コンテンツにスキップ

Taegis Endpoint Agent グループポリシー🔗

概要🔗

ポリシーは、Taegis Endpoint Agentがエンドポイントをセキュリティ脅威から保護する方法を制御するために設計された設定のセットです。ポリシーは、デバイスが組織のエンドポイントおよびセキュリティ基準に準拠することを保証します。ポリシー設定は、ポリシーがどのように適用されるかを定義する具体的な構成です。ポリシーは1つ以上のグループに適用できます。

エージェントグループポリシーを表示するには:

  1. Taegis Menuから、エンドポイントエージェント → グループポリシー を選択します。

  2. エージェントグループポリシーページに、現在構成されているポリシーが表示されます。

    エージェントグループポリシー

グループポリシーのフィルター🔗

リストの左側にある折りたたみ可能なフィルターメニューを使用して、該当するポリシーを絞り込むことができます。

フィルターを選択すると、リストが動的に更新され、結果数も更新されたフィルターリストを反映します。

グループポリシーのフィルター

グループポリシーのエクスポート🔗

右上の アクション メニューから、すべてのポリシーまたは一部のポリシーをエクスポートできます。

  • すべてエクスポートアクション メニューを選択し、すべてエクスポート を選択すると、選択したフィルターに関係なく、すべてのポリシーの詳細を含むCSVファイルが生成されます。

すべてのグループポリシーをエクスポート

  • 選択したものをエクスポート — エクスポートしたいポリシーをチェックボックスで選択し、アクション メニューから 選択したものをエクスポート を選択すると、選択したポリシーの詳細を含むCSVファイルが生成されます。

選択したポリシーをエクスポート

ポリシー設定🔗

グループポリシーページからポリシー名を選択すると、そのポリシーの設定を表示できます。

グループポリシー設定

エージェント管理🔗

改ざん防止🔗

重要

改ざん防止は、Windowsエージェントバージョン2.1.2以降およびmacOSエージェントバージョン2.0.9以降でサポートされています。詳細は Taegis Endpoint Agent Changelog を参照してください。

macOSでは、改ざん防止はエージェントのプロセス終了を防止しません。代わりに、アンインストール時にアンインストールトークンが必要となる手動アンインストールの保護のみを提供します。root権限を持つユーザーは、エージェントのデーモンやシステム拡張を停止またはアンロードできるため、エージェントが無効化、アンインストール、または隔離解除される可能性があります。

エージェント改ざん防止

改ざん防止は、エンドポイントからTaegisエージェントをアンインストールする際のセキュリティを強化します。この設定はデフォルトでOFFです。有効にすると:

  • ユーザーがシステムからエージェントを手動で削除しようとする場合、Taegis XDR UIから生成できる改ざん防止アンインストールトークンの入力が必要となります。
  • Taegis Agentサービスの手動による停止や再起動は禁止されます。

改ざん防止アンインストールトークンは、エンドポイントエージェントサマリー からテナント内のすべてのエージェントに適用するもの、または エンドポイントエージェント詳細 から特定ホストに適用するものを生成できます。

重要

トークンは生成から1時間で有効期限が切れます。

注意

改ざん防止が有効な場合でも、XDR UIから開始されたアンインストールにはトークンは不要です。改ざん防止が無効な場合は、すべてのアンインストール方法でトークンは不要です。

自動アーカイブ🔗

自動アーカイブ設定

自動アーカイブを使用すると、一定期間XDRにテレメトリーを送信していないTaegis Endpoint Agentを エンドポイントエージェントサマリー テーブルからアーカイブする期間を指定できます。このオプションはデフォルトで無効です。アーカイブ処理は毎日午前0時(ET)に実行され、指定した期間オフラインのTaegis Endpoint Agentがアーカイブされます。

注意

アーカイブ済みのエージェントが引き続きXDRにテレメトリーを送信すると、自動的にアーカイブ解除されます。エージェントが最初にアーカイブされた際、エージェントがテレメトリーを送信し続けている場合は、アーカイブ解除が行われる前に短い猶予期間が設けられます。

セキュリティコントロール🔗

ファイル分析🔗

ファイル分析設定

セキュリティ分析や脅威ハンティングをサポートするため、XDRに固有のファイルがTaegis Endpoint Agentによって収集されます。ファイルハッシュやその他のメタデータは、不正な既知ハッシュの検出を生成するために使用されます。

この設定はデフォルトポリシーではOFFです。オプトアウトした場合、そのポリシーのTaegis Endpoint Agentからファイルは収集されません。その結果、ファイル分析検知器がエンドポイント上の不正なファイルを検知しない場合があります。

