はじめに
このドキュメントでは、除外の概要、除外を特定する方法、およびCisco Secure Endpointで除外を作成するためのベストプラクティスについて説明します。
免責事項
このドキュメントの情報は、Windows、Linux、およびmacOSオペレーティングシステムに基づくものです。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
概要
このドキュメントを読むと、次の項目について理解できます。
- 除外の概要と、Cisco Secure Endpointで使用できるさまざまなタイプの除外について説明します。
- 除外チューニング用にコネクタを準備する方法
- 潜在的に強力な除外を特定する方法
- Cisco Secure Endpoint Consoleで新しい除外を作成する方法
- 除外を作成するためのベストプラクティスは何ですか。
除外の概要
除外セットとは、コネクタでスキャンや処罰を行わないようにするディレクトリ、ファイル拡張子、ファイルパス、プロセス、脅威の名前、アプリケーション、または侵入の痕跡(indicators of compromise)のリストです。Secure Endpointなどのエンドポイント保護が有効な場合、マシンのパフォーマンスとセキュリティのバランスを保つために、除外は慎重に作成する必要があります。この記事では、Secure Endpoint Cloud、TETRA、SPP、およびMAPの除外について説明します。
すべての環境は、厳格なポリシーからオープンなポリシーまで異なり、その環境を制御するエンティティと同様に固有です。したがって、除外は各状況に合わせて独自に調整する必要があります。
除外は、Cisco-Maintained除外とカスタム除外の2つの方法で分類できます。
シスコが保持する除外
Cisco-Maintained除外は、調査に基づいて作成され、一般的に使用されるオペレーティングシステム、プログラム、およびその他のセキュリティソフトウェアで厳格なテストを受けた除外です。これらの除外は、Secure Endpoint ConsoleのExclusions
ページでCisco-Maintained Exclusions
を選択することで表示できます。
シスコは、アンチウイルス(AV)ベンダーによって公開された推奨される除外リストを監視し、推奨される除外を含むようにCisco-Maintained除外を更新します。
注:一部のAVベンダーは、推奨される除外を公開しない場合があります。この場合、お客様はAVベンダーに連絡して推奨される除外リストを要求し、サポートケースを開いてCisco-Maintained除外リストを更新する必要があります。
カスタム除外
カスタム除外は、エンドポイントでのカスタム使用例のためにユーザが作成した除外です。これらの除外を表示するには、Secure Endpoint ConsoleのExclusions
ページでCustom Exclusions
を選択します。
除外のタイプ
プロセスの除外
プロセスの除外により、管理者はサポートされているエンジンからプロセスを除外できます。次の表に、各プラットフォームでプロセス除外をサポートするエンジンの概要を示します。
オペレーティング システム |
[Engine] |
ファイルスキャン |
システムプロセスの保護 |
悪意のあるアクティビティの保護 |
行動保護 |
Windows |
✓ |
✓ |
✓ |
✓ |
Linux |
✓ |
0.✗ |
0.✗ |
✓ |
MacOS |
✓ |
0.✗ |
0.✗ |
0.✗ |
MacOSおよびLinux
プロセス除外を作成する場合は、絶対パスを指定する必要があります。オプションのユーザーを指定することもできます。パスとユーザーの両方を指定する場合、プロセスを除外するには両方の条件を満たす必要があります。ユーザーを指定しない場合は、プロセスの除外がすべてのユーザーに適用されます。
注:macOSおよびLinuxでは、プロセスの除外はすべてのエンジンに適用されます。
ワイルドカードの処理:
セキュアエンドポイントLinuxおよびmacOSコネクタは、プロセスの除外内でワイルドカードを使用してサポートします。これにより、除外される項目が少ない広範なカバレッジが可能になりますが、定義されていない項目が多すぎる場合は危険です。必要な除外を指定するために必要な最小文字数をカバーするには、ワイルドカードのみを使用する必要があります。
macOSおよびLinuxでのプロセスワイルドカードの使用:
- ワイルドカードは、1つのアスタリスク(*)を使用して表されます
- ワイルドカードは、単一文字または完全なディレクトリの代わりに使用できます。
- パスの先頭にワイルドカードを置くことは無効と見なされます。
- ワイルドカードは、スラッシュまたは英数字の2つの定義済み文字の間で機能します。
例:
除外 |
予想される結果 |
