エンドポイント向けampの導入方法とベストプ ラクティス -...
TRANSCRIPT
エンドポイント向けAMPの導入方法とベストプラクティス 目次
はじめに導入への道第1段階:情報収集検討環境データ収集セキュリティ製品のデータ収集 監査とコンプライアンスステージ2:導入計画考慮事項:パブリッククラウドとプライベートクラウドエンドポイント向けAMP構成計画ファイアウォールとプロキシの設定ステージ3:コンソールのセットアップユーザ設定ポリシー マネジメントグループ親グループと子グループの作成方法有病率有病率の設定 除外アウトブレイク制御AMPアップデートサーバステージ4a.アルファ展開監査の展開(アルファグループ)[コネクタの調整] ([アルファ]領域)新しい除外の特定コネクタのアクティブ化(アルファグループ)ステージ4b:ベータ導入監査導入(ベータグループ)コネクタの調整(ベータグループ)コネクタのアクティブ化(ベータグループ)ステージ5.一般的な導入一般的な導入考慮事項:コネクタの調整ステージ6.統合脅威への対応Threat Response Integrationの有効化Threat Grid
認知知性コネクタの更新演習:トラブルシューティング接続テストデバイストラジェクトリテスト不適切な除外チェック考慮事項:仮想デスクトップインフラストラクチャ付録.エンドポイント向けAMPの概要ソリューションの概要保護格子オンラインおよびオフラインエンジン使用例
はじめに
このドキュメントでは、エンドポイント向けAMPの導入方法、セットアップ、設定、および一般的なベストプラクティスに関するガイダンスを提供する方法について説明します。この包括的なエンドポイントセキュリティソリューションは、スタンドアロンツールとして機能し、シスコとサードパーティのネイティブに統合されたソリューションのアーキテクチャの一部として機能するように設計されています。そのため、お客様やパートナーは、環境内にAMP for Endpointを導入して設定する前に、考慮すべき多くの考慮事項があります。
このドキュメントでは、主に導入戦略とベストプラクティスに重点を置いていることに注意してください。これは補足文書として設計されており、すべてのエンドポイント向けAMP機能または設定オプションの包括的なリストは含まれていません。特定の製品の機能または統合に関する詳細については、次のAMP for Endpointsの公式ドキュメントを参照してください。
https://docs.amp.cisco.com/●
導入への道
このセクションでは、エンタープライズ環境でエンドポイント向けAMPを正常に導入するための推奨段階について説明します。次のフローチャートは、お客様が環境内で使用するための汎用フレームワークです。
この段階には、情報収集、導入計画、コンソール設定、アルファ導入、ベータ導入、一般導入、統合設定があります。企業全体の導入では、情報の収集や統合のセットアップまで、これらの段階を段階的に進めることをお勧めします。繰り返しサイクルは、エンドポイント向けAMPの導入に成功した部分でもあります。スムーズな導入エクスペリエンス、正確な設定チューニング、および潜在的なパフォーマンス問題のタイムリーな解決を実現するために必要です。シスコは、お客様の環境はそれぞれ固有のものであることを認識しており、このフレームワークは、お客様の使用例の詳細に従って調整する必要があるため、推奨事項としてのみ機能します。
第1段階:情報収集
情報の収集は、エンドポイント向けAMPのスムーズな導入エクスペリエンスと設定を実現するために必要な出発点です。このセクションでは、環境データ、セキュリティ製品データ、コンプライアンス要件の収集に関する重要な考慮事項について説明します。
検討
環境データ収集
最初のステップは、既存のセキュリティポスチャを理解して文書化することです。少なくとも、次の項目を含める必要があります。
エンドポイント用AMPがインストールされているエンドポイントはいくつですか。●
エンドポイント用オペレーティングシステム(OS)AMPは何にインストールされていますか。●
既存のエンドポイントセキュリティ製品は、AMP for Endpointのインストール前またはインストール後に削除されますか。
●
AMP for Endpointは既存のセキュリティ製品と共存可能ですか。●
ミッションクリティカルなシステムとソフトウェアとは何ですか。●
現在のソフトウェア導入プロセスは何ですか。●
環境内にHTTP/Sプロキシはありますか。●
組織のプライバシー要件は何ですか。●
セキュリティ製品のデータ収集
ほとんどの組織は、既存のエンドポイントセキュリティ製品がすでにインストールされている環境にエンドポイント用AMPを導入します。そのため、AMP for Endpointに転送される可能性のある情報については、すでに多くの情報が用意されています。この情報は、最初からコンパイルし、現在の関連性について評価し、AMP for Endpointsのセットアッププロセスを通知するために使用する必要があります。次のリストは最初に良い場所ですが、完全なものではありません。
既存のエンドポイントセキュリティ製品にはすでに含まれている除外は何ですか。●
既存のアプリケーションブロックリストまたはアプリケーションホワイトリストはありますか。
●
現在のエンドポイントセキュリティソフトウェアはIPアドレスのブロックに使用されていますか。
●
除外、ブロックリスト、およびブロックされたIPアドレスは、現在のセキュリティポスチャに関連していますか。
●
既存のエンドポイントセキュリティ製品で現在使用されているセキュリティ機能はどれですか。 これらの機能はAMP for Endpointに存在しますか。AMP for the Endpointsコンソールの既存の設定を移行できますか。
●
監査とコンプライアンス
多くの組織では、監査およびコンプライアンスの要件が適用されます。このような要件により、組織は、変更が行われたときに誰がアクセスして変更を行ったかに関するデータや、エンドポイントセキュリティパフォーマンスに関する履歴データを維持する必要が生じることがよくあります。AMP for Endpointは、詳細なユーザ監査とエンドポイント履歴データを提供し、30日間の制限があります。AMP for Endpointsイベントストリーミング機能を利用すると、履歴保存を追加できます。新しいエンドポイント用AMPのインストールがこれらの要件を満たしていることを確認するには、次の質問に対する回答を得ることをお勧めします。
組織の監査要件●
組織が適用する政府適合要件は何ですか。 PCI DSS、GDPR●
履歴データストレージの組織の要件は何ですか。●
ステージ2:導入計画
導入計画フェーズは、準備の次のステップです。この段階では、情報収集セクションで収集したデータを活用して、パブリックまたはプライベートクラウドの使用、構成計画、コンソール設定に関する導入に関連する決定を行います。
考慮事項:
パブリッククラウドとプライベートクラウド
エンドポイント用AMPには、次の2つの導入オプションがあります。パブリッククラウドとプライベートクラウド組織に最適なオプションを選択できるように、2つのオプションの違いを理解することが重要です。
パブリッククラウド:
エンドポイント向けAMPパブリッククラウド導入は、お客様が選択する最も一般的なオプションです。この導入方法により、エンドポイントの導入を管理するためにサーバリソースを必要とせずに、新機能をすぐに利用できます。そのため、この方法はより柔軟で、シスコが推奨します。
プライベートクラウド:
エンドポイント向けAMPプライベートクラウドは、お客様の環境でホストされます。この導入オプションでは、すべてのエンドポイントテレメトリデータを直接制御できるため、組織のプライバシーが強化されます。
●
エンドポイント向けAMPプライベートクラウドアプライアンスには、仮想アプライアンスと物理UCSアプライアンスの2つの形式があります。各オプションには、購入の決定を行う前に慎重に評価する必要がある独自の要件があります。
●
エンドポイント向けAMPの両方のバージョンのプライベートクラウドには、主に次の2つの動作モードがあります。プロキシモードとエアギャップモード。
●
ほとんどのエンドポイント向けAMPプライベートクラウドのお客様は、プロキシモードでアプライアンスを実行します。これは、プライベートクラウド導入に推奨される設定です。
●
Air-Gap Modeは、仮想プライベートクラウドの導入(物理UCSで使用可能)で非推奨となり、プライバシー要件が厳しいお客様、または外部ネットワーク接続を使用できないお客様に
