- Microsoft
Anti-Malware Scan Interface (AMSI) – AMSI の検出機能は、最も重要な機能の一つです。 監視モードの選択を解除してください。 この設定は、ENS Threat Prevention、On-Access Scan ポリシー、および ENS Adaptive Threat Protection Options(Real Protect の下)にあります。 AMSI の詳細については、Endpoint Security 10.7 Product Guide の "How AMSI integration with Threat Prevention improves security" をご参照ください。 - Self-Protection – ENS および McAfee Agent で Self-Protection が有効になっていることを確認します。
- パスワード保護 – GUI アクセスや製品の削除のためのパスワードが設定されていることを確認してください。
- McAfee Global Threat Intelligence (GTI) – インシデント発生時に GTI を "High" に設定。 そして、インシデント後、安定した状態になってからも、GTIを "Medium" に維持し続けます。 この設定は、以下のポリシーにあります。
- ENS 脅威対策オンアクセススキャンとオンデマンドスキャン
- ENS 適応脅威対策オプション (Real Protect の下)
- アクセス保護 – 環境内で発見された IOC(Indicator of compromise)に対するルールを作成する。 例えば、ランサムウェアが作成するファイルの拡張子などです。 また、McAfee Threat Intelligence Exchange(TIE)のレピュテーションなど、他のツールがある場合はそれを使用することもできます。
- ePO スナップショット – 定期的に ePO のスナップショットを取り、パスフレーズがわかっていて、SQL のバックアップが実行されていることを確認してください。 これらのバックアップは、ePO を失った後の復旧に役立ちます。 手動でリカバリを行う必要がある場合は、KeyStore がバックアップされていることを確認してください。 仮想環境では、このプロセス全体が機能していることを確認するために、定期的にバックアップからのデータベースの復元と ePO サーバーの再インストールを行うことがベストプラクティスとなります。
- システムのカバー範囲 – 製品のカバー範囲と更新のためにシステムをレビューします このレビューは、特に
AMCore コンテンツや Real Protect ルールにとって重要です。 ”EndpointSecurity:"で始まるラベルの付いたデフォルトの「McAfeeDashboards」を使用することをお勧めします。 - Rogue Sensor Detection – 管理されていないシステムは、脅威の封じ込めと根絶を達成しようとする環境では不利になります。 これらのシステムは、以前に修復されたシステムを攻撃し、再感染させることができます。 ネットワーク上のこのようなシステムを見つけ出し、修復することが重要です。 McAfee Rogue Sensor Detection は、このプロセスに役立ちます。 主要なネットワークへの実装を検討してください。
- 誤認識 – 例えば、社内のアプリケーションやネットワーク内のさまざまなソリューションなど、すべての環境が異なるため、誤検知が発生します。 誤検知とは、悪意のない、つまり正当なものと判断された検出です。 私たちの経験によると、これらの推奨事項により、一般的に誤検知の発生は最小限に抑えられます。 しかし、(環境内の他の実装と同様に)必要に応じて監視と調整を行うことをお勧めします。
脅威のインシデントを防ぎ、対応するためにエンドポイントセキュリティをチューニングして使用するためのベストプラクティス
技術的な記事 ID:
KB94048
最終更新: 2021/03/25
最終更新: 2021/03/25
免責事項
この記事の内容のオリジナルは英語です。英語の内容と翻訳に相違がある場合、常に英語の内容が正確です。一部の内容は Microsoft の機械翻訳による訳文となっています。
影響を受ける製品
- Best Practices
- Configuration
- Endpoint Security Adaptive Threat Protection
- Endpoint Security Firewall 10.7.x
- Endpoint Security Firewall 10.6.x (EOL)
- Endpoint Security Threat Prevention 10.7.x
- Endpoint Security Threat Prevention 10.6.x (EOL)
- Endpoint Security Web Control 10.7.x
- Endpoint Security Web Control 10.6.x (EOL)
- Threat Prevention and Removal
言語:
この記事は、次の言語で表示可能です: