Sophos Central Admin...Sophos Central Admin 2 ライセンスのアクティベート...

Sophos Central Adminヘルプ

⽬次このヘルプについて.......................................................................................................1ライセンスのアクティベート........................................................................................... 2概要...........................................................................................................................4

ダッシュボード.................................................................................................... 4警告.................................................................................................................. 5脅威解析センター............................................................................................... 20ログとレポート.................................................................................................. 31ユーザーとグループ............................................................................................ 53デバイス...........................................................................................................65グローバル設定.................................................................................................. 86デバイスの保護................................................................................................ 151

エンドポイントプロテクション..................................................................................... 165ダッシュボード................................................................................................ 165ログとレポート................................................................................................ 165ユーザーとグループ...........................................................................................169コンピュータ................................................................................................... 181コンピュータグループ........................................................................................189ポリシー......................................................................................................... 191設定...............................................................................................................214デバイスの保護................................................................................................ 254

暗号化.................................................................................................................... 264ダッシュボード................................................................................................ 264ログとレポート................................................................................................ 264ユーザーとグループ...........................................................................................266コンピュータ................................................................................................... 278管理下にないコンピュータ.................................................................................. 287コンピュータグループ........................................................................................287ポリシー......................................................................................................... 288設定...............................................................................................................294デバイスの保護................................................................................................ 310

サーバープロテクション..............................................................................................312ダッシュボード................................................................................................ 312ログとレポート................................................................................................ 312サーバー......................................................................................................... 316AWS 上のサーバー........................................................................................... 326ポリシー......................................................................................................... 329設定...............................................................................................................357デバイスの保護................................................................................................ 391

ワイヤレス...............................................................................................................395ワイヤレスダッシュボード.................................................................................. 395ワイヤレスに関する警告..................................................................................... 397デバイス......................................................................................................... 398使⽤状況......................................................................................................... 399ワイヤレスの診断..............................................................................................399アクセスポイント..............................................................................................407SSID..............................................................................................................412サイト............................................................................................................425設定...............................................................................................................428

メールゲートウェイ................................................................................................... 430Email Gateway へのメールボックスの追加............................................................430ドメインの管理................................................................................................ 431ポリシーと設定................................................................................................ 432

(2020/02/21)

メールゲートウェイのダッシュボード....................................................................433メッセージの履歴レポート.................................................................................. 434メッセージのサマリーレポート............................................................................ 436Sandstorm のアクティビティのサマリー...............................................................436クリック時の保護のサマリー............................................................................... 437⾼リスクユーザー..............................................................................................437データ流出防⽌ポリシーに違反したユーザー........................................................... 438ユーザーとグループ...........................................................................................438メールボックス................................................................................................ 450隔離されたメッセージ........................................................................................453ポリシー......................................................................................................... 454設定...............................................................................................................470Sophos Email と外部サービスの統合....................................................................495

Web ゲートウェイ.................................................................................................... 522ダッシュボード................................................................................................ 522ログ...............................................................................................................523レポート......................................................................................................... 523ユーザーとグループ...........................................................................................523コンピュータ................................................................................................... 535ポリシー......................................................................................................... 543設定...............................................................................................................550デバイスの保護................................................................................................ 572

ファイアウォール管理................................................................................................ 574ダッシュボード................................................................................................ 574ファイアウォール..............................................................................................575ファイアウォールレポート – ライセンス................................................................590バックアップ................................................................................................... 594

Phish Threat........................................................................................................... 597ダッシュボード................................................................................................ 597レポート......................................................................................................... 598ユーザーとグループ...........................................................................................600キャンペーン................................................................................................... 612設定...............................................................................................................620

Cloud Optix............................................................................................................ 628製品の評価...............................................................................................................629アカウントとライセンス..............................................................................................630

アカウントの詳細..............................................................................................630ライセンス...................................................................................................... 634

アーリーアクセスプログラム..................................................................................... 636対応している Web ブラウザ........................................................................................638⾔語....................................................................................................................... 639サポートへのお問い合わせ...........................................................................................641利⽤条件..................................................................................................................642

(2020/02/21)

Sophos Central Admin

1 このヘルプについてこのヘルプでは、Sophos Central の各機能の使⽤⽅法について説明します。必要な情報が⾒つからない場合は、ソフォス Web サイトのサポートセクションを参照し、そこで検索してください。サポートデータベースの⽂章または Sophos Community サイト (英語) の投稿が表⽰されます。

ヒントSophos Central を利⽤したことがない場合は、こちらからサインインしてください。案内に沿ってすぐに使い始めることができます。

管理者によってアカウントが設定されていない場合は、Microsoft のサインイン情報を使ってサインインできます。「Microsoft でサインイン」をクリックして、Microsoft のサインイン情報を⼊⼒します。

Copyright © Sophos Limited 1

https://secure2.sophos.com/en-us/support.aspxhttps://central.sophos.com/manage/login


2 ライセンスのアクティベートライセンスの新規購⼊後は、ライセンスのアクティベートが必要です。アクティベーションは、Sophos Central で実⾏します。(ソフォスパートナーがライセンスのアクティベーションを⾏う場合、ここで説明する操作は不要です。)アップグレード後は、ライセンスが⾃動的にアクティベートされる場合もありますが、⼿動でアクティベートが必要になる場合もあります。

注Sophos Central の評価版の場合、使⽤を開始する際にライセンスのアクティベーションは不要です。正規ライセンスにアップグレードするときのみに必要となります。

ライセンスをアクティベートするには、次の⼿順を実⾏してください。

注ソフォスでは現在、ライセンスアクティベーション機能の変更を⾏っています。このため、以下の最後のステップで説明されているオプションは表⽰されない可能性があります。

1. ソフォスから送信されたライセンスの別表 (License Schedule) に、ライセンスキーが表⽰されていることを確認します。

2. 画⾯右上のアカウント名を探します。アカウント名をクリックして「ライセンス」を選択します。

3. ここでライセンスキーを⼊⼒します。• 「アクティベーションコードの適⽤」と表⽰されている場合は、キーを⼊⼒して「適⽤」をク

リックします。• 「ライセンスキーの適⽤」というリンクが表⽰されている場合は、リンクをクリックします。

キーを⼊⼒して、「適⽤」をクリックします。4. このライセンスキーに含まれる機能が、既にアカウントに追加されている場合は、別のダイアロ

グが表⽰されることがあります。ここでは、新しいライセンスの使⽤⽅法を選択できます。• 「更新」を選択すると、現在のライセンスの有効期限が切れた時点で、新しいライセンスが開

始されるようになります。• 「変更」を選択すると、すぐに新しいライセンスが開始されます。ライセンスの有効期間を調

整して、お持ちのライセンスすべての有効期限が同じ⽇になるようにします。「適⽤」を再度クリックします。

「変更」オプションについてあるお客様が 1年ライセンスを 50ライセンス発注したとします。6カ⽉後、同じお客様が 1年ライセンスを追加で 50ライセンス発注したとします。このお客様が「変更」を選択すると、次の事柄が実⾏されます。• 新しいライセンスが古いライセンスに追加されます。お客様の所有ライセンス数は、100 になり

ます。• 古いライセンスの残存期間 (50ライセンス X 6カ⽉ = 300) を、新しいライセンスの有効期間

(50ライセンス x 12カ⽉ = 600) に追加します。合計は 900カ⽉になります。

2 Copyright © Sophos Limited


• この期間を 100ライセンスすべてに対して均等に分割します。この結果、ユーザーのライセンスの有効期間はすべて、ライセンスキーが適⽤された⽇から 9カ⽉間となり、これに合わせてライセンスの有効期限が調整されます。

お客様が所有する 100ライセンスすべての有効期限が、この時点から 9カ⽉後に変わります。ほとんどの場合、既存のライセンスの有効期限が延びますが、新しく表⽰される有効期限を確認することを推奨します。



