エンドポイントウイルス対策機能は、Alibaba Cloud の悪意のあるファイル検出サービスを使用してターミナルのマルウェアをスキャンし、最新のウイルス対策エンジンバージョンに対してファイルを自動的にチェックします。この機能を使用して、定期スキャンタスクまたは即時スキャンタスクの作成、リアルタイム保護の設定、ファイルのブラックリストとホワイトリストの管理、スキャン結果の確認を行うことができます。
サポートされる確認項目とスキャン方法
次の表は、エンドポイントウイルス対策機能が検出できる項目とスキャン方法をまとめたものです。
| カテゴリ | 詳細 |
|---|---|
| 確認項目 | リバースシェル、DDoS 攻撃トロイの木馬、トロイの木馬ダウンローダー、エンジンテストプログラム、攻撃者ツール、高リスクプログラム、汚染された基本ソフトウェア、悪意のあるスクリプト、悪意のあるプログラム、マイニングプログラム、プロキシ、ランサムウェア、リスクウェア、ルートキット、パスワード窃取ツール、スキャナー、不審なプログラム、感染性ウイルス、Webシェル、ワーム。 |
| スキャン方法 | クイックスキャン:サービス、ドライバー、スタートアップ項目、実行中のプロセス、ダウンロードディレクトリ、デスクトップディレクトリ、ドキュメントディレクトリなど、システムの重要なパスをスキャンします。カスタムスキャン:定義した特定のパスをスキャンします。フルディスクスキャン:すべてのファイルをスキャンします。リアルタイム保護:新しいファイルがディスクに書き込まれたり、新しいプロセスが開始されたりすると自動的にトリガーされます。 |
リアルタイム保護は、スキャンタスクでは利用できない追加の確認項目 (クラッキングプログラム、エクスプロイト、ゲームツール、アドウェア、悪意のあるドキュメント) をカバーします。
サポートされるオペレーティングシステム
ブラックリストとホワイトリストは、Windows および macOS でサポートされています。
スキャンタスクの作成
エンドポイントウイルス対策機能を使用するには、スキャン方法、リソース使用量、検出された脅威の処理方法を定義するスキャンタスクを作成します。SASE は、対象のターミナルでタスクを実行します。
利用可能なスキャンタスクは 2 種類あります:
定期スキャンタスク:定義された頻度で実行されます。継続的かつ定期的な保護に使用します。
即時スキャンタスク:一度だけ実行され、24 時間後に有効期限が切れます。この期間内にユーザーが SASE クライアントにログインしない場合、そのターミナルはスキャンされません。
定期スキャンタスクの作成
SASE コンソールにログインします。左側のナビゲーションウィンドウで、[ターミナル保護] > [ウイルス対策] を選択します。
[ターミナルウイルス対策] ページで、[ポリシーの設定] をクリックします。
[定期スキャン] タブで、[定期タスクの作成] をクリックします。
パラメーターを設定し、[OK] をクリックします。
| パラメーター | 説明 | 例 |
|---|---|---|
| タスク名 | タスクの名前。 | Antiviruspolicy_test |
| 説明 | タスクの説明。 | This task is used to perform antivirus scans on all enterprise terminals. |
| 優先度 | タスクの優先度。有効な値:1~10。値が小さいほど優先度が高くなります。 | 1 |
| ポリシーステータス | タスクは有効になっている場合にのみ実行されます。 | 有効 |
| 確認項目 | スキャン対象の脅威カテゴリ。 | すべて選択 |
| スキャンモード | クイックスキャン:システムの重要なパスをスキャンします。カスタムスキャン:指定したパスをスキャンします。フルディスクスキャン:すべてのファイルをスキャンします。 | クイックスキャン |
| 頻度 | タスクの実行頻度。 | 3 日ごと、00:00–24:00 |