●
提供されます。<プライベートクラウドのオプションと要件に関する具体的な情報へのリンク>●
エンドポイントコネクタの要件: サポートされているすべてのオペレーティングシステムのエンドポイントコネクタの要件に関する詳細については、次のリンクを参照してください。<リンク>
●
エンドポイント向けAMP構成計画
AMP for Endpointsコンソールでエンドポイントのバッチを整理および管理する主な手段は、グループを介することです。機能、場所、その他の基準に従って組織内のコンピュータを管理したり、親グループと子グループを作成して、環境全体を詳細なレベルで管理したりできます。これを実現するには、次の質問を検討し、グループおよびポリシースキーマを慎重に計画することが重要です。
エンドポイントのグループの編成●
ポリシーの編成●
除外内容●
選択した構造は、今後1年間のビジネスニーズを満たしていますか。●
TETRA(Windows)/ClamAV(MacOS)はAVエンジンとして使用されますか。●
AMPアップデートサーバは組織に導入されていますか。●
Cognitive Intelligenceの統合は有効ですか。●
ファイアウォールとプロキシの設定
エンドポイント向けAMPパブリッククラウドでは、適切なエンドポイントコネクタ機能を確保するために、特定のファイアウォールルールやプロキシ設定が必要でした。[パブリッククラウド(Public Cloud)]オプションを使用する組織は、発信HTTP/TLS通信(TCP/443)を許可する必要があります。 このアウトバウンド通信は、特定のIPアドレスとサーバURLに制限できます。詳細については、次のTechNoteの記事を参照してください。
適切な AMP 操作に必要なサーバ アドレス:http://cs.co/AMP4EP_Required_URLS
ステージ3:コンソールのセットアップ
この項では、ユーザアカウントの設定、ポリシーとグループの作成と設定、有病率とアウトブレイク制御の設定、除外の作成、AMPアップデートサーバの設定の方法について説明します。
ユーザ設定
エンドポイント用のいくつかのAMP機能は、適切に設定されていないユーザアカウントでは使用できません。すべての利用可能な構成オプションと製品機能に確実にアクセスできるようにするには、ユーザがTwo-Step Verification、Casebooks、およびタイムゾーンを有効にすることが重要です。ユーザが利用できる追加のオプションは、Google Analyticsからの選択と電子メールによるアナウンスの受信です。
注:リモートファイルフェッチ、コマンドラインの可視性、および有病率の機能を使用するには、2ステップの検証が必要です。エンドポイント向けAMPの2ステップ検証がテストされ、iOSまたはAndroidデバイスのDuo、Google Authenticator、およびAuthyと互換性があります。
ユーザの2ステップ検証を正しく設定するには、まず営業担当者から提供されたクレデンシャルを使用してアカウントにログインする必要があります。
[Accounts] > [Users] をクリックし、ユーザ名を選択します。1.
[Two-Step Verification]オプションの横にある[Enable]をクリックし、画面上の指示に従って、推奨されるアプリケーション(Duo、Authy、Google Authenticator)のいずれかを使用して2段階検証を慎重に設定します。
2.
ユーザページに戻り、[Remote File Fetch and Command Line]が有効になっていることを確認します。タイムゾーンの設定に進み、Casebookを承認し、[Receive Announcements byemail]を確認します。
3.
適切に設定すると、ユーザページは次のようになります。
ポリシー マネジメント
ポリシーの作成と管理は、エンドポイント向けAMPの中核です。ポリシーは、コネクタ機能のすべての設定可能な側面を制御します。そのため、新しく作成されたすべてのポリシーを、現在および将来の組織構造を念頭に置いて作成することが重要です。この柔軟性を維持するために、組織のニーズに適切に対応するために、必要な限りポリシーを作成することを推奨します。
デフォルトでは、AMP for Endpointsコンソールには、管理者がの上に構築するための多数のポリシーが用意されています。これらのポリシーは、高レベルのセキュリティを提供すると同時に、エンドポイントに対するパフォーマンスへの影響を最小限に抑えるように設計されています。さまざまなエンドポイント機能のポリシー設定を決定する際には、組織のセキュリティニーズを満たすために、ポリシーページで提供される推奨設定を最小限の変更で守ることを推奨します。
デフォルトで提供されるポリシーには、主に2つのタイプがあります。監査と保護。
監査ポリシーは、エンドポイントに対する干渉を最小限に抑えつつ、エンドポイント用AMPコネクタを導入する手段を提供します。デフォルトの監査ポリシーでは、ファイルの検疫やネットワーク接続のブロックは行われないため、初期導入時およびトラブルシューティング時にコネクタのチューニング用にデータを収集するのに役立ちます。
●
保護ポリシーは、より高度なエンドポイント保護を提供します。コネクタはこれらのポリシーを利用し、既知の悪意のあるファイルを隔離し、C2ネットワークトラフィックをブロック
●
し、その他の保護操作を実行します。
ベストプラクティス:ポリシー作成のためのエンドポイント向けAMPのベストプラクティスは、ベースポリシーのセットを作成し、これらのポリシーを複製して、同じポリシーのデバッグバージョンと更新バージョンを作成することです。これにより、デバッグデータが収集され、コネクタの更新が実行される間、一貫性が維持されます。
ここでは、監査、保護、およびサーバーポリシーの推奨設定の概要を示します。
AMP for Endpointsコンソールで、[Management] > [Policies] に移動し、[Windows] タブをクリックし、[Audit] ポリシーレコードをクリックして設定を展開し、[Edit] をクリックします。
1.
監査ポリシーの[モードとエンジン]タブでMalicious Activity ProtectionおよびSystem ProcessProtectionエンジンを[Audit]に変更し、[Exploit Prevention]の前にあるチェックボックスをオフにします
2.
注:Exploit Prevention Engineはモニタリングを許可せず、常にブロック/保護します。したがって、監査ポリシーでは完全に無効にすることを推奨します。
監査ポリシーの[詳細設定] ページの[管理機能]ページに移動し、[コネクタ保護パスワード] を設定して、不正なユーザ(またはマルウェア)がAMPサービスの開始/停止またはアンインストールを行わないようにします。
3.
[Audit]ポリシーの[Advanced Settings] > [Client User] [Interface] ページに移動し、エンドユーザにユーザインターフェイスを表示するかどうかを選択します。
4.
注:シンプルにするためにクライアントインターフェイスを無効にすることを推奨しますが、これは組織固有の決定です。クライアントユーザインターフェイスを保持する場合は、セキュリティ設定のユーザの可視性を最小限に抑えるために、[Hide Exclusions]チェックボックスをオンにしながら、ほとんどのデフォルト設定を使用することをお勧めします。
監査ポリシーの[Advanced Settings]、[File and Process Scan]ページに移動し、[On ExecuteMode]が[Passive]に設定されていることを確認します。
5.
注:On Execute Modeの設定はPassiveのままにしておくことを推奨します。この設定をアクティブモードに変更すると、パフォーマンスに重大な問題が発生する可能性があります。
それ以上の変更を行わずに他のポリシー設定に慣れ、[保存]をクリックします。次に、Windows監査ポリシーの内容を示します。
6.
次のステップは、更新をデバッグおよびトリガーする目的で監査ポリシーの重複を作成することです。ポリシー構成のWindowsタブでAudit policyレコードをクリックし、拡張設定ビューでDuplicateボタン(レコードビューの右下)をクリックします。 これにより、Copy ofAuditという名前の重複ポリシーが作成されます。
7.