3 概要メインメニューには、Sophos Central で使⽤できる機能の⼀覧が表⽰されます。各機能は、エンドポイントプロテクションなど、製品名の下に表⽰されます。ライセンスのある製品の機能すべてが⼀括して表⽰される「概要」もあります。

3.1 ダッシュボード「ダッシュボード」は「Sophos Central」を開くと最初に表⽰されるページで、最も重要な情報が⼀⽬で把握できます。次の領域から構成されています。

最近の警告「最近の警告」には、最も最近の警告が数件表⽰されます。「情報レベル」の警告は参考情報であるため、対処を要しません。「すべての警告の表⽰」をクリックすると、すべての警告が表⽰されます。

デバイスとユーザー: サマリー「デバイスとユーザー: サマリー」には、ユーザーまたは保護対象デバイスによる使⽤状況および保護の詳細が表⽰されます。また、保護されていないユーザーやデバイスの数も表⽰されます。タブをクリックすると、ユーザーの情報やデバイスの種類ごとの情報が表⽰されます。「レポートの表⽰」をクリックすると、選択したタブの詳細なレポートが開きます。

メールセキュリティ「受信」には、次のメッセージカテゴリに関する情報が表⽰されます。• 正規: 安全であると分類され、配信されたメッセージ。• DLP ポリシーの違反: DLP (データ流出防⽌) ポリシーに違反したメッセージ。• スパム: スパムとして判断されたメッセージ。• ⾼度な脅威: ⾼度な脅威を含むと判断されたメッセージ。• ウイルス: ウイルスを含むと判断されたメッセージ。• 認証エラー数: DMARC、SPF または DKIM による認証チェックに失敗したメッセージ。• リアルタイムのブロックリスト: ブラックリストに登録済みの送信者の IP アドレスから送信さ

れたメッセージ。• 企業のブロックリスト: 企業のブロックリスト (受信許可/ブロック) に登録済みのメールアドレ

スから送信されたメッセージ。「送信」には、過去 30⽇間にメールセキュリティによって検索が実⾏された、保護対象メールボックス内の送信メールの総数が表⽰されます。また、処理された正規メッセージの数や、スパム/ウイルスメッセージの検出数、Sandstorm で検出された、DLP ポリシーに違反するメッセージの数も表⽰されます。



「レポートの表⽰」をクリックして、「メッセージのサマリー」レポートを開き、処理されたメッセージの詳細を確認できます。詳細は、メッセージのサマリーレポートを参照してください。

Web コントロール「Web コントロール」には、Web コントロール機能の統計データが表⽰されます。表⽰される項⽬は、脅威ブロック数、ポリシー違反数、ポリシー警告数です。また、Web サイトにアクセスを試みた際に表⽰された警告を無視して続⾏したユーザーの数を⽰す、「ポリシー警告 -続⾏数」という項⽬も表⽰されます。データをクリックすると、詳細なレポートが開きます。

Web ゲートウェイのブロックのサマリー「Web ゲートウェイのブロックのサマリー」には、Web ゲートウェイ機能の統計データが表⽰されます (Web ゲートウェイライセンスをお持ちの場合のみ表⽰されます)。表⽰される項⽬は、マルウェアのブロック数および Web サイトのブロック数です。データをクリックすると、詳細なレポートが開きます。

関連概念メッセージのサマリーレポート (p. 50)「メッセージのサマリー」レポートは、「メールゲートウェイ」によって処理された、保護対象メールボックス内のメールメッセージの詳細を表⽰します。

3.2 警告「警告」ページには、対処の必要な警告がすべて表⽰されます。

制約事項ヘルプの公開時点では、⼀部の機能がリリースされていないこともあります。

⾃動的に解決される問題は表⽰されません。すべてのイベントを表⽰するには、「ログとレポート> イベント」を開きます。

注同じイベントが繰り返し発⽣した場合、警告の発⽣時の表⽰は更新されません。

「警告」ページでは、次の操作を⾏うことができます。• 警告のグループを作成する。• 警告を絞り込み表⽰する。• 警告に対処する。• メール警告の受信頻度を変更する。警告の種類に関する詳細は、このセクションの後のページを参照してください。



注Intercept X Advanced with EDR がある場合は、脅威ケースで、脅威を調査、ブロック、およびクリーンアップできます。

警告のグループを作成する特定の脅威に対して発⽣した警告やイベントをグループにまとめ、単⼀の項⽬としてリストに表⽰することができます。こうすることで警告の管理がしやすくなります。画⾯右上の「グループ」を有効にします。各グループの項⽬の警告数は、「発⽣数」カラムに表⽰されます。グループ内の警告をすべて表⽰するには、項⽬の右側にある展開⽮印をクリックします。

警告を絞り込み表⽰する警告を重要度で絞り込み表⽰するには、ページ上部の「重要度 - ⾼」、「重要度 - 中」、「重要度- 低」の各項⽬をクリックします。特定の製品や脅威に対する警告を表⽰するには、警告リスト上部のドロップダウンリストから選択します。

警告に対処する警告に対してアクションを実⾏できます。個別の警告に対してアクションを実⾏するには、警告の横にあるドロップダウン⽮印をクリックして詳細を開きます。「アクション」で、アクションのリンク (表⽰されている場合) を選択してクリックします。警告のグループを表⽰している場合は、リストのグループの横のアクションのボタン (表⽰されている場合) をクリックします。

注ソフォスのディープラーニングによって、マルウェアと報告されたアプリケーションを許可する場合は、ここではなく「イベント」ページから操作します。

警告の種類によって以下の対応を⾏うことができます。• 確認済みとしてマーク: リストから警告を消去する場合に、このオプションをクリックします。消

去した警告は再表⽰されません。この操作を実⾏しても、脅威は処理されません。また脅威の詳細もコンピュータの隔離エリアから削除されません。

• 対処済みとしてマーク: エンドポイントコンピュータ上の脅威が既に対処済みの場合に、このオプションをクリックします。クリックすると、Sophos Central のリストから警告が消去されます。また脅威の詳細もコンピュータの隔離エリアから消去されます。この操作を実⾏しても、脅威は処理されません。この操作は、Windows エンドポイントコンピュータのみに対して実⾏できます。

• クリーンアップ: クリックすると、サーバーからランサムウェアが削除されます。



• Endpoint Protection の再インストール: クリックすると、ソフォスのエージェントソフトウェアがダウンロードできる「デバイスの保護」ページが開きます。

• サポートへのお問い合わせ: サポートに問い合わせる際にはこれをクリックしてください。マルウェアのクリーンアップに失敗した場合など、サポートに連絡する必要がある場合に、このアクションを使⽤できます。

• PUA のクリーンアップ: クリックすると、検出された不要と思われるアプリケーション (PUA) がクリーンアップされます。このアクションは、コンピュータに対してのみ実⾏できます。PUA がネットワーク共有で検出された場合、このアクションは使⽤できないことがあります。これは、Sophos Endpoint Protection エージェントが、ネットワーク共有でクリーンアップを実⾏する権限がないためです。PUA の対処の詳細。

• PUA の承認: クリックすると、対象の不要と思われるアプリケーション (PUA) をすべてのコンピュータで実⾏することが許可されます。アプリケーションが業務にも活⽤できる場合などに、この操作を実⾏できます。このアクションは、コンピュータに対してのみ実⾏できます。

メール警告の受信頻度を変更する各種類の警告が送信される頻度を変更することができます。警告の横にあるドロップダウン⽮印をクリックして詳細を開きます。「メール警告」で、開いている警告と同じ種類の警告に対する送信頻度を選択します。この設定は、メール警告の設定の「例外」に追加されます。ここで設定を編集することもできます。

