コンテンツにスキップ

Taegis Endpoint Agent グループポリシー🔗

概要🔗

ポリシーは、Taegis Endpoint Agentがエンドポイントをセキュリティ脅威から保護する方法を制御するために設計された設定のセットです。ポリシーは、デバイスが組織のエンドポイントおよびセキュリティ基準を遵守することを保証します。ポリシー設定は、ポリシーがどのように適用されるかを定義する具体的な構成です。ポリシーは1つ以上のグループに適用できます。

エージェントグループポリシーを表示するには:

  1. Taegis Menuからエンドポイントエージェント → グループポリシーを選択します。

  2. エージェントグループポリシーページに、現在構成されているポリシーが表示されます。

    エージェントグループポリシー

グループポリシーのフィルター🔗

リストの左側にある折りたたみ可能なフィルターメニューを使用して、一致するポリシーを絞り込むことができます。

フィルターを選択すると、リストが動的に更新され、結果数が更新されたフィルターリストを反映します。

グループポリシーのフィルター

グループポリシーのエクスポート🔗

右上のアクションメニューを使用して、すべてのポリシーまたは一部のポリシーをエクスポートできます。

  • すべてエクスポートアクションメニューを選択し、すべてエクスポートを選択すると、選択したフィルターに関係なく、すべてのポリシーの詳細を含むCSVファイルが生成されます。

すべてのグループポリシーをエクスポート

  • 選択したものをエクスポート — エクスポートしたいポリシーをチェックボックスで選択し、アクションメニューから選択したものをエクスポートを選択すると、選択したポリシーの詳細を含むCSVファイルが生成されます。

選択したポリシーをエクスポート

ポリシー設定🔗

グループポリシーページからポリシー名を選択すると、そのポリシーの設定を表示できます。

グループポリシー設定

エージェント管理🔗

改ざん防止🔗

エージェント改ざん防止

重要

改ざん防止は、Windowsエージェント バージョン2.1.2以降およびmacOSエージェント バージョン2.0.9以降でサポートされています。詳細はTaegis Endpoint Agentの変更履歴をご覧ください。

改ざん防止は、エンドポイントからTaegisエージェントをアンインストールする際に、追加のセキュリティ層を提供します。この設定はデフォルトでOFFになっています。有効にすると、以下の動作となります。

  • ユーザーが手動でエージェントをシステムから削除したい場合、Taegis XDR UIから生成できる改ざん防止アンインストールトークンの入力が必要となります。
  • Taegis Agentサービスの手動による停止や再起動は禁止されます。

改ざん防止アンインストールトークンは、エンドポイントエージェントサマリーからテナント内のすべてのエージェントに適用するために生成することも、エンドポイントエージェント詳細から特定のホストに適用するために生成することもできます。

重要

トークンは生成から1時間で有効期限が切れます。

注意

改ざん防止が有効な場合でも、XDR UIから開始されたアンインストールにはトークンは不要です。改ざん防止が無効な場合、すべてのアンインストール方法でトークンは不要です。

自動アーカイブ🔗

自動アーカイブ設定

自動アーカイブを使用すると、XDRにテレメトリーを送信していないTaegis Endpoint Agentをエンドポイントエージェントサマリーテーブルの表示から、指定した期間後にアーカイブすることができます。このオプションはデフォルトで無効になっています。アーカイブ処理は毎日午前0時(ET)に実行され、指定した期間オフラインだったTaegis Endpoint Agentがアーカイブされます。

注意

アーカイブ済みのエージェントが引き続きXDRにテレメトリーを送信すると、自動的にアーカイブ解除されます。エージェントが最初にアーカイブされた際、エージェントがテレメトリーを送信し続けている場合は、アーカイブ解除が行われる前に短い猶予期間が設けられます。

セキュリティコントロール🔗

ファイル分析🔗

ファイル分析設定

セキュリティ分析や脅威ハンティングをサポートするため、XDRに固有のファイルがTaegis Endpoint Agentによって収集されます。ファイルハッシュやその他のメタデータは、既知の不正なハッシュに対する検知を生成するために使用されます。

この設定はデフォルトポリシーではOFFです。オプトアウトした場合、そのポリシー内のTaegis Endpoint Agentからファイルは収集されません。これにより、ファイル分析検知機がエンドポイント上で発見された不正なファイルに対する検知を生成しない場合があります。

ディーププロセスインスペクション🔗

注意

この設定は以前「高度なカーネルテレメトリー」と呼ばれていました。

ディーププロセスインスペクション設定

ディーププロセスインスペクション設定を有効にすると、RPCおよびAPIコールのテレメトリーが取得されます。RPCおよびAPIコールのテレメトリーは、Active Directoryの不正な同期攻撃(いわゆる「DCSync」)やSecretsdump認証情報窃取ツールの検知を可能にします。

