ブロックされたアイテムの実行を許可する

適用対象: WatchGuard Advanced EPDR。, WatchGuard EPDR。, WatchGuard EDR。,WatchGuard EDR Core。, WatchGuard EPP。

WatchGuard Endpoint Security では、ワークステーションまたはサーバーで不明なプロセスが検出されると、検出時点から 24 時間以内にすべての不明なプロセスが自動的に分析および分類されます。この工程により、プロセスが グッドウェア または マルウェア として分類され、その分類結果がすべての顧客と共有されます。

ネットワークにあるコンピュータのセキュリティを強化できるように、Endpoint Security の高度な保護にはハードニング モードとロック モードが含まれています。どちらのモードでも、Endpoint Security による分類プロセス中にプロセスがブロックされ、潜在的なリスクが防止されます。分類プロセスが完了するまで、ユーザーはブロックされているプロセスを実行することができません。分類は以下の 2 つの方法で実行されます。

  • 自動分析 — メインの分類方法。これは、リアルタイムで自動的に行われます。
  • 手動分析 — 自動分析で不明なプロセスの分類結果が 99.999% の確実性で返されなかった場合は、WatchGuard マルウェア専門家がその検体を手動で分析します。この分析は完了するまでに多少の時間がかかる場合があります。

分類が即時に完了しない場合は、Endpoint Security によってそれが検出およびブロックされた後に、そのブロックされたアイテムを許可することができます。

未分類のアイテムの実行を許可すると、企業のデータや IT システムの整合性にリスクがもたらされる可能性があります。そのため、これを許可することは勧められません。

Endpoint Security によって攻撃またはプログラムがブロックされると、セキュリティ ダッシュボードに表示される関連タイルのアイテム数が増加します。それぞれのタイルにおいて、ブロックされたアイテムで以下の実行を許可することができます。

  • 現在ブロックされている分類中のプログラム — 分類プロセス中のアイテムのブロックが解除されます。
  • マルウェア アクティビティ — マルウェアとして分類されたプログラムの実行が許可されます。
  • PUP アクティビティ — PUP として分類されたプログラムの実行が許可されます。
  • エクスプロイト アクティビティ — エクスプロイト手法の実行が許可されます。
  • ウイルス対策で検出された脅威 — 署名ファイルの署名に一致したことで Endpoint Security によっfて削除されたアイテムが検疫から復元されます。
  • ネットワーク攻撃 — ネットワーク攻撃からの保護機能によって危険と分類されたトラフィックが許可されます。(ネットワーク攻撃からの保護は EDR Core または WatchGuard EPP では使用できません。)

新しいプロセスまたはプログラムがブロックされないように、ソフトウェアやプログラムを事前に承認することができます。プログラムを承認済みソフトウェア リストに追加する方法については、次を参照してください:承認済みソフトウェア設定を構成する (Windows コンピュータ)

管理ユーザーのロールに応じて、WatchGuard Cloud で表示および実行できる内容が異なります。この機能を表示または構成するには、脅威の一時的除外 を行う権限のあるロールを担っている必要があります。詳細については、次を参照してください:WatchGuard Cloud 管理ユーザーとロールを管理する

分類保留中のアイテムをブロック解除する

未分類のアイテムの実行を許可すると、企業のデータや IT システムの整合性に対するリスクとなる可能性があります。そのため、一般的にこれを許可することは勧められません。アイテムの分類を待つ時間的余裕がユーザーにない場合は、管理者が手動でそれをブロック解除することができます。

分類プロセス中の不明なアイテムの実行を許可するには、以下の手順を実行します。

  1. ステータス > セキュリティ の順に選択します。
  2. 現在ブロックされている分類中のプログラム タイルをクリックします。
  3. リストから、ブロックを解除するアイテムを選択します。

Screen shot of Current Blocked Programs Being Classified list

  1. ブロックされたプログラムの詳細 ページで、ブロック解除 をクリックします。
    Screen shot of Current Blocked Program Details page不明なアイテムのブロックを解除するリスクおよびそのリスク レベルの評価を通知するダイアログ ボックスが開きます。
  2. ブロックを解除する をクリックします。

Screen shot of Unblock dialog box

Endpoint Security によって実行されるアクションにより、以下の状態が発生します。

  • IT ネットワークにあるすべての管理対象コンピュータでアイテムの実行が許可されます。
  • アイテムの分類が完了するまで、分析が継続します。
  • 既知の脅威として分類されているものを除き、プログラムで使用されるすべてのライブラリとバイナリ ファイルの実行が許可されます。
  • 現在ブロックされている分類中のプログラムのリストからアイテムが削除されます。
  • 管理者が許可したアイテムを検出しました リストにアイテムが追加されます。

マルウェア、PUP、またはエクスプロイトとして分類されたアイテムの実行を許可する

管理者は、Endpoint Security によって脅威として分類されたソフトウェアおよびプロセス (例:追加の検索機能を備えたツール バーが PUP として分類された場合) を許可することができます。

マルウェア、PUP、またはエクスプロイトとして分類されたプログラムの実行を許可するには、以下の手順を実行します。

  1. ステータス > セキュリティ の順に選択します。
  2. マルウェア アクティビティPUP アクティビティエクスプロイト アクティビティ のいずれかのタイルをクリックします。
  3. リストから、実行を許可する脅威を選択します。
  4. 詳細ページで、アクションの横にある情報アイコンをクリックします。
    Endpoint Security によって実行されるアクションの説明が記載されたポップアップ ダイアログ ボックスが表示されます。