関連概念脅威の対処⽅法 (p. 13)脅威ケース (p. 21)「脅威ケース」ページでは、マルウェア攻撃を調査およびクリーンアップできます。許可されたアプリケーション (p. 122)脅威対策に関する警告 (p. 7)インストール、アップデート、およびコンプライアンスに関する警告 (p. 11)イベントレポート (p. 32)メール警告の設定 (p. 115)管理者がメール警告を受信する⽅法を管理できます。

3.2.1 脅威対策に関する警告脅威対策には、次のような種類の警告があります。脅威とその対処⽅法の詳細は、警告に表⽰される脅威名をクリックしてください。または、ソフォス Web サイトの「脅威解析」ページを開きます。「最新のセキュリティ解析結果」の下で該当する脅威の種類をクリックして脅威を検索するか、最新の項⽬の⼀覧を参照してください。「ML/PE-A」というマルウェアの検出項⽬が、イベントリストに表⽰される場合があります。この詳細については、サポートデータベースの⽂章 127331 を参照してください。


http://www.sophos.com/en-us/threat-center/threat-analyses.aspx


重要度 - ⾼リアルタイム保護が無効化されましたリアルタイム保護が 2.5時間以上コンピュータに対して無効になっています。リアルタイム保護は常に有効にしておく必要があります。問題解決の調査のために、ソフォスのサポート担当者がこの機能を⼀時的に無効にしてみることをアドバイスすることがあります。マルウェアがクリーンアップされていません⾃動クリーンアップが有効になっている場合でも、検出されたマルウェアが 24時間を経過後も削除されていません。ローカルで設定されているオンデマンド検索など、⾃動クリーンアップを実⾏できない検索によってマルウェアが検出された可能性があります。マルウェアは、次のいずれかの⽅法で対処できます。• ⼀括クリーンアップ: ポリシーで (⾃動クリーンアップを有効化した) スケジュール検索を設定し

ます。• ローカルクリーンアップ: 隔離マネージャを使⽤します。⼿動クリーンアップが必要です⾃動クリーンアップを使⽤できなかったため、検出されたマルウェアを⾃動的に削除できませんでした。警告の「説明」をクリックして、表⽰されるソフォス Web サイトで脅威の削除⽅法を参照してください。ご不明な点は、ソフォスサポートへお問い合わせください。実⾏中のマルウェアがクリーンアップされていません悪意のある動作や疑わしい動作が検出されたプログラムをクリーンアップできませんでした。警告の「説明」をクリックして、脅威およびその対処⽅法に関する情報を参照してください。ご不明な点は、ソフォスサポートへお問い合わせください。悪質なトラフィックが検出されましたボットネットやその他のマルウェア攻撃に関わっているコマンドアンドコントロールサーバーとの通信に使⽤される可能性のある悪質なネットワークトラフィックが検出されました。警告の「説明」をクリックして、脅威およびその対処⽅法に関する情報を参照してください。ご不明な点は、ソフォスサポートへお問い合わせください。感染が再発しましたSophos Central で脅威の削除が実⾏された後、コンピュータが再び感染しました。脅威に隠しコンポーネントが含まれており、それが検知されなかったことが原因の場合があります。脅威のより詳細な解析が必要な場合もあります。詳細はソフォスサポートまでお問い合わせください。ランサムウェアを検出しましたランサムウェアを検出し、ファイルシステムへのアクセスをブロックしました。コンピュータがクライアントマシンの場合、ランサムウェアは⾃動的にクリーンアップされます。次の⼿順を実⾏する必要があります。• クリーンアップを実⾏する必要がある場合は、次の⼿順を実⾏してください。他のコンピュー

タに危険が及ぶ恐れのないネットワークに、コンピュータを⼀時的に移動します。対象のコンピュータに移動し、Sophos Clean を実⾏します (インストールされていない場合は、ソフォスのWeb サイトからダウンロードします)。サーバーに対して Sophos Clean を実⾏する場合は、Sophos Central から実⾏します。詳細は、警告を参照してください。

• サンプルの⾃動送信が有効になっていない場合は、ランサムウェアのサンプルファイルをソフォスに送信してください。分類先を確認後、場合によってはソフォスのルールを更新します。マルウェアの場合は、以後、Sophos Central でブロックされます。



• Sophos Central の「警告」で、この警告を対処済みとしてマークします。リモートマシンを攻撃するランサムウェアが検出されましたこのコンピュータが、他のコンピュータのファイルを暗号化しようとしていることを検知しました。コンピュータによるネットワーク共有への書き込みアクセスをブロックしました。コンピュータがクライアントマシンで、「ランサムウェアから⽂書ファイルを保護する (CryptoGuard)」が有効化されている場合、ランサムウェアは⾃動的にクリーンアップされます。次の⼿順を実⾏する必要があります。• 「ランサムウェアから⽂書ファイルを保護する (CryptoGuard)」が、Sophos Central ポリシー

で有効化されていることを確認してください。詳細はこちらを参照してください。• ⾃動的にクリーンアップが実⾏されない場合は、次の⼿順を実⾏します。他のコンピュータに危

険が及ぶ恐れのないネットワークに、コンピュータを移動します。そして、対象のコンピュータに移動し、Sophos Clean を実⾏します (インストールされていない場合は、ソフォスの Web サイトからダウンロードします)。

• Sophos Central の「警告」で、この警告を対処済みとしてマークします。

重要度 - 中不要と思われるアプリケーション (PUA) が検出されましたアドウェアやその他の不要なソフトウェアである可能性のあるソフトウェアが検出されました。不要と思われるアプリケーションは、デフォルトでブロックされます。このようなアプリケーションは、承認することも (役⽴つものと思われる場合)、クリーンアップすることもできます。PUA の承認PUA は、すべてまたは⼀部のコンピュータで承認するかに応じて、次のいずれかの⽅法で承認できます。• 「警告」ページで警告を選択して、ページ右上の「PUA の承認」ボタンをクリックします。すべ

てのコンピュータでこの PUA が承認されます。• マルウェア保護のポリシーで、検索から除外する項⽬に PUA を追加します。ポリシーが適⽤され

るコンピュータのみでこの PUA が承認されます。PUA のクリーンアップPUA は、次のいずれかの⽅法でクリーンアップできます。• 「警告」ページで警告を選択して、ページ右上の「PUA のクリーンアップ」ボタンをクリックし

ます。• 問題のあるコンピュータで、エージェントソフトウェアの隔離マネージャでクリーンアップしま

す。

注PUA がネットワーク共有で検出された場合、クリーンアップは使⽤できないことがあります。これは、ソフォスのエージェントにネットワーク共有でクリーンアップを実⾏する権限がないためです。

不要と思われるアプリケーション (PUA) がクリーンアップされていません不要と思われるアプリケーションをクリーンアップできませんでした。⼿動クリーンアップが必要な場合があります。警告の「説明」をクリックして、アプリケーションおよびその対処⽅法に関する情報を参照してください。ご不明な点は、ソフォスサポートへお問い合わせください。



