ソフォスの推奨するウイルス対策および HIPS 設定

  • 文章 ID: 114345
  • 更新日: 2016 3 22

推奨されるウイルス対策および HIPS の設定は、コンソールの新規インストールでの新しいポリシーのデフォルトとしても設定され、SophosLabs によって推奨される最善の保護対策を提供します。

通常の使用では、「ウイルス対策および HIPS」をデフォルト設定で実行することをお勧めします。オンアクセス検索が有効に設定されている場合、より多くのシステムリソースが使用され、起動時の CPU の使用率が増加します。

影響を受けるソフォス製品とバージョン
Sophos Endpoint Security and Control 10.0
Enterprise Console

 

ソフォスの推奨するウイルス対策および HIPS 設定

機能 推奨される設定 設定方法
ウイルス検索
オンアクセス検索  有効

オンアクセス検索を有効にする手順

 
オンアクセス検索を設定する手順

ファイル検索のタイミング - 読み取ったとき  有効
ファイル検索のタイミング - 名前の変更  有効
ファイル検索のタイミング - 書き込んだとき  有効
アドウェアや不要と思われるアプリケーション  有効
圧縮ファイル内を検索する  無効
システムメモリを検索する  有効
拡張子
実行ファイルなど感染の可能性があるファイルのみを検索する  有効 オンアクセス検索対象の拡張子を設定する手順
クリーンアップ
ウイルス/スパイウェアを含むアイテムを自動クリーンアップする  有効 オンアクセス検索の自動クリーンアップを設定する手順
クリーンアップできなかった場合 - アクセス拒否のみ  有効
Web Protection
悪意のある Web サイトへのアクセスブロック  有効 Web Protection を設定する手順
ダウンロードスキャン  オンアクセス検索の設定と同じ
動作監視
動作監視  有効

動作監視 (HIPS) を有効にする手順

 
動作監視 (HIPS) を設定する手順

悪意のある動作を検知する  有効
悪質なトラフィックを検知する  有効
疑わしい動作を検知する  有効
疑わしい動作を警告するが、ブロックしない  有効
バッファオーバーフローを検知する  有効
警告するが、ブロックしない  無効
Live Protection
Live Protection  有効
ヘルプ: ライブスキャンを設定する
サンプルファイルをソフォスに自動送信する  有効

重要: 最新の推奨されうる保護設定の詳細については、ウイルス対策および HIPS ポリシーのデフォルト設定の文章をご覧ください。これらの設定はすべての新規インストールに対してデフォルトで適用されます。

 

ヒント: Policy Evaluation Tool (PET) を使用して、既存のウイルス対策および HIPS ポリシーが推奨設定を使用しているかどうかを確認できます。詳細は、次のサポートデータベースの文章を参照してください。Sophos Enterprise Console - Sophos Policy Evaluation Tool

 

関連情報

 

主な設定に関する情報は以下です。

読み取り時の検索

この検索はすべての状況に対して「有効」に設定しておく必要があります。オンアクセス検索ではクライアントマシン上のウイルスの有無をチェックします。コンピュータ上で開かれるすべてのファイルは、実行される前に確認されます。

書き込み時の検索

ネットワーク上の感染源を追跡したり、感染ファイルがインターネット経由に書き込まれる場合などに書き込み時の検索が役立ちます。ファイルが作成された場合に、ハードドライブに書き込まれたファイルが自分のコンピュータか、別のコンピュータのいずれによって書き込まれたかをチェックします。これによって、ネットワーク上のすべての共有ディレクトリから感染ファイルが拡散するのを阻止できます。

書き込み時の検索は、ネットワーク共有から拡散するウイルスの追跡に非常に有効ですが、特に管理共有のセキュリティなどのネットワーク上のファイル共有についてもチェックする必要があります。

ファイル名変更時の検索

ファイル名変更時の検索は、書き込み時の検索と同様の状況で役立ちますが、この検索で検出されるファイルは、最初は実行可能ファイルでないように書き込まれながら、実行可能なファイルに名前変更されるようなファイルです。ファイル名変更時の検索は、書き込み時の検索と同様の状況で使用する必要があります。

圧縮ファイルのオンアクセス検索

圧縮ファイルのオンアクセス検索では大量のメモリを使用します。圧縮ファイルのオンアクセス検索が使用される場合、Windows エクスプローラで圧縮ファイルが閲覧されるごとにファイルの中身がすべてチェックされます。ファイルが自己解凍型ファイルである場合、オンアクセス検索のデフォルト設定によって自己解凍コンポーネントがチェックされます。このため、オンアクセス検索によって、毎回すべてのファイルを確認する必要はありません。

圧縮ファイルの検索によってメモリおよび CPU の使用率が上昇したとして、それらのファイルがアクセスされない場合には無駄な処理になってしまいます。クライアントコンピュータ上にある圧縮ファイルにオンアクセス検索を使用する必要はありません。

  • 圧縮ファイルを開く前にチェックする必要がある場合、右クリック検索を活用します。ファイルの中身は、実行する前にオンアクセス検索によっていずれにしてもチェックされます。
  • 圧縮ファイルのグループをチェックする必要がある場合、すべてのファイルを同一のフォルダ内に置き、そのフォルダに対して右クリック検索を実行します。
  • サーバー上の圧縮ファイルをチェックする必要がある場合、スケジュール検索を活用します。

