機能
ポリシーのループはデバイスから管理者まで可視化されます。
-
グループごとのカテゴリポリシー
ポリシーグループごとにUT1コンテンツカテゴリをブロック — アダルト、ギャンブル、マルウェア、AIチャットツールなど — 管理コンソールから設定できます。
-
許可リストとブロックリスト
テナント全体の許可リストがカテゴリブロックを上書きし、ブロックリストがURLhaus、OpenPhish、PhishTankフィードに加えてドメインを追加します。
-
脅威インジケーターフィード
URLhaus、OpenPhish、PhishTankはed25519署名付きgzipバンドルで提供され、15分ごとに更新されます。エージェントはバンドルを信頼する前に署名を検証します。
-
ローカルブロックページ
ブロックされたDNSクエリは、ドメイン、カテゴリ、ソースフィード、ポリシーグループを画面に表示して127.0.0.1へシンクホールされます。デスクトップのトースト通知に理由が表示されます。
-
誤検知レビューのキュー
エンドユーザーはブロックページからレビュー申請を送信できます。元のポリシー理由とデバイスコンテキストを添付して管理者キューに届きます。
-
デバイス監査とブロックフィード
すべてのブロックはエンドポイントにJSONL監査レコードを書き込みます。管理モードでは、イベントは/v1/reportの管理ブロックフィードにも投稿されます。
-
キャッシュからのオフラインフィルタリング
ブロックリストとポリシーはローカルキャッシュに保存されます — Windowsでは%PROGRAMDATA%\ClearScreen、Linuxでは/var/lib/clearscreen。エッジに到達できない場合、最後に検証されたバンドルがフィルタリングを継続します。
-
DoHアップストリーム、TLS復号化なし
許可されたクエリはDoH経由でCloudflare 1.1.1.1へアップストリームに転送され、キャッシュされます。ポリシーパスにTLSインスペクション、PACファイル、ネットワークゲートウェイはありません。
-
スタンドアロンと管理対象の登録
スタンドアロンはデフォルトポリシーで公開バンドル上で動作します — アカウントは不要です。clearscreen enroll <key>を実行して、/v1/enrollで登録キーをデバイススコープのAPIキーと中央ポリシーに交換します。
仕組み。
-
エージェントを展開
Windows、Linux、macOSにGoバイナリをインストールします。エージェントは127.0.0.1:53にバインドし、システムDNSをループバックに設定し、停止時にリゾルバを復元します。
-
グループごとにポリシーを設定
ブロックするUT1カテゴリを選択し、テナント許可リストとブロックリストを追加し、管理コンソールからポリシーグループを割り当てます。管理対象エージェントは/v1/policyからポリシーを取得します。
-
デバイスと管理画面でレビュー
ブロックされたドメインは理由とともにローカルブロックページを表示します。誤検知レポートは管理者キューに届きます。ブロックイベントはCSVまたはJSONとしてエクスポートされます。