ファイルハッシュ値の生成
最初に行うべき手順は、脅威の MD5 ハッシュ値の特定です。
MD5 値の特定は、Microsoft 社の File Checksum Integrity Verifier (FCIV) を利用する、threatexpert のレポート機能を利用する等、いくつかの方法で特定することが可能です。
SEP では Checksum.exe というツールを提供しています。
Checksum.exe の利用方法の詳細は、以下の技術文書で紹介しています。
checksum.exe を使ったファイルフィンガープリントリストの作成 -- 文書番号 : HOWTO81199
ポリシーの編集
MD5 値の確認が完了した後に、特定ファイルの起動ができないようにアプリケーションとデバイス制御ポリシーを編集することで、感染活動の拡大を防くことができます。
特定の脅威の動作をブロックするための新規アプリケーションとデバイス制御ポリシーの作成方法と、クライアントへの適用方法は以下の通りです。
- SEPM コンソールにログインします。
- [ポリシー] を選択します。
- [アプリケーションとデバイス制御ポリシー] を選択します。
- 画面下部の [タスク] から、[アプリケーションとデバイス制御ポリシーを追加する] を選択します。
- 画面上部左側の [アプリケーション制御] を選択します。
- [追加] を選択します。
- [ルール] セクションの下にある [追加] を選択します。
- [条件の追加] > [プロセス起動の試み] の順に選択します。
- [次のプロセスに適用する:] の右側にある [追加] を選択します。
- [オプション] ボタンを選択します。
- [ファイルフィンガープリントを照合する] のラジオボタンにチェックを入れます。
- 対象とするファイルの MD5 値を入力します。
- [次の引数を伴うプロセスのみを照合する] にチェックを入れ、フィールドに * と入力し、 [正確に一致] のラジオボタンにチェックを入れます。
- [OK] を選択して画面を閉じます。
- [ポリシーの割り当て] のダイアログボックスで [はい] を選択します。
- ポリシーの割り当て対象とするグループにチェックを入れ、[割り当て] > [はい] を選択して割り当てます。
ご意見ありがとうございます。以下にコメントがある場合はお知らせください。(ログインが必要です)