脅威のインシデントを防ぎ、対応するためにエンドポイントセキュリティをチューニングして使用するためのベストプラクティス

技術的な記事 ID: KB94048
最終更新: 2021/03/25

環境

McAfee Endpoint Security (ENS) 10.x
McAfee ePolicy Orchestrator (ePO) 5.x

概要

この記事では、次のシナリオで ENS と ePO を調整して使用するための推奨事項について説明します。

脅威インシデントを防止するプロアクティブな手段として
脅威インシデントの対応状況で、封じ込め、根絶、リカバリを容易にする

これらの推奨事項は、多くの McAfee チームからの入力に基づいて開発されています。これらのチームには、McAfee Advanced Cyber Threat Services (McAfee ACTS)、McAfee Advanced Threat Research team、McAfee Advanced Programs Group、McAfee Labsがあります。これらの推奨事項は、様々なタイプの事件に対応した経験に基づいています。これらの推奨事項は、McAfee のお客様の教育と利便性のための一般的なガイドです。どのような構成がお客様の状況や環境に適しているかは、お客様の判断に委ねられています。

本記事の添付ファイル項目にある Policies.zip というファイルには、本記事の推奨事項に基づいたポリシー例が含まれています。お客様は、ご自身の環境に適用する前に、これらのポリシーを確認する必要があります。

これらの設定や機能の詳細な設定方法については、Endpoint Security 10.7 Product Guide をご参照ください。

この記事は、記載されている情報の正確性、関連性、適時性について随時更新しています。

この記事が更新されたときに電子メール通知を受け取るには、ページ右側の購読をクリックします。購読するには、ログインする必要があります。

内容
クリックして表示したいセクションを展開:

全般設定

Microsoft Anti-Malware Scan Interface (AMSI) – AMSI の検出機能は、最も重要な機能の一つです。監視モードの選択を解除してください。この設定は、ENS Threat Prevention、On-Access Scan ポリシー、および ENS Adaptive Threat Protection Options（Real Protect の下）にあります。 AMSI の詳細については、Endpoint Security 10.7 Product Guide の "How AMSI integration with Threat Prevention improves security" をご参照ください。
Self-Protection – ENS および McAfee Agent で Self-Protection が有効になっていることを確認します。
パスワード保護 – GUI アクセスや製品の削除のためのパスワードが設定されていることを確認してください。
McAfee Global Threat Intelligence (GTI) – インシデント発生時に GTI を "High" に設定。そして、インシデント後、安定した状態になってからも、GTIを "Medium" に維持し続けます。この設定は、以下のポリシーにあります。
- ENS 脅威対策オンアクセススキャンとオンデマンドスキャン
- ENS 適応脅威対策オプション (Real Protect の下)
アクセス保護 – 環境内で発見された IOC（Indicator of compromise）に対するルールを作成する。例えば、ランサムウェアが作成するファイルの拡張子などです。また、McAfee Threat Intelligence Exchange（TIE）のレピュテーションなど、他のツールがある場合はそれを使用することもできます。
ePO スナップショット – 定期的に ePO のスナップショットを取り、パスフレーズがわかっていて、SQL のバックアップが実行されていることを確認してください。これらのバックアップは、ePO を失った後の復旧に役立ちます。手動でリカバリを行う必要がある場合は、KeyStore がバックアップされていることを確認してください。仮想環境では、このプロセス全体が機能していることを確認するために、定期的にバックアップからのデータベースの復元と ePO サーバーの再インストールを行うことがベストプラクティスとなります。
システムのカバー範囲 – 製品のカバー範囲と更新のためにシステムをレビューしますこのレビューは、特に AMCore コンテンツや Real Protect ルールにとって重要です。 ”EndpointSecurity:"で始まるラベルの付いたデフォルトの「McAfeeDashboards」を使用することをお勧めします。
Rogue Sensor Detection – 管理されていないシステムは、脅威の封じ込めと根絶を達成しようとする環境では不利になります。これらのシステムは、以前に修復されたシステムを攻撃し、再感染させることができます。ネットワーク上のこのようなシステムを見つけ出し、修復することが重要です。 McAfee Rogue Sensor Detection は、このプロセスに役立ちます。主要なネットワークへの実装を検討してください。
誤認識 – 例えば、社内のアプリケーションやネットワーク内のさまざまなソリューションなど、すべての環境が異なるため、誤検知が発生します。誤検知とは、悪意のない、つまり正当なものと判断された検出です。私たちの経験によると、これらの推奨事項により、一般的に誤検知の発生は最小限に抑えられます。しかし、（環境内の他の実装と同様に）必要に応じて監視と調整を行うことをお勧めします。

