CB Defense運用のワンポイントアドバイス

次世代エンドポイントセキュリティ製品のCB Defenseは、ウイルスファイルだけでなくエンドポイントで発生するイベントの流れ(関係性)を分析し、セキュリティリスクを判定するストリーミングプリベンション処理を行うため、決められた動きが定義されたパターンファイルで判定する従来のアンチウイルスと異なり、運用当初は過検知が多く発生する傾向にあります。過検知を減らし、かつ脅威を適切に遮断するため、本番導入前(POC)に強めのポリシーを適用した試験期間を設け、その間にホワイトリストの洗い出しやPermission(権限)の設定を行うことをお勧めしています。

過検知を減らすためにCB Defenseのホワイトリストを設定

ホワイトリストとは、実行を許可するアプリケーションをリスト化したものです。CB Defenseのホワイトリストはアプリケーションの実行を許可するだけでなく、動作状況のモニタリング(監視)と防御は継続して適用されるため、登録アプリケーションの脆弱性を突くような攻撃やゼロディ攻撃が発生した場合も、この攻撃に対する防御が行えるようになっています。

ホワイトリストへの登録は、プログラムのハッシュ値の他、プログラム署名に利用された証明書を利用した登録が行えます。また、システム管理ツール(IT TOOLS)を登録すると、このツールを利用してインストールされたアプリケーションを自動的に登録することもできます。

▼CB Defenseのホワイトリストについては以下のページをご覧ください。

CB Defenseのホワイトリスト

必用に応じてPermission(権限)設定でスキャン対象からの除外も検討

利用環境や状況により、CB Defenseにスキャンさせたくないアプリケーションやディレクトリがある場合、「Permission(権限)」を設定することでCB Defenseのスキャン対象から外すことができます。今までIT資産管理ツール、インターネットに通信するアプリケーション、POC実施時に既存のアンチウイルスのディレクトリなどを登録したケースがありました。間違った設定を行うと抜け道をつくることになるため、設定にあたっては注意が必要です。

このようにCB Defenseの本番運用やPOC開始時にホワイトリストの洗い出しやPermissionの設定を行うことで、過検知を減らすことができ、スムーズに実運用に移行することができます。

なお、弊社では導入支援サービスを行っており、お客様の環境に合わせたホワイトリストやPermission等ポリシーの設定についてもご支援いたします。また、導入後は弊社サポートセンターにご相談いただければ対応させていただきますので、ご不明な点などあればお知らせください。

関連リンク

ストリーミングプリベンション

CB Defenseのホワイトリスト

ご相談、ご質問はこちら
お急ぎの場合はこちら
03-5297-3487
受付時間 平日9:00-17:00
製品資料、導入事例はこちら
価格お問い合わせはこちら
まずはお試しください

 



お問い合わせ サイバネットシステム株式会社 ITソリューション事業部 TEL: 03-5297-3487 (平日 9:00-17:30)
お問い合わせ全般  資料ダウンロード