CB Defense運用のワンポイントアドバイス
次世代エンドポイントセキュリティ製品のCB Defenseは、ウイルスファイルだけでなくエンドポイントで発生するイベントの流れ(関係性)を分析し、セキュリティリスクを判定するストリーミングプリベンション処理を行うため、決められた動きが定義されたパターンファイルで判定する従来のアンチウイルスと異なり、運用当初は過検知が多く発生する傾向にあります。過検知を減らし、かつ脅威を適切に遮断するため、本番導入前(POC)に強めのポリシーを適用した試験期間を設け、その間にホワイトリストの洗い出しやPermission(権限)の設定を行うことをお勧めしています。
過検知を減らすためにCB Defenseのホワイトリストを設定
ホワイトリストとは、実行を許可するアプリケーションをリスト化したものです。CB Defenseのホワイトリストはアプリケーションの実行を許可するだけでなく、動作状況のモニタリング(監視)と防御は継続して適用されるため、登録アプリケーションの脆弱性を突くような攻撃やゼロディ攻撃が発生した場合も、この攻撃に対する防御が行えるようになっています。
ホワイトリストへの登録は、プログラムのハッシュ値の他、プログラム署名に利用された証明書を利用した登録が行えます。また、システム管理ツール(IT TOOLS)を登録すると、このツールを利用してインストールされたアプリケーションを自動的に登録することもできます。
▼CB Defenseのホワイトリストについては以下のページをご覧ください。
CB Defenseのホワイトリスト必用に応じてPermission(権限)設定でスキャン対象からの除外も検討
利用環境や状況により、CB Defenseにスキャンさせたくないアプリケーションやディレクトリがある場合、「Permission(権限)」を設定することでCB Defenseのスキャン対象から外すことができます。今までIT資産管理ツール、インターネットに通信するアプリケーション、POC実施時に既存のアンチウイルスのディレクトリなどを登録したケースがありました。間違った設定を行うと抜け道をつくることになるため、設定にあたっては注意が必要です。
このようにCB Defenseの本番運用やPOC開始時にホワイトリストの洗い出しやPermissionの設定を行うことで、過検知を減らすことができ、スムーズに実運用に移行することができます。
なお、弊社では導入支援サービスを行っており、お客様の環境に合わせたホワイトリストやPermission等ポリシーの設定についてもご支援いたします。また、導入後は弊社サポートセンターにご相談いただければ対応させていただきますので、ご不明な点などあればお知らせください。
関連リンク
VMware Carbon Black Cloud Endpoint Standardとは
VMware Carbon Black Cloud Endpoint Standard(旧CB Defense、以下Endpoint Standard)は、あらゆるサイバー攻撃からコンピューターを保護する次世代アンチウイルス+EDRソリューションです。マルウェア攻撃だけでなく、メモリやPowerShellなどスクリプト言語を悪用する非マルウェア(ファイルレス)攻撃などをブロックするとともに、万一の際にも侵入状況の把握やその対応を行うことができます。
詳しくはこちら
様々な企業が「VMware Carbon Black Cloud」を活用しています
株式会社ユーシン精機様
運用負荷をかけることなく、24時間365日エンドポイントセキュリティ強化を実現
スマートニュース株式会社様
脅威を分かりやすく可視化 運用も容易な次世代アンチウイルス+EDRを選択
HRBrain様
CB Defense導入の決め手になったのは、「Mac対応」と「EDR」が次世代アンチウイルスに統合されていた点
NTTスマイルエナジー様
CB Defenseの導入で「マルウェア等の最新の脅威から守られているという安心感」を得ることができた
サイバネットシステム株式会社 ITソリューション事業部 - カテゴリ別
- 製品別
- ソリューション別