/Library/Java/JavaVirtualMachines/*/java |
JavaVirtualMachinesのすべてのサブフォルダ内のjava を除外します。 |
/Library/Jibber/j*bber |
jabber 、jibber 、jobber などのプロセスを除外します。 |
Windows
プロセス除外を作成する際に、プロセス実行可能ファイルの絶対パスまたはSHA-256を指定できます。パスとSHA-256の両方を指定する場合、プロセスを除外するには両方の条件を満たす必要があります。
Windowsでは、パス内でCSIDLまたはKNOWNFOLDERIDを使用してプロセス除外を作成することもできます。
注意:除外されたプロセスによって作成された子プロセスは、デフォルトでは除外されません。プロセスの除外を作成する際に追加のプロセスを除外するには、Apply to Child Processe
を選択します。
制限:
- プロセスのファイルサイズがポリシーで設定されているスキャンファイルの最大サイズよりも大きい場合、プロセスのSHA-256は計算されず、除外は機能しません。最大スキャンファイルサイズよりも大きいファイルには、パスベースのプロセス除外を使用します。
- Windowsコネクタでは、すべてのプロセス除外タイプに対して500のプロセス除外の制限が課されます。
注:Windowsでは、プロセスの除外はエンジンごとに適用されます。同じ除外を複数のエンジンに適用する必要がある場合は、該当するエンジンごとにプロセス除外を複製する必要があります。
ワイルドカードの処理:
セキュアエンドポイントWindowsコネクタは、プロセスの除外内でワイルドカードを使用してサポートします。これにより、除外される項目が少ない広範なカバレッジが可能になりますが、定義されていない項目が多すぎる場合は危険です。必要な除外を指定するために必要な最小文字数をカバーするには、ワイルドカードのみを使用する必要があります。
Windowsのプロセスワイルドカードの使用:
- ワイルドカードは、単一のアスタリスク文字()と二重のアスタリスク(*)を使用して表されます
- 単一のアスタリスクのワイルドカード(*):
- ワイルドカードは、単一文字または完全なディレクトリの代わりに使用できます。
- パスの先頭にワイルドカードを置くことは無効と見なされます。
- ワイルドカードは、スラッシュまたは英数字の2つの定義済み文字の間で機能します。
- パスの最後にワイルドカードを置くと、そのディレクトリ内のすべてのプロセスが除外されますが、サブディレクトリは除外されません。
- ダブルアスタリスクワイルドカード(**):
- パスの終端にのみ配置できます。
- パスの最後にワイルドカードを置くと、そのディレクトリ内のすべてのプロセスとサブディレクトリ内のすべてのプロセスが除外されます。
- これにより、最小限の入力で非常に大きな除外セットが可能になりますが、可視性のために非常に大きなセキュリティホールが残ります。この機能は、細心の注意を払って使用してください。
例:
除外 |
予想される結果 |
C:\Windows\*\Tiworker.exe |
Windows のサブディレクトリにあるすべてのTiworker.exe プロセスを除外します。 |
C:\Windows\P*t.exe(登録ユーザ専用) |
Pot.exe 、Pat.exe 、P1t.exe などは除外されます。 |
C:\Windows\*chickens.exe |
Windows ディレクトリ内でchickens.exe で終わるすべてのプロセスを除外します。 |
C:\* |
C: ドライブのすべてのプロセスを除外しますが、サブディレクトリのプロセスは除外しません |
C:\** |
C: ドライブ上のすべてのプロセスを除外します。 |
脅威の除外
脅威の除外により、特定の脅威名をトリガーイベントから除外できます。イベントが誤検出の結果であることが確実である場合にのみ、脅威の除外を使用する必要があります。この場合、脅威の除外として、イベントからの正確な脅威名を使用します。このタイプの除外を使用する場合、脅威名の真の正検出でさえ検出、隔離、またはイベントの生成は行われないことに注意してください。
注:脅威の除外では大文字と小文字が区別されません。例:W32.Zombies.NotAVirus
とw32.zombies.notavirusはどちらも同じ脅威名に一致します。
警告:徹底的な調査により脅威名が誤検出されていることが確認されていない限り、脅威を除外しないでください。除外された脅威は、レビューおよび監査のためにイベントタブに表示されなくなりました。
パスの除外
アプリケーションの競合は通常、ディレクトリの除外を伴うため、パスの除外が最も頻繁に使用されます。絶対パスを使用してパス除外を作成できます。Windowsでは、CSIDILまたはKNOWNFOLDERIDを使用してパス除外を作成することもできます。
