Aurora Protect Desktop 3.x にアップグレードする利点

Aurora Protect Desktop バージョン 3.x では、製品の大幅な進歩が図られており、組織のデータとデバイスのセキュリティを維持するために、新機能と使いやすさの強化を実現しています。

Aurora Protect Desktop 3.x にアップグレードすると、次の機能にアクセスできます。

Windows

機能

説明

OS の互換性

Windows 3.x エージェントは Windows 11 のサポートを追加します。

詳細については、Aurora Protect Desktop 互換性マトリックスを参照してください。

エージェントの機能強化
  • Windows 3.1 エージェントは、Microsoft の Antimalware Protected Process Light(AM-PPL)テクノロジを使用して信頼できるサービスとして実行され、エージェントのセキュリティプロセスを悪意のあるアクションから保護します。たとえば、エージェントが終了しないように保護することができます。この機能を使用するには、エンドポイントで Windows 10 1709 以降、または Windows Server 2019 以降を実行している必要があります。
  • Windows 3.2 エージェントは、エンドポイントデバイスにインストールされているアプリケーションのリストを、管理コンソールにレポートします。この機能を使用すると、管理者は、エンドポイントデバイスにインストールされている脆弱性の原因となりうるアプリケーションを識別し、脆弱性に対するアクションに優先順位を付け、それに応じて対処していくことができます。管理者は、テナントに登録されたエンドポイントを対象として、インストール済みのアプリケーションをすべて表示したり、各エンドポイントのインストール済みアプリケーションのリストを表示したりできます。この機能は、デバイスポリシー(エージェント設定)から有効にできます。

メモリ保護の機能強化
  • 違反タイプに新しい機能が追加され、より多くのイベントが生成されるようになりました。
  • デバイスポリシーのメモリ保護設定では、「APC 経由のインジェクション」違反タイプが使用可能になっています。このオプションを使用すると、Aurora Protect Desktop は、非同期プロシージャコール(APC)を使用して、任意のコードをターゲットプロセスに注入するプロセスを検出できます。詳細については、「KB 42221135706139」を参照してください。
  • デバイスポリシーのメモリ保護設定では、[子プロセスでのメモリアクセス権限の変更]違反タイプが使用可能になっています。このオプションを選択すると、違反しているプロセスが子プロセスを作成し、子プロセスのメモリアクセス権限を変更したことを、Aurora Protect Desktop で検出できるようになります。
  • メモリ保護制御の使いやすさが改善されました。
  • Windows デバイスの LSASS 読み取り違反の検出機能が強化されました。
  • メモリ保護の除外のサイズ制限が 64KB から 2MB に増加し、除外対象をさらに追加できるようになりました。
  • サードパーティアプリケーション DLL の除外がサポートされて、サードパーティアプリを Aurora Protect Desktop とともに実行できるようになりました。たとえば、CylancePROTECT に加えてサードパーティのセキュリティ製品を実行している場合は、CylancePROTECT がその製品に関する特定の違反を無視するように、適切な .dll ファイルの除外を追加できます。この機能には、エージェント 3.1.1001 以降が必要です。
  • 違反レポートの精度の向上と、不要なアラートの減少に役立つように、[悪意のあるペイロード]違反タイプのメモリ保護センサが改善されました。この機能には、エージェント 3.1.1001 以降が必要です。

保護の機能強化
  • 管理者は、Windows 3.1 エージェントで、デバイスポリシー(保護設定)からバックグラウンド脅威検出スキャンを実行するためにカスタムの間隔を設定できます。スキャン間隔は 1~90 日の範囲で設定できます。デフォルトのスキャン間隔は 10 日です。スキャンの頻度を増やすと、デバイスのパフォーマンスに影響を与える可能性があることに注意してください。
  • Windows 3.2 エージェントは、管理者が管理コンソールからオンデマンドでバックグラウンド脅威検出スキャンを開始する機能をサポートしています。このコマンドは、個々のデバイスについて[デバイスの詳細]画面から送信するか、複数のデバイスについて[デバイス]画面から一度に送信することができます。
  • 各デバイスの最後のスキャンの日付が、管理コンソールに記録されます。