ディーププロセスインスペクション🔗

注意

この設定は以前「高度なカーネルテレメトリー」と呼ばれていました。

ディーププロセスインスペクション設定

ディーププロセスインスペクション設定を有効にすると、RPCおよびAPIコールのテレメトリーが取得されます。RPCおよびAPIコールのテレメトリーは、Active Directoryの不正な同期攻撃(いわゆる「DCSync」)やSecretsdump認証情報窃取ツールの検知を可能にします。

重要

この設定を無効にすると、Windows用Taegis Endpoint Agentでは、取得されるテレメトリータイプの違いによりテレメトリーが低下する場合があります。

この設定は、Windowsエンドポイント上でTaegis Endpoint Agentと他のプログラムの互換性問題を回避するため、デフォルトで無効になっています。サードパーティ製セキュリティ製品との互換性がない場合、BSODやマシンの操作不能などの問題が発生する可能性があります。製品の互換性に関する最新情報は 互換性の問題 を参照してください。

この設定を無効にすることで、こうした問題のトラブルシューティングが可能ですが、Taegis Endpoint Agentの機能は低下します。この設定が無効な場合、エージェントによるディーププロセスインスペクションが無効となり、コードインジェクションやAPIフックのテレメトリーが取得されません。

ディーププロセスインスペクション互換性テスト🔗

重要

テスト前に 既知の問題 で互換性の問題がないか確認してください。

この設定を有効にして少数のエンドポイントでテストするには、有効な設定を持つ新しいエージェントグループを作成し、テスト用エンドポイントを新しいグループに割り当てます。既存のテストまたはベータグループがある場合は、そのグループに割り当てられているポリシーを変更することもできます。

  1. グループポリシー設定から、ディーププロセスインスペクション のトグルを選択して機能を有効にします。

  2. 右上の 変更を保存 を選択します。

  3. エージェントサービスを再起動して最新の設定を取得するか、該当するテストシステムを再起動します。

    注意

    この設定はWindows用Taegis Endpoint Agentにのみ適用されます。

メンテナンスウィンドウ🔗

メンテナンスウィンドウの設定

メンテナンスウィンドウを設定することで、エージェントの自動アップデートが発生する時間帯を制限できます。メンテナンスウィンドウが設定されていない場合、ロールアウトプロセス中はいつでもエージェントのアップデートが発生する可能性があります。

1日につき1つ、6~12時間のメンテナンスウィンドウを設定できます。

メンテナンスウィンドウの追加🔗

グループポリシーの作成または更新時にメンテナンスウィンドウを追加するには、以下の手順に従ってください。

  1. + メンテナンスウィンドウを追加 を選択します。
  2. メンテナンスウィンドウを開始する曜日を選択します。
  3. メンテナンスウィンドウを開始する時刻を選択します。
  4. メンテナンスウィンドウの継続時間を選択します。

注意

メンテナンスウィンドウで使用されるタイムゾーンは プロファイルの設定 で設定されており、メンテナンスウィンドウセクションの上部に表示されます。

メンテナンスウィンドウの無効化または有効化🔗

設定済みのメンテナンスウィンドウを無効化または有効化するには、以下の手順に従ってください。

  1. 設定済みのメンテナンスウィンドウの横にある縦の三点リーダーを選択します。
  2. 現在のステータスに応じて 無効化 または 有効化 を選択します。

メンテナンスウィンドウの削除🔗

設定済みのメンテナンスウィンドウを削除するには、以下の手順に従ってください。

  1. 設定済みのメンテナンスウィンドウの横にある縦の三点リーダーを選択します。
  2. 削除 を選択します。

テレメトリーレベル🔗

テレメトリーレベル

現在、2つのテレメトリティアが利用可能です。選択したテレメトリティアによって、エージェントの動作、収集されるテレメトリの量、エンドポイントへのパフォーマンス影響のレベルが決まります。

  • ワークステーションティア — ほとんどのデバイスや環境で推奨されるデフォルト設定です。このティアでシステムパフォーマンスに大きな影響が出る場合は、サーバーティアへの再割り当てをお試しください。

  • サーバーティア — サーバー、IoT、リソースに関連するリスクを持つドメインコントローラーなど、リソースが制約されたデバイスや環境に推奨されます。なお、このティアではエンドポイントから収集されるテレメトリが以下の表の通り減少するため、検知やケースも減少する可能性があります。

以下の表は、各テレメトリティアで収集されるテレメトリの違いを示しています。

Taegis Agent テレメトリデータ サーバーティアで収集されるテレメトリ ワークステーションティアで収集されるテレメトリ
Process プロセス作成のみ プロセスの作成および終了
Thread Injection 有効 有効
ETW (Auth, Scriptblock, DNS) 有効 有効
Netflow 接続のみ * 接続、切断
Registry 無効 変更
File 変更、削除、名前変更のためのオープン * 変更、削除、名前変更のためのオープン