たとえば、WindowsのProgram Files
ディレクトリにあるAVアプリケーションを除外する場合、除外パスは次のいずれかになります。
C:\Program Files\MyAntivirusAppDirectory
CSIDL_PROGRAM_FILES\MyAntivirusAppDirectory
FOLDERID_ProgramFiles\MyAntivirusAppDirectory
注:パスの除外は再帰的で、すべてのサブディレクトリも除外します。
部分的なパスの一致(Windowsのみ)
末尾のスラッシュがパスの除外に指定されていない場合、Windowsコネクタはパスの部分的な一致を行います。MacとLinuxでは、部分的なパス一致はサポートされていません。
たとえば、Windowsで次のパスの除外を適用する場合は、次の手順を実行します。
C:\Program Files
C:\test
その後、次のパスはすべて除外されます。
C:\Program Files
C:\Program Files (x86)
C:\test
C:\test123
"C:\test"
からの除外を"C:\test\"
に変更すると、"C:\test123"
は除外されなくなります。
ファイル拡張子の除外
ファイル拡張子を除外すると、特定の拡張子を持つすべてのファイルを除外できます。
キー ポイント:
- セキュアエンドポイントコンソールで想定される入力は
.extension
です。
- ファイル拡張子が追加されていない場合は、Secure Endpoint Consoleが自動的にピリオドをファイル拡張子の先頭に追加します。
- 拡張子では大文字と小文字が区別されません。
たとえば、すべてのMicrosoft Accessデータベースファイルを除外するには、次の除外を作成します。
.MDB
注:標準のファイル拡張子の除外はデフォルトのリストで使用できます。これらの除外を削除することはお勧めできません。削除すると、エンドポイントのパフォーマンスが変更される可能性があります。
ワイルドカードの除外
ワイルドカードの除外は、パスまたはファイル拡張子の除外と同じですが、パスまたは拡張子の中でワイルドカードを表すためにアスタリスク(*)を使用できる点が異なります。
たとえば、macOS上の仮想マシンをスキャンから除外する場合は、次のパス除外を入力します。
/Users/johndoe/Documents/Virtual Machines/
ただし、この除外は1人のユーザに対してのみ有効です。パス内のユーザ名をアスタリスクに置き換え、ワイルドカード除外を作成して、このディレクトリをすべてのユーザに対して除外します。
/Users/*/Documents/Virtual Machines/
注意:ワイルドカード除外はパス区切りで止まらず、意図しない除外の原因となる可能性があります。たとえば、C:\*\test はC:\sample\test
とC:\1\test** またはC:\sample\test123
を除外します。
警告:アスタリスク文字で除外を開始すると、パフォーマンスに重大な問題が発生する可能性があります。CPUへの影響を軽減するために、アスタリスクで始まるすべての除外を削除または変更します。
Windows
Windowsでワイルドカード除外を作成する場合は、すべてのドライブ文字に適用
するオプションがあります。このオプションを選択すると、ワイルドカードの除外がマウントされているすべてのドライブに適用されます。
同じ除外を手動で作成する場合は、^[A-Za-z]
を先頭に付加する必要があります。次に例を示します。
^[A-Za-z]\testpath
どちらの例でも、C:\testpathとD:\testpathは除外されます。
Secure Endpoint Consoleは、ワイルドカード除外に対してApply to all drive letters
が選択されている場合に、^[A-Za-z]
を自動的に生成します。
実行可能ファイルの除外(Windowsのみ)
実行可能ファイルの除外は、Exploit Preventionが有効になっているWindowsコネクタにのみ適用されます。実行可能ファイルを除外すると、特定の実行可能ファイルがエクスプロイト防止によって保護されなくなります。問題またはパフォーマンスの問題が発生している場合にのみ、実行可能ファイルをエクスプロイト防止から除外する必要があります。
保護されたプロセスの一覧を確認し、アプリケーションの除外フィールドに実行可能ファイル名を指定して、保護から除外することができます。実行可能ファイルの除外は、name.exe
形式の実行可能ファイル名と正確に一致する必要があります。ワイルドカードはサポートされていません。
注:Secure Endpoint Console経由の実行可能ファイルの除外を使用して除外できるのは、アプリケーションだけです。DLLに関連する除外を作成するには、サポートケースを開く必要があります。
