挙動監視を設定する

挙動監視は、OS、レジストリエントリ、他のソフトウェア、ファイル、またはフォルダが不正に変更されないようにクライアントコンピュータを保護します。

  1. [デバイス] に移動します。
  2. 設定対象のクライアントが含まれるグループを選択します。
  3. [ポリシーの設定] をクリックします。
  4. [Windows] をクリックします。
  5. [挙動監視] をクリックします。
  6. [挙動監視] の下で、[挙動監視の有効化] を選択します。
  7. [設定] で、必要に応じて次の項目を更新します。
    • [不正プログラムの挙動ブロックを有効にする]: 不正プログラム挙動ブロックは、パターンファイルに定義されている一連の内部ルールを使用して実行されます。これらのルールは、不正プログラムに共通する既知の疑わしい脅威の挙動を識別します。不審な挙動の例として、突然説明できない動作をするサービスの追加、ファイアウォールの変更、システムファイルの改ざんなどが挙げられます。

      不正プログラム挙動監視は次の脅威レベルの検索オプションを提供します。

      • [既知の脅威]: 既知の脅威に関連付けられた挙動をブロックします。

      • [既知および潜在的な脅威]: 既知の脅威に関連付けられた挙動をブロックし、潜在的に不正な挙動に対して処理を実行します。

    • [Intuit™ QuickBooks™保護を有効にする]: 他のプログラムによって不正に変更されないようにすべてのIntuit QuickBooksのファイルとフォルダを保護します。

      次の製品がサポートされています。

      • QuickBooks Simple Start

      • QuickBooks Pro

      • QuickBooks Premier

      • QuickBooks Online

      注:

      Intuitの実行可能ファイルはすべてデジタル署名があり、これらのファイルに対するアップデートはブロックされません。Intuitのバイナリファイルを他のプログラムが変更しようとした場合は、バイナリファイルのアップデートを試みているプログラムの名前がメッセージに表示されます。他のプログラムにIntuitファイルのアップデートを許可することができます。そうするには、必要なプログラムをビジネスセキュリティクライアント上の挙動監視除外リストに追加します。アップデートが終了したら、必ずそのプログラムを除外リストから削除してください。

    • イベント監視: イベント監視は、不正なソフトウェアおよび不正なプログラムによる攻撃に対して保護するためのより一般的なアプローチを提供します。イベント監視では、システムエリアで特定のイベントを監視して、管理者がこのようなイベントをトリガーするプログラムを制御できるようにします。不正プログラム挙動ブロックで提供される保護を超える特別なシステム要件がある場合は、イベント監視を使用してください。

      次の表は監視対象のシステムイベントの一覧を示しています。

      表 1. 監視対象のシステムイベント

      イベント

      説明

      システムファイルの複製

      多くの不正プログラムは、Windowsシステムファイルが使用しているファイル名を使って、自分自身または他の不正プログラムのコピーを作成します。これは、通常、システムファイルの上書きまたは置換、検出の回避、またはユーザによる不正ファイルの削除を阻止する目的で実行されます。

      Hosts ファイルの変更

      Hostsファイルは、ドメイン名とIPアドレスを比較し、一致しているかどうかを確認します。不正プログラムの多くは、感染したWebサイト、存在しないWebサイト、または偽のWebサイトにWebブラウザをリダイレクトするようにHostsファイルを変更します。

      不審な挙動

      不審な挙動とは、正規プログラムではまれにしか実行されない特定の処理または処理グループです。不審な挙動を示すプログラムは、注意して使用する必要があります。

      Internet Explorerプラグインの追加

      スパイウェア/グレーウェアは、多くの場合、ツールバーやブラウザヘルパーオブジェクトを含む不要なInternet Explorerプラグインをインストールします。

      Internet Explorerの設定の変更

      多くのウイルス/不正プログラムは、ホームページ、信頼するWebサイト、プロキシサーバの設定、メニュー拡張などのInternet Explorerの設定を変更します。

      セキュリティポリシー設定の変更

      Windowsセキュリティポリシーを変更して、不要なアプリケーションを実行し、システム設定を変更させる場合があります。

      DLL(プログラムライブラリ)インジェクション

      不正プログラムの多くは、すべてのアプリケーションがプログラムライブラリ (DLL) を自動的にロードするように、Windowsを設定します。これにより、アプリケーションが起動するたびに、DLL内の不正なルーチンが実行されるようになります。

      シェル設定の変更

      多くの不正プログラムは、Windowsシェルの設定を変更し、それらを特定のファイルタイプに関連付けます。ユーザがWindowsエクスプローラで関連付けられたファイルを開くと、このルーチンによって不正プログラムが自動的に起動します。不正プログラムは、Windowsシェルの設定を変更することで、使用されているプログラムの追跡を可能にしたり、正規のアプリケーションと一緒に自身を起動できるようにしたりします。

      サービスの追加

      Windowsサービスは、特殊な機能を持ち、通常は、フル管理アクセス権でバックグラウンドで継続して実行されるプロセスです。不正プログラムは、自身をサービスとしてインストールし、隠れた状態のままでいることがあります。