新しく作成したコピーの名前をAudit - Debugに変更するには、Edit (レコードビューの右下)をクリックし、次にNameビューのエントリを変更し、最後にSave(ポリシー設定の右下にあるボタン)をクリックします。
8.
Windows監査ポリシーの複製をもう一つ作成し、名前をAudit - Updateに変更します。監査およびデバッグの設定は後で行います。
9.
デフォルトの保護ポリシーとサーバーポリシーに対して上記の手順を繰り返し、指定された設定から開始します。主な違いは、 モードとエンジン。
10.
ステップ1:保護ポリシーの場合、モードとエンジンの外観を次に示します。
注:管理機能、クライアントユーザインターフェイス、ファイルおよびプロセススキャンなどの他の設定は、監査ポリシーと同じです。
ステップ2:サーバポリシーの場合、モードとエンジンは次のようになります。
注:ほとんどのサーバ導入では、ネットワークエンジン(DFC)を完全にディセーブルにする必要があります。さらに、適切なコマンドラインスイッチを使用してサーバコネクタをインストールし、デバイスフロー相関のインストールを無効にしてください。ファイルを監査の対象として初期導入を行い、最初の調整とレビューの後に検疫に切り替えます。管理機能、クライアントユーザインターフェイス、ファイルおよびプロセススキャンなどの他の設定は、監査ポリシーと同じです。コマンド ライン スイッチ:http://cs.co/AMP4EP_CLI_Switches
追加のデバッグ(Protect - DebugおよびServer - Debug)および更新(Protect - UpdateおよびServer - Update)ポリシーバージョンを作成します。監査およびデバッグの設定は後で行います。ドメインコントローラとトリアージポリシーを変更しないでください。
11.
適切に設定すると、Windowsのポリシーページは次のようになります。
グループ
グループは、エンドポイントコネクタと関連するポリシー間のリンクです。したがって、グループの最上位レベルには、すべてのオペレーティングシステムに関連するポリシーが必要です。たとえば、監査の親グループには、Windows、Mac、Linux、iOS、およびAndroid用の監査ポリシーが割り当てられます。ただし、コネクタは親グループに直接配置しないでください。むしろ、企業がエンドポイントを編成するために使用する基準に基づいて子グループを作成することを強く推奨します。エンドポイント組織に子グループを使用すると、より詳細な管理が可能になります。
AMP for Endpointsコンソールには、テンプレートとして機能する5つのデフォルトの親グループがあらかじめ入力されています。環境に必要な数の親グループまたは子グループを作成できます。子グループは、親グループのすべてのポリシーを継承します。さらに、子グループは親グループ間で移動できます。子グループを新しい親グループに移動すると、新しい親グループに関連付けられたすべてのポリシーが継承されます。
親グループの作成は、ポリシーに一致し、同じ名前を付ける必要があります。たとえば、次のポリシーがある場合です。
監査●
監査デバッグ●
監査の更新●
次の各ポリシーに対応する親グループが必要です。
監査の親グループ●
監査デバッグ親グループ●
監査:親グループの更新●
注:グループの名前は、グループ内のデバイスの記述子にすぎず、グループの動作を決定するものではありません。コネクタの動作は、常にポリシーによって決まります。たとえば、Auditという名前のグループに保護ポリシーを適用できます。混乱を避けるために、グループとポリシーの名前を一貫しておくことをお勧めします。
エンドポイントが子グループに編成されると、細かな管理が親グループ間で子グループを移動する簡単なタスクになります。たとえば、新しいコネクタバージョンがリリースされたら、ポリシ
ーの製品更新設定を変更し、子グループを関連付けられた親グループに一度に1つずつ移動します。これにより、追加のグループやポリシーを作成しなくても、エンドポイントコネクタの詳細な段階的な更新が可能になります。
ベストプラクティス:コネクタを複数の子グループに共通の順序で配置します。組織の例には、地域、タイムゾーン、オフィス、事業部門、機能上の類似性などがあります。次に、子グループを適切な親グループに関連付けます。すべてのエンドポイントコネクタを1つのグループに配置し、コネクタを親グループに直接配置しないでください。
親グループと子グループの作成方法
ここでは、親グループと子グループを作成する手順を説明します。これらの手順は、AMP forEndpointsグループ構造を編成する方法の例として使用します。
AMP for Endpointsコンソールで、[Management] > [Groups] に移動し、[Audit] グループの横にある[Edit] ボタンをクリックして、名前を[Audit Parent Group] に変更します。割り当てられているWindowsポリシーが監査であることを確認します(「ポリシーの作成」で選択した名前に従います)。 [保存(Save)] をクリックします。
1.
[グループ]ページの右側にある[グループの作成]ボタンを使用して、[監査デバッグの親グループ]と[監査の更新の親グループ]という2つの新しいグループを作成します。これらのグループに割り当てられているWindowsポリシーが[Audit - Debug]および[Audit - Update]であることを確認します。
2.
ProtectグループとServerグループについても同じ手順を繰り返します。合計4つの新しいグループを作成し、各グループの目的を反映するようにWindowsポリシーが正確に割り当てられるようにします。たとえば、Protect Debug Parent GroupにProtect - Debugポリシーを割り当てる必要があり、Server Update Parent GroupにServer - Updateポリシーを割り当てる必要があります)。
3.
最後に、会社がエンドポイント管理に使用する組織スキーマに基づいて子グループを作成します。
4.
注:作成時に新しく作成したグループの親グループを選択できます。
これは、上記の手順を完了した後の[グループ]ページの上部の外観です。新しく作成された親グループの一部が1つのイメージに収まらないことに注意してください。
有病率
AMP for Endpoints Prevention機能は、Threat Gridファイル分析環境への組み込みリンクです。この機能は、エンドポイントのエンドポイントグループに対して選択されたAMPを監視し、発生頻度が低い未知の実行可能ファイルを検出します。不明な実行可能ファイルが検出されると、AMPfor Endpointsクラウドサービスは、特定の条件が満たされている場合に、分析のためにファイルをアップロードするようにエンドポイントコネクタに要求できます。ファイルがエンドポイント用AMPコンソールに正常にアップロードされると、スタティックおよびダイナミックの詳細な分析のためにThreat Gridに送信されます。ファイルが高い脅威スコアを返すと、AMPクラウドが更新され、エンドポイントでファイルが検疫されます。
注:デフォルトでは、すべてのエンドポイント向けAMPアカウントには、24時間のローリ
ングウィンドウ送信制限である100ファイルが付属しています。追加のThreat Grid'Advanced File Analysis'送信パックを購入して、必要に応じて制限を増やすことができます。
有病率の設定
この手順は、prevention機能を適切に設定する方法を示しています。
エンドポイント用AMPコンソールで、[Analysis] > [Prevention] に移動し、ページの右側にある[Configure Automatic Analysis] ボタンをクリックします。
1.
分析のためにファイルを送信するグループを選択し、[適用]をクリックします。2.ベストプラクティス:すべてのエンドポイントグループに対して有病率を設定する必要がありますが、ソフトウェア開発を担当するグループとプライバシー要件の高いグループに対しては例外を設ける必要があります(ファイルの自動送信は企業の機密保持ポリシーに違反する可能性があります)。
[Current Automatic Analysis Status]に、選択したグループの数と、これらのグループ内のエンドポイントの数が表示されます。この時点では、エンドポイントのコネクタは展開されていないため、その数はゼロのままです。
3.
