0 返信 最新の回答 日時: Nov 28, 2014 10:35 AM ユーザー:hnegishi

    【TIPS】VSE アクセス保護ユーザ定義ルールの活用

    hnegishi

      皆さん、こんにちは。

      マカフィーテクニカルサポートセンターです。

       

      本トピックでは VirusScan Enterprise (VSE) のアクセス保護 ユーザ定義ルールの

      活用方法を紹介したいと思います。

      活用シーンとしては、VSE のオンアクセススキャン・オンデマンドスキャンで検出

      されないが不審なファイルが作成され、削除しても何度も作成されてしまうなど

      感染行動を引き起こす検体の特定が急がれる時など、ユーザ定義ルールによる検出で

      より早く検体を発見することができるなどの効果が期待できます。

       

      VSE のアクセス保護の基本動作は以下となります。(8.8 製品ガイド 20 ページから抜粋)

       

      <アクセス保護>

      脅威からクライアントシステムへのアクセスを防止することは、マルウェアに対する

      防御の最前線です。VSE のアクセス保護機能は、要求されているアクションを一連の

      設定済みルールと対比します。

      各ルールは、発生したアクセス違反をブロックしてレポートするように設定することも、

      これらのどちらかの動作のみを行うように設定することもできます。

      アクセス保護機能は、指定したポート、ファイル、共有、レジストリキー、および

      レジストリ値へのアクセスを制限することで、コンピュータに対する望ましくない変更を

      阻止します。

      また、ユーザによって McAfee プロセスが終了されないように保護します。この保護機能は、

      ウイルスの発生前と発生中のどちらでも、非常に重要です。

      この機能では、事前定義済みのルールとユーザ定義のルールを使用して、アクセスを許可する

      アイテムおよび許可しないアイテムを指定します。各ルールは、発生したアクセス違反を

      ブロックしてレポートするように設定することも、これらのどちらかの動作のみを行うように

      設定することもできます。事前定義済みのルールとカテゴリは、McAfee アップデートサイト

      から更新できます。

       

       

       

      アクセス保護のユーザ定義ルールで使用可能なルールカテゴリは以下となります。

       

      ルール

      説明

      ポートのブロックルール

      特定のポートまたはある範囲のポートで着信または発信のネットワークトラフィックをブロックします。

       

      注意: ポートをブロックすると、TCP (Transmission Control Protocol) アクセスとUDP (User Datagram Protocol) アクセスがブロックされます。

       

      注意: ポートをブロックすると、そのポートまたはその範囲のポートを使用しているすべてのプロトコルはブロックされます。たとえば、TCPTransmission ControlProtocol)アクセスとUDPUser Datagram Protocol)アクセスがブロックされます。

      ファイルおよびフォルダのブロックルール

      ファイルとフォルダへの書き込みアクセス、ファイルの実行、およびファイルの新規作成と削除がブロックされます。

       

      注意: ファイルまたはフォルダへのアクセス制限は、管理者により解除されるまで継続します。これは侵入防止に役立ち、アウトブレーク時に侵入が拡散するのを阻止します。

      レジストリのブロックルール

      書き込み、作成、または削除のアクションをブロックすることにより、レジストリのキーや値を保護します。

       

      VirusScan コンソールまたは ePO サーバからの具体的な設定方法として、ポートブロックルール作成例を以下に記載いたします。

      VSE 8.x コンソールからの設定方法】

      1. アクセス保護をダブルクリックします。
      2. カテゴリ以下の ユーザ定義ルールを選択し、[新規]をクリックします。
      3. ポートのブロックルールを選択し、[OK]をクリックします。
      4. ネットワーク ポートのアクセス保護ルール画面で以下設定を行います:
        1. ルール名。 任意のルール名を入力します。 (例: Block Port 1234)
        2. 組み入れるプロセス。 特定のプロセスを指定したい場合、example123.exe のように入力します。このルールを全てのプロセスに適用したい場合、ワイルドカードを使用します(*)。
        3. 除外するプロセス。 特に除外しない場合は空白のままとし、必要であればプロセス名を入力します。
        4. ブロックするポート。 ブロックしたいポート番号または範囲を入力します。 例としてブロックするポート番号が 65 のみであれば開始ポート、終了ポート共に 65 を入力します。
        5. 方向。 このルールを送信、受信の通信共に適用したい場合、両方とも選択します。
      5. OK をクリックしルールを保存します。
      6. 適用をクリックします。
        ルールを保存した後、必要に応じて[ブロック]および[レポート]にチェックを入れます。
      7. 適用OKをクリックし設定を終了します。

       

       

      ePO サーバコンソールからの設定方法】

      1. ePO コンソールにログオンします。
      2. メニューポリシーカタログをクリックします。
      3. 製品ドロップダウンメニューから VirusScan Enterprise 8.8.0 または VirusScan Enterprise 8.7.0を選択します。
      4. カテゴリのドロップダウンメニューからアクセス保護ポリシーを選択します。
      5. アクセス保護ユーザ定義ルールを追加したいポリシー名をクリックします。
      6. 画面上部の[次を設定]で ワークステーション または サーバ をドロップダウンリストから選択します。
      7. カテゴリ以下のユーザ定義ルールを選択し新規をクリックします。
      8. ポートのブロックルールを選択し、[OK]をクリックします。
      9. ネットワーク ポートのアクセス保護ルール画面で以下設定を行います:
        1. ルール名。 任意のルール名を入力します。 (例: Block Port 1234)
        2. 組み入れるプロセス。 特定のプロセスを指定したい場合、example123.exe のように入力します。このルールを全てのプロセスに適用したい場合、ワイルドカードを使用します(*)。
        3. 除外するプロセス。 特に除外しない場合は空白のままとし、必要であればプロセス名を入力します。
        4. ブロックするポート。 ブロックしたいポート番号または範囲を入力します。 例としてブロックするポート番号が 65 のみであれば開始ポート、終了ポート共に 65 を入力します。
        5. 方向。 このルールを送信、受信の通信共に適用したい場合、両方とも選択します。
      10. OK をクリックしルールを保存します。
      11. 適用をクリックします。
        ルールを保存した後、必要に応じて[ブロック]および[レポート]にチェックを入れます。
      12. 適用OKをクリックし設定を終了します。

       

      設定方法は以上となります。

      ファイルおよびフォルダのブロックルールは対象のファイル、フォルダパスの設定、レジストリのブロックルールは対象のレジストリパスの設定を行う以外上記と同様の手順とな ります。

      これらルールの詳細につきましては VSE 8.8 製品ガイド  33ページ以降をご参照ください。

       

      今回のトピックの参考KBは以下になります。

       

      How to create or modify an Access Protection Rule from a VSE 8.x or ePO 5.x console”

      https://kc.mcafee.com/agent/index?page=content&id=KB81095

       

      これからもマカフィー製品のご愛顧を宜しくお願い申し上げます。

       

      以上

       

      マカフィーテクニカルサポートセンター根岸