はじめに
Secure Endpointにより業務上必要なアプリケーションやファイルが検知・検疫されてしまうため、対処方法について教えてほしいとお問い合わせをいただくことがあります。こちらは、Secure Endpointの管理コンソールから許可されたアプリケーション(Allowed Applications)に対象のアプリケーションやファイルを登録いただくことで回避することが可能です。
本記事ではアプリケーションやファイルを許可されたアプリケーション(Allowed Applications)に登録する方法としまして、直接許可されたアプリケーション(Allowed Applications)に登録する方法と、検知イベントから登録する方法の二通りの方法についてご紹介します。※検知した端末のDevice Trajectoryから登録するという方法もございますが、操作が少し複雑なためここでは割愛致します。
直接登録する方法
Secure Endpointの管理コンソールから[アウトブレイク制御] - [アプリケーション制御]の[Allowed Applications]を選択します。
許可されたアプリケーションの一覧が表示されますので、以下の手順で新規の許可されたアプリケーションを作成します。
- [作成]をクリック
- [名前]を入力
- [保存]をクリック
作成した[許可されたアプリケーション]が表示されますので、次に実際にファイルの登録を行います。
- [編集]をクリック
- [ファイルをアップロード]をクリック
- [参照]をクリックしてファイルを選択
- [アップロード]をクリック
※ファイルをアップロードするとハッシュ値(SHA-256)に変換されて登録が行われます。
直接ハッシュ値(SHA-256)を追加いただくことも可能です。
登録後、ファイルが一つ増えていることが確認できます。
最後に、上で作成した[許可されたアプリケーション]をポリシーに関連付けを行います。
ポリシーの編集画面より、[アウトブレイク制御] - [アプリケーション制御 - 許可]からドロップダウンメニューより作成した[許可されたアプリケーション]を選択し、保存をします。
検知イベントから登録する方法
こちらの操作は、[許可されたアプリケーション]が作成されていることと、それがポリシーに関連付けられていることが前提となります。
まずは、Secure Endpointの管理コンソールから[イベント]を選択します。
対象のイベントを展開し、[[許可されたアプリケーション]に追加します]をクリックします。
これで、検知が発生した端末のポリシーに関連付けされている[許可されたアプリケーション]にファイルが登録されます。
参考
エンドユーザガイド
https://www.cisco.com/c/ja_jp/support/security/fireamp-endpoints/products-user-guide-list.html
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
