弊社TACでは、AMP for Endpointをご利用中に、以下のようなトラブルが発生したという報告を多くいただきます。

• 業務上必要なファイル・アプリケーションが検知・隔離されてしまい、業務に影響が出た

このようなトラブルに直面された場合の取り急ぎの対処として、対象の実行ファイルをConnectorの検査対象から除外するように、Whitelist(ホワイトリスト)へ登録いただく方法がございます。

本ドキュメントでは、Whitelistの設定方法についてご説明いたします。

なお、すでに業務上必要なファイル・アプリケーションが検知・隔離されてしまった場合は設定方法１をご参照ください。
まだ検知・隔離が発生しておらず、事前にWhitelistに登録したい場合は設定方法２をご参照ください。

Whitelistに関する説明は以下公開しているドキュメントにてご案内しておりますので、詳細は以下にてご確認ください。

• AMP for Endpoints User Guide
• Online Help

なお、本記事の記述内容は、以下の環境で確認をしております。
バージョンアップに伴う仕様変更によって将来的に変更される場合もございますので、あらかじめご了承ください。
・AMP for Endpoints Console v5.4.2018031416

設定方法１

まずAMP Consoleにログインし、Outbreak Control > Whitelistingを選択してください。

Whitelistの一覧が表示されますので、以下の手順で新規のWhitelistを作成してください。

1. Createを押下
2. Nameを入力
3. Saveを押下
   

※Whitelistを作成済みの場合は、この手順はSkipしてください。

適用したいポリシーを確認してください。
以下の例では現在未設定となっております。

ポリシーの編集画面にてOutbreak Control > Application Control - Whitelistingとして設定します。

※Whitelistをポリシーに適用済みの場合は、この手順はSkipしてください。

意図しないファイル隔離が発生した端末を探します。
Managements > Computersを選択したのち、対象の端末を探してください。

端末情報を展開すると、Device Trajectoryというリンクが表示されるので、それをクリックします。

該当端末でのTrajectory情報が表示されたら、Whitelistに登録したいファイルを右クリックします。
※本ドキュメントの例では、chrome.exeを対象のファイルと想定して記述します。

サブメニューが表示されたらWhitelistを選択し、先ほど作成・適用したWhitelistを選択します。
レ点が表示されてばWhitelistへの登録が完了です。

設定方法２

まずはじめに、設定方法１と同様に、Whitelistの追加および、ポリシーへの適用を行ってください。

まずAMP Consoleにログインし、Outbreak Control > Whitelistingを選択してください。

作成されているWhitelistが表示されますので、Editボタンを押下すると、画面右側にWhitelist追加のウィンドウが表示されます。

ここに、任意のファイル(もしくはファイルハッシュ値)を追加していくことができます。

例としてchrome.exeという実行ファイルをWhitelistに登録してみます。

Whitelist登録後、登録されているファイル数が増加しているのが確認できます。

以上で対象ファイルのWhitelistへの登録は完了です。

(参考)
設定に問題がなければ、AMP Consoleで確認できるDevice Trajectoryにて、対象ファイルの判定(Disposition)がWhitelistedと更新されていることが確認できます。

Whitelist登録前

Whitelist登録後