SentinelOne BYOI対策 VerUP方法毎の設定(新SOC UI版)
2025年5月に発表された攻撃手法であるBYOIへの対策方法について、ご利用されているAgent Upgrade方法別に新SOC(Singularity Operations Center) UIからの設定方法と一緒にお伝えします。
BYOIとは
まず、BYOI(Bring Your Own Installer)についてご説明します。
SentilenOne Agent には Upgrade/Downgrade 処理中に、一時的に既存プロセスを停止させる動作が仕様として存在しています。この一時的な停止時に、Agent Upgrade/Downgrade 処理を終了させることにより、EDR保護を無効化する攻撃手法のことです。
対応策としてローカルアップグレード認証機能を導入することが推奨されております。
詳細については当社サポートページやSentinelOne社ブログにも記載がありますので、こちらもご確認ください。
Agent Upgrade方法別設定
○ローカルアップグレードを実施する場合
SentinelOne AgentのUpgradeに資産管理ツールからのUpgradeを含むローカルでのUpgradeを実施されている場合の、ローカルアップグレード認証機能設定手順をご紹介します。
1.ローカルアップグレード認証機能有効化
Policy & Settings > Policy > Local Upgrade/Downgrade Authorization を有効化
2.ローカルアップグレードの認可期間を設定
1の設定を有効化していると、資産管理ツールからのUpgradeを含むローカルでのUpgradeが失敗してしまうため、それらローカルでのアップグレードを認可する設定を行います。ここで設定した認可期間であればローカルアップグレードの実施が可能になります。認可設定はSite単位もしくは端末単位で可能です。
2-1.Site単位での設定
設定対象のSiteスコープに移動 > Agent Management > Local Upgrade/Downgrade Authorization > ”Allow users of the Site’s endpoints to locally upgrade and downgrade their Windows Agents” を有効化 > “Set expiration date for authorization” で認可する期間を設定し > Save Changes
2-2.端末単位での設定
Inventory > Endpoint > 対象端末にチェック > Actions > Endpoints > Agent Actions > Confirm Local Upgrade/Downgrade > “Set expiration date for authorization” で認可する期間を設定し > Save
3.ローカルアップグレードを実施
2で設定した期間中に対象のスコープ or 端末にローカルでのアップグレードを実施
○ローカルアップグレードを実施しない場合
ローカルでのアップグレードを実施されていない場合の、ローカルアップグレード認証機能設定手順をご紹介します。
1.ローカルアップグレード認証機能有効化
Policy & Settings > Policy > Local Upgrade/Downgrade Authorization を有効化
2.管理コンソールからUpgradeを実施
管理コンソールからのAgent Upgradeの場合は、上記設定を有効化後、他の設定変更はなしで通常通りUpgradeが可能です。
最後に
Local Upgrade/Downgrade Authorizationは初回インストールには影響がない設定となっておりますので、こちらの機能が有効化されている場合も初回インストール手順に変更はございません。
その他ご不明点等ございましたら当社サポートサイトまでご連絡ください。
この記事の投稿者yishi
この記事をシェア