重要

この設定を無効にすると、Windows用Taegis Endpoint Agentで、取得されるテレメトリータイプの違いによりパフォーマンスが低下する場合があります。

この設定は、Taegis Endpoint Agentと他の実行中のプログラム間でWindowsエンドポイント上の互換性問題を回避するため、デフォルトで無効になっています。サードパーティ製セキュリティ製品がTaegis Endpoint Agentの相互運用性に干渉する場合、BSODやマシンの操作不能などの問題が発生する可能性があります。製品の互換性問題の最新情報については互換性の問題を参照してください。

この設定を無効にすることで、こうした問題の回避やトラブルシューティングが可能ですが、Taegis Endpoint Agentの機能が制限されます。この設定が無効の場合、エージェントによるディーププロセスインスペクションが無効となり、コードインジェクションやAPIフックのテレメトリーが取得されません。

ディーププロセスインスペクション互換性テスト🔗

重要

テスト前に既知の問題で潜在的な互換性問題を確認してください。

この設定を有効にして少数のエンドポイントでテストするには、有効化したポリシーを持つ新しいエージェントグループを作成し、テスト用エンドポイントを新しいグループに割り当てます。あるいは、既存のテストグループやベータグループがある場合は、そのグループに割り当てられているポリシーを変更することもできます。

  1. グループポリシー設定から、ディーププロセスインスペクションのトグルを選択して機能を有効にします。

  2. 右上の変更を保存を選択します。

  3. エージェントサービスを再起動して最新の構成を取得するか、該当するテストシステムを再起動します。

    注意

    この設定はWindows用Taegis Endpoint Agentにのみ適用されます。

メンテナンスウィンドウ🔗

メンテナンスウィンドウの設定

メンテナンスウィンドウを設定することで、エージェントの自動アップデートが発生する時間帯を制限できます。メンテナンスウィンドウが設定されていない場合、エージェントのアップデートはロールアウトプロセス中の任意のタイミングで発生する可能性があります。

1日につき1つ、6~12時間のメンテナンスウィンドウを設定できます。

メンテナンスウィンドウの追加🔗

グループポリシーの作成または更新時にメンテナンスウィンドウを追加するには、以下の手順に従ってください。

  1. + メンテナンスウィンドウを追加を選択します。
  2. メンテナンスウィンドウを開始する曜日を選択します。
  3. メンテナンスウィンドウを開始する時刻を選択します。
  4. メンテナンスウィンドウの継続時間を選択します。

注意

メンテナンスウィンドウで使用されるタイムゾーンはプロファイルの設定で設定されており、メンテナンスウィンドウセクションの上部に表示されます。

メンテナンスウィンドウの無効化または有効化🔗

設定済みのメンテナンスウィンドウを無効化または有効化するには、以下の手順に従ってください。

  1. 設定済みのメンテナンスウィンドウの横にある縦の省略記号を選択します。
  2. 現在のステータスに応じて無効化または有効化を選択します。

メンテナンスウィンドウの削除🔗

設定済みのメンテナンスウィンドウを削除するには、以下の手順に従ってください。

  1. 設定済みのメンテナンスウィンドウの横にある縦の省略記号を選択します。
  2. 削除を選択します。

テレメトリーレベル🔗

テレメトリーレベル

現在、2つのテレメトリティアが利用可能です。選択したテレメトリティアによって、エージェントの動作、収集されるテレメトリの量、エンドポイントへのパフォーマンス影響のレベルが決まります。

  • ワークステーションティア — ほとんどのデバイスや環境で推奨されるデフォルト設定です。このティアでシステムパフォーマンスに大きな影響が出る場合は、サーバーティアへの再割り当てをお試しください。

  • サーバーティア — サーバー、IoT、リソースに関連するリスクを持つドメインコントローラーなど、リソースが制約されたデバイスや環境に推奨されます。なお、このティアではエンドポイントから収集されるテレメトリが以下の表の通り減少するため、検知やケースも減少する可能性があります。

以下の表は、各テレメトリティアで収集されるテレメトリの違いを示しています。

Taegis Agent テレメトリデータ サーバーティアで収集されるテレメトリ ワークステーションティアで収集されるテレメトリ
Process プロセス作成のみ プロセスの作成および終了
Thread Injection 有効 有効
ETW (Auth, Scriptblock, DNS) 有効 有効
Netflow 接続のみ * 接続、切断
Registry 無効 変更
File 変更、削除、名前変更のためのオープン * 変更、削除、名前変更のためのオープン