除外
パフォーマンスへの影響を最小限に抑え、アプリケーションの互換性を適切に保つには、AMPfor Endpoint内で除外を作成および管理する必要があります。AMP for Endpointは、組織の迅速なセットアップを支援するために、シスコが保持する多数の除外機能を提供します。ただし、ほとんどの場合、少なくとも一部のカスタム除外が必要です。必要なカスタム除外を適切に特定するには、エンドポイントが通常の運用負荷を受けている間に、デバッグ診断データを取得する必要があります。これらの診断ファイルはチューニングツールによって解析され、ファイル周波数データが生成されます。除外に関するその他のリソースは、既存のエンドポイントセキュリティ製品およびその他の一般的なソフトウェアのベンダーのドキュメントに記載されています。診断ファイルの取得方法とチューニングツールの使用方法については、このドキュメントの「アルファ配置」セクションの「新しい除外の特定」を参照してください。
注:除外は、ある製品から別の製品に移植する前に慎重に再評価し、環境に対する関連性を維持するとともに、セキュリティカバレッジの不要なギャップを制限する必要があります。除外の概要については、『AMP for Endpoints』ユーザガイドおよびドキュメントを参照し
てください。
http://cs.co/AMP4EP_Best_Practices_Exclusions
アウトブレイク制御
エンドポイント向けAMPは、お客様の環境内での悪意のあるソフトウェアの拡散を管理および緩和するための幅広い制御を提供します。これらの制御には、Simple CustomDetection(SHA256照合に基づくファイルの検疫)、Advanced Custom Detection(カスタムClam AV規則に基づく照合)、Application Controls(アプリケーション実行を制御するブロックとホワイトリスト)、Network(白黒IPアドレスリスト)、Endpoint IOCお客様にスキャンを依頼してください)。
既存のセキュリティ製品からアウトブレイク制御にデータをインポートする前に、SHA、IP、およびルールを慎重に再評価し、これらが環境に対して適切であることを確認する必要があります。さらに、特定のカスタム検出を適用する必要があるすべての関連ポリシーに対して、カスタム検出を適用する必要があります。グループとポリシーのレイアウトを正確に計画することが非常に重要な理由の1つです。
注:SHA256エントリをAMP for Endpointsコンソールに1つずつ追加するか、SHA256エントリのセットを含むファイルを一度にアップロードできます。ファイル自体をアップロードしてハッシュを計算することもできます。エンドポイント用AMPでは、正当なクリーンファイル(AMPクラウドでマークされているなど)のハッシュを簡易カスタム検出リストに追加できないことに注意してください。これは、正当なファイルの誤った有罪判決を防ぐために設置されているガードレールです。ただし、実行を防ぐために、クリーンファイルをアプリケーションブロッキングリストに追加できます。
AMPアップデートサーバ
エンドポイント用AMPには、TETRAと呼ばれる従来のAVエンジンが含まれています。TETRAは、他のAMP for Endpointエンジンと連携して動作するように設計されており、静的およびモバイルプラットフォームのセキュリティを強化します。TETRAはオフラインで動作するように設計されているため、正しく動作するにはシグニチャファイルのダウンロードが必要です。初期シグニチャファイルのダウンロードに固有の帯域幅オーバーヘッドを考慮すると、AMPアップデートサーバを使用してWAN帯域幅のオーバーヘッドを削減できます。さらに、AMPアップデートサーバはシグニチャファイルのローカルコピーを提供します。これにより、ネットワークの中断によってシグニチャファイルの更新を防止できなくなります。
AMPアップデートサーバは、最大限の柔軟性を確保するために、IIS、Nginx、およびApacheで動作するように設計されています。
注:AMPアップデートサーバのセットアップ方法の詳細については、次のTechZoneの記事を参照してください。http://cs.co/AMP_Update_server
ベストプラクティス:TETRAエンジンをデスクトップ、仮想環境、およびサーバとともに使用する環境では、AMPアップデートサーバを設定することをお勧めします。組織は、地域オフィスに定義を提供する複数のAMPアップデートサーバを持つことができます(サーバはポリシーごとに設定されます)。 リモートワークステーションおよびローミングシステムは、AMPアップデートサーバではなく、AMPクラウドから直接アップデートをダウンロードすることを推奨します。
ステージ4a.アルファ展開
大規模なソフトウェアの導入と同様に、ゆっくりと系統的な方法で導入することをお勧めします。段階的な導入により、問題が発生した場合に任意の環境に導入されるため、エンドポイントの比較的小さな割合にしか影響を与えることなく解決できます。これらの懸念はセキュリティソフトウェアに特に関連しています。そのため、シスコのベストプラクティスは、ステージ4a、ステージ4b、およびステージ5で説明する段階的アプローチを使用してエンドポイント用AMPを導入することです。
監査の展開(アルファグループ)
ステージ1 ~ 3では、現在の設定に関する情報を収集し、既知の除外、グループ、およびポリシーでコンソールを設定しました。この情報を入手して設定を完了すると、エンドポイントのAlphaラウンドへの導入を開始できます。Alpha導入エンドポイントは、Audit - Debug Parentグループの下のグループに導入する必要があります。これにより、コネクタはチューニング用に有用なデータセットを保持します。
ベストプラクティス:アルファ導入は、組織の非常に小さなサブセットで構成する必要があります。組織の規模によっては、ワークステーションの1 ~ 10 %の範囲で構成される場合があります。実際の導入では、ヘルプデスクに不要なチケットを回避しながら問題の診断に役立つスキルを持っているため、ITスタッフから導入プロセスを開始することを強く推奨します。AMP forEndpointsコネクタは、チューニングに使用される貴重なデータを提供しながら、ユーザのエンドポイントに悪影響を及ぼす可能性を減らすことができるため、デバッグが有効になっている監査ポリシーを使用して導入することをお勧めします。
注:AMPコネクタのデフォルトおよび追加のコマンドラインスイッチ:http://cs.co/AMP4E_Connector_Install_Switches
[コネクタの調整] ([アルファ]領域)
コネクタが配備され、エンドポイント用AMPコンソールに登録されたら、コネクタが追加の除外の作成に使用できるデータを取得できるため、一定期間データを収集できる必要があります。実際の導入では、エンドポイントから診断パッケージを取得する準備が整う前に、最低30分間(できれば1時間)コネクタを登録してアクティブにする必要があります。
ベストプラクティス:必要な除外が特定され、実装されていることを確認するために、営業時間内に少なくとも2回以上実行することをお勧めします。
新しい除外の特定
次の手順に従って、Cisco Maintained ExclusionsおよびCustom Exclusionsダッシュボードを順に進み、AMP for Endpointsコンソールへの診断アップロードをトリガーし、結果の診断ファイルをダウンロードして、チューニングツールを実行します。
注:Windows Connector Tuning Toolは、Cisco TACではサポートされていません。お客様はこのツールを自由に使用できますが、問題が発生した場合は、Githubで問題として報告する必要があります。Cisco TACは、このツールの使用をサポートしません。チューニングケースが開いている場合、TACはエンドポイントの直接チューニングをサポートします。
AMP for Endpointsにログインし、[Management - Exclusions]に移動します。2つのカテゴリが表示されます。カスタムおよびシスコが保守
1.
A.カスタム除外は、特定の非標準ケースに対処するために組織によって作成されます。このような除外は、初期チューニング後に作成されることがよくあります。パス、ファイル拡張子、ワイルドカード、脅威、およびプロセスを除外できます。
ベストプラクティス:除外に関する推奨ベストプラクティスは、次の文書で説明します。http://cs.co/AMP4E_Exclusions_Best_Practices
B. Cisco-Maintained Exclusionsは、Ciscoが作成および保守し、AMP for EndpointsConnectorとウイルス対策、セキュリティ、およびその他のソフトウェアとの間の互換性を向上させます。
注:シスコが保持する除外は、削除または変更できません。アプリケーションごとに除外されているファイルとディレクトリを確認できます。これらの除外は、改良や新しいバージョンのアプリケーションで徐々に更新されることもあります。
Alphaグループのエンドポイントの[Management] -> [Filter]に移動します。2.
