セールスセンターサイト

セールスセンター2024.01.09

3つのケースで学ぶ、SES管理コンソールでのアラート解析と対応方法&レポート作成

3つのケースで学ぶ、SES管理コンソールでのアラート解析と対応方法&レポート作成

シマンテックでは、製品を利用中・利用をご検討中のお客様向けに、役立つ情報を提供するオンラインセミナーを定期的に行っています。

今回は、「15分でわかる!シマンテックのかんたん導入講座」より、Symantec Endpoint Security(SES)の管理コンソールを用いてインシデントを解析する方法についてシマンテック製品の技術担当をしているSB C&Sの中村さんから解説いただきます。

この記事を読むのにかかる時間:約7分

安心と安全を提供する Symantec

お役立ち資料を
ダウンロード

目次

  1. ① アラート対応
    1. ケース1:ブロックされた脅威(対応不要)
    2. ケース2:疑わしい検出(対応が必要)
    3. ケース3:誤検知
  2. ② レポート機能
  3. 本日のまとめ
若園若園

シマンテックのエンドポイントセキュリティSESの管理コンソールでのアラート管理についてお話ししていきたいと思います。

中村中村

はい。SESは導入後の運用が簡単にでき、ログ解析機能やレポートの機能が充実していますので、うまく活用していただけたら効率的に運用が可能です。

① アラート対応

若園若園

皆さま、SESのアラートが上がったときの対応について、お困りになったことはないでしょうか?本日はこのアラート対応方法について解説をお願いしようと思います。

中村中村

では、まずアラート対応についてのイメージ図をご覧ください。管理デバイスでアラートが発生した際に、管理者様がコンソールを使って対応する際のイメージを示しています。

画像 クリックで拡大

中村中村

そして、コンソールからはレポートも発行できます。まずはアラートについてお話していけたらと思います。

若園若園

はい、よろしくお願いします。

中村中村

アラート対応ですが、ここでは次の3つのケースに分けて、必要な対応をご紹介できればと思います。

ケース1:ブロックされた脅威
ケース2:疑わしい検出
ケース3:誤検知

若園若園

ケースごとに対応が異なってくるのですね。

ケース1:ブロックされた脅威(対応不要)

中村中村

はい。では早速、ケース1の「ブロックされた脅威」についてです。こちらは、ダッシュボードの「遮断された脅威」から確認できます。遮断された脅威は、SESですでにブロック済みという意味ですので、図の右にあるように基本的に対応は不要です。

画像 クリックで拡大

若園若園

脅威とわかったものは、しっかりブロックしてくれるのですね。

中村中村

その通りです。ただ、対応はなくとも調査報告が必要になるような場合もありますので、次の手順でファイルの詳細やログの情報を確認できます。

Step1. 「脅威防止」のダッシュボードに移動する
Step2. 脅威防止の下の「遮断された脅威」の数字をクリックし、「検出済みアイテム」に移動する

画像 クリックで拡大

Step3. 「検出済みアイテム」でファイルを選択する

画像 クリックで拡大

中村中村

検出済みアイテムには、ブロックされたファイルの一覧やログが表示され、ファイルをクリックするとより詳細な情報を確認できます。詳細からは該当デバイスやポリシー、関連するログなどの情報を得られます。

若園若園

なるほど。必要な情報がまとまっているのですね。

中村中村

次に、ファイルではなく遮断された通信についての確認方法です。

Step1.「脅威防止」のダッシュボードに移動する
Step2. Intrusion Prevention KPI下の「遮断された脅威」の数字をクリックし、「解析」に移動する

画像 クリックで拡大

Step3. 「解析」でログをクリックし、詳細を表示する。

画像 クリックで拡大

中村中村

ログの詳細では、該当デバイスやポリシーを確認できます。

画像 クリックで拡大

中村中村

また、こちらの解析ページではログの検索も行えます。検索時にはフィルタ基準やグループ基準を指定して検索することが可能です。

若園若園

ログ検索は、どのような時に活用するとよいのでしょうか?

中村中村

たとえば、フィルタ基準を使えば重大度が「深刻」のログだけを抽出して表示させることができます。この場合は、フィルタ基準を使い、条件として重大度の項目を「深刻」に指定してクエリを実行するだけです。

画像 クリックで拡大

中村中村

もう1つのグループ基準を使うと、特定のデバイスに関連するログだけを表示することができます。

若園若園

ありがとうございました。遮断済みの場合、対応は必要ないけども、必要に応じて調査もできるということですね。

ケース2:疑わしい検出(対応が必要)

中村中村

ここからは、ケース2の「疑わしい検出」について解説します。ダッシュボードに「疑わしい検出」の項目がありますので、そちらから確認可能です。

画像 クリックで拡大

若園若園

見方はわかったのですが、そもそも「疑わしい検出」とはどういったものを指すのでしょうか?