スクリプト制御の機能強化
  • Aurora Protect Desktop でアラートを発するか、Python(2.7、3.0~3.8)スクリプトおよび .NET DLR スクリプト(IronPython など)をブロックするかを選択できます。さらに、これらのスクリプトタイプでは、スクリプト制御をオフにできます。
  • スクリプト制御イベントの原因となった埋め込み VB スクリプトは、エージェントバージョン 2.1.1580 でブロックされました。埋め込み VB スクリプト制御違反の検出は、エージェント 3.0.1000 以降で無効になっています。
  • Windows 3.1 エージェントは、Microsoft のマルウェア対策スキャンインターフェイス(AMSI)と連携して動作するため、潜在的に危険な XLM マクロが実行されると、脅威情報が管理コンソールに報告され、エージェントはスクリプト制御イベントのデバイスポリシールールに従ってインターフェイスに応答します。たとえば、エージェントは、応答メッセージで、マクロの実行を許可するかブロックするかを質問してきます。この機能を有効にするには、デバイスポリシーの[スクリプト制御] > [XLM マクロ]の順にクリックして設定します。デバイスは、Windows 10 を実行している必要があります。Excel [ファイル] > [トラストセンター] > [Excel トラストセンター] > [マクロ設定]の順にクリックして、メニューの VBA マクロを無効にしてください。
  • 潜在的に悪意のあるスクリプトが実行されたとき、Windows エージェントが親およびインタープリタープロセスを Cylance に報告します。管理者は、スクリプトの親プロセスまたはインタープリタープロセスの除外を追加して、デバイス上でスクリプトを実行できるようにすることができます。この機能には、エージェントバージョン 3.1.1001 が必要です。
  • Windows 3.2 エージェントは、スクリプトスコアリングを使用する、機能強化されたスクリプト制御をサポートしています。危険または異常の脅威スコアが付いたスクリプトの実行をインテリジェントにブロックし、管理コンソールにアラートを通知することができます。管理者は、CylancePROTECT で危険または異常と見なされたスクリプトをブロックするように、デバイスポリシーのスクリプト制御設定を構成できます。
  • Windows 3.2 エージェントは PowerShell コンソールスクリプトのアラートモードをサポートしているため、検出されたイベントは管理コンソールにレポートされますが、実行は許可されます。管理者は、PowerShell コンソールのドロップダウンメニューを使用して、デバイスポリシーの[スクリプト制御]タブから設定を制御できます。
  • 管理者は、Windows 3.3 エージェントにより、脅威が検出されたときに、より大きなスクリプト(たとえば、5 MB を超える PowerShell スクリプト)を Endpoint Defense コンソールに報告する方法を個別に制御できます。管理者は、個別に設定することにより、IT スクリプト(通常はサイズが大きい)よりも悪意がある可能性が高い小さなスクリプトの検出に集中でき、エージェントは最適なブロッキング体勢を迅速に達成できるようになります。スクリプトのタイプごとにポリシー設定を適用できるため(スクリプトの実行をブロックすることも可能)、スクリプトのサイズに関係なく、これらの脅威を一斉に管理できます。コンソールへのアラート送信のみを行ったり、大規模なスクリプトのアラートを無視したりして、個別に管理することもできます。

マクロ検出の機能強化
  • Windows エージェントバージョン 2.1.158x 以降を実行しているデバイスのデバイスポリシーでは、Windows デバイスのマクロ検出機能は、[スクリプト制限]タブから[メモリアクション]タブ([エクスプロイテーション] > [危険な VBA マクロ])に移動されました。2.1.1578 以前のスクリプト制御オプションでは、アラートおよびブロックアクションがサポートされています。新しいメモリ保護オプションでは、無視、アラート、ブロック、および終了アクションがサポートされています。
  • デバイスポリシーのメモリ保護設定で、危険な VBA マクロ違反タイプの除外を追加できるようになりました。
  • 危険な VBA マクロ違反の原因となるファイルが管理コンソールに表示されるため、違反しているドキュメントを特定し、除外リストに追加する必要があるかどうかを判断できます。

デバイス制御の機能強化
次の USB デバイスタイプに対して、読み取り専用アクセスを許可できるようになりました。
  • 静止画
  • USB CD/DVD RW
  • USB ドライブ
  • VMware USB パススルー
  • Windows ポータブルデバイス

グローバルセーフリストの機能強化

SHA256 ハッシュをスクリプトのグローバルセーフリストに追加すると、そのハッシュの関連ブロックイベントは管理コンソールに表示されなくなります。

変更のログ記録

重要なログエントリが、デバッグログレベルから情報ログレベルに移動されました。

Linux

機能

説明

OS の互換性
Linux 3.3.x エージェントは、次の Linux ディストリビューションのサポートを追加します。
  • AlmaLinux 9
  • AlmaLinux 8
  • Debian 12
  • Rocky Linux 9
  • Rocky Linux 8
  • Ubuntu 24.04
Linux 3.2.x エージェントは、次の Linux ディストリビューションのサポートを追加します。
  • Amazon Linux 2023
  • Amazon Linux 2、カーネル 5.10
Linux 3.1.x エージェントは、次の Linux ディストリビューションのサポートを追加します。
  • Red Hat Enterprise Linux 9 および 9.1
  • Oracle 9 および 9.1
  • Oracle UEK 9 および 9.1
  • Oracle 8.7
  • Oracle UEK 8.7
  • SUSE Linux Enterprise Server(SLES)15 SP4
  • Ubuntu 22.04 LTS
Linux 3.0.x エージェントは、次の Linux ディストリビューションのサポートを追加します。
  • Red Hat Enterprise Linux /CentOS 8.4
  • Red Hat Enterprise Linux 8.5
  • Oracle 8.4
  • SUSE (SLES)12 SP5
  • SUSE (SLES)15 SP2 および SP3