クリーンアップの完了には、コンピュータの検索が必要です脅威のクリーンアップにはコンピュータのフル検索が必要です。コンピュータを検索するには、「コンピュータ」ページで、コンピュータの名前をクリックして詳細ページを開き、「今すぐ検索」ボタンをクリックします。検索には多少時間がかかることがあります。完了すると、「ログとレポート > イベント」ページに、「検索が完了しました」イベント、および成功したクリーンアップのイベントが表⽰されます。クリーンアップの失敗に関する警告は、「警告」ページに表⽰されます。コンピュータがオフラインの場合は、オンラインに復帰したときに検索が実⾏されます。コンピュータの検索がすでに実⾏中の場合、新しい検索リクエストは無視され、すでに実⾏中の検索が続⾏されます。または、問題のあるコンピュータでソフォスのエージェントソフトウェアを使⽤してローカル検索を実⾏できます。Windows コンピュータでは Sophos Endpoint の「検索」オプションを使⽤し、Mac では Sophos Anti-Virus の「ローカルボリュームの検索」オプションを使⽤します。クリーンアップの完了には再起動が必要です脅威は部分的に削除されましたが、クリーンアップを完了するには、エンドポイントコンピュータを再起動する必要があります。リモートで実⾏されているランサムウェアが検出されましたリモートコンピュータで、ネットワーク共有内のファイルを暗号化しようとするランサムウェアを検出しました。リモートコンピュータの IP アドレスからのネットワーク共有への書き込みアクセスをブロックしました。その IP アドレスを持つコンピュータが Sophos Central の管理下にあるクライアントマシンで、「ランサムウェアから⽂書ファイルを保護する (CryptoGuard)」が有効化されている場合、ランサムウェアは⾃動的にクリーンアップされます。次の⼿順を実⾏する必要があります。• ランサムウェアを実⾏しているコンピュータを探します• コンピュータが Sophos Central の管理下にある場合は、ポリシーで、「ランサムウェアから⽂

書ファイルを保護する (CryptoGuard)」が有効化されていることを確認します。• ⾃動的にクリーンアップが実⾏されない場合は、次の⼿順を実⾏します。他のコンピュータに危



関連概念警告 (p. 5)「警告」ページには、対処の必要な警告がすべて表⽰されます。関連情報knowledge base article 127331

3.2.2 デバイス暗号化に関する警告デバイス暗号化に関する警告には、次の種類があります。


https://community.sophos.com/kb/en-us/127331


重要度 - 中• デバイスは暗号化されていません

暗号化されているべきボリュームが暗号化されていません。ポリシーが適⽤された際に、ユーザーが暗号化を延期した可能性があります。

• 復旧鍵が⾒つかりません暗号化されたボリュームの復旧鍵が、Sophos Central のデータベースにありません。

• デバイス暗号化が中断されましたデバイス暗号化を中断していない場合は、次の理由が考えられます。̶ 復旧鍵がまだ Sophos Central に保存されていない。エンドポイントがインターネットに接続

していることを確認してください。̶ 事前にプロビジョニングした BitLocker がまだ有効になっていない。ユーザーは、PIN、パス

ワード、または USB メモリを定義して BitLocker を有効化する必要があります。̶ Windows アップデートのインストールが進⾏中である。次回の再起動後に、BitLocker の中

断が⾃動的に解除されます。

3.2.3 インストール、アップデート、およびコンプライアンスに関する警告ソフォスのエージェントのインストールやアップデート、またはポリシー準拠に影響を及ぼす警告には、次の種類があります。

重要度 - ⾼コンピュータまたはサーバーの保護に失敗しましたコンピュータはエージェントソフトウェアのインストールを開始しましたが、1時間が経過しても保護機能が適⽤されていません。問題のあるコンピュータで実⾏したインストーラに、この問題に関する詳しい情報がある可能性があります。

重要度 - 中コンピュータまたはサーバーが最新の状態ではありません過去 24時間以内にアップデートが⾏われなかったコンピュータが、過去 6時間以内に SophosCentral と通信を⾏い、その通信の時点から 2時間が経過してもアップデートが⾏われませんでした。通常、コンピュータは起動後に 5分以内にアップデートを⾏い、その後は 60分おきにアップデートを⾏います。ポリシーの再適⽤が繰り返し失敗する場合、より重⼤な問題が発⽣している可能性があります。この場合、再インストールを実⾏することで問題が解決する場合があります。再起動が必要ですエージェントソフトウェアのアップデートを完了するのにコンピュータの再起動が必要ですが、コンピュータが 2週間再起動されていません。エージェントソフトウェアのインストール/アップデート後に、ソフトウェアの新規/アップデートバージョンの機能を完全に適⽤するのに再起動が必要になる場合があります。アップデートは即座に実⾏する必要はありませんが、できるだけ早期に実⾏することを推奨します。



ポリシーに準拠していませんデバイス⾃体で設定が変更されたなどのさまざまな理由で、デバイスがポリシーに準拠しなくなることがあります。この場合、ポリシーに準拠しない状態で 2時間が経過すると、システムは警告を発し、適⽤されていないポリシーを再適⽤しようとします。デバイスがポリシーに準拠した状態に回復されると、警告は⾃動的に消去されます。再適⽤が繰り返し失敗する場合、より重⼤な問題が発⽣している可能性があります。この場合、再インストールを実⾏することで問題が解決する場合があります。周辺機器が検出されましたリムーバブルメディアや周辺機器が、Sophos Central の監視対象デバイスで検出されました。重複したデバイスの検出重複したデバイスが検出されました。同⼀のイメージから複製された複数のデバイスの ID は同じになります。重複した ID がある場合、管理上の問題が発⽣する可能性があります。重複したデバイスは、新しい ID で再登録されます。詳細は、サポートデータベースの⽂章 132029 を参照してください。注:• Windows XP/Vista または Windows Server 2003/2008 環境のコンピュータは、重複したデバ

イスとして検出されません。しかし、対応している OS (例: Windows 10) 環境のコンピュータとデバイス ID が同じである場合、それは重複したデバイスとして検出されます。なお、再登録はされません。

• サーバーロックダウン機能がインストール済みでロックされている Windows サーバーは、重複したデバイスとして検出されても、再登録されません。

• 重複したデバイスの検出は、VMware Horizon、Citrix PVS または Citrix MCS など、VDI 環境では対応していません。

関連情報knowledge base article 132029

3.2.4 ワイヤレスに関する警告アクセスポイントで⽣成される警告を表⽰します。

重要度 - ⾼アクセスポイントのセキュリティに問題があります: アクセスポイントの負荷が⾼すぎます。接続しているデバイスが多すぎます。対象範囲をカバーするのに⼗分な台数のアクセスポイントがあるかどうかを確認してください。

重要度 - 中アクセスポイントがオフラインです: アクセスポイントがインターネットに接続していないか、電源が⼊っていないか、ソフトウェアのエラーが発⽣しているかのいずれかが原因です。再起動を試みてください。再起動によって、ソフトウェアのエラーが解決することがあります。アクセスポイントは、いずれのネットワークもブロードキャストしていません。: アクセスポイントが設定されていません。アクセスポイントを設定するには、「ワイヤレス > アクセスポイント」をクリックします。アクセスポイントのコマンドが完了しました: 再起動が完了しました。




アクセスポイントを再起動することで、次の警告が解決することがあります。• アクセスポイントの設定に失敗しました• アクセスポイントのファームウェアを更新できませんでした引き続きこの問題が発⽣する場合は、ソフォスのサポートへお問い合わせください。サポートチームが問題を調査するには、リモートアクセスが必要です。「ワイヤレス > 設定 > 診断 > ソフォスのサポートにアクセスポイントへのリモートログインを許可する」を選択して、リモートアクセスを許可してください。

重要度 - 低アクセスポイントのファームウェアは新しいバージョンに更新されます: ワイヤレスは約 5分間オフラインになります。すべてのアクセスポイントのファームウェアは新しいバージョンに更新されます: ワイヤレスは約5分間オフラインになります。アクセスポイントのファームウェアを新しいバージョンに更新しましたすべてのアクセスポイントを更新しました

3.2.5 脅威の対処⽅法脅威の対処⽅法に関するアドバイスは、次を参照してください。• ランサムウェアへの対処。• エクスプロイトへの対処。• Wb ブラウザ攻撃への対処。• ディープラーニングによって検出されたマルウェアへの対処。• アプリケーションロックダウンのイベントへの対処。• 誤検知への対処。マルウェアに関するアドバイスは、脅威対策に関する警告に記載されているマルウェアに関する警告のセクションを参照してください。

