アクションを設定する

アクション設定を構成することで、アカウント内のデバイスで実行されるデバイスアクションのデフォルト設定を指定できます。

アクション設定を構成して、スクリプト実行リクエストのスクリプトがお客様のデバイスに展開される方法を管理することができます。具体的には、以下の操作を実行できます。

  • スクリプト実行リクエストを作成するときに、Reach スクリプトのダウンロード先のスタートアップフォルダーを編集します。

  • Windows デバイスでスクリプトを実行させるため、スクリプト実行リクエストを作成するときに、Reach スクリプト署名を検証するかどうかを設定します。

スクリプトの実行リクエストが保留中の Windows または Mac デバイスが Absolute モニタリングセンターに接続すると、エージェントはスクリプトをスタートアップフォルダーにダウンロードし、この場所からスクリプトを実行します。デフォルトのスタートアップフォルダーとして、Windows デバイスでは C:\ProgramData\、Mac デバイスでは /tmp/ が使用されます。これらの場所が不適切である場合、スタートアップフォルダーの場所をカスタマイズできます。

スタートアップフォルダーは、ローカルドライブ、外付けドライブ、またはネットワークドライブに変更できます。Windows では、ネットワークドライブにすでにドライブ名が割り当てられている必要があります。たとえば H:\ などです。

フォルダーが対象デバイス上にすでに存在している場合、エージェントはフォルダーの書き込み読み取り権限をチェックします。エージェントが必要な権限を取得できる場合、そこでスクリプトがダウンロードされ、実行されます。

スタートアップフォルダー (または親フォルダーのいずれか) が存在しない場合、エージェントは作成を試みます。エージェントに作成権限があれば、エージェントがフォルダーを作成し、スクリプトをダウンロードして実行します。

エージェントに適切な権限がない場合、またはスタートアップフォルダーの作成に失敗した場合、デバイスのスクリプト実行リクエストは失敗します。失敗理由は、アクションリクエストで確認できます。

リクエストが完了するとスクリプトはスタートアップフォルダーから削除されますが、エージェントが作成したフォルダーは削除されません。スタートアップフォルダーは、将来使用できるようにデバイスに残ります。

以下の要件に適合しているのが有効なスタートアップフォルダーです。

  • パスが有効な絶対フォルダーパスであること

    • Windows デバイスでは、有効なパスは<ドライブ名>:\ で始まります。

      例:C:\ProgramData\ReachScript\

    • Mac デバイスでは、有効なパスはルートフォルダー / で始まります。

      例: /tmp/ReachScript/

  • フォルダーに読み取り書き込み実行権限があること
  • パスに Unicode が使用されていないこと
  • パスの長さが 150 文字以下であること

お使いのアンチ・マルウェア製品によっては、ポリシーの例外としてフォルダーを追加したり、許可リストに追加したりする必要がある場合があります。

スタートアップフォルダーを編集するには:

  1. Reach スクリプトの管理権限を持つユーザーとして Secure Endpoint Console へログインします。
  2. ナビゲーションバーで 設定 > アカウント設定をクリックします。
  3. 「アクション」の下で、以下の1つを実行します:
    • Windows スタートアップフォルダーを変更するには、Windows の隣りにあるフィールドをクリックして新しいパスを入力します。
    • Mac スタートアップフォルダーを変更するには、macOS の隣りにあるフィールドをクリックして新しいパスを入力します。
  4. ダイアログの外をクリックして変更を保存します。

将来のすべてのスクリプト実行リクエストで、スタートアップフォルダーが変更されます。既存のスクリプト実行リクエストでは、リクエストが作成された時点で設定されたフォルダーが使用されます。

スタートアップフォルダーへの変更を保存した場合、デフォルトの場所にリセットすることができます。

スタートアップフォルダーの場所をリセットするには:

  1. Reach スクリプトを管理する権限を持つユーザーとして Secure Endpoint Console へログインします。
  2. ナビゲーションバーで 設定 > アカウント設定をクリックします。
  3. 「アクション」の下で、以下の1つを実行します:
    • Windows スタートアップフォルダーをリセットするには、Windows の隣りにあるフィールドをクリックして、フィールドからパスを消去します。
    • Mac スタートアップフォルダーをリセットするには、macOS の隣りにあるフィールドをクリックして、フィールドからパスを消去します。
  4. ダイアログの外をクリックして変更を保存します。

