Avertライブラリアイテムの構成

  • hC
  • EF

このライブラリアイテムを使用するには、エンドポイント検出&対応(EDR) アドオンが必要です。

Avertライブラリアイテムを追加する

  1. 左側のナビゲーションバーで [ライブラリ]に移動します。

  2. 右上の [ 新規追加 ] をクリックし、[ Avert] を選択します。

  3. 「追加と設定」をクリックします。

  4. 新しい Avert ライブラリアイテム に 名前を付けます。 

  5. ご希望の Assignment Maps または Classic Blueprintsに割り当てます。 

一般設定の構成

環境に合わせて、個々のマルウェアとPUPポスチャーモードの基本設定を構成します。

  1. マルウェアの目的のポスチャー設定を指定します。

  2. PUP の目的のポスチャー設定を指定します。

検出モードでは、既知の悪意のあるアイテムがスキャンされ、報告されます。保護モードは、既知の悪意のあるアイテムをスキャンし、レポートし、自動的に隔離します。

ユーザーアラート

オンにすると、EDR が Mac コンピュータ上のマルウェアまたは PUP を隔離したときに、ユーザーアラートがエンドユーザーに通知されます。ユーザーアラートはデフォルトでオンになっていますが、特定のワークフローに合わせてオフにすることができます。

  1. [ユーザーに通知] の横にあるトグルスイッチをクリックして、ユーザーアラートをオンまたはオフにします。 

エンドユーザーは、 Self Service を開き、左側のナビゲーションメニューから 「隔離」をクリックすることで、Macコンピュータで隔離されたファイルのリストを表示できます。

許可リストとブロックリストの設定

許可リストとブロックリストを使用すると、 Kandji Avertの脅威フィードでファイルまたはアプリケーションが悪意のあるものであることがわかっているかどうかに関係なく、環境内で特定のファイルまたはアプリケーションが常に許可またはブロックされるようにすることができます。

ブロックアイテムはマルウェアと見なされ、デバイスでブロックするには、マルウェアのポスチャーが保護モードである必要があります。

  1.  「+ アイテムを追加」 ボタンをクリックします。 

  2. アイテムに 名前を付けます。

  3. ファイルまたはアプリケーションの項目タイプ (ハッシュ または パス ) を指定します。

  4. [パス] を選択した場合は、アプリケーションまたはファイルのパスを入力します。[ハッシュ] を選択した場合は、ファイルハッシュを入力します。

  5. [ 許可 ] を選択して、ファイルまたはアプリケーションを許可します。ファイルまたはアプリケーションをブロックするには、[ ブロック ] を選択します。

  6. [ 追加 ] をクリックして、項目を [許可とブロック] リストに追加します。必要に応じて、左下隅にある「別の項目を追加」 チェックボックスを選択してから、「追加」ボタンをクリックして項目を追加します。 

  7. 保存 」ボタンをクリックして、Avertライブラリアイテムを保存します。

ハッシュ値の設定

ハッシュ項目タイプは、ファイルでのみサポートされます。パス項目タイプは、ファイルとアプリケーションの両方でサポートされています。

次のコマンドをターミナルで使用して、ファイルのSHA256ハッシュ値を判断できます。

shasum -a 256 /path/to/file

Avertライブラリアイテムで編集詳細を表示する

Avert ライブラリアイテムへの変更は、ライブラリアイテムの「アクティビティ」タブまたはKandji Webアプリのグローバルアクティビティセクションで監査できます。これにより、変更された構成、以前の状態、および変更を行ったユーザーが表示されます。

  1. Avertライブラリアイテムまたは左側のナビゲーションメニューのアクティビティをクリックします。

  2. 確認したいエントリの「 編集済みライブラリアイテム」の横にある開閉用三角ボタンを選択します。 

次のステップ

EDR の動作については、 エンドポイント検出&対応(EDR) - マルウェア検出のテスト のサポート記事を参照してください。