エクスプロイト防止の正しい除外を見つけることは、他の除外タイプよりもはるかに集中的なプロセスであり、有害なセキュリティホールを最小限に抑えるために広範なテストが必要です。
IOCの除外(Windowsのみ)
IOCの除外により、クラウドの侵入の痕跡を除外できます。これは、署名されていない可能性があり、特定のIOCが頻繁にトリガーされる原因となるカスタムアプリケーションまたは内部アプリケーションがある場合に役立ちます。Secure Endpoint Consoleには、IOC除外の指標のリストが表示されます。除外するインジケータは、ドロップダウンから選択できます。
注:重大度が高い、または重大なIOCを除外すると、そのIOCが見えなくなり、組織がリスクにさらされる可能性があります。これらのIOCに対して大量の偽陽性検出が発生した場合にのみ、除外する必要があります。
CSIDLおよびKNOWNFOLDERID(Windowsのみ)
CSIDLおよびKNOWNFOLDERIDの値は、Windowsのパスとプロセスの除外を記述する際に受け入れられ、推奨されます。CSIDL/KNOWNFOLDERID値は、代替ドライブ文字を使用する環境のプロセスとパスの除外を作成する場合に役立ちます。
CSIDL/KNOWNFOLDERIDを使用する際には、考慮する必要のある制限事項があります。環境で複数のドライブ文字にプログラムをインストールする場合、CSIDL/KNOWNFOLDERIDの値は、既定または既知のインストール場所としてマークされたドライブのみを参照します。
たとえば、OSがC:\
にインストールされているが、Microsoft SQLのインストールパスが手動でD:\
に変更されている場合、維持管理対象除外リストでのCSIDL/KNOWNFOLDERIDに基づく除外は、そのパスには適用されません。つまり、CSIDL/KNOWNFOLDERIDを使用するとマップされないため、C:\
ドライブに存在しないパスまたはプロセスの除外ごとに1つの除外を入力する必要があります。
詳細については、次のWindowsのマニュアルを参照してください。
注:KNOWNFOLDERIDは、Windowsコネクタ8.1.7以降でのみサポートされています。以前のバージョンのWindowsコネクタでは、CSIDL値を使用します。
注意: KNOWNFOLDERID値では大文字と小文字が区別されます。たとえば、無効なvalueFolderID_programfiles
ではなく、valueFOLDERID_ProgramFiles
を使用する必要があります。
除外チューニング用のコネクタの準備
除外チューニング用にコネクタを準備するには、次の操作を行う必要があります。
- デバッグモードで実行するポリシーとグループを設定します。
- 通常の業務操作に従って新しいデバッググループのコンピュータを実行し、十分なコネクタログデータを取得する時間を確保します。
- 除外の識別に使用するコネクタの診断データを生成します。
デバッグモードを有効にし、異なるオペレーティングシステムで診断データを収集する手順については、次の文書を参照してください。
除外の特定
MacOSおよびLinux
デバッグモードで生成された診断データには、除外の作成に役立つ2つのファイルfileops.txtとexecs.txtが用意されています。fileops.txtファイルはパス/ファイル拡張子/ワイルドカード除外の作成に役立ち、execs.txtファイルはプロセス除外の作成に役立ちます。
プロセスの除外の作成
execs.txtファイルには、セキュアエンドポイントでファイルスキャンの実行をトリガーした実行可能パスがリストされています。各パスには、スキャンされた回数を示すカウントが関連付けられ、リストは降順でソートされます。このリストを使用して、大量の実行イベントが発生しているプロセスを特定し、プロセスパスを使用して除外を作成できます。ただし、一般的なユーティリティプログラム(/usr/bin/grepなど)やインタプリタ(/usr/bin/rubyなど)を除外することは推奨されません。一般的なユーティリティプログラムまたはインタープリタが大量のファイルスキャンを生成している場合は、より対象を絞った除外を試して作成するために、さらに調査を行うことができます。
- 親プロセスを除外する:プロセスを実行しているアプリケーションを特定し(たとえば、grepを実行している親プロセスを見つけます)、この親プロセスを除外します。これは、親プロセスをプロセス除外に安全に設定できる場合にのみ行う必要があります。親プロセスの除外が子プロセスに適用される場合、親プロセスからの子プロセスへの呼び出しも除外されます。
- 特定のユーザのプロセスを除外する:プロセスを実行しているユーザを特定します。特定のユーザによって大量に実行されているプロセスを特定のユーザのみに対して除外できます(たとえば、ユーザ「root」によってプロセスが大量に呼び出されている場合、そのプロセスを除外できますが、指定されたユーザ「root」に対してのみ、Secure Endpointで「root」以外のユーザによる特定のプロセスの実行を監視できます)。