* サーバーティアのWindowsエージェントでは、Netflowおよびファイル変更は無効です。

注意

macOSおよびLinuxエージェントでは、Process、Netflow、Auth、FileModのみ利用可能です。詳細はテレメトリ概要をご参照ください。

エージェントリリースチャネル🔗

エージェントリリースチャネル

Taegis Endpoint Agentリリースチャネルは、エージェントのアップデートプロセスを制御します。標準構成では、エージェントは自動的にアップデートされ、概ね四半期ごとのリリースサイクルで更新されます。グループポリシーでStable、Preview、またはBetaチャネルを設定することで、選択したチャネルにプロモートされたエージェントバージョンがリリースされた際に、エンドポイントが自動的にアップデートされます。

重要

特に指定がない限り、デフォルトのチャネルはStableです。すべてのインストールは、Agent Downloadsから入手可能な最新のStableバージョンで開始されます。その後、エンドポイントは、エンドポイントが属するグループに割り当てられたポリシーで指定されたリリースチャネルにプロモートされたエージェントバージョンへ自動的にアップデートされます。選択したリリースチャネルは、自動アップデートの頻度には影響しません。

Taegis Endpoint Agentリリースサイクル🔗

Taegis Endpoint Agentのアップデートには、以下のリリースサイクルモデルが適用されます。

  1. Beta — 最新リリースがBetaにプロモートされ、Betaチャネルの契約しているお客様に配信されます。
  2. Preview — 追加のテスト、検証、フィードバック、修正を経て、リリースがPreviewにプロモートされ、Previewチャネルの契約しているお客様に配信されます。
  3. Production Stable — 最終的にリリースがStableにプロモートされ、Stableチャネルの契約しているお客様に配信されます。

利用可能なリリースチャネル🔗

以下は、現在サポートされている各チャネルとその想定される用途の概要です。

  • Beta — このチャネルに登録されたエージェントは、プレリリースビルドの新しいアップデートや機能を最初に受け取ります。このチャネルに登録することで、Secureworksへの問題報告やテスト・評価目的で利用できます。このチャネルは、全体の資産の1%未満、かつ本番環境以外で、OSや構成を分散させて利用することを推奨します。詳細はBetaリリースチャネルをご参照ください。

  • Preview — このチャネルに登録されたエージェントは、リリースプロセスの早い段階でアップデートを受け取ります。新機能やアップデートを早期に利用したい場合に登録してください。このチャネルは、全体の資産の1~10%、かつ本番前/検証環境での利用を推奨します。

  • Production Stable — このチャネルに登録されたエージェントは、リリースが一般のお客様に広く配信されるタイミングでアップデートを受け取ります。このチャネルは、全体の資産の100%、および本番環境での利用を推奨します。

例えば、グループポリシーでStableチャネルを選択すると、そのポリシーが適用されたグループ内のエージェントは新しいStableビルドがリリースされるまでアップデートされません。一方、Betaチャネルを選択すると、そのポリシーが適用されたグループ内のエージェントで、次のチャネルにプロモートされる前の新しいビルドを管理者がテストできます。

ポリシーの作成🔗

  1. Taegis Menuからエンドポイントエージェント → グループポリシーを選択します。

  2. ページ上部の+ 追加を選択します。

  3. ポリシー名と、必要に応じて説明を入力します。

  4. 希望するポリシー設定を構成します。

  5. 作成を選択します。

    グループポリシーの作成

ポリシーの更新🔗

  1. Taegis Menuからエンドポイントエージェント → グループポリシーを選択します。

  2. 編集したいポリシー名を選択します。

  3. 希望するポリシー設定を変更します。

  4. 変更を保存を選択します。

    グループポリシーの更新

ポリシーの削除🔗

重要

ポリシーがグループに割り当てられている場合は削除できません。まず、グループに別のポリシーを割り当ててから、目的のポリシーを削除してください。詳細はグループの更新を参照してください。

  1. Taegis Menuからエンドポイントエージェント → グループポリシーを選択します。

  2. 削除したいポリシー名を選択します。

  3. エージェントグループポリシー設定から、右上の削除を選択し、操作を確認します。

    グループポリシーの削除

ポリシー詳細の共有🔗

テナント内の他のユーザーとポリシー詳細を共有するには、以下の手順に従ってください。

  1. Taegis Menuからエンドポイントエージェント → グループポリシーを選択します。

  2. 共有したいポリシー名を選択します。

  3. エージェントグループポリシー設定から、共有リンクをコピーアイコンを選択して直接URLを取得します。

    グループポリシーの共有