圧縮ファイルのオンアクセス検索は、スルートラフィックの一部などとして、サーバーがクライアントコンピュータにファイルを転送する前にチェックを行うような場合に役立ちます。標準のネットワーク設定の一部ではありません。

不要と思われるアプリケーションのオンアクセス検索

不要と思われるアプリケーション (PUA) は、使用に関して慎重に管理が必要なプログラムです。その中の一部のアプリケーション (ネットワークアクセス ツールやインスタントメッセンジャー クライアント) は一部の従業員にとっては有用なものです。これらのプログラムが既にネットワーク上で使用されていながら、ソフォスによって不要と思われるアプリケーションのリストに追加された場合、そのアプリケーションは即座にブロックされます。

ビジネス環境であれば、不要と思われるアプリケーション (PUA) の管理にはスケジュール検索を使用します。この場合、ネットワーク上の操作に支障をきたすことなく、使用を許可するアプリケーション、ブロックするアプリケーションを決定できます。

すべてのファイルの検索

「すべてのファイル」の検索は、ウイルスの駆除後にウイルスのすべてのコンポーネントが削除されたことを確認するために使用する必要がありますが、一般的には使用する必要はありません。

標準の「実行ファイルのみ」の検索では、実行ファイルの拡張子 (「.DOC」、「.EXE」、 「.LNK」、「 .PIF」) が付いたファイルをすべてチェックします。また、すべてのファイルの構造を簡単にチェックし、実行ファイル形式のファイルはスキャンします。

  • 別のファイルタイプも検索の対象にする場合は、検索するファイル拡張子のリストにそれらのファイルタイプの拡張子を追加してください。
  • コンピュータ上のすべてのファイルを一定の間隔でチェックした方が安全あると考える場合には、業務活動の少ない時間 (日曜日の午後など) に毎週スケジュール検索を実行するように設定してください。

コンピュータ上のすべてのファイルを検索する場合、以下の点に考慮してください。

  • 「すべてのファイル」の検索には実行ファイルのみの検索よりも、非常に長い時間がかかります。
  • ほとんどの場合、実行ファイル以外のファイルの削除が必要になることはありません。
  • 「すべてのファイル」検索でファイルを削除する場合には注意してください。感染メールが1件だけしかないメールボックスを除去したり、非感染ファイルの中に感染ファイルが1つだけしかないアーカイブファイルを削除してしまう可能性があります。

ウイルス/スパイウェアを含むアイテムを自動クリーンアップする

Endpoint 10 では、オンアクセス検索に対する「ウイルス/スパイウェアを含むアイテムを自動クリーンアップする」の設定はデフォルトで有効になっています。このオプションが有効になっていることで、コンソールにレポートされるマルウェアを処理する管理タスクが軽減されます。また、このオプションを設定している場合には、マルウェア アイテムは正常に処理されるため、ダッシュボードやコンソールのクライアントコンピュータ名に対して警告は表示されません。警告の履歴とレポートには、すべてのマルウェア検知のイベントで含まれます。

検出後の動作は「アクセス拒否のみ」に設定しておくことを強くお勧めします

悪意のある動作を検知する

悪意のある動作は、HIPS に対して有効にする必要があり、疑わしい動作の検知の親オプションになります。悪意のある動作の検知を無効にすると、HIPS を完全にオフに切り替えることになります。このオプションは選択しておくことをお勧めします。

疑わしい動作を検知する

疑わしい動作の検知によって、マルウェアのような動作のアイテムは検出されますが、ファイル/プログラムが問題ないことが分かっている場合には認証できます。デフォルトでは、このオプションは有効に設定されていますが、「警告のみ」というパススルーのオプションの場合にはファイルはブロックされません。

Endpoint 10 へのアップグレード時に、現在の設定がどのように統合されるかについての詳細は、114528 の文章をご覧ください。

バッファオーバーフローを検知する

バッファオーバーフロー攻撃の危険性があります。ただし、疑わしい動作の検知と同様に、報告されたファイル/プログラムが問題ないことが分かっている場合には認証できます。

Live Protection

ソフォス ライブ スキャンは、過剰検出を低減し、高い精度で最新のマルウェアを検出します。最新の情報が保存されるソフォスのマルウェアデータベースをリアルタイムに参照することで、新しい脅威にすばやく対応できます。新種マルウェアとして検出された場合、ソフォスから脅威定義ファイルのアップデート版を数秒内に受信できます。この高度な保護対策を活用するには、このオプションにデフォルト設定の「有効」をそのまま適用しておくことをお勧めします。

詳細は、サポートデータベースの文章 110921 を参照してください。

バージョン 10.0 でのその他の保護機能

バージョン 10.0 には、最大レベルの保護を提供するための以下の機能があります。

  • スケジュール検索での自動クリーンアップ

 
詳細情報が必要な場合やご不明の点がある場合は、 テクニカルサポート までご連絡ください。

Rate this article

Very poor Excellent

Comments