3つのケースで学ぶ、SES管理コンソールでのアラート解析と対応方法＆レポート作成

シマンテックのエンドポイントセキュリティSESの管理コンソールでのアラート管理についてお話ししていきたいと思います。

はい。SESは導入後の運用が簡単にでき、ログ解析機能やレポートの機能が充実していますので、うまく活用していただけたら効率的に運用が可能です。

皆さま、SESのアラートが上がったときの対応について、お困りになったことはないでしょうか？本日はこのアラート対応方法について解説をお願いしようと思います。

では、まずアラート対応についてのイメージ図をご覧ください。管理デバイスでアラートが発生した際に、管理者様がコンソールを使って対応する際のイメージを示しています。

そして、コンソールからはレポートも発行できます。まずはアラートについてお話していけたらと思います。

はい、よろしくお願いします。

アラート対応ですが、ここでは次の3つのケースに分けて、必要な対応をご紹介できればと思います。

ケース1：ブロックされた脅威
ケース2：疑わしい検出
ケース3：誤検知

ケースごとに対応が異なってくるのですね。

はい。では早速、ケース1の「ブロックされた脅威」についてです。こちらは、ダッシュボードの「遮断された脅威」から確認できます。遮断された脅威は、SESですでにブロック済みという意味ですので、図の右にあるように基本的に対応は不要です。

脅威とわかったものは、しっかりブロックしてくれるのですね。

その通りです。ただ、対応はなくとも調査報告が必要になるような場合もありますので、次の手順でファイルの詳細やログの情報を確認できます。

検出済みアイテムには、ブロックされたファイルの一覧やログが表示され、ファイルをクリックするとより詳細な情報を確認できます。詳細からは該当デバイスやポリシー、関連するログなどの情報を得られます。

なるほど。必要な情報がまとまっているのですね。

次に、ファイルではなく遮断された通信についての確認方法です。

ログの詳細では、該当デバイスやポリシーを確認できます。

また、こちらの解析ページではログの検索も行えます。検索時にはフィルタ基準やグループ基準を指定して検索することが可能です。

ログ検索は、どのような時に活用するとよいのでしょうか？

たとえば、フィルタ基準を使えば重大度が「深刻」のログだけを抽出して表示させることができます。この場合は、フィルタ基準を使い、条件として重大度の項目を「深刻」に指定してクエリを実行するだけです。

もう1つのグループ基準を使うと、特定のデバイスに関連するログだけを表示することができます。

ありがとうございました。遮断済みの場合、対応は必要ないけども、必要に応じて調査もできるということですね。

ここからは、ケース2の「疑わしい検出」について解説します。ダッシュボードに「疑わしい検出」の項目がありますので、そちらから確認可能です。

見方はわかったのですが、そもそも「疑わしい検出」とはどういったものを指すのでしょうか？

はい。「疑わしい検出」とは、SESで判定がグレーになっており、ブロックされていないものを意味します。

そうなのですね。

この場合は調査が必要で、どのようなユーザーがどのようなファイルを利用したか確認してください。その結果、ファイルを許可する、またはブロックするかを判断します。ファイルを許可するはケース3で扱い、ここでは対応について説明します

このケースの対応としては、「ファイルの検疫」「拒否リストに追加する」があります。「ファイルの検疫」とは、ファイルを隔離することで、デバイスでファイルを隔離できます。
ファイルを選択すると、実行可能な処理がいくつか表示されますので、「その他の処理」>「ファイルの検疫」を選択して実行します。
2つ目は、「拒否リストに追加」です。こちらもファイルを選択し、実行可能な処理の中から選択して実行します。ファイルの検疫が一時的な対策であるのに対し、拒否リストへの追加は恒久対策となる点が異なります。

ブロックするとしても、違いがあるのですね。

はい。では、次に調査として「サンドボックスに送信」「VirusTotalに送信」を同じ画面から実行できます。

いろいろな対応が同じ画面からできて便利ですね。

ここで、対応が必要な例の1つとして、デバイスのアラート対応についても説明させてください。

たとえば、デバイスの定義ファイルが最新でない場合は「LiveUpdate（定義ファイルの更新）の実行」を選択します。危殆化している場合は「今すぐスキャン（手動スキャン）」を推奨します。また、「デバイスの検疫（デバイスをネットワークから隔離）」も実行できます。これらの処理を管理コンソールからデバイスに対して実行可能です。

ケース3では「誤検知」についてです。ダッシュボードのアラートの中で「誤検知」と表示されたものが該当します。

この「誤検知」とは、どのようなものでしょうか？

「誤検知」とは、正常なファイルが間違えて検出されてしまうこと、脅威として判断されてしまうことを指します。
SESには不正な振る舞いを検知してブロックする機能がありますが、そのために正規のプログラムやファイルなどに対しても過剰に反応してしまう場合があります。ケース3では、そういった場合に必要な対応方法について紹介します。

対応としては、「許可リスト」に追加することをおすすめいたします。管理コンソールから誤検知と判定されたファイルを選択していただき、「その他の処理」>「許可リストに追加」を選択すれば処理を実行できます。すると以降は検出を回避できます。

このリストに入れておけば、安全なファイルとして今後は判断してくれるということですね。

はい、その通りです。もう1つ、「Symantecへの検体提出」という機能もあります。これは、シマンテックのセキュリティレスポンスチームに検体を提出し、以下の調査を依頼したり定義ファイルなどへの脅威方法の追加を依頼できたりするというものです。

なるほど。

また、SESを使っているユーザーの方の中で通知が多いと感じた方もいるかもしれません。
そのような場合は、脅威の遮断レベルを見直すことで業務への影響を軽減できる可能性があります。「マルウェア対策ポリシー」の中で、「ブロックするファイルの検出レベル」や「ログに記録するファイルの検出レベル」の強度を下げることで、誤検知が改善されるケースもございますので是非試してみてください。

ありがとうございました。次は、レポート機能についてお願いします。

レポート機能は左メニューの「レポートとテンプレート」からご利用いただけます。

PDFやCSVなどのファイル形式に対応しており、日次、週次、月次など期間を選択して定時レポートを発行できます。テンプレートを使えば、目的に合わせたレポートを簡単に作成できます。
また、スケジュール設定されたレポートはメールで受信可能です。メール内の「レポートのダウンロード」を選択することで、生成されたレポートを確認できます。

レポートはどのような内容なのでしょうか？

ではサンプルをいくつか見てみましょう。

これらは生成されたレポート内のグラフですが、デバイス別、マルウェア種類別、ユーザー別、時系列などさまざまなデータが表示されています。そのため、短時間で簡単に管理デバイスの状況を把握できます。レポートから脅威を発見した場合には、ご紹介してきた方法でアラート対応を行っていただければと思います。