デバイス ネットワーク分離と修正 (2017.1の新機能)

エンドポイントがマルウェアを実行している疑いがある場合、エンドポイントをネットワークから隔離し、マルウェアが他のエンドポイントに拡散しないことを保証することが最適な対策です。

Endpoint Security for Endpoint Manager 隔離機能はセキュリティ脅威に迅速に対応し、速やかに修正するためのエンドツーエンド ソリューションを提供します。Endpoint Security for Endpoint Manager を使用すると次のことができます。

1. ネットワーク表示で右クリックし、[隔離] をクリックして、Management コンソールから直接デバイスを隔離します。 物理的にエンドポイントに移動する必要はありません。
2. 分離されたデバイスへのリモート コントロール セッションを開き、損害を推定します。
3. 任意のタイプのソフトウェアまたはスクリプトをエンドポイントに配布します。特に、インターネットから最新のウイルス定義をダウンロードする必要があるワンタイム ウイルス スキャナを配布する際に有用です。Endpoint Security for Endpoint Manager では、特定のソフトウェアのインターネットへのアクセスを有効にしますが、デバイスの残りは分離されます。

上記のすべての機能は1つの簡易ビューから実行でき、修正時間を短縮できます。

特定のアイコンは各分離されたデバイスのコンソールに表示されます。アイコンは EPS クライアントを表し、エンドポイントを隔離できたことを確認します。

ネットワーク隔離の仕組み

ネットワーク表示でデバイスの隔離オプションを選択すると、新しいウィンドウが開き、ただちにリモート コントロール セッションを開始し、配布するソフトウェア パッケージを選択できます (ソフトウェア配布設定からソフトウェア パッケージのリストがインポートされます)。

任意のオプションを選択し、OK をクリックすると、コアはただちに標準プッシュ メカニズムを使用してエンドポイントに通知します。コアから直接エンドポイントに接続できない場合 (エンドポイントが CSA 経由で接続されている場合など) は、コアは別のプッシュ方式を使用し、リモート コントロール プッシュ機能を利用してエンドポイントに通知します。

EPS エージェントに通知されると、EPS エージェントは Endpoint Security for Endpoint Manager およびリモートコントロール通信ポートを除くすべてのポートでデバイスの送受信ネットワーク トラフィックをブロックします。これにより、デバイスが隔離されると、コアはエンドポイントを管理し続けることができます。EPS により、DNS トラフィックが許可され、Ivanti エージェントが動作し続けることができます。EPS エージェントは特定の開いたポートでコア/CSA 間とのトラフィックのみを許可します。これは、Management コンソールからのトラフィックの送受信でのみ使用できます。

ソフトウェア パッケージを配布するか、リモート コントロール セッションを開始する必要がある場合は、関連するエージェント コンポーネントはプロセスを開始できるように通知されます。

デバイスがネットワークから隔離されているときに特定のプロセスがインターネットに接続できるようにする場合は、EPS エージェント UI を開き、プロセスを確認します。関連するオプションを右クリックして選択します。

上記のほかに、エンドポイントが分離された時点で、製品の他の修正機能を使用できます。これらの機能の内容:

• リモート ファイル表示と管理 (リモートファイルを削除)。
• プロセスはプロセスを表示し、終了します。
• 完全インベントリ分析。エンドポイントにインストールされたアプリケーション、実行時、前回実行時の詳細。
• Windows ログへの完全リモート アクセス。
• エンドポイントをシャットダウンまたは再起動します。

悪意があるソフトウェアがエンドポイントから削除された場合、エンドポイントを隔離からリリースできます。そうでない場合は、プロビジョニングを使用して、エンドポイントを再イメージ化します。