スクリプトをスキャンする機能(AMSI)を無効にすることはできますか

登録日: 2023年11月16日
最終更新日: 2024年2月7日
コンテンツID: 00053

回答

Trellix Endpoint Security には 高度なスクリプト スキャン機能が備わっており、初期値は有効になっております。
こちらの機能については無効にすることが出来ますので以下に手順を記載します。

1. 以下のURLへアクセスし、ePO-SaaSの管理画面を開きます。
   https://auth.ui.trellix.com
   
   
   ※「サインイン」ボタン下の地球儀のマークにある表示が「English」の場合 クリックして「日本語」へ変更してください。
   　「English」のままですと管理画面が英語表示になります。
2. 「システムツリー」のメニューを選択し設定を行うサブグループを選択後、 「ポリシー」のタブを選択します。
    
3. 製品のプルダウンから「Endpoint Security Adaptive Threat Protection」を選択し、カテゴリ「オプション」右側の「Trellix Default」をクリックします。
   ※既にポリシーを作成済の場合、作成済のルール名をクリックし手順 5.に進みます。　
    
4. 画面右下の「複製」をクリックしポップアップされた画面で、「名前」と「説明」を入力し「OK」をクリックします。
   ※「説明」は任意の登録になります。
   ※「Trellix Default」は設定変更できないポリシーです。
    
5. 設定画面が開き編集できるようになりますので、画面左上の「詳細を表示」をクリックします。
6. 「Real Protectスキャン(Windowsのみ)」内にある、「高度なスクリプト スキャンを有効にする(AMSI統合を含む)」のチェックを外し、画面右下の「保存」をクリックします。
    
   
   ポリシーを複製し作業を行っている場合、以下の作業もお願いします。　
   
    
7. ・カテゴリの「オプション」右側にある「割り当てを編集」をクリックします。
   ・「継承元」を「継承を無効にし、以下のポリシーおよび設定を割り当てます」にチェックします。
   ・「割り当てられたポリシー」で先ほど作成したルールをプルダウンから選択します。
   ・画面右下の「保存」をクリックします。
    
   ※ここまでの作業でポリシーの設定作業は完了です。すぐにポリシーを適用したい場合、引き続き以下の作業をお願いいたします。
   
    
8. 「システムツリー」＞「サブグループ」＞「システム」のタブをクリックすると、所属しているデバイスが一覧表示されます。
   「システム名」の左にあるボックスをチェックすると、全てのシステム名がチェックされますので、 画面下の「エージェントウェークアップ」をクリックします。
9. 画面が切り替わりますので画面右下の「OK」をクリックします。選択したグループの端末にポリシー配布されます。