詳細については、Aurora Protect Desktop 互換性マトリックスを参照してください。サポートされている Linux カーネルおよびドライバの全リストを表示するには、サポートされている Linux カーネルスプレッドシートをダウンロードしてください。

バックグラウンド脅威検出オンデマンドスキャン

管理者が管理コンソールからオンデマンドでバックグラウンド脅威検出スキャンを開始できるようになりました。このコマンドは、個々のデバイスについて[デバイスの詳細]画面から送信するか、複数のデバイスについて[デバイス]画面から一度に送信することができます。

この機能には、Aurora Protect Desktop エージェントバージョン 3.2 が必要です。

各デバイスの最後のスキャンの日付が、管理コンソールに記録されます。

バックグラウンド脅威検出スキャンのカスタムの間隔
  • 管理者は、デバイスポリシーからバックグラウンド脅威検出スキャンを実行するためにカスタムの間隔を設定できます。スキャン間隔は 1~90 日の範囲で設定できます。デフォルトのスキャン間隔は 10 日です。
  • この機能には、Aurora Protect Desktop エージェントバージョン 3.1 が必要です。
  • 各デバイスの最後のスキャンの日付が、管理コンソールに記録されます。

Linux ドライバを自動更新
  • Linux デバイスの Aurora Protect Desktop エージェント 3.1.1000 は、更新されたカーネルがシステム上で検出されたときに、サポートされている最新のエージェントドライバへの更新を要求できるようになりました。たとえば、Linux カーネルが更新され、現在インストールされているエージェントドライバがサポートしていない場合、互換性のあるドライバがリリースされたらすぐにエージェントがドライバを自動的に更新できるようになりました。
  • この機能には、Aurora Protect Desktop エージェントバージョン 3.1.1000 およびエージェントドライババージョン 3.1.1000 以降が必要です。
  • この機能を有効にするには、管理コンソールの[設定] > [更新]メニューから、ゾーンベースの更新ルールの[Linux ドライバを自動更新]オプションを選択します。

メモリ保護の機能強化
  • 違反タイプに新しい機能が追加され、より多くのイベントが生成されるようになりました。
  • メモリ保護制御の使いやすさが改善されました。
  • メモリ保護の除外のサイズ制限が 64KB から 2MB に増加し、除外対象をさらに追加できるようになりました。

macOS

機能

説明

OS の互換性
  • Aurora Protect Desktop 3.2.x エージェントは macOS 14(Sonoma)のサポートを追加します。
  • Aurora Protect Desktop 3.1.x エージェントは macOS 13(Ventura)のサポートを追加します。
  • Aurora Protect Desktop 3.0.x エージェントは macOS 12(Monterey)のサポートを追加します。

USB デバイス制御

macOS 3.3 の Aurora Protect Desktop エージェントは USB デバイス制御機能をサポートしており、管理者は USB 大容量ストレージデバイスへのアクセスを許可するかブロックするかを制御できます。管理者は、USB 光学ドライブまたは USB ストレージドライブ(ハードドライブやフラッシュドライブなど)に分類されるストレージデバイスのデバイスポリシーから macOS デバイスのデバイス制御をオンにできます。

バックグラウンド脅威検出オンデマンドスキャン

管理者が管理コンソールからオンデマンドでバックグラウンド脅威検出スキャンを開始できるようになりました。このコマンドは、個々のデバイスについて[デバイスの詳細]画面から送信するか、複数のデバイスについて[デバイス]画面から一度に送信することができます。この機能には、Aurora Protect Desktop エージェントバージョン 3.2 が必要です。

各デバイスの最後のスキャンの日付が、管理コンソールに記録されます。

バックグラウンド脅威検出スキャンのカスタムの間隔
  • 管理者は、デバイスポリシーからバックグラウンド脅威検出スキャンを実行するためにカスタムの間隔を設定できます。スキャン間隔は 1~90 日の範囲で設定できます。デフォルトのスキャン間隔は 10 日です。
  • 各デバイスの最後のスキャンの日付が、管理コンソールに記録されます。

メモリ保護の機能強化
  • 違反タイプに新しい機能が追加され、より多くのイベントが生成されるようになりました。
  • メモリ保護制御の使いやすさが改善されました。
  • メモリ保護の除外のサイズ制限が 64KB から 2MB に増加し、除外対象をさらに追加できるようになりました。

最新の 3.x エージェントの追加機能の詳細、および修正された問題の包括的なリストについては、Aurora Protect Desktop リリースノートを参照してください。

Aurora Protect Desktop の将来バージョンで、これらの拡張機能と改善のメリットを享受できるように、Arctic Wolf は、2.x.158x 以前のエージェントが搭載されたすべてのデバイスで、最新バージョンのエージェント 3.x にアップグレードすることを強くお勧めします。このガイドは、アップグレードを成功させるための考慮事項と追加の手順について説明します。