execs.txtの出力例を示します。
33 /usr/bin/bash
23 /usr/bin/gawk
21 /usr/bin/wc
21 /usr/bin/sleep
21 /usr/bin/ls
19 /usr/bin/pidof
17 /usr/bin/sed
14 /usr/bin/date
13 /usr/libexec/gdb
13 /usr/bin/iconv
11 /usr/bin/cat
10 /usr/bin/systemctl
9 /usr/bin/pgrep
9 /usr/bin/kmod
7 /usr/bin/rm
6 /usr/lib/systemd/systemd-cgroups-agent
6 /usr/bin/rpm
4 /usr/bin/tr
4 /usr/bin/sort
4 /usr/bin/find
パス、ファイル拡張子、およびワイルドカード除外の作成
fileops.txtファイルには、ファイルの作成、変更、および名前の変更アクティビティによってSecure Endpointがファイルスキャンを実行するためにトリガーされたパスがリストされています。各パスには、スキャンされた回数を示すカウントが関連付けられ、リストは降順でソートされます。パスの除外を開始する方法の1つは、fileops.txtから最も頻繁にスキャンされるファイルおよびフォルダパスを見つけ、それらのパスのルールを作成することを検討することです。カウントが高くても、パスを除外する必要があるとは限りません(たとえば、電子メールを保存するディレクトリは頻繁にスキャンできますが、除外する必要はありません)。このリストは、除外する候補を特定するための開始点となります。
fileops.txtの出力例は次のとおりです。
31 /Users/eugene/Library/Cookies/Cookies.binarycookies
24 /Users/eugene/.zhistory
9 /Users/eugene/.vim/.temp/viminfo
9 /Library/Application Support/Apple/ParentalControls/Users/eugene/2018/05/10-usage.data
5 /Users/eugene/Library/Cookies/HSTS.plist
5 /Users/eugene/.vim/.temp/viminfo.tmp
4 /Users/eugene/Library/Metadata/CoreSpotlight/index.spotlightV3/tmp.spotlight.state
3 /Users/eugene/Library/WebKit/com.apple.Safari/WebsiteData/ResourceLoadStatistics/full_browsing_session_resourceLog.plist
3 /Library/Logs/Cisco/supporttool.log
2 /private/var/db/locationd/clients.plist
2 /Users/eugene/Desktop/.DS_Store
2 /Users/eugene/.dropbox/instance1/config.dbx
2 /Users/eugene/.DS_Store
2 /Library/Catacomb/DD94912/biolockout.cat
2 /.fseventsd/000000000029d66b
1 /private/var/db/locationd/.dat.nosync0063.arg4tq
経験則として、ログファイルまたはジャーナルファイルの拡張子を持つファイルはすべて、適切な除外候補と見なす必要があります。
動作保護エンジン(Linuxのみ)
Linuxコネクタバージョン1.22.0以降、動作保護エンジンの導入により、プロセスの除外がすべてのエンジンとファイルスキャンに適用されます。システムアクティビティが非常に多くなると障害18が発生する可能性があり、この障害を修復するには、プロセス除外を非常にアクティブな良性プロセスに適用する必要があります。デバッグモードの診断データによって生成されたtop.txtファイルを使用して、システム上で最もアクティブなプロセスを判別できます。修復手順の詳細については、『Secure Endpoint Linux Connector Fault 18』のガイダンスを参照してください。
プロセスの除外は、良性ソフトウェアからの誤検出の動作保護の検出を防ぐのに役立ちます。セキュアエンドポイントコンソールで報告された検出が良性であると判断された場合は、報告された内容が妥当であり、誤検出の結果が生じないように、プロセスを除外できます。