将来のすべてのスクリプト実行リクエストで、スタートアップフォルダーにデフォルトの場所が使用されるようになりました。既存のスクリプト実行リクエストでは、リクエストが作成された時点で設定されたフォルダーが使用されます。

Reach スクリプトの一部であるすべての PowerShell スクリプトは署名付きであり、お客様がアップロードする前にお客様によって署名されるか、または Secure Endpoint Console にアップロードされる際に Absolute によって署名されます。署名検証を有効にすると、 ANS コンポーネント スクリプト実行リクエストが処理されるときに、デバイスでスクリプトを実行する役割を果たす、Secure Endpoint Agent の軽量ソフトウェアコンポーネントです。 が署名を検証します。これは、スクリプトがスクリプト実行リクエストの一部としてデバイスにダウンロードされたときに行われます。これにより、スクリプトが署名後に改ざんされないようにします。デフォルトでは、スクリプトの検証は無効になります。セキュリティを改善するため、スクリプトの検証を有効にすることを強く推奨します。

スクリプトの署名チェックが無効化されていても、スクリプトには署名されます。

署名検証を有効または無効にするには:

  1. Reach スクリプトの管理権限を持つユーザーとして Secure Endpoint Console へログインします。
  2. ナビゲーションバーで 設定 > アカウント設定をクリックします。

  3. 以下の1つを実行します:

    • スクリプト署名検証を有効にするには、スクリプト署名検証スライダーをクリックしてオンに設定します。
    • スクリプト署名検証を無効にするには、スクリプト署名検証スライダーをクリックしてオフに設定します。
  4. ダイアログが開いたら、有効化をクリックします。

署名検証設定が更新されます。

攻撃者による悪影響、誤設定、またはヒューマンエラーを制限するため、アカウントごとに 1 日に送信できるアクションの最大合計数を設定できます。デバイスアクションごとに、デフォルトで有効な独自の設定があります。唯一の例外はフリーズ削除アクションで、これはデフォルトで無効です。

組織のニーズに応じて、日次しきい値を 1 つ、一部、またはすべてのデバイスアクションに対して有効にし、その後、必要に応じて Absolute が推奨するデフォルト値を上書きするためにカスタム値を割り当てることができます。

以下のデバイスアクションが日次しきい値をサポートしています。

デバイスアクション 日次しきい値のデフォルト値

ファイル削除

(全ファイル削除を含む)

 500

フリーズ

(オフラインフリーズルールを除く)

 500

フリーズ削除

(フリーズ解除コードを使用したフリーズ解除を除く)

100,000

デフォルトでは、この日次しきい値は無効です。
Playbook を実行 500
スクリプトを実行 20,000

メッセージを送信

(メッセージの再送信アクションを含む)

 100,000
デバイスの登録解除 100,000

ワイプ

(暗号消去のみ含まれる)

 500

以下の点に注意してください。

  • 日次しきい値は、ユーザーではなくアカウントごとに設定します。
  • 日次しきい値は、カスタム役割に適用されているデュアル承認の制限とは無関係です。
  • 日次しきい値は以下に適用されます。
    • コンソールでユーザーによって送信されたアクションリクエスト
    • Absolute API を介して送信されたアクションリクエスト (ServiceNow® または Forescout® eyeSight の統合を介して送信されたアクションを含む)
    • アクションルールによってトリガーされたアクション (フリーズ、メッセージ送信、スクリプト実行アクションのみに適用)
  • 日次しきい値は以下には適用されません。
    • オフラインフリーズルールによってトリガーされたフリーズアクション

    • ワイプリクエストに関連付けられているデバイス登録解除アクション

      Mac デバイスはワイプアクションの完了後に必ず登録解除されます。Windows デバイスは、ワイプ完了後にデバイスを登録解除するオプションがワイプリクエストで選択されている場合のみ、登録解除されます。