ポリシーの横の [レポート(Report)] 診断。3.
Debug Session > 15分を設定し、Historical DataボタンとKernel Logボタンをクリックします。
4.
診断が実行され、AMP for Endpointsファイルリポジトリにアップロードされるまで20 ~30分待ちます。
5.
[Analysis a File Repository]をクリックします。6.
[Type]をクリックして[Connector Diagnostics]を選択します。7.
コネクタレコードを展開し、[ダウンロード]をクリックします。8.
次のとおりに移動します。http://cs.co/AMP4E_Tuning_Tool9.
Diag_Analyzer_<バージョン>.exeをダウンロードします。10.
DiagnosticとDiag_Analyzerを同じフォルダに配置します。11.
ダブルクリック:Diag_Analyzer_<バージョン>.exeファイル。これにより、診断ファイルの解凍が行われ、ファイルとディレクトリの周波数情報を含むテキストファイルが作成されます。
12.
新たに除外される可能性のあるテキストファイルを評価します。13.
注:チューニングツールの出力から、最も使用率が高く、アクセスが最も多いファイルとプロセスを特定します。ビジネス環境の有効性と外部環境の脆弱性を確認します。ファイルが存在する場合は、そのファイルを認識し、脆弱性を処理してください。
注:除外リストをエンドポイントコネクタに渡すには、関連するポリシーに追加する必要があります。
出力を注意深く確認し、セキュリティループホールの可能性を考慮しながら、実装が必要な除外を決定します。結果の除外をAMP for Endpointsコンソールに追加します。この演習の「除外のベストプラクティス」ドキュメントのステップ1aを確認することを強くお勧めします。
ベストプラクティス:エンドポイント用AMPコネクタの安定した低いリソースパフォーマンスを確保するために、必要な頻度でコネクタの調整を実行し、エンドポイントのサンプルを実用に設定します。
コネクタのアクティブ化(アルファグループ)
コネクタを初期Alphaグループに展開し、チューニングを行い、新しい除外を追加することでパフォーマンスの問題を軽減したら、エンドポイントのコネクタを保護ポリシーを有効にした別の親グループに移動してアクティブにします。この段階で、パフォーマンスの問題とヘルプデスクチケットの監視を続けます。
ベストプラクティス:エンドポイントを保護モードに移行する前に、除外が正しく設定されていることを確認し、誤検出を避けるためにカスタムソフトウェアがアプリケーションホワイトリストに追加されていることを確認します。追加の問題が発生し、監査ポスチャに戻る必要がある場合は、単に子グループを監査の親デバッググループに戻します。ただし、エンドポイントが保護モードで実行されている間は、診断パッケージの収集も検討してください。除外の調整を何回か行っても問題が解決しない場合は、より詳細な分析が必要な以前に不明な問題が発生している可能性があるため、Cisco TACサポートでケースをオープンしてください。
ステージ4b:ベータ導入
比較的小規模なAlpha導入とは異なり、Beta導入の最初のラウンドは、エンドポイントの大規模なグループである必要がありますが、組織全体の一部に限られます。ベータ導入段階を複数回繰り返し、各統合の間にインストールベースを拡張して、インストールベースの着実かつ完全な成長を確保できます。ベータ版の導入は、監査デバッグ設定で開始し、最初の調整の後に保護デバッグ段階に移行する必要があります。調整が完了し、エンドポイントの問題が解決されたら、これらのシステムをデバッグから標準の保護グループに移動できます。
ベストプラクティス:ミッションクリティカルなシステム(サーバなど)のテスト環境がある場合は、ベータ版の導入期間中に対象としてください。ベータ版の導入に対象エンドポイントを選択する場合は、すべての部門またはエンドポイントのロールの限定的なクロスセクションを選択します。これにより、ターゲット環境の全体的な理解が向上し、現場からのフィードバックに基づいて診断と調整をスムーズに行うことができます。すべてのターゲットエンドポイントグループの互換性とパフォーマンスを最大限に高めるために、ベータ版の導入段階を何度か繰り返す必要があります。
監査導入(ベータグループ)
ここが繰り返し繰り返し発生し始めます。Alpha導入段階と同様に、AMPコネクタを監査モードで導入し、より多くのエンドポイントに導入します。これにより、初期導入を拡張して、役割や機能、ソフトウェアセット、ユーザの動作が異なる他の部門をカバーする必要があります。
コネクタの調整(ベータグループ)
Betaグループのチューニング演習は、Alphaグループのものと実質的に同じです。唯一の違いは、ベータ版の段階で導入されたターゲットエンドポイントです。この段階では、エンドポイントの役割と組織の部門が異なるため、責任を負う必要がある異なる除外要件が作成される可能性があります。
コネクタのアクティブ化(ベータグループ)
コネクタをより広範なベータグループに展開したら、調整が完了し、除外が追加されたら、エンドポイントコネクタを保護モードに移動してアクティブにします。パフォーマンスの問題やヘルプデスクのチケットの監視を続けます。ベータグループでは、除外、アプリケーションのホワイ
トリスト、チューニングに関して、同じベストプラクティスが適用されます。
ステージ5.一般的な導入
AlphaとBetaの両方の導入ステージが成功すると、一般的な導入が現実的に可能になります。エンドポイントはアクティブな保護モードを使用してインストールする必要があります。これは、コネクタのアクティブ化の手順がないことを意味します。この段階で、ポリシー、グループ、除外を適切に設定し、ターゲット環境に合わせて調整する必要があります。設定とパフォーマンスの問題は最小限に抑える必要があり、管理者は通常、何を期待すべきかを感じる必要があります。
ベストプラクティス:互換性のあるエンドポイントの100 %に到達するように一般導入を計画します。導入チームが快適に使用できる数の段階でこれらのエンドポイントに導入します。最も重要でないシステムから開始し、中程度の重要性を持つシステムを導入し、重要なシステムを終了することを推奨します。導入の各ラウンド間の時間を考慮して、フィードバックループを完了し、必要に応じて調整します。
一般的な導入
ステージ4aと4bを完了したら、エンドポイント向けAMPを広範な企業に一般導入する準備が整います。成功を保証するために、管理者は、90%以上の除外と問題に対処し、AMPコネクタを保護モードの残りのシステムに展開することに自信があることを確信し、監査モードの展開を直接バイパスする必要があります。通常、この段階には、新しい組織単位、システムグループ、およびユーザロールは含まれません。
手順:
一般的な導入は、その定義によると、通常、AlphaおよびBetaの導入フェーズで得られたスキルを、互換性のあるエンドポイントの100 %をカバーする時点まで実践することを前提としています。
考慮事項:コネクタの調整
すべてのパフォーマンスと互換性の問題が解消されるまで、コネクタのチューニングを行います。ステージ4aと4bの間の除外に十分な注意が払われた場合は、最小限の追加調整が必要です。し
かし、現在のほとんどの環境は動的であるため、問題が発生した際に迅速に解決できる繰り返し可能なプロセスを確立することをお勧めします。これには、ヘルプデスクへの問い合わせのすべての部門で広範な企業を監視するだけでなく、導入された新しいエンドポイントの役割の診断パッケージを収集することも含まれます。この時点で、繰り返し可能なループとして機能する導入プロセスが必要です。導入 – 診断 – 調整
ステージ6.統合
AMP for Endpointは、アーキテクチャセキュリティソリューションの一部として設計されています。そのため、多数のシスコセキュリティ製品とネイティブに統合できます。さらに、エンドポイント向けAMPには、API機能を備えたSplunkとQ-Radarの両方に対するプラグインが事前に組み込まれており、SIEM製品の大部分とアラートシステムとの統合が可能です。これらの統合により、クロスプラットフォームの検出および応答機能を可能にするアーキテクチャが形成されます。
脅威への対応
Cisco Threat Responseは、シスコおよびサードパーティのソースから得られたセキュリティ関連情報を、1つの直感的な調査および応答コンソールにまとめる革新的なプラットフォームです。モジュールは、セキュリティチームが攻撃を明確に把握し、効果的な対応を迅速に行えるリレーションシップグラフを構築することで、データの迅速な関連付けを可能にします。また、[UserSetup]セクションで有効にした「Casebook」という名前の統合ケース管理ツールを使用して、日次ワークフローを合理化することもできます。
Threat Response Integrationの有効化
多くのセキュリティオペレーションチームは、エンドポイント向けAMPにすでに搭載されているCisco Threat Response統合を活用したいと考えています。Cisco Threat ResponseにAMP forEndpointsモジュールを追加することで、調査担当者はAMP for Endpointsで記録されたIPアドレス、ドメイン、URL、ファイルハッシュを検索できます。
AMP for Endpointsコンソールにログインし、新しいブラウザタブを開いてvisibility.cisco.comに移動します。[Log In with Cisco Security]ボタンをクリックして続行し、AMP for Endpointsへのログインに使用したものと同じクレデンシャルを入力します。
1.