Windows
Windowsオペレーティングシステムはより複雑で、親プロセスと子プロセスのために、より多くの除外オプションが利用可能です。これは、アクセスされたファイルだけでなく、それらのファイルを生成したプログラムを特定するために、より深いレビューが必要であることを示しています。
セキュアエンドポイントでWindowsのパフォーマンスを分析して最適化する方法の詳細については、Cisco SecurityのGitHubページにあるWindows Tuning Toolを参照してください。
セキュアエンドポイントコンソールでの除外ルールの作成
注意:除外を書き込む前に、必ずファイルとプロセスを理解して、エンドポイントのセキュリティの脆弱性を回避してください。
セキュアエンドポイントコンソールを使用して新しい除外ルールを作成するには、次の手順を実行します。
- Secure Endpoint Consoleで、
Management
-> Exclusions
の順に選択して、Policiesページに移動します。(A)変更する除外セットを見つけてEdit
をクリックするか、(B)+新しい除外セット…
をクリックします。
New Exclusion Set
ポップアップで、除外セットを作成するオペレーティングシステムを選択します。[Create] をクリックします。
新しい除外セット
のページにリダイレクトされます。+ Add Exclusion
をクリックし、Select Type
ドロップダウンから除外タイプを選択します。
Windows:
Mac/Linux:
- 選択した除外タイプの必須フィールドに入力します。
- さらにルールを追加するには、ステップ2と3を繰り返します。除外セットを保存するには、
Save
をクリックします。
ベスト プラクティス
除外を作成する場合は、Cisco Secure Endpointによって提供される保護レベルが低下するため、注意が必要です。除外されたファイルは、キャッシュまたはクラウドでハッシュ、スキャン、または利用できず、アクティビティは監視されず、バックエンドエンジン、デバイストラジェクトリー、および高度な分析から情報が欠落しています。
除外は、特定のアプリケーションとの互換性の問題や、他の方法では改善できないパフォーマンスの問題など、対象を絞ったインスタンスでのみ使用する必要があります。
除外を作成する際に従うべきベストプラクティスは次のとおりです。
- 実証済みの問題に対してのみ除外を作成
- 他の方法では対処できない問題であることが証明されない限り、除外が必要であると仮定しないでください。
- 除外を適用する前に、パフォーマンスの問題、誤検出、またはアプリケーションの互換性の問題を徹底的に調査し、軽減する必要があります。
- パス/ファイル拡張子/ワイルドカードの除外よりもプロセスの除外を優先する
- プロセス除外は、パス、ファイル拡張子、およびワイルドカード除外を組み合わせて同じ結果を得るよりも、良性ソフトウェアアクティビティを除外する直接的な方法を提供します。
- 可能な場合は、プログラム実行可能ファイルを対象とするパス、ファイル拡張子、およびワイルドカードの除外を、対応するプロセス除外に置き換えることをお勧めします。
- 広範な除外の回避
- ワイルドカードの除外を過剰に使用しない
- ワイルドカードを使用して除外を作成する場合は注意してください。可能であれば、より具体的な除外を使用してください。
- ワイルドカードの最小数を除外して使用します。ワイルドカードを使用できるのは、真に可変なフォルダのみです。
- 一般的なユーティリティプログラムやインタプリタを除外しないでください
- 一般的なユーティリティプログラムやインタープリタを除外することは推奨されません。
- 一般的なユーティリティプログラムやインタプリタを除外する必要がある場合は、プロセスユーザを指定します(macOS/Linuxのみ)。
- たとえば、python、
java
、ruby
、bash
、sh
などを含む除外の記述は避けてください。
- 重複する除外の回避
- 除外を作成する前に、カスタム除外またはCisco-Maintained除外のいずれかに除外がすでに存在するかどうかを確認します。
- 重複する除外を削除すると、パフォーマンスが向上し、除外の運用管理が軽減されます。
- プロセスの除外で指定されたパスが、パス/ファイル拡張子/ワイルドカードの除外の対象となっていないことを確認してください。
- マルウェア攻撃でよく使用されるプロセスを除外しない
- 古い除外を削除する
- 除外リストを定期的に確認および監査し、特定の除外が追加された理由を記録します。
- セキュリティ侵害の除外を削除する
- 除外する項目の保護を強化する
- 除外が絶対に必要な場合は、書き込み保護を有効にして除外する項目の保護レイヤを追加するなど、どのような緩和策を講じることができるか検討してください。
- 除外をインテリジェントに作成