関連概念警告 (p. 5)「警告」ページには、対処の必要な警告がすべて表⽰されます。ランサムウェアへの対処 (p. 13)エクスプロイトへの対処 (p. 15)Wb ブラウザ攻撃への対処 (p. 16)ディープラーニングによって検出されたマルウェアへの対処 (p. 16)アプリケーションロックダウンのイベントへの対処 (p. 17)誤検知への対処 (p. 17)脅威対策に関する警告 (p. 7)

ランサムウェアへの対処ここでは、ランサムウェアが検出されたときの動作と、その対処⽅法について説明します。検出が誤検知であることがわかっている場合、誤検知への対処を参照してください。



ランサムウェアが検知された場合の動作ランサムウェアが検出されると、次の処理が実⾏されます。• 検出された項⽬が、ファイル/フォルダの暗号化製品など、正規のアプリケーションであるかどう

かをチェックします。正規のアプリケーションでない場合は、アプリケーションを停⽌します。• 変更が加えられる前の状態にファイルを復元します。• エンドユーザーに通知を⾏います。• 脅威ケースが⽣成されます。このレポートは、さらなる対応が必要かどうか判断するのに役⽴ち

ます。• デバイスの検索が開始し、その他のマルウェアを検出・クリーンアップします。• デバイスのセキュリティ状態が緑⾊に戻ります。

「ランサムウェアを検出しました」が表⽰された場合の対処⽅法クリーンアップを実⾏する必要がある場合は、次の⼿順を実⾏してください。• サンプルの⾃動送信が有効になっていない場合は、ランサムウェアのサンプルファイルをソフォ

スに送信してください。分類先を確認後、場合によってはソフォスのルールを更新します。マルウェアの場合は、以後、Sophos Central でブロックされます。サンプルの送信に関する詳細は、サポートデータベースの⽂章を参照してください。

• 他のコンピュータに危険が及ぶ恐れのないネットワークに、コンピュータを⼀時的に移動します。対象のコンピュータに移動し、Sophos Clean を実⾏します (インストールされていない場合は、ソフォスの Web サイトからダウンロードします)。サーバーに対して Sophos Clean を実⾏する場合は、Sophos Central から実⾏します。詳細は、警告を参照してください。


「リモートで実⾏されているランサムウェアが検出されました」が表⽰された場合の対処⽅法リモートコンピュータで、ネットワーク共有内のファイルを暗号化しようとするランサムウェアを検出しました。リモートコンピュータの IP アドレスからのネットワーク共有への書き込みアクセスをブロックしました。その IP アドレスを持つコンピュータが Sophos Central の管理下にあるクライアントマシンで、「ランサムウェアから⽂書ファイルを保護する (CryptoGuard)」が有効化されている場合、ランサムウェアは⾃動的にクリーンアップされます。次の⼿順を実⾏する必要があります。• ランサムウェアを実⾏しているコンピュータを探します• コンピュータが Sophos Central の管理下にある場合は、ポリシーで、「ランサムウェアから⽂

書ファイルを保護する (CryptoGuard)」が有効化されていることを確認します。• ⾃動的にクリーンアップが実⾏されない場合は、次の⼿順を実⾏します。他のコンピュータに危





「リモートマシンを攻撃するランサムウェアが検出されました」が表⽰された場合の対処⽅法このコンピュータが、他のコンピュータのファイルを暗号化しようとしていることを検知しました。コンピュータによるネットワーク共有への書き込みアクセスをブロックしました。コンピュータがクライアントマシンで、「ランサムウェアから⽂書ファイルを保護する (CryptoGuard)」が有効化されている場合、ランサムウェアは⾃動的にクリーンアップされます。次の⼿順を実⾏する必要があります。• 「ランサムウェアから⽂書ファイルを保護する (CryptoGuard)」が、Sophos Central ポリシー

で有効化されていることを確認してください。詳細はこちらを参照してください。• ⾃動的にクリーンアップが実⾏されない場合は、次の⼿順を実⾏します。他のコンピュータに危



関連概念誤検知への対処 (p. 17)警告 (p. 5)「警告」ページには、対処の必要な警告がすべて表⽰されます。関連情報knowledge base article 11490

エクスプロイトへの対処このトピックでは、エクスプロイトの対処⽅法について説明します。検出が誤検知であることがわかっている場合、誤検知への対処を参照してください。

エクスプロイトが検出された場合の動作エクスプロイトが検出されると、次の処理が実⾏されます。• エクスプロイトが停⽌されます。• ユーザーに通知を⾏います。• 脅威をクリーンアップするために検索が開始します。• 脅威ケースが⽣成されます。

管理者が⾏うべき対策「脅威解析センター > 脅威ケース」を参照して、ケースの詳細を確認し、攻撃の感染元や感染⽅法、および影響を受けたプロセスやファイルを特定します。




ときにはユーザーが、攻撃者にアクセス権を与えるアプリケーションをダウンロードしていたり、承認していたりすることもあります。このような事態を避けるためには、セーフブラウジングに関するユーザー教育を実施してください。

関連概念誤検知への対処 (p. 17)

Wb ブラウザ攻撃への対処

Wb ブラウザ攻撃が検知された場合の動作攻撃が検知されると次が実⾏されます。• Intercept X がユーザーに対してブラウザを閉じるように警告を発します。• Sophos Clean のスキャンが開始します。• 脅威ケースが⽣成されます。

管理者が⾏うべき対策次の⼿順を実⾏する必要があります。• 脅威ケースを使⽤して、攻撃に関連する IP アドレスと URL 接続を特定します。• 社内ファイアウォールでその場所をブロックするかどうかを判断します。(攻撃が Web プロテク

ションで検知されなかった場合、悪意のあるものとして分類されません。)• ユーザーがパスワードを⼊⼒した場合は、パスワードの変更を要求します。• ユーザーが銀⾏のオンラインサイトにアクセスしていた場合は、⼝座に不審な動きがなかったか

どうかを確認します。

ディープラーニングによって検出されたマルウェアへの対処ディープラーニングは、シグネチャを⽤いない⾼度な機械学習でマルウェアや業務上不要と思われるアプリケーションを検出します。ディープラーニングによって検出されたマルウェアは、「ML/」で開始する項⽬として警告に表⽰されます。PE ファイル (アプリケーション、ライブラリ、システムファイル) は検出されると、隔離されます。安全な場合は、ファイルを復元・許可できます。

マルウェアが検知された場合の動作ディープラーニングによって悪意のあるファイルが検出されると、次のステップが実⾏されます。• ファイルが許可するアプリケーションのリストに追加されているかどうかが確認されます。(この

リストを使⽤すると、誤ってマルウェアとして検出されたファイルを検索の対象から除外できます。)

• ファイルが許可するアプリケーションのリストに含まれていない場合は、マルウェアとして報告され、隔離されます。

• 脅威ケースが⽣成されます。



• マルウェアが隔離されているため、コンピュータのセキュリティ状態は緑⾊です。

管理者が⾏うべき対策検出されたマルウェアは隔離されるため、通常対応を⾏う必要はありません。ただし、ディープラーニングでは正規のファイルがマルウェアとして検出される場合があります(誤検知)。安全だということがわかっている場合は、ファイルを復元して再度ユーザーが使⽤することを許可できます。ファイルを復元・許可するには、検出されたアプリケーションの許可にある⼿順に従ってください。

関連概念許可されたアプリケーション (p. 122)関連情報検出されたアプリケーションの許可 (p. 123)

アプリケーションロックダウンのイベントへの対処アプリケーションロックダウン機能は、⼀般的によく使われる正規アプリケーションの機能の悪⽤により、攻撃が開始されたり、マルウェアが起動されたりするのを阻⽌します。

