レコーダポリシーの作成

Symantec EDR でレコーダポリシールールを適用するには、Symantec Endpoint Protection (SEP) 14.3 RU1 以降を実行します。エンドポイントで SEP 14.3 または 14.3 MP1 を実行している場合は、SEP エージェントが Endpoint Detection and Response エンジン 4.3 以降を使用していることを確認します。エンジンのバージョンは、SEP コンソールの
[ヘルプ (Help)] > [トラブルシューティング (Troubleshooting)] > [バージョン (Versions)]
ページで確認できます。
レコーダポリシールールは、監視する実行元/プロセスを定義し、エンドポイントアクティビティレコーダに記録して Symantec EDR に送信します。または、実行元/プロセスイベントが無害であることがわかっているため、監視しないように選択することもできます。
レコーダポリシールールの利点は以下のとおりです。
最大 200 件の
[監視の無効化 (Disable monitoring)]
ルールを設定できます。他のすべてのタイプのルール (記録しない、記録するが送信しない、記録して送信) の組み合わせの最大数は、100 件のルールです。その他のルールのタイプは任意の組み合わせで指定できますが、合計で 100 件のルールを超えることはできません。
新しいルールを作成すると、[イベントの概要]ビューが別のブラウザページで開きます。以下の手順では、イベントの概要ビューのどのフィールドをルールフィールドにコピー/貼り付けできるかを指定します。 [イベントの概要 (Events Summary)]ビューでの作業
Mac クライアントでは、レコーダ ポリシー ルールはサポートされません。
レコーダポリシールールの作成または変更は、Symantec EDR 監査ログに記録されます。
  1. [ポリシー (Policies)]
    をクリックし、
    [レコーダ (Recorder)]
    タブを選択します。
  2. 作成するルールのタイプを選択します。
    記録しない
    定義したプロセスを監視します。
    イベントは、エンドポイントに格納されない、または Symantec EDR に送信されます。
    記録するが送信しない
    定義したプロセスを監視します。
    イベントは、エンドポイントに格納されますが、順リアルタイムで Symantec EDR に送信されません。
    記録して送信
    定義したプロセスを監視します。
    イベントはエンドポイントに格納されます。
    [エンドポイントアクティビティレコーダの設定 (Endpoint Activity Recorder Configuration)]
    ページで選択したイベントの種類は、準リアルタイムで Symantec EDR に送信されます。
    監視の無効化
    指定した実行元のすべてのイベントの監視、記録、および Symantec EDR への送信を無効にします。
    このオプションを選択した場合、すべてのイベントに
    [実行元タイプ (Actor Type)]
    [実行元 (Actor)]
    のみを設定できます。
    このオプションは、実行元を許可リストに追加することと同じです。したがって、このオプションは、安全で監視の必要がない実行元に対してのみ設定してください。
  3. ルールを作成する
    [イベントの種類 (Event Type)]
    を選択します。
    デフォルト設定は、
    [すべてのイベント (All Events)]
    です。特定のイベントを選択するには、
    [イベントの種類 (Event Type)]
    ドロップダウンリストをクリックし、イベントを選択します。
  4. [実行元タイプ (Actor Type)]
    (SHA256 またはファイルパス) を指定します。
  5. [実行元 (Actor)]
    フィールドで、選択した
    [実行元タイプ (Actor Type)]
    に基づいて以下を指定します。
    実行元タイプ
    SHA256
    SHA256 ハッシュ値を入力します。
    event_actor.file.sha2
    ファイルパス
    完全修飾パスを入力します。ワイルドカードと正規表現を使用して、この値を変更できます。¹
    event_actor.file.path
  6. [実行元コマンドライン (Actor Command Line)]
    フィールドに、プロセスの起動に使用したコマンドラインを入力します。
    event_actor.cmd_line
    ワイルドカードと正規表現を使用して、この値を変更できます。¹
  7. [操作 (Operation)]
    ドロップダウンメニューをクリックして、ルールを作成する操作を選択します。
    選択できる値は、選択した
    [イベントの種類 (Event Type)]
    によって異なります。
    イベントの種類
    説明
    すべてのイベント
    利用不可
    8001 - プロセスの活動
    • すべて
    • 起動した
    • 終了した
    • 挿入した
    8002 - モジュールの活動
    • すべて
    • ロードした
    • ロード解除した
    8003 - ファイルの活動
    • すべて
    • 作成した
    • 削除した
    • 開いた
    • 名前変更した
    • 更新した
    • 属性の設定
    • セキュリティの設定
    • 暗号化
    • 復号化
    8004 - ディレクトリの活動
    • すべて
    • 作成した
    • 削除した
    • 開いた
    • 名前変更した
    • 更新した
    • 属性の設定
    • セキュリティの設定
    • 暗号化
    • 復号化
    8005 - レジストリキーの活動
    • すべて
    • キーの作成
    • キーの削除
    • オープンキー
    • キーの名前変更
    • キーのセキュリティ記述子の設定
    • 復元キー
    8006 - レジストリ値の活動
    • すべて
    • 設定
    • 削除
    8007 - ネットワークの活動
    • すべて
    • 接続
    • 切断
    • 固定
    8009 - カーネルの活動
    • すべて
    • 作成
    8015 - ETW の活動
    利用不可
    8016 - AMSI の活動
    利用不可
  8. 8015 - ETW の活動イベントを選択した場合、
    [ターゲットタイプ (Target Type)]
    オプションが表示されます。以下のいずれかのオプションを選択します。
    • 参照イベント ID (ref_event)
    • ソースファシリティ (monitor_source.facility)
  9. [ターゲット (Target)]
    フィールドに、プロセスのターゲットを入力します。
    ワイルドカードと正規表現を使用できます。¹
    イベントの種類
    イベントの概要ビューフィールド
    すべてのイベント
    利用不可
    8001 - プロセスの活動
    process.file.path
    process.file.sha2
    8002 - モジュールの活動
    file.path
    file.sha2
    8003 - ファイルの活動
    file.path
    file.sha2
    8004 - ディレクトリの活動
    directory.path
    8005 - レジストリキーの活動
    reg_key.path
    8006 - レジストリ値の活動
    reg_value.name
    8007 - ネットワークの活動
    conn.dst_ip
    8009 - カーネルの活動
    kernel.name
    8015 - ETW の活動
    monitor_source.facility
    ref_event,
    8018 - AMSI の活動
    リソース
  10. [ターゲットコマンドライン (Target Command Line)]
    フィールドに、ターゲットに使用したコマンドラインを入力します。
    このフィールドは、8001 - プロセスの活動イベント (process.cmd_line) にのみ使用できます。
    ワイルドカードと正規表現を使用して、この値を変更できます。¹
  11. 必要に応じて、
    [コメント (Comments)]
    ボックスにコメントを入力します。
  12. [保存 (Save)]
    をクリックします。
    Symantec EDR によって、
    [エンドポイントアクティビティレコーダルールポリシーの適用 (Apply Endpoint Activity Recorder rule policy)]
    が有効になっているすべての既存の SEPM コントローラ接続にルールが割り当てられます。
  13. 必要に応じて、ルールの優先度を割り当てます。
¹ 正規表現文字列は、先頭と末尾をスラッシュ (/) 記号で囲む必要があります。正規表現でパスを定義する場合も、エスケープする必要があります: /c:\\windows.*/。ワイルドカードエントリを定義する場合: c:\windows* (パスの区切り記号はエスケープしない)。