SentinelOneの疑わしいドライバーのブロックポリシー

SentinelOneのポリシー設定における疑わしいドライバーのブロックについてご紹介します。

疑わしいドライバーのブロック

ポリシー設定のSecuritySettingsに新しい項目が増えていることにお気づきでしょうか。
本項目がどのように作用するかをご紹介いたします。

要件

Windowsエージェントバージョン23.4以降

詳細

本項目をONにすることにより疑わしいドライバーをインシデントとして検知します。
更にはドライバーの種別として署名されているものと署名されていないもので選択することが可能です。

各設定におけるブロックの対象は以下となります。

正検知/過検知時の対応

正検知時の場合にはインシデント画面にて通常のインシデントと同様の対応にドライバーによって汚染された箇所を修復する対応が必要になります。

過検知の場合には除外設定を行わない限り該当のドライバーを利用できませんので、
除外設定にて該当のドライバーのハッシュ値を除外設定する必要があります。

最後に

SentinelOneではポリシー設定設定に限らず様々な機能が随時追加されますので、
今後もブログを通して紹介させていただきます。