* サーバーティアのWindowsエージェントでは、Netflowおよびファイル変更は無効です。

注意

macOSおよびLinuxエージェントでは、Process、Netflow、Auth、FileModのみ利用可能です。詳細はテレメトリ概要をご参照ください。

エージェントリリースチャネル🔗

エージェントリリースチャネル

Taegis Endpoint Agentリリースチャネルは、エージェントのアップデートプロセスを制御します。標準構成では、エージェントは自動的にアップデートされ、概ね四半期ごとのリリースサイクルで更新されます。グループポリシーでStable、Preview、またはBetaチャネルを設定することで、選択したチャネルにプロモートされたエージェントバージョンがリリースされた際に、エンドポイントが自動的にアップデートされます。

重要

特に指定がない限り、デフォルトのチャネルはStableです。すべてのインストールは、Agent Downloadsから入手可能な最新のStableバージョンで開始されます。その後、エンドポイントは、エンドポイントが属するグループに割り当てられたポリシーで指定されたリリースチャネルにプロモートされたエージェントバージョンへ自動的にアップデートされます。選択したリリースチャネルは、自動アップデートの頻度には影響しません。

Taegis Endpoint Agentリリースサイクル🔗

Taegis Endpoint Agentのアップデートには、以下のリリースサイクルモデルが適用されます。

  1. Beta — 最新リリースがBetaにプロモートされ、Betaチャネルの契約しているお客様に配信されます。
  2. Preview — 追加のテスト、検証、フィードバック、修正を経て、リリースがPreviewにプロモートされ、Previewチャネルの契約しているお客様に配信されます。
  3. Production Stable — 最終的にリリースがStableにプロモートされ、Stableチャネルの契約しているお客様に配信されます。

利用可能なリリースチャネル🔗

以下は、現在サポートされている各チャネルとその想定される用途の概要です。

  • Beta — このチャネルに登録されたエージェントは、プレリリースビルドの新しいアップデートや機能を最初に受け取ります。このチャネルに登録することで、Secureworksへの問題報告やテスト・評価目的で利用できます。このチャネルは、全体の資産の1%未満、かつ本番環境以外で、OSや構成を分散させて利用することを推奨します。詳細はBetaリリースチャネルをご参照ください。

  • Preview — このチャネルに登録されたエージェントは、リリースプロセスの早い段階でアップデートを受け取ります。新機能やアップデートを早期に利用したい場合に登録してください。このチャネルは、全体の資産の1~10%、かつ本番前/検証環境での利用を推奨します。

  • Production Stable — このチャネルに登録されたエージェントは、リリースが一般のお客様に広く配信されるタイミングでアップデートを受け取ります。このチャネルは、全体の資産の100%、および本番環境での利用を推奨します。

例えば、グループポリシーでStableチャネルを選択すると、そのポリシーが適用されたグループ内のエージェントは新しいStableビルドがリリースされるまでアップデートされません。一方、Betaチャネルを選択すると、そのポリシーが適用されたグループ内のエージェントで、次のチャネルにプロモートされる前の新しいビルドを管理者がテストできます。

ポリシーの作成🔗

  1. Taegis Menuから、エンドポイントエージェント → グループポリシー を選択します。

  2. ページ上部の + 追加 を選択します。

  3. ポリシー名と任意の説明を入力します。

  4. 希望するポリシー設定を構成します。

  5. 作成 を選択します。

    グループポリシーの作成

ポリシーの更新🔗

  1. Taegis Menuから、エンドポイントエージェント → グループポリシー を選択します。

  2. 編集したいポリシー名を選択します。

  3. 希望するポリシー設定を変更します。

  4. 変更を保存 を選択します。

    グループポリシーの更新

ポリシーの削除🔗

重要

ポリシーがグループに割り当てられている場合は削除できません。まず、グループに別のポリシーを割り当ててから、目的のポリシーを削除してください。詳細は グループの更新 を参照してください。

  1. Taegis Menuから、エンドポイントエージェント → グループポリシー を選択します。

  2. 削除したいポリシー名を選択します。

  3. エージェントグループポリシー設定から、右上の 削除 を選択し、操作を確認します。

    グループポリシーの削除

ポリシー詳細の共有🔗

テナント内の他のユーザーとポリシー詳細を共有するには、以下の手順に従ってください。

  1. Taegis Menuから、エンドポイントエージェント → グループポリシー を選択します。

  2. 共有したいポリシー名を選択します。

  3. エージェントグループポリシー設定から、共有リンクをコピー アイコンを選択して直接URLを取得します。

    グループポリシーの共有