はじめに
Cisco Secure Endpoint(旧:AMP for endpoints)ではMalware検出のために、AMPクラウド接続の有無に関わらず、様々なエンジンを用いてエンドポイントを保護します。
本記事では、オフライン環境(下記URLのAMPクラウドの接続先に繋がらない状態) において各エンジンが動作可能かどうか、制限など存在するかについてご紹介させていただきます。
Required Server Addresses for Proper Cisco Secure Endpoint & Malware Analytics Operations
前提条件
本記事は2022年1月9日現在のCisco Secure Endpointの情報に基づいて、作成しております。
バージョンアップに伴う仕様変更によって、将来的に変更される場合もございますので、あらかじめご了承ください。
オフライン環境において各エンジンの動作及び制限について
Cisco Secure EndpointがMalware検出を行う主なエンジンとして以下があります。
エンジン種別 |
Offlineでの動作 |
備考 |
Hash Engine |
動作しない |
キャッシュが残る場合は動作する可能性がある |
Application Control |
動作しない |
Hashエンジンと同じ動作 |
Custom Detection: Simple Custom detection |
動作しない |
Hashエンジンと同じ動作 |
Exploit Prevention |
動作する |
|
Exploit Prevention - Script Control |
動作する |
|
System Process Protection |
動作する |
|
Malicious Activity Protection |
動作する |
|
Behavioral Protection |
動作する |
SignatureダウンロードにCloud接続が必要 |
Anti-Virus Signatures: Tetra/ClamAV |
動作する |
SignatureダウンロードにCloud接続が必要 |
Custom Detection: Advanced Custom detection |
動作する |
SignatureダウンロードにCloud接続が必要 |
なお、Cisco Secure EndpointにはAMPクラウドに接続されていない環境においてもオフラインエンジンなどである程度端末を保護いたしますが、保護を最大化するには、Cisco Secure EndpointがAMP Cloudに接続する必要があります。
関連ドキュメント
AMP for Endpoints ユーザガイド