はじめに
本記事では、過去にお客様からTACへお問合せいただいた内容に基づいて、安定してSecure Endpointを運用するためのPolicy設定を紹介いたします。
前提条件
- 本記事で記載している内容は2022年3月16日時点のSecure Endpoint Console及び、Windows Connectorである7.5.1に基づいて説明しております。予告なしに動作が変更となる場合がございます。
- 基本的にはTACは製品のチューニングについてはサービスの対象外となりますため、記事に記載している内容の適用のご判断は自己責任でお願いします。
安定した運用のためのPolicy設定
基本的には多くの設定をデフォルトのままで動作させ、必要な箇所のみカスタマイズいただくことを推奨します。以下、各設定ページ毎に詳細を説明します。
Mode And Engines
画面右に端末・サーバのそれぞれの場合の推奨設定があるため、基本的にはこちらに準ずることをお勧めいたします。
![mode.png mode.png](https://community.cisco.com/t5/image/serverpage/image-id/146284i0589DC2BB5B6698D/image-size/large?v=v2&px=999)
- 端末・サーバそれぞれの推奨設定よりも厳しくすること(例えば、DefaultのAuditをQuarantineに変更するなど)は負荷や誤検知多発の観点から推奨しません。
- 端末・サーバ共通してExploit Prevention - Script ControlをBlockにすることは多くの誤検知・アプリケーション停止を発生させることになるため、推奨しません。
- TETRAはお客様要件によってOn/Offをご検討ください。基本的にSecure Endpointはクラウド接続が前提のソリューションであり、TETRAはオフラインで動作するエンジンとなりますが、あくまで補助的なものになります。端末オフライン時のセキュリティ確保の考え方次第となりますが、Windows Defender等の他アンチウイルスソリューションを導入している場合は競合が発生するため必ず無効にしてください。
Exclusions
まず、初期インストール段階においては、使用しているOSやアプリケーションの種類に応じて、適切なExclusionを選択して追加することを推奨します。以下の通り、Cisco-Maintained Exclusionsを用いて、各アプリケーション毎の推奨Exclusionが追加可能であり、使用しているアプリケーションを選択して追加することをお勧めします。
![exclusion.png exclusion.png](https://community.cisco.com/t5/image/serverpage/image-id/146285iF465409342ECADCC/image-size/large?v=v2&px=999)
また、Cisco-Maintained Exclusionsにはないアプリケーションに関しても運用の段階で大量のファイル生成や書き込みを実施することが明らかな場合、他アンチウイルス製品等と競合することが判明している場合はCustom Exclusionとして設定し、継続的にチューニングすることをお勧めします。
Custom Exclusionの追加については以下の記事に詳しく説明されておりますのでご確認ください。
[AMP] Connector端末のCPU高負荷やソフトウェア競合問題の対応方法
Exclusionの設定は端末の高負荷を防ぐために非常に重要となります。もし、Exclusionの設定によって解決が難しい場合においては、事象発生時のDebug logを取得の上で、TACまでお問合せください。
Proxy
Proxyは使用するネットワーク環境に合わせてご設定ください。しかしながら、直接Internet接続が許される環境の場合は、可能な限りProxyは設定しないことをお勧めします。お客様から報告されるSecure EndpointのCloudとの接続性の問題の多くはProxyでの接続先FQDN/ACLの設定不足や、サーバ証明書の置き換え等によるものです。
その他の注意点として以下がございます。
- Basic認証/NTLM認証はPolicyにつき一つのUsername / Passwordであり、ユーザ毎にUsername / Passwordを設定することが出来ませんのでご注意ください。
- Secure EndpointのProxy設定に関わらず、Connectorは端末ブラウザのProxy設定を参照する動作となっておりますのでご注意ください。
![proxy.png proxy.png](https://community.cisco.com/t5/image/serverpage/image-id/146286iB10E9DF7EB20897A/image-size/large?v=v2&px=999)
Outbreak Control
お客様の要件に応じてご設定ください。
Custom Detection - Advancedに関しては実行ファイルのヘッダ等の情報をチェックして動作する動作となっておりますが、どうしても必要な方を除いては使用することは推奨しません。カスタムのmalwareを定義する場合はまず、Custom Detection - Simpleをご検討ください。
![outbreak.png outbreak.png](https://community.cisco.com/t5/image/serverpage/image-id/146287i47163837E0B139DA/image-size/large?v=v2&px=999)
Product Updates
指定するバージョンがあればご指定ください。
基本的には可能な限り最新バージョンでのご使用をお勧めいたします。デフォルトのNoneを指定するとConnector新規インストール時に、そのタイミングでの最新のConnectorがインストールされます。
アップグレードを実施する場合はデフォルトのNoneではなく、アップグレード先のバージョンとDate Rangeを指定します。
RebootのDo not rebootのオプションに関しては、アップグレード実施時に再起動が必要であっても再起動をせず、エンジンが停止する動作となりますので、端末の使用者様に気づかせるという意味でも、Ask for Rebootもしくは、強制的に再起動するForce Reboot afterの選択をご検討ください。
※ポリシー上で「Ask for Reboot」と設定されている場合でも、アップグレード対象のバージョンが再起動不要であれば、端末の再起動の通知は表示されません。
再起動不要のバージョンにアップグレード後は、エンジンが停止するはありません。
リリースノートに「再起動が必要」という記載がない限り、再起動は不要とお考えいただいて構いません。
![upgrade.png upgrade.png](https://community.cisco.com/t5/image/serverpage/image-id/146288iC489AA92B2413BEF/image-size/large?v=v2&px=999)
Advanced Settings
基本的にはデフォルトで運用いただき、必要な要件に応じて変更いただくことを推奨します。特に注意するべきポイントについて記載します。
- IntervalなどのTimer、ファイルサイズ、Threshold、TTLなどの数値系のパラメータは基本デフォルトから変更しないことを推奨します。安易に変更しますとパフォーマンスの問題やMalwareの見逃し等の問題をデフォルト時と比べて引き起こすことが考えられます。
- デフォルトでは端末側へのMalware検知の通知はオフになっておりますため、端末の使用者様はMalwareが検知されても気付きません。必要に応じてClient User InterfaceのEngine Notificationを有効にするようお願いします。
- File and Process ScanのOn Execute ModeはPassiveを推奨します。Activeに設定しますとSecure Endpoint Cloudへの問い合わせ結果を待つ動作となるため、パフォーマンス問題を引き起こす場合がございます。
- Endpoint isolationのAllow isolation when endpoint is using a proxyを設定する際には、Isolation IP Allow ListsにProxyを設定するのを忘れないでください。Secure Endpoint Cloudへの接続性がなくなり、特に物理的に移動が難しい端末については、Mobile Wifiなどによって直接接続を用意しない限り、Isolationから復旧出来なくなります。
- Administrative FeaturesのConnector Log Levelは、ログ分析が必要な際、トラブル事象の発生タイミングを今すぐにコントロールできない場合にのみDebug設定し、ログ取得後はDefaultに戻してください。通常時にDebug Logを設定したままにしますとすぐにログが流れてしまい、必要な情報をDiagnosticsから追えなくなります。