| パフォーマンス設定 | エクスペリエンス優先:リソース使用量を最小限に抑えます。スキャンが一時停止またはキャンセルされる場合があります。バランスモード:システムパフォーマンスとスキャン完了のバランスを取ります。セキュリティ優先:スキャンの完了を優先します。より多くのリソースを使用します。 | エクスペリエンス優先 |
| 処理方法 | 各ファイルのリスクレベルに基づいて実行されるアクション。高リスク:[ユーザーに通知] または [ユーザーに通知して悪意のあるファイルを隔離]。中リスク:[ユーザーに通知] または [ユーザーに通知して悪意のあるファイルを隔離]。低リスク:[処理しない]、[ユーザーに通知]、または [ユーザーに通知して悪意のあるファイルを隔離]。 | 高リスク:[ユーザーに通知して悪意のあるファイルを隔離]、中リスク:[ユーザーに通知して悪意のあるファイルを隔離]、低リスク:[ユーザーに通知] |
| 適用ユーザー | タスクが適用されるユーザー。[すべてのユーザー] または [一部のユーザー] を選択します。[一部のユーザー] を選択した場合は、対象のユーザーグループを選択します。 | すべてのユーザー |
| 例外ユーザー | タスクから除外されるユーザー。 | — |
即時スキャンタスクの作成
SASE コンソールにログインします。左側のナビゲーションウィンドウで、[ターミナル保護] > [ウイルス対策] を選択します。
[スキャンタスク] セクションで、[今すぐスキャン] をクリックします。
パラメーターを設定し、[OK] をクリックします。
| パラメーター | 説明 | 例 |
|---|---|---|
| タスク名 | タスクの名前。 | Antiviruspolicy_test |
| 確認項目 | スキャン対象の脅威カテゴリ。 | すべて選択 |
| スキャンモード | クイックスキャン:システムの重要なパスをスキャンします。カスタムスキャン:指定したパスをスキャンします。フルディスクスキャン:すべてのファイルをスキャンします。 | クイックスキャン |
| パフォーマンス設定 | エクスペリエンス優先:リソース使用量を最小限に抑えます。スキャンが一時停止またはキャンセルされる場合があります。バランスモード:システムパフォーマンスとスキャン完了のバランスを取ります。セキュリティ優先:スキャンの完了を優先します。より多くのリソースを使用します。 | エクスペリエンス優先 |
| 処理方法 | 各ファイルのリスクレベルに基づいて実行されるアクション。高リスク:[ユーザーに通知] または [ユーザーに通知して悪意のあるファイルを隔離]。中リスク:[ユーザーに通知] または [ユーザーに通知して悪意のあるファイルを隔離]。低リスク:[処理しない]、[ユーザーに通知]、または [ユーザーに通知して悪意のあるファイルを隔離]。 | 高リスク:[ユーザーに通知して悪意のあるファイルを隔離]、中リスク:[ユーザーに通知して悪意のあるファイルを隔離]、低リスク:[ユーザーに通知] |
| 適用ユーザー | タスクが適用されるユーザー。[すべてのユーザー] または [一部のユーザー] を選択します。[一部のユーザー] を選択した場合は、対象のユーザーグループを選択します。 | すべてのユーザー |
| 例外ユーザー | タスクから除外されるユーザー。 | — |
リアルタイム保護の設定
リアルタイム保護は、新しいファイルがディスクに書き込まれたり、新しいプロセスが開始されたりすると自動的にトリガーされ、定期スキャンを待たずに脅威を検出します。
SASE コンソールにログインします。左側のナビゲーションウィンドウで、[ターミナル保護] > [ウイルス対策] を選択します。
[ターミナルウイルス対策] ページで、[ポリシーの設定] をクリックします。
[リアルタイム保護] タブで、[設定項目の変更] をクリックし、パラメーターを設定して [OK] をクリックします。
| パラメーター | 説明 |
|---|---|
| ポリシーステータス | スイッチを切り替えてリアルタイム保護を有効にします。 |
