Avert Library Item の構成

Prev Next

このLibrary Itemを使用するには、Endpoint Detection and Response アドオンが必要です。

Avert Library Itemを追加する

このライブラリアイテムをKandjiライブラリに追加するには、 ライブラリの概要 の記事で概説されている手順に従ってください。

  1. 新しい Avert Library Item名前を付けます。

  2. ご希望Blueprintsに割り当てます。

一般設定の構成

環境の個々のマルウェアとPUPポスチャモードの基本設定を構成します。

  1. マルウェアの目的のポスチャ設定を指定します。

  2. PUP の目的の姿勢設定を指定します。

検知モードでは、既知の悪意のあるアイテムがスキャンされ、報告されます。保護モードは、既知の悪意のあるアイテムをスキャンし、レポートし、自動的に隔離します。

振る舞い検知の構成

振る舞い検知は、新しい Avert Library Item を作成して Libraryに追加するときにデフォルトでオンになっていますが、特定のワークフローに合わせてオフにすることができます。既存の Avert Library Itemsの場合、行動アクティビティを監視するには、振る舞い検知を手動でオンにする必要があります。

疑わしい行動検知は、注意が必要な異常なアクティビティを強調するための情報ステータスとともに [脅威] テーブルに自動的に一覧表示されます。これらの検知は可視性を提供するように設計されており、ポスチャモードを設定することはできません。

  1. スイッチを切り替えて、振る舞い検知を有効にします。

  2. [悪意のある行動に対するポリシー] で、[検知] または [保護] を選択します

    • 検知モードは 、悪意のある動作の検知を識別して報告します。

    • 保護モードは、悪意のある動作検知を特定、報告、ブロックします。

      mjW6lPXbGRhAWxlgYYYEwonc65lTMwjhlQ

ユーザアラート

オンにすると、 EDRがMacコンピューターでマルウェアまたはPUPを隔離したときに、ユーザアラートがエンドユーザーに通知されます。ユーザアラートはデフォルトでオンになっていますが、特定のワークフローに合わせてオフにすることができます。

  1. [ユーザに通知する] の横にあるトグルスイッチをクリックして、ユーザアラートをオンまたはオフにします。

エンドユーザーは、Self Serviceを開き、左側のナビゲーションメニューから[検疫]をクリックすると、Macコンピューターで隔離されたファイルのリストを表示できます。

許可リストとブロックリストの設定

許可リストとブロック リストを使用すると、 Kandji Avertの脅威フィードでファイルまたはアプリケーションが悪意のあるものであることがわかっているかどうかに関係なく、環境内で特定のファイルまたはアプリケーションが常に許可またはブロックされるようにすることができます。

ブロック項目はマルウェアと見なされ、デバイスでブロックするには、マルウェアのポスチャが保護モードである必要があります。

  1. +アイテムを追加」 ボタンをクリックします。

  2. アイテムに 名前を付けます。

  3. ファイルまたはアプリケーションのアイテムタイプ (ハッシュ または パス ) を指定します。

  4. [パス] を選択した場合は、アプリケーションまたはファイルのパスを入力します。[ハッシュ] を選択した場合は、ファイル ハッシュを入力します。

  5. [ 許可 ] を選択して、ファイルまたはアプリケーションを許可します。ファイルまたはアプリケーションをブロックするには、[ ブロック ] を選択します。

  6. [ 追加 ] をクリックして、項目を [許可とブロック] リストに追加します。必要に応じて、左下隅にある「別の項目を追加」 チェックボックスを選択してから、「追加」ボタンをクリックして項目を追加します。

  7. 保存 」ボタンをクリックして、 Avert Library Itemを保存します。

ハッシュ値の決定

ハッシュアイテムタイプは、ファイルでのみサポートされます。「パス」アイテムタイプは、ファイルとアプリケーションの両方でサポートされています。

次のコマンドをターミナルで使用して、ファイルのSHA256ハッシュ値を判断できます。

shasum -a 256 /path/to/file

Avert Library Itemで編集詳細を表示する

Avert Library Itemへの変更は、Library ItemのアクティビティタブまたはKandji Webアプリのグローバルアクティビティセクションで監査できます。これにより、変更された構成、以前の状態、および変更を行ったユーザーが表示されます。

  1. Avert Library itemまたは左側のナビゲーションメニューの[アクティビティ]をクリックします。

  2. 確認したいエントリの「Library Item編集」の横にある開閉用三角ボタン選択します。

次のステップ

EDRの動作については、「Endpoint Detection and Response - マルウェア検出のテスト」サポート記事を参照してください。