攻撃が検知された場合の動作ロックダウンされているアプリケーションが、他のソフトウェアをインストールしたり、システム設定を変更したりするなど、許可されていない振る舞いを⾏うと、次のステップが実⾏されます。• Intercept X が⾃動的にアプリケーションを閉じます。• ユーザーに通知を⾏います。• Sophos Clean のスキャンが開始します。これにより、マルウェアの疑いがある他のコンポートを

識別できます。• 脅威ケースが⽣成されます。

管理者が⾏うべき対策次の⼿順を実⾏する必要があります。• 脅威ケースを使⽤して、攻撃の原因となったファイルやアクティビティを特定します。• 他に必要な対応がないことを確認します。

誤検知への対処ソフォスのソフトウェアでは未知の脅威を検出することができます。その⼀⽅で、安全なことがわかっているアプリケーションがマルウェアとして検出されたり、エクスプロイトとして報告されたりする場合があります。これは、「誤検知」と呼ばれます。誤検知が発⽣した場合には、以後その項⽬が検出されないようにするとともに、削除されたファイルを復元することができます (妥当と判断した場合)。



関連概念アプリケーション検出の停⽌ (p. 18)エクスプロイト検出の停⽌ (p. 18)ランサムウェア検出の停⽌ (p. 19)

アプリケーション検出の停⽌アプリケーション、ライブラリ、システムファイルなどの PE (Portable Executable) ファイルが検出されると、それらのファイルは隔離されますが、元の場所へ戻すことができます。ソフォスのソフトウェアで検出され削除されたアプリケーションを許可するには、次の⼿順を実⾏してください。• すべてのコンピュータとユーザーに対してアプリケーションが許可されます。• アプリケーションの起動は許可されますが、アプリケーションの実⾏中に、脅威、エクスプロイ

ト、悪意のある動作がないかチェックが⾏われます。1. アプリケーションの検出場所に応じて、「コンピュータ」または「サーバー」ページを参照しま

す。2. 検知が発⽣したコンピュータをクリックして詳細を表⽰します。3. 「イベント」タブで、該当する検出イベントの「詳細」をクリックします。4. 「イベントの詳細」ダイアログの「このアプリケーションを許可する」の下にオプションが表⽰

されます。5. アプリケーションを許可する⽅法を選択します。

• 証明書: 推奨される⽅法です。同じ証明書を持つ他のアプリケーションも許可されます。• SHA-256: このバージョンのアプリケーションのみが許可されます。ただし、アプリケー

ションがアップデートされると、再び検出されるようになる場合があります。• パス: 表⽰されるパス (場所) にインストールされているアプリケーションが許可されます。

アプリケーションがコンピュータごとに異なる場所にインストールされている場合は、パスに変数を使⽤できます (パスは後から変更することもできます)。

6. 「許可」をクリックします。

エクスプロイト検出の停⽌エクスプロイトが検出されたが、誤って検出されたことがわかっている場合は、以後検出されないようにできます。この設定は、すべてのユーザーとコンピュータに適⽤されます。

注ここでの⼿順は、イベントリストにあるオプションを使⽤することを前提に書かれています。別の⽅法として、ポリシー設定またはグローバル設定にあるオプションを変更することもできます。詳細は、このページにある他の⽅法を参照してください。

1. アプリケーションの検出場所に応じて、「コンピュータ」または「サーバー」ページを参照します。

2. 検知が発⽣したコンピュータをクリックして詳細を表⽰します。3. 「イベント」タブで、該当する検出イベントの「詳細」をクリックします。4. 「イベントの詳細」で、「再検出しない」を参照して、オプションを選択します。

• 「この検出 ID を検索から除外します」を選択すると、この検出 ID が、このアプリで検出されなくなります。



• 「このアプリケーションを検索から除外します」を選択すると、このエクスプロイトが、このアプリで検出されなくなります。

より正確に適⽤されるため、まず、検出 ID の除外を選択するようにしてください。同じ項⽬が再度検出される場合は、次に、アプリケーションを除外するようにしてください。

5. 「除外」をクリックします。ここで指定した除外項⽬は、⼀覧に追加されます。検出 ID の除外項⽬は、グローバル除外に追加されます。アプリケーションの除外項⽬は、エクスプロイト防⽌の除外に追加されます。

エクスプロイト検出の停⽌ (ポリシー設定を使⽤)エクスプロイトが検出されたアプリケーションにおける、エクスプロイトの検出を停⽌できます。この設定を⾏った場合、アプリケーションに対して検出されたエクスプロイト以外のエクスプロイトのチェックは今後も実施されます。1. 「ポリシー」で、「脅威対策」ポリシーを参照し、コンピュータに適⽤します。2. 「検索除外」の下の「除外の追加」をクリックします。3. 「除外の種類」のドロップダウンリストから「検出されたエクスプロイト」を選択します。4. エクスプロイトを選択して「追加」をクリックします。ポリシーを使⽤して、特定の種類のアプリケーションにおける、エクスプロイトの検出を停⽌することもできます。その場合は、脅威対策ポリシーを開き、対象となるアプリケーションの種類に対するエクスプロイト防⽌ (「ランタイム保護」の下にあります) を無効に設定します。

注エクスプロイト防⽌の無効化は推奨されません。

エクスプロイト検出の停⽌ (グローバル設定を使⽤)特定のアプリケーションに対するすべてのエクスプロイトの検出を停⽌することもできます。この設定を⾏った場合、アプリケーションに対するエクスプロイト検知は実施されなくなりますが、ランサムウェアやマルウェアのチェックは今後も実施されます。1. 「グローバル設定 > エクスプロイト防⽌の除外」を開きます。2. 「除外の追加」をクリックします。3. 表⽰されるダイアログで、「アプリケーション」を選択します。4. 「追加」をクリックします。

ランサムウェア検出の停⽌ランサムウェアが検出されたが、誤って検出されたことがわかっている場合は、以後検出されないようにできます。この設定は、すべてのユーザーとコンピュータに適⽤されます。1. アプリケーションの検出場所に応じて、「コンピュータ」または「サーバー」ページを参照しま

す。2. 検知が発⽣したコンピュータをクリックして詳細を表⽰します。3. 「イベント」タブで、該当する検出イベントの「詳細」をクリックします。



4. 「イベントの詳細」で、「再検出しない」を参照します。「この検出 ID を検索から除外します」を選択して、検索から除外します。この検出 ID が、このアプリで検出されなくなります。

5. 「除外」をクリックします。ここで指定した除外項⽬は、⾃動的にグローバル除外リストにも追加されます。

3.3 脅威解析センターダッシュボードでは最も重要な情報が⼀⽬で確認できます。次の領域から構成されています。

最近の脅威ケース「脅威ケース」ページでは、マルウェア攻撃を調査できます。各ケースをクリックして、攻撃の感染元や感染経路のほか、感染したプロセスやファイルを特定できます。「すべての脅威ケースの表⽰」をクリックすると、すべての脅威ケースが表⽰されます。「脅威ケース」は、Windows デバイスのみで利⽤できます。

脅威検索このオプションは、Intercept X Advanced with EDR、または Intercept X Advanced with EDRfor Server を導⼊している場合のみに利⽤できます。ネットワーク上の潜在的な脅威を検索します。SHA-256 ファイルのハッシュ、ファイル名、IP アドレスやドメイン (完全または不完全)、またはコマンドラインを使って検索できます。検索条件に使⽤するこのような情報は、通常、他のセキュリティ製品または脅威通知サービスから取得できます。脅威検索によって、次のような項⽬が検出されます。• レピュテーションが不明または低い PE (Portable Executable) ファイル (アプリケーション、ラ