注:このガイドを作成する際、Threat Responseでは、AMP for Endpointsユーザアカウントに、プラットフォームにアクセスして活用するための管理者権限が必要です。
Threat Responseにログインしたら、Modulesをクリックします。AMPグローバルインテル、プライベートAMPグローバルインテル、AMPファイルレピュテーション、Talosインテリジェンスを含む複数のモジュールがデフォルトで有効になっています。
2.
同じページで、[新しいモジュールの追加]をクリックします。ここで、AMP for Endpointのモジュールが追加されます。[開く]ダイアログウィンドウの指示に従います。3RD PARTYAPI CLIENT IDとAPI KEYフィールドを入力した後、[Create Module]をクリックして確認します。
3.
注:[URL]フィールドは、AMP for Endpointsインスタンス(NA、EU、またはAPJC)の場所に従って指定する必要があります。 ここではデフォルトのままにします。
このガイドの一部として他のモジュールを設定しないモジュールには、新しく作成されたエンドポイント用AMPモジュールが表示されますが、他のモジュールと脅威応答APIの設定に関する関連手順を参照できます。[モジュール]ページの[APIクライアント]ボタン
4.
Threat Grid
Threat Gridは、静的および動的なサンプル分析と脅威インテリジェンスの生成と共有を通じてセキュリティを向上させる、シスコのマルウェア分析および脅威インテリジェンスプラットフォームです。エンドポイント向けAMPは、Prevention機能を介してThreat Gridとの限定的な統合を提供します。ただし、完全なThreat Gridアカウントを使用すると、シスコセキュリティポートフォリオ全体の広範な統合とサンプル管理が可能になります。Threat Gridは、APIを完全に活用した設計で、セキュリティインフラストラクチャ全体を強化し、シスコのほとんどのセキュリティポートフォリオと統合し、さらに多くの3つのサードパーティ製品と統合します。
手順:
Threat Gridアカウントをすでに持っている場合は、Threat Grid APIキーを取得してThreat Gridコンソールにインストールするだけで、AMP for EndpointsアカウントとThreat Gridアカウントを統合できます。これにより、一元化されたサンプル管理が可能になり、すべてのサンプル実行で組織の設定が確実に使用されます。さらに、エンドポイント向けAMPとのThreat Grid統合により、ユーザは統合されたシスコセキュリティアカウントを使用して両方のツールにログインできます。これにより、AMP for Endpointsのファイル分析の送信(有病率に基づく、または手動で送信)がThreat Gridクラウドポータルに結び付けられます。
Panacea.threatgrid.comにログインします1.右上隅のユーザ名をクリックし、[マイアカウント]ページに移動します。このページでは、APIキーの右側にある小さなボタンをクリックしてThreat Grid APIキーをコピーします
2.
AMP for Endpointsコンソールを開き、[Accounts] [Business] に移動し、そのページの右上隅にある[Edit]をクリックし、[Cisco Threat Grid API]にスクロールダウンします。ThreatGridからコピーしたキーを[API Key]フィールドに貼[Save]をクリックします。
1.
注:このセットアップでは、AMP for Endpointから送信されたファイル分析の提出物をThreat Grid Cloudアカウントで確認できます。これにより、分析結果をより堅牢に表示でき、より詳細な脅威調査や調査を実行できます。
認知知性
Cognitive Intelligence(以前のCognitive Threat Analytics)は、他のセキュリティ制御を正常にバイパスしたり、監視されていないチャネル(リムーバブルメディアを含む)を通じて入力したりした、組織の環境内でアクティブに動作している悪意のあるアクティビティを検出します。Cognitive Intelligenceは、ネットワークの機械学習と統計モデリングを使用して、侵害されたエンドポイントに関連付けられた悪意のあるC2トラフィックを検出するクラウドベースのサービスです。より具体的には、WebトラフィックとNetFlowからのユーザおよびデバイスの動作を分析して、インフラストラクチャで動作するコマンドおよび制御通信、データの漏洩、および望ましくない可能性のあるアプリケーションを検出します。Cognitive Intelligenceのバックエンドアルゴリズムでは、バイナリ実行に関連するコマンドライン引数を見たり、ファイルを宛先サーバと関連付けたりすることで、未知の悪意のあるファイルの検出を改善することもできます。そのため、Cognitive Intelligenceはエンドポイント向けAMPの有効性に大きく貢献しており、可能な限り活用することがベストプラクティスと考えられています。
手順:
エンドポイント用AMPからCognitive Intelligenceを設定し、テレメトリソースとしてCisco Webセキュリティアプライアンスを設定する方法の例を次に示します。
AMP for Endpointsコンソールで、[Accounts] > [Business] に移動し、[Edit] をクリックして、ページの[Cognitive Threat Analytics] セクションまでスクロールします。
1.
[有効]をクリックし、次に[構成]をクリックします。最初のテレメトリソースを設定できるページにリダイレクトされます。Let's Get Startedボタンをクリックし、次にSCPをクリックして、適切なデバイス名を入力します(何でも動作し、デバイスが適切に識別されていることを確認してください)。 次のようなページが表示されます。
2.
注:この例では、Cisco Webセキュリティアプライアンス(WSA)をWebログテレメトリソースとして設定する方法を示します。ただし、Cognitive Intelligenceは、HTTPSまたはSCP(McAfee、BlueCoat、Squid、ZScalerなど)で必要なW3C形式でログが提供されている限り、テレメトリソースとして3つのrd partyツールも活用できます。 StealthwatchEnterprise(NetFlow)は、Cognitiveの最も一般的なテレメトリソースの1つです。
WSAとCognitiveの組み合わせを完了して確認するには、次の手順に従って設定ガイドを使用します。
3.
