Endpoint Activity Recorder の設定

エンドポイントアクティビティレコーダは、この
SEPM
が管理するすべてのグループに適用されるグローバルポリシーを定義します。ただし、ポリシーは、ポリシーから除外するグループには適用されません。エンドポイントを追加またはサブグループ間で移動すると、グループポリシーがエンドポイントに継承されます。
ECC
コマンドは、グループに含まれるエンドポイントにのみ適用されます。
管理対象エンドポイントは、
Symantec Endpoint Protection
14.0 RU1 以降を実行している必要があります。エンドポイントアクティビティレコーダが使用中の
SEPM
のバージョンでサポート対象でない場合、
SEP
エンドポイントアクティビティレコーダ設定 (Endpoint Activity Recorder Configuration)]
ページにエラーメッセージが表示されます。
  1. 次のいずれかのタスクを実行します。
    セットアップウィザードを使用して最初に
    SEPM
    接続を設定する
    手順 2 に進みます。
    既存の
    SEPM
    接続を変更する
    1. [設定 (Settings)] > [グローバル (Global)]
      をクリックします。
    2. [Endpoint Detection and Response、SEP ポリシー、および Endpoint Activity Recorder (Endpoint Detection and Response, SEP Policies, and Endpoint Activity Recorder)]
      までスクロールダウンします。
    3. 更新する
      SEPM
      接続の右端の処理メニュー (縦に 3 つ並んだ点) をクリックします。
    4. [レコーダ設定 (Recorder Configuration)]
      をクリックします。
  2. [Endpoint Activity Recorder を有効にする (Enable Endpoint Activity Recorder)]
    にチェックマークを付け、この
    SEPM
    が管理するクライアントで Endpoint Activity Recorder を有効にします。
    このボックスにチェックマークを付けると、エンドポイントの各プロセスの活動を記録するためのエンドポイントの機能が有効になります。このオプションは、リアルタイムで
    Symantec EDR
    に返信するイベントがどれかを判断するロジックも有効になります。
    SEPM コントローラを設定すると、
    [エンドポイント通信チャネル、SEP ポリシー、エンドポイントアクティビティレコーダ(Endpoint Communication Channel, SEP Policies, and Endpoint Activity Recorder)]
    セクションに
    [レコーダ(Recorder)]
    ラジオボタンが表示されます。このオプションをオフまたはオンに切り替えて、設定を編集することなく、エンドポイントアクティビティレコーダを有効または無効にすることができます。
  3. エンドポイントアクティビティレコーダを有効にする場合、記録されるデータを格納するエンドポイントのディスク容量の上限 (MB 単位または GB 単位) を指定します。
    最小サイズは 250 MB、最大サイズは 20 GB です。デフォルト値は 1 GB です。
    パージする前にエンドポイント上の
    ECC
    イベントを保有するために割り当てる領域の量を設定します。正確な時間はエンドポイントの活動によって異なりますが、平均は 7 日分のイベントごとに 1 GB です。正確な割合はエンドポイントの活動によって異なります。
  4. 次のいずれかのタスクを実行します。
    エンドポイントイベントを準リアルタイムで
    Symantec EDR
    に送信するには
    [準リアルタイムでイベントを送信する (Send events in near real time)]
    にチェックマークを付けます。
    Windows エンドポイントの場合、SEP は 5 分ごとに最大 1,000 件のイベントを送信できます。Mac クライアントのイベントは、若干遅いペースで送信されます。このオプションを選択すると、リソースの需要が予測不能で高くなる可能性があります。多くのエンドポイントがある場合、その他のオプションを使用して、エンドポイントイベントを
    Symantec EDR
    に送信する時間を制限します。 詳細については、『Symantec Endpoint Detection and Response サイジングガイド
    』を参照してください。
    Symantec EDR
    にエンドポイントイベントを送信するタイミングを制限するには
    クライアントは、最小時間間隔と最大バッチサイズに基づいて、データを
    Symantec EDR
    に送信します。
    1. イベントのバッチが
      Symantec EDR
      に送信される最大頻度 (分単位または時間単位) を設定します。
      最大値は 24 時間です。
    2. 最大バッチサイズを指定します。
      最小値は 1 イベント、最大値は 100 イベントです。
    平均的なクライアントは 1 分あたり約 2 イベント送信します。5 分あたり 10 個未満のイベントでは、クライアントにイベントが蓄積される可能性があります。そのため、重要なイベント情報を適時取得できないことがあります。これより多い場合 (5 分あたり 15 個を超えるイベント)、ピークパフォーマンス時に