中村中村

はい。「疑わしい検出」とは、SESで判定がグレーになっており、ブロックされていないものを意味します。

若園若園

そうなのですね。

中村中村

この場合は調査が必要で、どのようなユーザーがどのようなファイルを利用したか確認してください。その結果、ファイルを許可する、またはブロックするかを判断します。ファイルを許可するはケース3で扱い、ここでは対応について説明します

画像 クリックで拡大

中村中村

このケースの対応としては、「ファイルの検疫」「拒否リストに追加する」があります。「ファイルの検疫」とは、ファイルを隔離することで、デバイスでファイルを隔離できます。
ファイルを選択すると、実行可能な処理がいくつか表示されますので、「その他の処理」>「ファイルの検疫」を選択して実行します。
2つ目は、「拒否リストに追加」です。こちらもファイルを選択し、実行可能な処理の中から選択して実行します。ファイルの検疫が一時的な対策であるのに対し、拒否リストへの追加は恒久対策となる点が異なります。

若園若園

ブロックするとしても、違いがあるのですね。

中村中村

はい。では、次に調査として「サンドボックスに送信」「VirusTotalに送信」を同じ画面から実行できます。

若園若園

いろいろな対応が同じ画面からできて便利ですね。

中村中村

ここで、対応が必要な例の1つとして、デバイスのアラート対応についても説明させてください。

Step1. 「デフォルト」ダッシュボードから、デバイスのセキュリティ状態を確認する
Step2. 「デバイスの保護状態」をクリックし、関連デバイスを表示

画像 クリックで拡大

Step3. デバイスの詳細画面で、可能な処理を選択する

画像 クリックで拡大

中村中村

たとえば、デバイスの定義ファイルが最新でない場合は「LiveUpdate(定義ファイルの更新)の実行」を選択します。危殆化している場合は「今すぐスキャン(手動スキャン)」を推奨します。また、「デバイスの検疫(デバイスをネットワークから隔離)」も実行できます。これらの処理を管理コンソールからデバイスに対して実行可能です。

ケース3:誤検知

中村中村

ケース3では「誤検知」についてです。ダッシュボードのアラートの中で「誤検知」と表示されたものが該当します。

若園若園

この「誤検知」とは、どのようなものでしょうか?

中村中村

「誤検知」とは、正常なファイルが間違えて検出されてしまうこと、脅威として判断されてしまうことを指します。
SESには不正な振る舞いを検知してブロックする機能がありますが、そのために正規のプログラムやファイルなどに対しても過剰に反応してしまう場合があります。ケース3では、そういった場合に必要な対応方法について紹介します。

画像 クリックで拡大

中村中村

対応としては、「許可リスト」に追加することをおすすめいたします。管理コンソールから誤検知と判定されたファイルを選択していただき、「その他の処理」>「許可リストに追加」を選択すれば処理を実行できます。すると以降は検出を回避できます。

若園若園

このリストに入れておけば、安全なファイルとして今後は判断してくれるということですね。

中村中村

はい、その通りです。もう1つ、「Symantecへの検体提出」という機能もあります。これは、シマンテックのセキュリティレスポンスチームに検体を提出し、以下の調査を依頼したり定義ファイルなどへの脅威方法の追加を依頼できたりするというものです。

画像 クリックで拡大

Malware not detected: 検出されなかったマルウェアを提出。
解析の結果、脅威性があると判断された場合には、検出対象としての保護が追加される。
※既に検出対象の検体については再解析されません。

Clean software incorrectly detected: 誤って検出された検体を提出。
解析の結果、脅威性が無い(誤検出)と判断された場合には、検出対象からの除外が行われる。

若園若園

なるほど。

中村中村

また、SESを使っているユーザーの方の中で通知が多いと感じた方もいるかもしれません。
そのような場合は、脅威の遮断レベルを見直すことで業務への影響を軽減できる可能性があります。「マルウェア対策ポリシー」の中で、「ブロックするファイルの検出レベル」や「ログに記録するファイルの検出レベル」の強度を下げることで、誤検知が改善されるケースもございますので是非試してみてください。

画像 クリックで拡大

安心と安全を提供する Symantec セキュリティソリューション資料をダウンロード

② レポート機能

若園若園

ありがとうございました。次は、レポート機能についてお願いします。

中村中村

レポート機能は左メニューの「レポートとテンプレート」からご利用いただけます。

画像 クリックで拡大

中村中村

PDFやCSVなどのファイル形式に対応しており、日次、週次、月次など期間を選択して定時レポートを発行できます。テンプレートを使えば、目的に合わせたレポートを簡単に作成できます。
また、スケジュール設定されたレポートはメールで受信可能です。メール内の「レポートのダウンロード」を選択することで、生成されたレポートを確認できます。

画像 クリックで拡大

若園若園

レポートはどのような内容なのでしょうか?

中村中村

ではサンプルをいくつか見てみましょう。

画像 クリックで拡大

中村中村

これらは生成されたレポート内のグラフですが、デバイス別、マルウェア種類別、ユーザー別、時系列などさまざまなデータが表示されています。そのため、短時間で簡単に管理デバイスの状況を把握できます。レポートから脅威を発見した場合には、ご紹介してきた方法でアラート対応を行っていただければと思います。

安心と安全を提供する Symantec セキュリティソリューション資料をダウンロード

本日のまとめ

  • SESでは管理コンソールから管理デバイスのアラート対応や、環境内のレポート作成が可能
  • 「ブロックされた脅威」についてはブロック済みのため、対応は不要
  • 「疑わしい検出」や「デバイスのアラート」では、ブロックのための対応が必要
  • 「誤検知」への対応は「許可リストへの追加」やシマンテックへの調査依頼がある
  • レポート機能では、テンプレートを使って目的のレポートを簡単に作成したり、スケジュール設定でレポートを自動生成してメールで受け取ったりできる
須賀田 淳
記事監修
須賀田 淳
マーケティング
ICT商材のマーケティング歴20年。広告代理店で著名な外資系ITベンダーの支援を行った後、NTTDグループで自動車業界向けソフトウェアの拡販とユーザーコミュニティの育成を担当する。2020年からSBGに参画し、LINEを経てセキュリティ製品のマーケティングを行う。インタビューでの情報収集を好む。