https://www.cisco.com/c/dam/en/us/td/docs/security/web_security/scancenter/deployment/guide/Configure_WSA_Upload.pdf
一般的なベストプラクティス:
このセクションでは、エンドポイント向けCisco AMPの導入および運用時に考慮すべき一般的なベストプラクティスについて説明します。
コネクタの更新
ポリシーとグループの作成に関するベストプラクティスに従った場合、コネクタの更新は簡単な作業であり、スタッフの要望に応じて細かく実行できます。ターゲットにするエンドポイントの子グループを、現在の親グループの更新バージョンに移動するだけで実行できます。
ベストプラクティス:エンドポイントコネクタのあるバージョンから別のバージョンにアップグレードした後は、必ずエンドポイントをリブートしてください。多くの場合、コネクタの更新後にエンドポイントをリブートしないと、コネクタが正常に機能しなくなります。コネクタの更新をメンテナンス時間帯に合わせてスケジュールすることをお勧めします。
演習:トラブルシューティング
AMP for Endpointは、さまざまなスキャンエンジンとセキュリティエンジンを備えた堅牢な製品です。そのため、AMP for Endpointsコネクタのトラブルシューティングは、その複雑さに慣れて
いない人にとって困難な作業になることがあります。ただし、ほとんどの問題を解決するために実行できる基本的なトラブルシューティング手順がいくつかあります。
接続テスト
多くの管理者が遭遇する標準的な問題の1つは、ファイアウォールとプロキシのルールセットが完全に実装されていることを検証する問題です。この問題のトラブルシューティングを支援するため、AMP for Endpointには、すべてのエンドポイントにインストールされたWindowsコネクタの一部として接続テストツールが含まれています。このツールの実行はシンプルで、エンドポイントがエンドポイント用AMPクラウドインフラストラクチャに正しく接続されているかどうかを即座に特定するのに役立ちます。
接続テストを実行するには、まず接続問題の可能性のあるエンドポイントを選択します。
ローカルAMP for Endpointsディレクトリを参照します。 C:\Program Files\Cisco\AMP\<バージョン番号>\
1.
exeを右クリックし、[管理者として実行]オプションを選択して、接続ツールを実行します。2.結果のexe.txtファイルを開き、一番下までスクロールします。サマリーデータは、接続に問題があるかどうかを示します。接続ツールを使用して問題を発見した場合は、スクロールアップして失敗したcurlコールを特定することで、その問題がネットワーク内のどこにあるかを判断できます。
3.
デバイストラジェクトリテスト
場合によっては、コネクタがAMP for Endpointsクラウドインフラストラクチャと通信しているかどうかを確認できないことがあります。多くの場合、エンドポイントは重要な期間イベントを報告しません。このような場合、管理者はエンドポイントが正常に機能しているかどうかを疑問に思うこともよくあります。コネクタがバックエンドにデータを報告しているかどうかを簡単にすばやく確認する方法の1つは、そのエンドポイントの[Device Trajectory]ビューを開くだけです。
手順:
この演習では、デバイストラジェクトリーを使用して、エンドポイントがクラウドにデータを報告しているかどうかを判断します。
AMP for Endpointsコンソールで、[Management] > [Computers]に移動し、[Filters]を使用して問題のエンドポイントを見つけます。Last Seenの値は、通常、エンドポイントがAMPクラウドと通信している場合に大きな指標です。
1.
注:この簡単な演習では、インストールされているエンドポイントを選択します。
エンドポイントレコードを展開し、[Device Trajectory]をクリックします。プロセス、ファイル、およびネットワークイベントの履歴を表示したビューが表示されます。
2.
エンドポイントに最近の数分間にデバイストラジェクトリデータがある場合、エンドポイントは適切に報告し、検出がトリガーされるとイベントデータが表示されます。そのエンドポイントにPDFテストファイルをダウンロードし、デバイストラジェクトリに表示されるかどうかを確認して、簡単なチェックを実行することもできます。(https://mysite.science.uottawa.ca/rsmith43/Zombies.pdf))
3.
不適切な除外チェック
パフォーマンスの問題は、セキュリティ製品の実行時に管理者が遭遇する一般的な問題の1つであり、通常は欠落した除外に関連しています。ただし、一部のインスタンスでは、不適切な形式の除外が原因で、パフォーマンスのオーバーヘッドが大きくなる可能性があります。これらの除外の一部を識別する1つの方法は、GithubのWindowsチューニングツールを使用することです(コネクタのチューニングの練習時にダウンロード)。 このツールは、これらのパフォーマンス問題の解決に役立つ、不適切にフォーマットされた除外を指摘できます。
この練習では、Windowsチューニングツールを使用して、不適切な除外を確認します。
エンドポイント用AMPコンソールの[管理(管理)] ページで、エンドポイントからサポート診断パッケージを要求するためにレコードを展開し、をクリックします。
1.
診断パッケージがコンソールにアップロードされるまで(7 ~ 10分)待ち、Analysis FileRepositoryからダウンロードし、Connector DiagnosticsをTypeとして選択します。
2.
診断パッケージをAMP Diagnosticsネットワークフォルダ(Student_Winデスクトップのショートカット)に配置し、そのフォルダにexeツールが残っていることを確認します。
3.
診断パッケージに対してツールを実行し、新しく作成されたtxtファイルの結果を注意深く確認します。
4.
注:CLIからツールを実行する場合は、ポリシーからの除外の表示に関する質問に「y」と答えるか、「 – e 1」オプションを指定してください。
チューニングツールの結果とAMP for Endpointsコンソールにリストされている除外を評価する場合は、パフォーマンスの除外も評価することが重要です。パフォーマンス除外チェックは、次の2つの部分で構成されます。
除外が適切なタイプかどうか:ワイルドカード、パス、プロセス、ファイル拡張子、脅威。1.除外の形式は正しいですか? 脅威の除外: W32.B76344BA43-95.SBX.TGW32.Auto:dfd99f89d2.in05.Talosファイル拡張子: .log.txt.db
2.
ワイルドカードの除外: C:\Program Files\MyApplication\*.logC:\Users\*\MyApplication\C:\ProgramData\*\MyApplication\*\*.log
1.
