性 155
リモート デスクトップ、アイドル時にスキャン 89
表示 160
る
ろ
ルート レベルの除外対象、参照:除外
ログ ファイル
更新エラー 22
ルール
アクセス保護、除外と対象 72
設定 31
アプリケーション保護、除外と対象 76
場所 24
表示 23
ルール、アクセス保護
種類 66
ロック、クライアント インターフェースのアクセス モード
効果、パスワードの設定 32
ルール、アプリケーションの動的隔離
設定 183
ロック、クライアント インターフェース モード
Endpoint Security Client の起動時 19
ベストプラクティス 183
解除、インターフェースのロック 26
ルール、エクスプロイト防止
ポリシー設定 16
アプリケーション保護ルール 75
ルール、脅威対策
アクセス保護の機能 65
設定 67
ルール グループ、ファイアウォール、参照:ファイアウォール ルール グ
ループ
ルール、ファイアウォール、参照:ファイアウォール
わ
ワークフローの例 177
ファイルの送信、分析 178
ファイルの普及度、設定と監視 177
モニタリングと調整 177
ワイルドカード
れ
レピュテーション
アプリケーションの動的隔離 179
接続状況、確認 174
判定方法 174
McAfee Endpoint Security 10.5
Firewall ルールで使用 140
使用、除外対象 64
除外対象 64
ルート レベルの除外対象 64
製品ガイド
205
0-16