イブラリ、システムファイルなど)。• そのようなファイルが接続した IP アドレスまたはドメイン。• 実⾏された管理ツール。このようなツールは誤⽤される可能性があります。

注また、脅威ケース内で、脅威検索を実⾏することもできます。検出された潜在的な脅威の影響を受けた、他の項⽬も検出することができます。

注このヘルプの公開時点では、コマンドラインおよび管理ツールの検索機能はリリースされていない可能性があります。



最近実⾏した脅威検索このオプションは、Intercept X Advanced with EDR、または Intercept X Advanced with EDRfor Server を導⼊している場合のみに利⽤できます。最近実⾏して保存した脅威検索が表⽰されます。各検索をクリックして、再度検索を実⾏したり、影響を受けたデバイスを検出したり、アクションを実⾏したりできます。「すべての検索の表⽰」をクリックすると、すべての検索が表⽰されます。

上位脅威インジケータ脅威インジケータは、ソフォスによってブロックされていないが、調査を⾏う必要があると思われる疑わしいファイルを⽰します。上位脅威インジケータの⼀覧には、最も頻繁に検出される脅威インジケータが、次の項⽬とともに表⽰されます。• 疑わしさのレベル: 悪意のあるファイルである確率です。• 影響を受けたデバイスの数:⼀覧を参照して、さらに問題を解決するには、「すべての脅威インジケータの表⽰」をクリックします。

3.3.1 脅威ケース「脅威ケース」ページでは、マルウェア攻撃を調査およびクリーンアップできます。攻撃の感染元や感染⽅法、および感染したプロセスやファイルを特定できます。これにより、セキュリティを改善することができます。Intercept X Advanced with EDR ライセンス、または Intercept X Advanced with EDR forServer ライセンスをお持ちの場合は、次の操作も実⾏できます。• 影響を受けたデバイスの隔離。• 脅威の影響を受けたネットワーク上の他の項⽬の検索。• 脅威のクリーンアップおよびブロック。脅威ケースは、詳細な調査を要するマルウェアが検出されるたびに作成されます。

注この機能は現在、Windows デバイスのみに対応しています。

脅威の調査およびクリーンアップ⽅法ここでは、ケースの⼀般的な調査⽅法について概説します。すべてのオプションの詳細は、「脅威ケースの解析」ページを参照してください。⼀部の機能は、Intercept X Advanced with EDR ライセンス、または Intercept X Advancedwith EDR for Server ライセンスをお持ちの場合のみに利⽤できます。1. メインメニューで「脅威ケース」をクリックした後、ケースをクリックします。



ケースの詳細ページが表⽰されます。2. 「サマリー」を確認して、攻撃の開始場所と感染した可能性のあるファイルを把握します。3. 「推奨される次のステップ」を確認します。ケースの優先度を変更したり、調査が必要なプロセ

スを表⽰したりできます。ケースの優先度が⾼く、Intercept X Advanced with EDR を導⼊している場合は、「デバイスの隔離」をクリックできます。ネットワークから感染デバイスを隔離します。デバイスは、引き続き Sophos Central から管理することができます。

注デバイスが既に⾃動的に隔離されている場合は、このオプションは表⽰されません。

4. 「解析」タブに、攻撃の進⾏状況を⽰す図が表⽰されます。各項⽬をクリックすると、詳細が表⽰されます。

5. 根本原因または他のプロセスをクリックして、詳細を表⽰します。6. ソフォスから最新の解析情報を受信するには、「最新の解析情報を要求」をクリックします。

解析⽤にファイルがソフォスに送信されます。ファイルのレピュテーションや拡散状況に関する最新情報がある場合は、数分後に、ソフォスからの情報がここに表⽰されます。

制約事項Intercept X Advanced with EDR ライセンス、または Intercept X Advanced with EDRfor Server ライセンスをお持ちの場合は、より詳細な解析情報が表⽰されます。詳細は、「最新の脅威解析情報」を参照してください。また、表⽰される⼿順に従って、さらに検出とクリーンアップを実⾏できます。

7. 「項⽬の検索」をクリックして、影響を受けた他のファイルをネットワークで検索します。「項⽬検索の結果」ページで、影響を受けた他のファイルが表⽰される場合は、「デバイスの隔離」をクリックして、影響を受けたデバイスを隔離できます。

8. 脅威ケースの詳細ページに戻り、最新の脅威解析情報を参照します。9. 悪意のあるファイルであるということ確認できる場合は、「クリーン＆ブロック」をクリックし

ます。検出元のデバイスで項⽬がクリーンアップされ、すべてのデバイスでその項⽬がブロックされます。

10.脅威への対処が完了したら、必要に応じて隔離したデバイスを復元できます。「推奨される次のステップ」を開き、「隔離したコンピュータの復元」をクリックします。複数のデバイスを隔離した場合は、「設定 > 管理者が隔離したデバイス」を選択して、復元します。

11.「検出された脅威ケース」のリストに戻り、該当するケースを選択して、「クローズ」をクリックします。

脅威ケースのリストについて「検出された脅威ケース」ページには、過去 90⽇間に作成されたすべての脅威ケースが⼀覧表⽰されます。脅威ケースは、以下のような⽣成⽅法に基づいて複数のタブに分割されます。



• ソフォスが⾃動⽣成• Sophos Central の管理者が⽣成• MTR (Sophos Managed Threat Response) 部⾨が⽣成 (未使⽤の MTR ライセンスがある場

合）ケースは、「ステータス」や「優先度」で絞り込み表⽰できます。「検索」機能を使⽤して、特定のユーザー、デバイス、または脅威名 (Troj/Agent-AJWL など) に関するケースを表⽰できます。各ケースについて、リストに表⽰される項⽬は次のとおりです。• ステータス: デフォルトのステータスは「新規」です。これはケースを表⽰するときに変更できま

す。• 作成⽇時: ケースが作成された⽇時。• 優先度: ケースの作成時に優先度が指定されます。これはケースを表⽰するときに変更できます。• 名前: 脅威名をクリックするとケースの詳細が表⽰されます。• ⽣成者: 脅威ケースを⽣成した Sophos Central の管理者。• ユーザー: 感染を引き起こしたユーザー。ユーザー名をクリックして、ユーザーの詳細を表⽰しま

す。• デバイス: 感染を引き起こしたデバイス。デバイス名をクリックして、デバイスの詳細を表⽰しま

す。• デバイスタイプ: 「コンピュータ」、「サーバー」など、デバイスの種類。いずれかの列を選択して、ケースを並べ替えることができます。

関連概念警告 (p. 5)「警告」ページには、対処の必要な警告がすべて表⽰されます。脅威ケースの解析ページ (p. 23)脅威ケースは、詳細ページを参照し、そこにある解析ツールを使⽤して調査できます。脅威対策ポリシー (p. 194)脅威対策機能は、マルウェア、危険な種類のファイル/Web サイト、および悪質なトラフィックからユーザーを守ります。

脅威ケースの解析ページ脅威ケースは、詳細ページを参照し、そこにある解析ツールを使⽤して調査できます。「検出された脅威ケース」ページで該当する脅威ケースを探します。脅威ケース名をクリックし、その概要や、影響を受けたアーティファクトの詳細 (プロセス、ファイル、キー)、脅威の流れを⽰す図を表⽰します。調査⽅法の概要は、「脅威の調査およびクリーンアップ⽅法」を参照してください。すべてのオプションの詳細は、このページにある各セクションをお読みください。

注表⽰されるオプションは、購⼊済みのライセンス、および脅威の重要度によって異なる場合があります。



サマリー「サマリー」タブには、次の項⽬を含む、脅威のサマリーが表⽰されます。• 根本原因: 脅威がシステムに侵⼊した経路。• 関連する可能性のあるデータ: 重要なデータを含む可能性のあるファイル。ファイルをチェックし