  • ワイプリクエストに、暗号消去と全ファイル削除アクションの両方が含まれる場合、いずれかのアクションがその日次しきい値を超過している場合、リクエストを送信できません。
  • 履歴 > アクションエリアでアクションのステータスが「失敗」と表示されている場合、引き続き日次しきい値にカウントされます。ただし、アクションが拒否されたために失敗している場合は、日次しきい値にはカウントされません
  • 履歴 > アクションエリアでアクションのステータスが「キャンセル済み」と表示されている場合、日次しきい値にはカウントされません
  • 日次しきい値は毎日 00:00 UTC にリセットされます。

あるアクションの日次しきい値が有効な場合に、しきい値を超過したときの結果は、アクションがどのようにリクエストされたかによって異なります。

新しいアクションリクエストによってその日次しきい値が超過することになる場合、ユーザーがリクエストを保存しようと試みたときに日次アクションしきい値に達しましたダイアログが表示されます。ダイアログには以下の情報が表示されます。

  • しきい値: アクションに対して設定された日次しきい値
  • 利用可能: その日に利用可能なアクションの残りの数
  • 現在のリクエスト内のデバイス: アクションリクエストに含まれるデバイスの数

アカウントしきい値設定の管理権限のあるユーザーは、しきい値を上書きして続行をクリックすることで、リクエストを保存できます。「しきい値を超えるアクションリクエストが承認されました」イベントがイベント履歴に記録されます。

その他すべてのユーザーでは、リクエストは完了できません。OK をクリックしてダイアログを閉じます。利用可能なアクションが 0 でなければ、より少ない台数のデバイスに対するリクエストを送信できることに注意してください。または、システム管理者に連絡して、アクションの日次しきい値を増やすよう依頼することができます。

アクションの日次しきい値に達すると、Absolute API を介して送信されたアクションリクエストは処理に失敗し、429 RATE-LIMITED エラーが返されます。詳細はエラーメッセージに表示されます。コンソールのイベント履歴にはイベントが記録されないことに注意してください。

アクションの日次しきい値に達すると、そのアクションを含むアクションルールは次のような影響を受けます。

  • あるイベントがルールをトリガーすると、ルールはアクションの実行に失敗します。

  • ルールトリガーアクションがアカウントしきい値に達しました」イベントがイベント履歴に記録されます。

その日の間はこの動作が続きます。

サポートされるアクションタイプごとに、現在の日次しきい値を表示できます。

アカウントの日次しきい値を表示するには:

  1. アカウントしきい値設定の表示または管理権限を持つユーザーとして、Secure Endpoint Console へログインします。すべてのユーザー役割には、表示権限が付与されています。
  2. ナビゲーションバーで 設定 > アカウント設定をクリックします。
  3. アクション > 日次しきい値で、しきい値の下にある各アクションの日次制限を確認します。アクティベーションスライダーがオンに設定されている場合、そのアクションタイプのしきい値は有効です。オフに設定されている場合、日次制限は適用されません。

日次しきい値を有効化、設定、または無効化するには:

  1. アカウントしきい値設定の管理権限を持つユーザーとして Secure Endpoint Console へログインします。
  2. ナビゲーションバーで 設定 > アカウント設定をクリックします。
  3. アクション > 日次しきい値で、以下のいずれかまたは複数の操作を実行します。
    • アクションの日次しきい値を有効化するには、そのスライダーをクリックして、オンに設定します。
    • アクションに対してカスタム日次しきい値を割り当てるには、アクションのしきい値フィールドをクリックし、新しい値を入力します。Absolute ロゴがグレー表示から に変わり、デフォルト値が上書きされたことを示します。

      カスタム日次しきい値を割り当てるには、アクションのスライダーをオンに設定する必要があります。

    • カスタム日次しきい値をデフォルト値にリセットするには、その アイコンをクリックします。
    • アクションの日次しきい値を無効化するには、そのスライダーをクリックして、オフに設定します。

更新された設定ごとに、「アカウントレベルの日次しきい値が更新されました」イベントがイベント履歴に記録されます。