SentinelOneにおける防御ポリシー設定

本記事では、SentinelOneの防御ポリシーの設定方法をご紹介いたします。

はじめに

近年、サイバー攻撃の手口は益々高度化しており、マルウェアの侵入や感染を完全に防ぐことは難しいといわれています。従って、マルウェアの侵入を防ぐための対策だけでなく、万が一侵入を許してしまった場合に備え、脅威をいち早く検知・対処できるような対策が不可欠です。

SentinelOneでは、高い検知率で瞬時に攻撃を防御するエンドポイント保護プラットフォーム機能（EPP)と、侵入されていることを前提とした脅威検知とインシデント対応機能（EDR)を、一つのプラットフォームで実現します。

本記事では、そんなSentinelOneの防御ポリシーの設定方法をご紹介いたします。

ポリシーの適応範囲について

外部からの脅威に対するエージェントの各種アクションを設定するポリシーはSentinelOneの中核を成す機能とも言えます。

ポリシーはテナント全体に同一の内容を適用することも出来ますし、テナント内でサイト分けを行い、サイト毎に異なるポリシーを適用することも可能です。

ポリシー設定の内容

１．プロテクションモード

脅威検知レベルに応じて、脅威発生時に自動的におこなうアクションを指定できます。

 

<脅威検知レベル>

Malicious Threat（悪意のある脅威）:ファイルの構造やプロセスの振る舞いが、限りなくクロと判定される場合

Suspicious Threat（疑わしい脅威）:ファイル構造やプロセスの振る舞いが、グレーと判定される場合

<アクションレベル>

Detect: アラート表示のみ。防御は行いません。

Protect: ファイルの強制隔離や、プロセス強制停止を行います。

上記の条件の組み合わせにより、3パターンのポリシーアクションを設定出来ます。

1) 悪意のある脅威：Detect / 疑わしい脅威： Detect

いかなる状況でもアラート表示のみとする設定です。PoC実施時や運用開始直後に既存アプリケーションとの機能衝突等を確認する際に使用します。

2) 悪意のある脅威：Protect / 疑わしい脅威： Detect

デフォルトの設定です。クロと判定された場合、積極的に防御策を講じます。

3) 悪意のある脅威：Protect / 疑わしい脅威： Protect

脅威検知レベルに依らず、各種アクションを実施します。防御レベルを強固にしたい場合に使用します。

2．プロテクトレベル

SentinelOneでは、プロテクトアクションを段階的に設定することが可能です。
プロセス強制停止と該当ファイルの強制隔離がデフォルトですが、レジストリの改変された箇所の修復や、VSS機能を使用したロールバックまでもを自動的に行うことも可能です。

3．ネットワーク自動隔離

アクションのオプションとして感染端末のネットワーク自動隔離を設定出来ます。

この機能により、社内ネットワーク等を通しての感染の拡大を抑制することが可能です。ネットワーク隔離後も感染端末は管理コンソールからの操作が行え、ネットワークの復旧も管理コンソール上から容易に行うことが可能です。

おわりに

本記事では、SentinelOneの防御ポリシーの設定方法をご紹介いたしました。

このように、SentinelOneでは、シンプルなポリシー設定に加え、AIエンジンによる検知から復旧までの迅速な自動対応を実現しております。これにより、セキュリティ担当者の大幅なリソース削減が可能です。