SentinelOne タグベースの除外設定で端末ごとの柔軟な管理が可能に

SentinelOneにおいて、タグベースでの除外設定が一般公開され、端末単位での柔軟な除外設定が可能になりましたので、従来の除外設定との違いや設定方法、注意点についてご紹介します。

■従来の除外設定との違い

これまでのSentinelOneにおける除外設定は、サイト単位やグループ単位といったスコープ単位での適用が基本でした。
今回新たに導入された「タグベースの除外管理」では、除外ルールを一元管理し、タグを付与した端末に対してのみ適用するといったことが可能となりました。
これにより、端末（タグ）単位での柔軟な除外設定が実現し、以下のようなメリットがあります：
・除外ルールの重複設定が不要になり、管理効率が向上
・タグを付与するだけで、対象端末に自動的に設定済みの除外ルールが適用される
・除外ルールの適用範囲をタグで明確に制御できるため、誤適用のリスクを低減

■設定方法

1.除外ルールの作成

Policy & Settings>Exclusions>New Exclusionから新規除外ルールを作成します。
対象の除外タイプ、除外設定名や対象OSなどを指定しContinueを押下。

2.除外設定を適用するタグの追加

Applicable Tags「+ Add Tags」から除外ルールに対して、適用対象となるタグを追加します。※複数のタグを設定した場合は「OR条件」で適用されます。
ファイルパス等の値を入力しPublishで除外設定完了です。

3.対象端末追加

除外対象の端末を管理する場合、上記で除外設定したものに該当するタグを端末に付与します。タグが付与された端末にのみ、該当の除外設定が適用されます。

■注意点

・除外ルールにタグを追加すると、タグがない端末からは除外が外れるため、影響範囲の確認が重要です。
・タグが設定されていない除外ルールは、従来通りの範囲に適用されます。
・タグを削除時、該当端末への除外適用が解除されるため、影響範囲の確認が必要です。
・タグベースの除外設定を利用するには、ユーザー設定で「New exclusions experience」を有効にする必要があります。
・本機能はオンプレミス環境では非対応です。

■まとめ

タグベースの除外設定により、従来よりも柔軟かつ効率的な除外管理が可能になります。特定の端末にのみ除外を適用したいケースや、複数スコープにまたがる運用において特に有効です。ぜひご活用ください。