      システムファイルの変更

      特定のWindowsシステムファイルは、スタートアッププログラムやスクリーンセーバの設定を含む、システムの挙動を決定します。多くの不正プログラムは、システムファイルを変更することで、スタートアップ時に自動的に起動し、システムの挙動を制御できるようにします。

      ファイアウォールポリシー設定の変更

      Windowsファイアウォールポリシーは、ネットワークにアクセス可能なアプリケーション、通信用に開くポート、コンピュータと通信可能なIPアドレスを決定します。多くの不正プログラムは、このポリシーを変更して、自身がネットワークとインターネットへアクセスできるようにします。

      システムプロセスの変更

      多くの不正プログラムが組み込みWindowsシステムのプロセスでさまざまな処理を実行します。これらの処理には、実行中のプロセスを終了または変更するものがあります。

      スタートアッププログラムの追加

      不正なアプリケーションは、通常、Windows レジストリに自動スタート エントリを追加または変更して、コンピュータを起動するたびに自動的に起動します。

      イベント監視で監視対象のシステムイベントを検出すると、そのイベントに設定された処理を実行します。

      次の表は、管理者が監視対象のシステムイベントで実行できる処理の一覧を示します。

      表 2. 監視対象のシステムイベントでの処理

      処理

      説明

      常に許可

      ビジネスセキュリティクライアントは常にイベントに関連したプログラムの実行を許可します。

      必要に応じて問い合わせ

      ビジネスセキュリティクライアントはイベントに関連したプログラムの実行を許可または拒否するように求めるメッセージを表示し、プログラムを除外リストに追加します。

      特定の期間内にユーザが応答しない場合、ビジネスセキュリティクライアントは自動的にプログラムの実行を許可します。デフォルトの期間は30秒です。

      注:

      このオプションは、64ビットシステムのプログラムライブラリインジェクションではサポートされていません。

      常にブロック

      ビジネスセキュリティクライアントは常にイベントに関連したプログラムの実行をブロックし、イベントをログに記録します。

      プログラムがブロックされ、アラートが有効になると、ウイルスバスター ビジネスセキュリティサービスウイルスバスター ビジネスセキュリティサービスコンピュータにアラートを表示します。

    • [ランサムウェア対策]以下の[すべてのランサムウェア対策機能を有効にする]を選択します。
      重要:

      挙動監視を有効にしなければ、ランサムウェア対策が有効になりません。

      有効にしたい機能を個別に選択することもできます。

      • [不正な暗号化や変更から文書を保護]: 不正な変更から文書を保護します。

        注:

        このオプションを有効にすると、ファイルの名前の変更および削除のプロセスが停止され、これらのプロセスを実行するプログラムが隔離されます。

      • [不審なプログラムによって変更されたファイルを自動的にバックアップして復元]: 不審なプログラムの攻撃対象ファイルをバックアップし、暗号化された場合に自動的に復元を試みる機能です。

        注:

        バックアップ/復元機能を利用するためには、文書の保護機能をまず有効にする必要があります。

      • [ランサムウェアに関連付けられていることの多いプロセスをブロック]: ハイジャックに関連していることが多いプロセスをブロックすることで、ランサムウェアの攻撃からデバイスを保護します。

      • [プログラム検査を有効にして不正な実行可能ファイルを検出およびブロック]: プログラム検査は、プロセスを監視してAPIフックを行うことで、予期しない挙動を示すプログラムを特定します。これにより、不正な実行可能ファイルの全体的な検出率が高くなりますが、システムのパフォーマンスが下がる場合があります。

      • [脆弱性攻撃に関連する異常な挙動を示すプログラムを終了]: 脆弱性対策は、プログラム検査と連動してプログラムの挙動を監視し、攻撃者がプログラムの脆弱性を悪用していることを示す異常な挙動を検出します。異常が検出されると、挙動監視によってプログラムの処理が強制終了されます。

        注:

        脆弱性対策を使用するには、[プログラム検査を有効にして不正な実行可能ファイルを検出およびブロック] を選択する必要があります。

  8. [除外設定] で、必要に応じて次の項目を更新します。
    • [除外設定]: 除外設定には、承認済みプログラムリストとブロックするプログラムリストが含まれます。承認済みプログラムリスト内のプログラムは、監視対象の変更に違反する場合でも起動できます。一方、ブロックするプログラムリスト内のプログラムはいかなる場合でも起動することはできません。

      承認済みプログラムリストに隔離されたファイルを追加すると、そのファイルが元のフォルダに自動的に復元されます。

      • [プログラムのフルパスを入力]: プログラムのWindowsまたはUNCのフルパスを入力します。複数のエントリはセミコロン (;) で区切ります。[承認済みリストに追加する] または [ブロックリストに追加する] をクリックします。必要に応じて、環境変数を使用してパスを指定します。

        サポートされている環境変数の一覧については、サポートされている環境変数を参照してください。

      • [承認済みプログラムリスト]: このリスト内のプログラムは起動できます。エントリを削除するには、対応するアイコンをクリックします。

      • [ブロックするプログラムリスト]: このリスト内のプログラムは起動できません。エントリを削除するには、対応するアイコンをクリックします。

  9. [保存] をクリックします。