- ルールを最適化するには、除外するアプリケーションを一意に識別する最上位レベルの親プロセスを選択し、「
子プロセスに適用
」オプションを使用してルールの数を最小限にします。
- 起動プロセスを除外しない
- 起動プロセス(macOSでは
launchd
、Linuxではinit
またはsystemd
)は、システム上の他のすべてのプロセスを起動する役割を担い、プロセス階層の最上位にあります。
- 起動プロセスとその子プロセスをすべて除外すると、セキュアエンドポイントモニタリングが実質的に無効になります。
- 可能な場合は、プロセスユーザを指定します(macOS/Linuxのみ)。
- [ユーザー]フィールドが空白の場合、指定したプログラムを実行するすべてのプロセスに除外が適用されます。
- 任意のユーザに適用される除外はより柔軟ですが、この広範なスコープは、意図せずに監視する必要のあるアクティビティを除外する可能性があります。
- ランタイムエンジン(
java
など)やスクリプトインタープリタ(bash
、python
など)などの共有プログラムに適用されるルールでは、ユーザを指定することが特に重要です。
- ユーザを指定すると、スコープが制限され、他のインスタンスを監視しながら特定のインスタンスを無視するようにSecure Endpointに指示します。
推奨されない除外
攻撃者が使用する可能性のあるすべての攻撃ベクトルを知ることは不可能ですが、監視する必要があるコア攻撃ベクトルがいくつかあります。良好なセキュリティポスチャと可視性を維持するために、次の除外は推奨されません。
AcroRd32.exe(入手可能) |
addinprocess.exe |
addinprocess32.exe(登録ユーザ専用) |
addinutil.exe |
bash.exeファイル |
bginfo.exe |
bitsadmin.exe |
CDB.EXE |
csi.exeファイル |
dbghost.exe |
dbgsvc.exe |
dnx.exe |
dotnet.exe |
excel.exe |
fsi.exe |
fsiAnyCpu.exeファイル |
iexplore.exe |
Java.EXE |
kd.exe |
lxssmanager.dll |
msbuild.exe(ビルド情報なし) |
mshta.exe |
ntkd.exe |
ntsd.exe |
outlook.exe |
psexec.exe |
PowerPnt.EXE(登録ユーザ専用) |
powershell.exe |
rcsi.exe |
svchost.exe |
schtasks.exe |
system.management.automation.dll(自動) |
windbg.exe |
winword.exe |
wmic.exe(登録ユーザ専用) |
wuauclt.exe |
0.7z |
0.bat |
.bin |
.cab |
.cmd |
.com |
.cpl |
.dll |
.exe |
0.fla |
.gif |
.gz |
0.hta |
.inf |
.java |
.jar |
0.job |
.jpeg |
.jpg |
.js |
0.ko |
.ko.gz |
.msi |
.ocx |
.png |
.ps1 |
.py |
.rar |
.reg |
.scr |
.sys |
.tar |
.tmp |
.url |
.vbe |
.vbs |
.wsf |
.zip |
バッシュ |
java |
Pythonの場合 |
python3 |
sh |
ZSH |
/ |
/bin |
/sbin |
/usr/lib |
C: |
C:\ |
C:\* |
|
D:\ |
D:\* |
C:\Program Files\Java |
C:\Temp\ |
C:\Temp\* |
C:\Users\ |
C:\Users\* |
C:\Windows\Prefetch |
C:\Windows\Prefetch\ |
C:\Windows\Prefetch\* |
C:\Windows\System32\Spool |
C:\Windows\System32\CatRoot2 |
C:\Windows\Temp |
C:\Windows\Temp\ |
C:\Windows\Temp\* |
C:\Programファイル\<会社名>\ |
C:\Programファイル(x86)\<会社名>\ |
C:\Users\<UserProfileName>\AppData\Local\Temp\ |
C:\Users\<UserProfileName>\AppData\LocalLow\Temp\ |
注:このリストは除外すべきものすべてを網羅しているわけではありませんが、コア攻撃ベクトルに関する詳細な情報を提供しています。これらのパス、ファイル拡張子、およびプロセスの可視性を維持することが重要です。
関連情報