クラウドコンソールからのローミング
Symantec Endpoint Protection
クライアントの監視

ローミング
Symantec Endpoint Protection
クライアントは、管理サーバーに断続的に接続するクライアントです。ローミングクライアントは、空港、ホテル、他の企業など、通常よりリスクの高いさまざまな場所でインターネットにアクセスします。
Symantec Endpoint Protection Manager
は、ネットワークの検出を使用して、これらのクライアントコンピュータにネットワーク上やネットワーク外の保護を提供します。
14.1 以前のローミングクライアントは、接続されたときのみ重要なイベントを管理サーバーに送信します。14.2 以降、ローミングクライアントは、管理サーバーに接続できないときは重要なイベントを自動的にクラウドコンソールに送信します。ローミングクライアントは、管理サーバーに再接続した後、新しい重要なイベントを管理サーバーに送信します。また、このクライアントはそれ以降ローミングとは見なされません。
重要なイベントのリストを
Symantec Endpoint Protection Manager
のセキュリティポリシーを強化する手段として使用します。たとえば、特定のホテルに「従業員 A」が存在しているときに、「従業員 A」のクライアントが大量のサービス拒否攻撃を受けているとします。これにより、そのホテルの場所を作成して、ファイアウォールポリシーでサービス拒否攻撃検出を有効にできます。
詳細については、次を参照してください。
ローミングクライアントと重要なイベントを見つける
ローミングしているクライアントを見つけるには、次の項目を探します。
  • デバイスが管理サーバーではなくクラウドコンソールに直接接続されているかどうか
  • Symantec Endpoint Protection Manager
    のネットワークの検出ポリシーで定義される場所
  • クライアントの外部 IP アドレス
  1. ローミングクライアントと重要なイベントを見つけるには
  2. クラウドコンソールで
    [警告とイベント]
    に移動します。
  3. [セキュリティイベント]
    タブの
    [接続の種類]
    で、
    [クラウド]
    をクリックしてクライアントがクラウドコンソールに送信するイベントを表示します。
    管理サーバーが送信するイベントを表示するには、
    [Symantec Endpoint Protection Manager]
    をクリックします。
  4. [重大度]
    [致命的]
    をクリックします。
    クラウドコンソールは、ローミングクライアントが検出した重要なセキュリティイベントのみフィルタ処理して表示します。
  5. 場所と外部 IP アドレスを発見するには、デバイスを選択してデバイスの位置情報のエントリを探します。
クラウドコンソールが表示する重要なイベントとは
ローミングクライアントは、次のセキュリティイベントをクラウドコンソールにアップロードします。
  • ポートスキャンイベント
  • MAC 詐称
  • サービス拒否
  • カナリア
  • IPS
  • ディセプション
  • メモリエクスプロイト緩和機能
  • ホストインテグリティのコンプライアンス
ローミングクライアントは、次のセキュリティイベントをクラウドコンソールにアップロードします。
  • ウイルス対策
  • SONAR