    Symantec EDR
    アプライアンスの負荷が増大します。バッチサイズを大幅に増加する場合、システムの負荷に余裕があることを確認してください。
  5. [Netstat イベントの記録を有効にする (Enable Netstat event recording)]
    にチェックマークを付けて、
    [記録するプロトコル (Protocols to record)]
    リストで指定されているプロトコルのプロトコル接続イベントを
    SEP
    に記録させます。
    このオプションは Mac エンドポイントではサポートされていません。
  6. Symantec EDR
    には、プロトコルのデフォルトのリストが用意されています。
    [記録するプロトコル (Protocols to record)]
    リストで、必要に応じてプロトコルを追加するか、削除します。
    このオプションは Mac エンドポイントではサポートされていません。
    以下のリンクをクリックすると、サポート対象プロトコルとデフォルトのプロトコルのリストが表示されます。
    SEP
    クライアントのみが理解する新しいプロトコル (Client IDS (CIDS) LiveUpdateable コンポーネント) を追加できます。
    Symantec EDR
    は警告を発行します。しかし、このプロトコルを追加して、CIDS の記録と、新しいプロトコルの
    Symantec EDR
    へのアップロードを許可できます。
    Symantec EDR
    は、アップロード (フルダンプなど) や検索で新しいプロトコルを正しく処理するために新しいプロトコルを識別できる必要はありません。
  7. [ファイルオープンイベントの記録を有効にする (Enable File Open Event Recording)]
    をオンにすると、ユーザーまたはシステムプロセスが実行不可能なファイルの読み取りを試行するたびに記録されます。
    このオプションを選択すると、大量のイベントが記録される場合があります。レコーダルールを作成して、ファイルシステムでこれらの種類のイベントを検出する場所を制限します。
    このオプションは Mac エンドポイントではサポートされていません。
  8. ボックスにチェックマークを付けて、
    Symantec EDR
    に送信するイベントの種類を選択します。
    このオプションは Mac エンドポイントではサポートされていません。
    ロードポイントの変更
    このイベントの種類は、エンドポイントでの持続性の保守機能に関連するすべてのイベントから構成されます。このイベントの種類には、スタートアップのレジストリキー、サービス、定時ジョブなどが含まれますが、これに限定されません。
    疑わしいシステム活動
    このイベントは、システム処理によって疑わしいプロトコルポートの使用状況、予期しない場所から起動されるシステムファイルなど、専門家ルールから構成されます。
    ヒューリスティック検出 (Heuristic detections)
    このイベントの種類は、悪質な活動で多くみられる一連のイベントに一致するルールで構成されます。
    AntiMalware Scan Interface (AMSI) の活動
    このイベントの種類は、すべてのマルウェア対策製品と統合するアプリケーションとサービスに関連するイベントで構成されています。
    このイベントを Symantec EDR に転送するには、エンドポイントが SEP 14.3 RU1 以降を実行している必要があります。
    Windows イベント トレーシング (ETW) の活動
    このイベントの種類は、カーネルやアプリケーション定義のイベントをログに記録できるカーネルレベルのトレース機能に関連するイベントで構成されています。
    このイベントを Symantec EDR に転送するには、エンドポイントが SEP 14.3 RU1 以降を実行している必要があります。
    プロセス起動の活動 (Process launch activity)
    親と子の関係とコマンドラインを使用して、
    Symantec EDR
    にすべてのプロセスの起動イベントを送信します。環境内で実行した内容、使用されたコマンドライン引数、ユーザーのコンテキストを識別するのに役立ちます。有効になっている間、プロセス起動イベントは、
    Symantec EDR
    に送信されているイベントの 49% の割合を占めます。
    プロセス終了の活動。
    このイベントの種類は、プロセス起動イベントほど便利ではありませんが、プロセスがまだ実行中であるかどうかを示します。このカテゴリは、
    Symantec EDR
    に送信されているすべてのイベントの 49% の割合を占めます。負荷を軽減する必要がある場合は、このカテゴリを最初に無効にして開始します。
    [インシデント (Incidents)]詳細ページにプロセス系列のイベントを表示するには、
    [プロセス起動の活動 (Process launch activity)]
    を選択します。
    ヒント:
    Symantec EDR
    に送信されるイベントを限定すると、システムパフォーマンスを改善できます。ただし、代わりに、潜在的な脅威を未検出にするリスクが生じることになります。
  9. Endpoint Activity Recorder を有効にした場合は、ウィザードで
    [次へ (Next)]
    をクリックして除外対象とポリシー例外を設定します。そうでない場合は、
    [保存 (Save)]
    をクリックします。