て、データが暗号化されたり、盗まれたりしていないかを確認してください。• 発⽣場所: デバイス名とそのユーザー。• 発⽣⽇時: 検出⽇時。

推奨される次のステップ「推奨される次のステップ」ペインには次の内容が表⽰されます。優先度: 優先度は⾃動的に設定されます。変更可能です。ステータス: デフォルトのステータスは「新規」です。変更可能です。

注⼀度「処理中」に設定したステータスを「新規」に戻すことはできません。

デバイスの隔離: ケースの優先度が⾼く、かつ Intercept X Advanced with EDR、またはIntercept X Advanced with EDR for Server を導⼊している場合のみに表⽰されます。デバイスの検索: このリンクを使⽤して、影響を受けたデバイスに対して脅威検索を実⾏することができます。

解析「解析」タブには、マルウェア感染で発⽣した⼀連のイベントが表⽰されます。タブの右側のメニューから表⽰する内容の詳細度を選択できます。• 直接パスの表⽰: 根本原因から、感染が検出された場所 (「ビーコン」) の項⽬までの経路に、直

接かかわりのある⼀連の項⽬が表⽰されます。• 詳細グラフの表⽰: 根本原因、ビーコン、影響を受けたアーティファクト (アプリケーション、

ファイル、キー)、感染パス (⽮印)、感染の仕組みが表⽰されます。このオプションはデフォルトで選択されています。

各種アーティファクトの表⽰/⾮表⽰を切り替えるには、図の上のチェックボックスを使⽤します。詳細を表⽰するには、項⽬をクリックします。図の右側に詳細ペインが開きます。

ケースの記録「ケースの記録」タブには、ソフォスや管理者による作成からはじまる、脅威ケースの履歴が表⽰されます。コメントを投稿して、実⾏されたアクションやその他の関連情報を記録できます。



デバイスの隔離このオプションは、Intercept X Advanced with EDR、または Intercept X Advanced with EDRfor Server を導⼊している場合のみに利⽤できます。「推奨される次のステップ」で、潜在的な脅威を調査する間、デバイスを隔離することができます。デバイスは、引き続き Sophos Central から管理することができます。隔離されたデバイスから、解析⽤にソフォスにファイルを送信することもできます。また、隔離したデバイスが、制限された環境下で他のデバイスと通信することも許可できます。詳細は、「検索の除外」を参照してください。隔離したデバイスは、いつでも復元することができます。「推奨される次のステップ」の下に「隔離したコンピュータの復元」オプションが表⽰されます。

注デバイスが既に⾃動的に隔離されている場合は、「デバイスの隔離」オプションは表⽰されません。詳細は、デバイスの隔離を参照してください。

最新の脅威解析情報影響を受けた項⽬をクリックすると、詳細ページが表⽰されます。そのファイルが既にソフォスに送信済みの場合は、最新の脅威解析情報が表⽰されます。ファイルがまだ送信されていない場合、または脅威解析情報が更新されているかを確認する場合は、「最新の解析情報を要求」をクリックします。ファイルのグローバルレピュテーションおよび拡散状況に関する最新情報が表⽰されます。Intercept X Advanced with EDR、または Intercept X Advanced with EDR for Server を導⼊している場合は、次のような詳しい解析情報がタブに表⽰されます。プロセスの詳細項⽬のレピュテーションの評価、および調査が必要かどうかが表⽰されます。レポートのサマリーファイルのレピュテーションおよび拡散状況が表⽰されます。ファイルの脅威レベルを⽰す、ソフォスの機械学習分析の結果の概要も表⽰されます。機械学習分析機械学習分析の詳細な結果が表⽰されます。

検索このオプションは、Intercept X Advanced with EDR、または Intercept X Advanced with EDRfor Server を導⼊している場合のみに利⽤できます。「検索」をクリックして、影響を受けたネットワーク上の他のファイルを検索します。検索は、「脅威検索」ページ、またはダッシュボードの「脅威検索」ペインでも実⾏できます。



クリーン＆ブロックこのオプションは、Intercept X Advanced with EDR、または Intercept X Advanced with EDRfor Server を導⼊している場合のみに利⽤できます。疑わしいファイルがある場合は、「クリーン＆ブロック」を使⽤できます。実⾏すると、疑わしいファイルとそれに関連するファイルやレジストリキーが、すべてのデバイスからクリーンアップされます。また、他のデバイスで実⾏されることがないように、ファイルはブロックリストにも追加されます。

アーティファクトのリストマルウェア攻撃の図の下に表⽰されるリストです。業務関連ファイル、プロセス、レジストリキー、IP アドレスなど、影響を受けた項⽬がすべて表⽰されます。タブの右上にある「CSV 形式で出⼒」をクリックして、影響を受けたアーティファクトの⼀覧をカンマ区切り (CSV) ファイルとして出⼒できます。⼀覧には次の項⽬が表⽰されます。• 名前: 詳細ペインを表⽰するには、名前をクリックします。• 種類: 業務関連ファイルやレジストリキーなど、アーティファクトの種類。• レピュテーション• ログ⽇時: プロセスがアクセスされた⽇時。• 相互作⽤

フォレンジック分析のスナップショットの作成デバイスから、フォレンジック分析のスナップショットを作成できます。スナップショットは、デバイスのアクティビティに関するソフォスのログからデータを取得し、デバイスに保存します。指定した Amazon Web Services (AWS) S3 バケットに保存することもできます。これを⽤いて独⾃に解析を⾏うことができます。データの読み取りにはコンバータ (ソフォスで提供) が必要です (フォレンジック分析のスナップショットの変換を参照)。

注スナップショットに必要なデータの量とアップロード先を選択できます。これを実⾏するには、「グローバル設定 > フォレンジック分析のスナップショット」を開きます。ヘルプの公開時点では、これらの機能がリリースされていないこともあります。

スナップショットの作成⽅法は次のとおりです。1. 脅威ケースの「解析」タブを参照します。

または、デバイスの詳細ページで、「ステータス」タブを開きます。2. 「フォレンジック分析のスナップショットの作成」をクリックします。3. フォレンジック分析のスナップショットの AWS S3 バケットへのアップロードの⼿順に従いま

す。



⽣成したスナップショットは、 %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Forensic Snapshots\ にあります。検出から⽣成されたスナップショットは、 %ProgramData\Sophos\Endpoint Defense\Data\Saved Data\ にあります。

注保存したスナップショットにアクセスするには、タンパープロテクションのパスワードにアクセスできる管理者であり、コマンドプロンプトを管理者権限で実⾏する必要があります。

関連概念脅威ケース (p. 21)「脅威ケース」ページでは、マルウェア攻撃を調査およびクリーンアップできます。脅威対策ポリシー (p. 194)脅威対策機能は、マルウェア、危険な種類のファイル/Web サイト、および悪質なトラフィックからユーザーを守ります。機械学習分析の結果 (p. 27)詳細な機械学習分析⽤に、ファイルをソフォスに送信することができます。ブロックリスト (p. 124)脅威検索 (p. 28)ネットワーク上の潜在的な脅威を検索できます。管理者が隔離したデバイス (p. 129)フォレンジック分析のスナップショット (p. 130)フォレンジック分析のスナップショットでは、コンピュータのアクティビティに関するソフォスのログから取得したデータを⽤いて、ユーザーが独⾃に解析を⾏うことができます。関連タスクフォレンジック分析のスナップショットの変換 (p. 131)SDR Exporter ツールを使⽤してフォレンジック分析のスナップシ�

Sophos Central Admin...Sophos Central Admin 2 ライセンスのアクティベート...

Documents

Transcript of Sophos Central Admin...Sophos Central Admin 2 ライセンスのアクティベート...