次世代エンドポイントセキュリティ製品のCB Defenseは、ウイルスファイルだけでなくエンドポイントで発生するイベントの流れ(関係性)を分析し、セキュリティリスクを判定するストリーミングプリベンション処理を行うため、決められた動きが定義されたパターンファイルで判定する従来のアンチウイルスと異なり、運用当初は過検知が多く発生する傾向にあります。過検知を減らし、かつ脅威を適切に遮断するため、本番導入前(POC)に強めのポリシーを適用した試験期間を設け、その間にホワイトリストの洗い出しやPermission(権限)の設定を行うことをお勧めしています。
ホワイトリストとは、実行を許可するアプリケーションをリスト化したものです。CB Defenseのホワイトリストはアプリケーションの実行を許可するだけでなく、動作状況のモニタリング(監視)と防御は継続して適用されるため、登録アプリケーションの脆弱性を突くような攻撃やゼロディ攻撃が発生した場合も、この攻撃に対する防御が行えるようになっています。
ホワイトリストへの登録は、プログラムのハッシュ値の他、プログラム署名に利用された証明書を利用した登録が行えます。また、システム管理ツール(IT TOOLS)を登録すると、このツールを利用してインストールされたアプリケーションを自動的に登録することもできます。
▼CB Defenseのホワイトリストについては以下のページをご覧ください。
CB Defenseのホワイトリスト利用環境や状況により、CB Defenseにスキャンさせたくないアプリケーションやディレクトリがある場合、「Permission(権限)」を設定することでCB Defenseのスキャン対象から外すことができます。今までIT資産管理ツール、インターネットに通信するアプリケーション、POC実施時に既存のアンチウイルスのディレクトリなどを登録したケースがありました。間違った設定を行うと抜け道をつくることになるため、設定にあたっては注意が必要です。
このようにCB Defenseの本番運用やPOC開始時にホワイトリストの洗い出しやPermissionの設定を行うことで、過検知を減らすことができ、スムーズに実運用に移行することができます。
なお、弊社では導入支援サービスを行っており、お客様の環境に合わせたホワイトリストやPermission等ポリシーの設定についてもご支援いたします。また、導入後は弊社サポートセンターにご相談いただければ対応させていただきますので、ご不明な点などあればお知らせください。
VMware Carbon Black Cloud Endpoint Standard(旧CB Defense、以下Endpoint Standard)は、あらゆるサイバー攻撃からコンピューターを保護する次世代アンチウイルス+EDRソリューションです。マルウェア攻撃だけでなく、メモリやPowerShellなどスクリプト言語を悪用する非マルウェア(ファイルレス)攻撃などをブロックするとともに、万一の際にも侵入状況の把握やその対応を行うことができます。
詳しくはこちら