自動更新は、シグネチャ ファイルを最新の状態に保つための主な推奨方法です。自動更新を有効または無効にし、ローカル スキャナの署名ファイルの更新の頻度とランダム化を設定することができます。

これらの手順は、一度に 1 つのポリシーにのみ影響します。

ローカル スキャン機能は、Windows センサー 2.0 以降でのみ使用できます。Audit & Remediation スタンドアローン製品、Linux センサー、または macOS センサーでは使用できません。

注: 最初のオフライン シグネチャ パックは、 [Endpoints (エンドポイント)] > [Sensor Options (センサー オプション)] > [Download sensor kits (センサー キットのダウンロード)] > [AV Signature Pack (アンチウイルス シグネチャ パック)] からダウンロードできます。このダウンロードは、センサーを使用してインストールされたシグネチャの最初のセットを取得するために、最初の展開のみを対象としています。これは、これらのパックが頻繁に更新されないため、シグネチャを更新し続けるための推奨方法ではありません。

手順

  1. 左側のナビゲーション バーで、[Enforce (適用)] > [Policies (ポリシー)] の順にクリックします。
  2. ポリシーを選択し、[Local Scan (ローカル スキャン)] タブをクリックします。
  3. [Scanner Config (スキャン構成)] ドロップダウン メニューをクリックし、[On Access File Scan Mode (アクセス時のファイル スキャン モード)] を指定します。
    • [Disabled(無効)] - ファイルのスキャンは行われない。
    • [Normal(ノーマル)] - ファイルの最初の実行時に新しいファイル(exe、dll、スクリプト)をスキャンする(ハッシュにより決定)。
    • [Aggressive(アグレッシブ)] - 実行時にすべてのファイルをスキャンする。割り当てられたレピュテーションおよびポリシー ルールが適用される。
  4. 自動更新のオンとオフを切り替えるには、[Signature Updates (署名の更新)]ドロップダウン メニューをクリックし、[Allow Signature Updates (署名の更新を許可する)] を設定します。
    • [Enabled(有効)] - スキャナのシグネチャの更新を有効にする。
    • [Disabled(無効)] - スキャナのシグネチャの更新を無効にする。
    注: 署名の更新を無効にすると、指定されたポリシーのセンサーが更新された署名ファイルを受信しなくなります。 [Inventory (インベントリ)] > [Endpoints (エンドポイント)] ページの [Sig] 列で無効にした後、更新が再び有効になるまで、1 週間はセンサーの署名ファイルが古いもの (赤い三角形) として表示されます。
  5. 指定された更新サーバを使用して、センサーがシグネチャ パックの更新のためチェックインする頻度を指定するために、[Frequency(頻度)]を設定します。デフォルト設定は 4 時間です。
  6. [Staggered Update Randomization Window (スタッガード更新ランダム化ウィンドウ)] を設定して、すべてのセンサーが同時にダウンロードを試行しないようにします (ポリシーごとに)。デフォルト設定は [4 時間] です。
    注: 自動更新を構成する場合は、 [Frequency (頻度)][Staggered Update Randomization Window (スタッガード更新ランダム化ウィンドウ)] の設定をまとめて検討しなければなりません。 [Frequency (頻度)]および [Staggered Update Randomization Window (スタッガード更新ランダム化ウィンドウ)]をそれぞれ [2 時間][1 時間]に設定することをお勧めします。 [頻度][4 時間] に、 [スタッガード更新ランダム化ウィンドウ][4 時間] に設定するとセンサーは少なくとも 8 時間経過するまでシグネチャ ファイルを更新できません。
  7. オプションで、ローカル スキャン シグネチャに [Update Servers (更新サーバ)]を指定するか、デフォルトの Carbon Black サーバを使用します。
    注: 更新中のネットワーク バンド幅の使用量が懸念される場合は、 Local Mirror Server を設定して指定します。
    1. [Update Servers for Internal Devices (内部デバイスの更新サーバ)]:内部デバイスの更新サーバを追加できます。デフォルトのミラー インフラストラクチャ (http://updates.cdc.carbonblack.io/update) を使用するか、提供されたフィールドを使用して独自のミラー デバイス URL を入力できる。
    2. [Update Servers for Offsite Devices (オフサイト デバイスのサーバを更新)]:オフサイト デバイスのサーバを更新できます。デフォルトのミラー インフラストラクチャ (http://updates.cdc.carbonblack.io/update) を使用するか、提供されたフィールドを使用して独自のミラー デバイス URL を入力できる。
  8. [Save (保存)] をクリックします。