エクスプロイト防止

Exploit Prevention における PowerShell ルール – 以下のルールを有効にすることを検討してください。有効にするべき最も重要なルールは、6070 と 6087 です:
- 6108 - Powershell - Suspicious download string script execution
- 6109 - Powershell - Suspicious wmi script execution
- 6070 - Hidden Powershell Detected
- 6081 - Powershell Command Restriction - NoProfile
- 6082 - Powershell Command Restriction - ExecutionPolicy
- 6083 - Powershell Command Restriction - NonInteractive
- 6084 - Powershell Command Restriction - NoLogo
- 6085 - Powershell Command Restriction - File
- 6086 - Powershell Command Restriction - Command
- 6087 - Powershell Command Restriction - EncodedCommand
- 6096 - Powershell Command Restriction - InvokeExpression
エクスプロイト対策におけるファイルレスルール – これらのファイルレス・ルールをすべて有効にする:
- 6113 - Fileless Threat: Reflective Self Injection
- 6114 - Fileless Threat: Reflective EXE Self Injection
- 6115 - Fileless Threat: Reflective DLL Remote Injection
- 6118 - Fileless Threat: Malicious Code Execution using DotNetToJScript Technique
- 6120 - Fileless Threat: Process Hollowing
- 6121 - Fileless Threat: Shellcode Self Injection
- 6122 - Fileless Threat: Reflective Loading of mimikatz using DotNetToJScript Technique
- 6124 - Fileless Threat: Spoof Parent Process
- 8003 - Fileless Threat: Suspicious Powershell Behavior Detected
- 8004 - Fileless Threat: Malicious Powershell Behavior Detected
Mimikatz rules in Exploit Prevention – The most important rule to enable is 6078. ただし、その他のルールも次のような利点があります。
- 6078 - Mimikatz usage
- 6116 - Mimikatz LSASS Suspicious Memory Read
- 6117 - Mimikatz LSASS Suspicious Memory DMP Read
- 6122 - Fileless Threat : Reflective Loading of mimikatz using DotNetToJScript Technique
Mimikatz rule in Access Protection – Select both Block and Report for Executing Mimikatz malware

スキャン

発生時には、オンデマンドスキャン (フルスキャン) を毎日実行することをお勧めします。最近の ENS バージョンでは、スキャンはパフォーマンスに多くの影響を及ぼしません。システムが最もアクティブではない時間帯にスキャンを実行するようにスケジュールを設定できます (午前2時など)。可能な場合はポリシーベースのスキャンを実装します。これにより、イベントがなくてもテレメトリを受信することができます。テレメトリは、ENS Threat Prevention のプロパティ内で利用できます。

正常な動作状態では、週1回のフルスキャンと毎日のクイックスキャンを行うのがよいでしょう。以下も参照してください: KB74059 - Best practices for on-demand scans.

クイックスキャンを作成し、4時間ごとに実行するようにスケジュールします。 Scan Subfolders のチェックボックスが選択されていないことを確認してください。少なくとも以下をスキャンしてください:

メモリ内のルートキット
実行中のプロセス
レジストリ
登録済みファイル
%SYSTEMDRIVE%\Documents and Settings
%SYSTEMDRIVE%\Users
%SYSTEMDRIVE%\Temp\
%PROGRAMDATA%
\Users\%\AppData\Local\Temp
\Startup\
c:\Windows\
c:\Windows\SysWOW64\
c:\Windows\System32\
c:\Windows\Temp
%SYSTEM ROOT%
%SYSTEM ROOT%\Installer
%SYSTEM ROOT%\System32
%SYSTEM ROOT%\System32\Tasks
%SYSTEM ROOT%\WinApp
%SYSTEM ROOT%\SysWOW64
%SYSTEM ROOT%\Tasks
%TEMP%
%APPDATA%\Roaming\Microsoft\
%APPDATA%\Local\
%APPDATA%\Local\Temp

さらに、以下のスキャンオプションを設定します:

Real Protect のクラウドベースのスキャンを有効にする。設定の Enable cloud-based scanning は、ENS Adaptive Threat Protection ポリシーの Real Protect Scanning セクションにあります。
Clean when reputation threshold reaches のレベルを Known Malicious に設定します。この設定は、ENS Adaptive Threat Protection ポリシーの Action Enforcement セクションにあります。
Scan Processes started from network drives を有効にします。この設定は、ENS 適応脅威対策ポリシーの適応脅威対策セクションに記載されています。
Real Protect で検出されたファイルのハッシュを、McAfee Threat Intelligence Exchange (TIE) で Known Malicious の評価に設定します。
Detect suspicious email attachments を有効にする。この設定は、ENS 脅威対策、オンアクセススキャンポリシーにあります。
Scan when copying network folders and removable drives を有効にする。この設定は、ENS 脅威対策、オンアクセススキャンポリシーにあります。
標準プロセスと高リスクプロセスのネットワークドライブのスキャンを可能にします。 ENS 脅威対策の On-Access Scan ポリシーの Process Settings セクションに移動します。 Standard および High Risk タブで、What to scan の「On network drives を選択します。

Adaptive Threat Protection (ATP)

ATP オプションポリシーの Security 設定を有効にします。

注意: 個々のATPルールは、サーバー設定の Adaptive Threat Protection で確認できます。
ATP アプリケーションの動的隔離に "McAfee Default Security" ポリシーを適用します。

添付ファイル

Policies.zip
117K • < 1 minute @ broadband

免責事項

この記事の内容のオリジナルは英語です。英語の内容と翻訳に相違がある場合、常に英語の内容が正確です。一部の内容は Microsoft の機械翻訳による訳文となっています。

影響を受ける製品

Best Practices
Configuration
Endpoint Security Adaptive Threat Protection
Endpoint Security Firewall 10.7.x
Endpoint Security Firewall 10.6.x
Endpoint Security Threat Prevention 10.7.x
Endpoint Security Threat Prevention 10.6.x
Endpoint Security Web Control 10.7.x
Endpoint Security Web Control 10.6.x
Threat Prevention and Removal

言語:

この記事は、次の言語で表示可能です:

English United States
Spanish Spain
French
Italian
Japanese
Portuguese Brasileiro
Chinese Simplified

Knowledge Center

脅威のインシデントを防ぎ、対応するためにエンドポイントセキュリティをチューニングして使用するためのベストプラクティス

環境

概要

添付ファイル

免責事項

影響を受ける製品

言語:

Title

Title

Knowledge Center

脅威のインシデントを防ぎ、対応するためにエンドポイントセキュリティをチューニングして使用するためのベストプラクティス

環境

概要

添付ファイル

免責事項

影響を受ける製品

言語:

地域を選択してください

Title

Title