除外に先頭にワイルドカードがある場合、このツールは次のような警告をスローします。
注:先行ワイルドカードを使用して除外すると、パフォーマンスの問題が発生する可能性があります。CSIDLパスまたはドライブ文字を使用して先頭のワイルドカードを削除するには、これらの除外を再フォーマットする必要があります。
使用する方法に関係なく、簡単な調整を超えてトラブルシューティングが必要な問題が頻繁に発生します。これが発生した場合の最善の方法は、問題の発生時にエンドポイントからデバッグ診断を取得し、診断データをTACに送信することです。これにより、発生した問題の特定と解決にかかる時間が大幅に短縮されます。
考慮事項:仮想デスクトップインフラストラクチャ
AMP for Endpointは、VDIベンダーに依存しません。AMP for Endpointが仮想化環境で機能するために、仮想化ホストオペレーティングシステムをサポートする必要はありません。
エンドポイント向けAMPは、永続的VMと非永続的VMの両方をサポートします。
永続的なVMは、他のデスクトップやラップトップと同様に扱われます。永続的なVDI環境では、導入ゴールドイメージの正しい作成に重点を置く必要があります。
●
非永続的VMでは、導入前に追加の設定と調整が必要です。●
注:どちらの設定も、AMP for EndpointのID永続化機能へのアクセスが必要です。この機能を有効にするには、Cisco TACでケースをオープンし、機能の有効化をリクエストします。
ID永続化により、エンドポイント用AMPはエンドポイントUUIDをコンソール内の既存のコンピュータレコードに適切にマッピングできます。ID永続性は、AMP for Endpointsダッシュボードで重複するコネクタレコードを作成するのを防ぐために使用されます。この機能は、履歴レコードの連続性を提供することで、エンドポイントコネクタレコードの一貫性を維持するためにも役立ちます。さらに、1つのエンドポイントが複数のコネクタライセンスを使用できなくなります。重複するレコードがコンソールに表示される場合は、TACケースをオープンして、これを解決してください。TACは、重複の原因を特定し、重複レコードのクリーンアップに役立ちます。
ベストプラクティス:ID永続化を使用すると、すべてのポリシーに対してID永続化を均一に設定すると、設定が統一されていないと、重複したコネクタレコードが作成される可能性があります。ID永続化の推奨設定は、「By Hostname across Business」です。
付録.エンドポイント向けAMPの概要
この付録では、Cisco AMP for Endpointソリューション、その保護機能、および導入の使用例について簡単に説明します。
ソリューションの概要
Cisco AMP for Endpointsの概要は、クラウドで管理されるエンドポイントセキュリティソリューションで、侵入ポイントでの攻撃の防止、エンドポイントに到達する脅威の検出、および他の予防的なセキュリティレイヤを回避できる高度な脅威への対応を組み合わせたものです。エンドポイント向けAMPは、エンドポイントシステムのディスク上で発生するすべてのファイルとプロセスのアクティビティを継続的に監視およびレトロスペクティブ分析し、マルウェアを遡及的に特定し、フォレンジック、脅威ハンティング、およびインシデント対応機能を実行します。
エンドポイント向けAMPは、堅牢なインシデント対応ワークフローを提供し、サイバーチームによる日々の業務の円滑化を支援します。ダッシュボードの[Inbox]タブは、修復の作業を開始するために環境内で注意が必要なエンドポイントをすばやく特定するのに役立ちます。Inboxはチケット管理システムを完全に置き換えるものではありませんが、このようなツールの機能を確実に強化して、インシデントの管理を容易にします。
デバイストラジェクトリーは、エンドポイントのプロセスとファイル実行の履歴ビューを表すビジュアル機能です。ファイルが環境内でどのように動作しているかを非常に把握できます。どのように実行され、いつ実行されるか、ネットワーク接続が行われるか、それらの接続の結果として他のファイルが導入されるかなど。AMP for Endpointsは、Talosによって生成されたグローバルな脅威インテリジェンスに基づいて、ファイルに廃棄を割り当てます。クリーン、悪意、また
は未知。黄色のオーバーレイは、脅威の導入方法を説明する感染の開始点である必要がある場所に注目します。
「ファイルトラジェクトリー」には、特定のファイルに関連する情報が表示されます。AMP forEndpoints環境全体でファイルが観察された場所を理解するのに役立ちます。エンドポイント用AMPとシスコのEメールセキュリティ、Webセキュリティ、およびネットワークセキュリティ(Firepower)デバイスのネイティブ統合により、ファイルトラジェクトリーは、これらのインスペクションポイントを通過する際に単一のビューで表示されます。AMP Unityは、プラットフォーム間のブラックリスト化やホワイトリスト化などの重要な利点を提供します。
AMP for Endpointは、Microsoft Windows(デスクトップおよびサーバ)、Linux(RedHatおよびCentos)、MacOS、Android、iOS(iOSの正式製品名はClarity、Cisco Security Connectorの一部)など、さまざまなオペレーティングシステムをサポートします。
保護格子
Cisco AMP for Endpointの保護機能は、エンドポイントで悪意のあるコードを防止、検出、および修復するために連携するいくつかのテクノロジーで構成されます。次に、Windows用AMP forEndpointsコネクタのセキュリティスタックについて説明します。
コアIn Memory Prevention Engineには次のものが含まれます。
エクスプロイト防止は、保護されたプロセスのソフトウェアの脆弱性を対象とした、難読化されたマルウェア、エクスプロイト、および不正利用の後のツールによって一般的に使用されるメモリ攻撃からエンドポイントを保護します。
●
System Protection (System Process Protection Engine)は、他の問題のあるプロセスによるメモリ注入による攻撃によって、重要なWindowsシステムプロセスが改ざんされたり侵害されたりするのを防ぎます。
●
コアとなるオンディスク検出テクノロジーには、次のものがあります。
AMPクラウドは、Cisco Talos、Threat Grid、およびCognitive Intelligence(機械学習)の新しい知識によって継続的に強化されるグローバル脅威インテリジェンスを使用して、マルウェアをブロックします。
●
動作分析(悪意のあるアクティビティ保護エンジン)は、実行ファイルまたはプロセスに関連する異常な動作をランタイム検出およびブロックします(例:ランサムウェア関連の行動)。
●
Anti-Virus and Blocklist(TETRA for Windows and Custom Detections)は、エンドポイントに常駐し、ディスクマルウェア検出機能を提供する従来のシグニチャベースのウイルス対策エンジンです。カスタム検出は、カスタムシグニチャを定義し、業界標準の形式を使用してブラックリストを適用できるようにすることで、セキュリティアナリストに堅牢な制御機能を提供することを目的としています。
●
感染後の主要な検出テクノロジーは次のとおりです。
ネットワーク(デバイスフロー相関(DFC))は、エンドポイント上のプロセス/ファイルの着信および発信ネットワーク通信を検査し、ポリシー(IPレピュテーションおよびカスタムIPブロックリスト)に従って制限アクションを適用できます。
●
クラウドIOCはパターン認識を通じてエンドポイントで観察された疑わしいアクティビティを表面化するのに役立ち、関連するアラートは、より詳細な調査と応答のトリガーとなりま
●
す。エンドポイントIOCは、企業全体のセキュリティ侵害の後のインジケータをスキャンするための強力な脅威ハンティング機能です。スキャンは、カスタムまたはシスコが作成したオープンIOC XMLファイルからインポートできます。
●
Cognitive Intelligenceは、シスコのMachine Learning研究チーム(12年以上の研究経験、80以上のMLデータサイエンティストとエンジニア、60以上の特許と充填、200以上の出版物)の取り組みを通じて、エンドポイントAMPの有効性をさらに強化します。 これにより、ネットワーク(Webログ、Netflow)テレメトリの分析に基づいて、ファイル不要およびエージェントレスの検出機能が強化されます。この分析の結果、特定の組織に合わせたコンテキストリッチな脅威情報が得られます。また、Cognitive Intelligenceは、バックエンドインテリジェンスを活用して、複数の監視対象データセット(ネットワーク、エンドポイント、攻撃者モデル)の脅威の動作とアクティビティの関連付けを行うことで、セキュリティの有効性を高めます。さらに、他の専用モデルはAMPおよびThreat Grid製品に組み込まれ、MLベースの静的ファイル分析機能を提供します。
これらのセキュリティ機能は、広範な高度なマルウェア防御への全体的なアプローチの基盤となります。ソリューションの価値を最大限に活用するために、これらのエンジンをすべて組み合わせて使用することを推奨しますが、お客様はポリシーを使用して、1つのエンジンを有効にするか無効にするかを選択できます。これらのテクノロジーは別々に記載されていますが、保護ラティスとして連携して機能し、一連の攻撃全体に対する可視性と制御性を向上させます。
オンラインおよびオフラインエンジン
ほとんどの企業の導入において重要な考慮事項は、継続的な保護のために常時接続のクラウド接続を必要とすることです。AMP for Endpointsエンジンは、AMPクラウド接続の有無(エンジンに応じて)エンドポイント保護を提供します。 次の表は、エンジンを2つのグループに分割したものです。オンライン(脅威の保護と検出を提供するためにAMPクラウド接続が必要)およびオフライン(セキュリティ関連機能を実行するためにAMPクラウド接続は必要ありません)。
使用例
Cisco AMP for Endpointは、他のエンドポイントセキュリティソリューションとともにインストールすることも、スタンドアロンツールとして利用することもできます。他の製品と一緒に導入する場合は、正確なベースライン設定とチューニングを行って、2つの製品が共存し、パフォーマ
ンスと互換性の問題を引き起こさないようにすることをお勧めします。
この実習トレーニングの付録では、エンドポイント向けAMPの概要を説明していますが、https://console.amp.cisco.com/docsで入手できる正式な製品ドキュメントの代わりとして考えるべきではありません