Screen shot of Exploit Detection page with pop-up

  1. 今後検出しない をクリックします。

Endpoint Security によって実行されるアクションにより、以下の状態が発生します。

  • 管理者が管理しているすべてのコンピュータでアイテムの実行が許可されます。エクスプロイトの場合は、特定の脆弱なプログラムで使用されたことのある特定のエクスプロイト手法の実行が許可されます。
  • 既知の脅威として分類されているものを除き、プログラムで使用されるすべてのライブラリとバイナリ ファイルの実行が許可されます。
  • 管理者が許可した検出アイテム リストにアイテムが追加されます。
  • マルウェア、PUP、エクスプロイト タイルにあるアイテムのインシデントの生成が停止されます。

ネットワーク攻撃を再度検出しない

ネットワーク攻撃の疑いがあるトラフィック動作が Endpoint Security で検出されると、ネットワーク攻撃からの保護機能によって、そのトラフィックのユーザー コンピュータへの送信が阻止されます。検出される攻撃の種類については、次を参照してください:ネットワーク攻撃からの保護 — 検出済みの攻撃の種類 (Windows コンピュータ)

トラフィック動作が脅威であると考えられない場合は、送信元 IP アドレスと攻撃の種類の例外を作成することができます。例外は、Endpoint Security の管理対象コンピュータすべてに適用されます。

アイテムのブロックを停止し、ネットワーク攻撃アクティビティの例外を作成するには、以下の手順を実行します。

  1. ステータス > セキュリティ の順に選択します。
  2. ネットワーク攻撃アクティビティ タイルをクリックします。
  3. リストから、許可するネットワーク攻撃の種類を選択します。
  4. ネットワーク攻撃検出 ページで、アクションの横にある情報アイコンをクリックします。
    Endpoint Security によって実行されるアクションの説明が記載されたポップアップ ダイアログ ボックスが表示されます。

Screen shot of Network Attack Detection page with pop-up

  1. 今後検出しない をクリックします。
    今後検出しない ダイアログ ボックスが開きます。ダイアログ ボックスには、攻撃の種類 (中間者攻撃など) および送信元 IP アドレスが含まれています。

Screen shot of Do Not Detect Again dialog box

  1. これらの IP アドレスからのこの種類のネットワーク攻撃を許可する テキスト ボックスに、攻撃の種類のインバウンド トラフィックを許可する送信元 IP アドレスを入力します。
    個々の IP アドレスをカンマ区切りで入力することも、IP アドレス範囲をダッシュで区切って入力することもできます。任意の IP アドレスから特定の攻撃の種類のトラフィックが送信されるのを許可する場合は、テキスト ボックスを空のままにします。
  2. 今後検出しない をクリックします。

Endpoint Security によって実行されるアクションにより、以下の状態が発生します。

  • 送信元 IP アドレスがリストに入っている場合は、攻撃の種類に対応するインバウンド トラフィックがネットワークに入ることが許可されます。
  • このトラフィックの検出の生成が停止されます。
  • 管理者が許可したアイテムを検出しました リストに攻撃の種類が含まれます。

ウイルスとして分類されたプログラムを復元または検出停止する

署名ファイルが脅威として分類されたプログラムの特定機能をユーザーが使用しなければならない場合で、そのプログラムが管理対象の IT ネットワークの整合性に及ぼす危険性は低いと判断した場合は、そのプログラムの実行を許可することができます。

削除されたプログラムを検疫またはバックアップ領域から復元し、再度検出されるのを防止するには、以下の手順を実行します。

  1. ステータス > セキュリティ の順に選択します。
  2. アンチウイルスで検出された脅威 タイルをクリックします。
  3. リストから、実行を許可するアイテムを選択します。
  4. 脅威の詳細 ページで、アクションの横にある情報アイコンをクリックします。
    Endpoint Security によって実行されるアクションの説明が記載されたポップアップ ダイアログ ボックスが表示されます。

Screen shot of Threat Details page with pop-up

  1. 復旧し、今後検出しない をクリックします。

Endpoint Security によって実行されるアクションにより、以下の状態が発生します。

  • 検疫またはバックアップ領域に入っているアイテムが、ネットワーク内のコンピュータの元の場所にコピーされます。
  • アイテムの実行が許可され、検出が生成されなくなります。
  • 管理者が許可したアイテムを検出しました リストにアイテムが追加されます。

以前に許可されたアイテムの実行許可を停止する

以前に許可されたアイテムを再度ブロックするには、以下の手順を実行します。

  1. ステータス > セキュリティ の順に選択します。
  2. 管理者が許可したアイテムを検出しました タイルで、許可を停止するアイテムの種類 (例:マルウェア、PUP、エクスプロイト、分類中、ネットワーク攻撃) を選択します。
  3. 管理者が許可したアイテムを検出しました リストで、実行許可を停止するアイテムの右側にある をクリックします。

Endpoint Security によって実行されるアクションにより、以下の状態が発生します。

  • 管理者が許可したアイテムを検出しました リストにエントリが追加されます。アクション列に、ユーザーが削除した除外 が表示されます。
  • アイテムが分類プロセス中の不明なアイテムである場合は、現在ブロックされている分類中のプログラム リストにそれが再度表示されます。
  • 対応するリストにアイテムが再度追加されます (例:マルウェア アクティビティ、PUP アクティビティ、エクスプロイト アクティビティ、ネットワーク攻撃アクティビティ)。
  • ウイルスの場合、アンチウイルスで検出された脅威リストにそのアイテムが再度表示されます。
  • アイテムのインシデントの生成が再開されます。

関連トピック

ブロックされた脅威を管理する

検疫済みファイルを管理する