| 確認項目 | 監視対象の脅威カテゴリ。利用可能な項目には、すべてのスキャンタスクの確認項目に加えて、クラッキングプログラム、エクスプロイト、ゲームツール、アドウェア、悪意のあるドキュメントが含まれます。 |
| 処理方法 | 各ファイルのリスクレベルに基づいて実行されるアクション。高リスク:[ユーザーに通知] または [ユーザーに通知して悪意のあるファイルを隔離]。中リスク:[ユーザーに通知] または [ユーザーに通知して悪意のあるファイルを隔離]。低リスク:[処理しない]、[ユーザーに通知]、または [ユーザーに通知して悪意のあるファイルを隔離]。 |
| 適用ユーザー | リアルタイム保護が適用されるユーザー。[すべてのユーザー]:すべてのユーザーデバイスに適用されます。[一部のユーザー]:対象のユーザーグループを選択します。 |
| 例外ユーザー | リアルタイム保護から除外されるユーザー。 |
ブラックリストとホワイトリストの設定
ホワイトリストを使用して特定のスキャン対象からファイルを除外します。ブラックリストを使用して、ターミナルで検出されたファイルタイプにフラグを立てて隔離します。
例:Windows で .exe ファイルのスキャンをスキップするには、exe 拡張子をホワイトリストに追加します。すべてのターミナルでファイルタイプをブロックするには、それをブラックリストに追加します。SASE クライアントは、スキャンタスクの設定に従って、一致するファイルをユーザーに通知するか、隔離します。
[ターミナルウイルス対策] ページで、[ポリシーの設定] をクリックします。
[ブロックリスト/許可リスト] タブで、エントリを設定します。
各エントリは、次のいずれかの基準によって識別されます:
| 基準 | 説明 | 例 |
|---|---|---|
| ファイル名拡張子 | ファイル名の最後のピリオド (.) の後の文字列。 | exe (scan_file.exe より) |
| ファイル名 | 拡張子を含む完全なファイル名。 | scan_file.exe |
| フォルダーパス | フォルダーへの絶対パス。 | C:\scan_dir |
| ファイルパス | ファイルへの絶対パス。 | C:\scan_dir\scan_file.exe |
| ファイルの MD5 ハッシュ値 | ファイルコンテンツの MD5 ハッシュ。 | 56486982bc352eb0e29efd54f7f0**** |
ウイルス統計の表示
エンドポイントウイルス対策の設定後、[ターミナルウイルス対策] ページで保護ステータスを確認します。デフォルトでは、このページには過去 30 日間のウイルス統計が表示されます。
| セクション | 説明 |
|---|---|
| 1 | 高リスクウイルス:検出された高リスクの悪意のあるファイルのうち、隔離されていないものの数。数字をクリックすると、セクション 5 で詳細が表示されます。隔離されたファイル:隔離されたファイルの数。数字をクリックすると詳細が表示されます。隔離されたファイルを復元するには、[ホワイトリストに追加] をクリックします。 |
| 2 | スキャンタスク:即時スキャンタスクの作成、すべてのタスクの表示、または進行中のタスクの詳細を確認します。ウイルス対策エンジンバージョン:最新のウイルス対策エンジンバージョンと最終更新時刻。 |
| 3 | タイプ別分布:検出されたウイルスのタイプ別の数。レベル別分布:検出されたウイルスのリスクレベル別の数。 |
| 4 | ウイルス数が最も多い上位 5 つのターミナルと上位 5 人のユーザー。内訳を表示するには、[詳細] をクリックします。 |
| 5 | 保留中:隔離されていない高リスクの悪意のあるファイル。評価に基づいて、ホワイトリストに追加するか、隔離します。処理済み:隔離された、ホワイトリストに追加された、または処理に失敗したファイル。隔離されたファイルを復元するには、[ホワイトリストに追加] をクリックします。ホワイトリストに登録されたファイルを再スキャンするには、[ホワイトリストから削除] をクリックします。リスクがないことを確認した後、処理に失敗したファイルを無視するには、[無視] をクリックします。 |