最も安全なランサムウェア ポリシーは、特別に許可されているものを除くすべてのアプリケーションがランサムウェアのような振る舞いを実行するのを防ぐデフォルトの拒否態勢です。
このポリシーは、正当なアクティビティがランサムウェアの操作を模倣するアプリケーションによって発生する誤検出の処理の調整が必要です。デフォルトの拒否ポリシーの利点は、すべての可能なアプリケーションを一覧表示することなく、レピュテーションが高く(APPROVED_LIST など)危険にされされているアプリケーションから発生するランサムウェアの動作から保護することです。
プロダクション システムにポリシー ルールを適用する前に、単一ホストでデフォルトの拒否ポリシーを広範囲にテストする必要があります。誤検出に対処したら、段階的な展開を実行します。新しい誤検出に対処するため、エンドポイントの各グループの追加の間隔を数日空けます。優れたソフトウェアがランサムウェアのような動作ルールで終了している場合は、アプリケーションを承認リストに登録します。
Microsoft PowerShell と Python は、Windows と macOS の一般的なターゲットですが、コマンド ラインの一部としてコードを受信できるコマンド インタープリタは、悪意のあるアクティビティの潜在的なソースです。保護を強化するため、スクリプト インタープリタのパスベースのルールを含めることを検討してください。
カスタム ポリシー ルールは、会社の承認リストまたは禁止リストに追加されたオブジェクト/ハッシュよりも優先されます。
ランサムウェアのポリシー ルールを設定する
ランサムウェアから保護するため、疑わしいマルウェア、PUP、リストにない、および不明なレピュテーションのルールをポリシーに追加する必要があります。
[ブロックおよび隔離] で [ランサムウェアのような動作を実行する] に対して実行できるアクションは、[プロセスを終了]のみです。これは、アプリケーションが暗号化しようとする最初のファイルへのランサムウェアのアクセスを拒否しても、今後の暗号化操作の試行を防げないためです。
手順
- 左側のナビゲーション ペインで、 の順にクリックします。
- ポリシーを選択します。
- [防止] タブをクリックし、[権限] または [ブロックおよび隔離] で、[アプリケーション パスの追加] を選択します。
- アプリケーション パスを入力し、「[ランサムウェアのような動作を実行する]」を選択します。
- [Confirm (確認)] をクリックし、[Save (保存)] をクリックします。