コンポーネント
説明
挙動監視検出パターンファイル (32ビット/64ビット)
不審な脅威の挙動の検出に使用するルールが含まれるパターンファイルです。
挙動監視コアドライバ (32ビット/64ビット)
このカーネルモードドライバは、システムイベントを監視して、ポリシー施行のための挙動監視コアサービスに渡します。
挙動監視コアサービス (32ビット/64ビット)
このユーザモードサービスには、次の機能があります。
  • ルートキット検出の提供
  • 外部デバイスへのアクセス規制
  • ファイル、レジストリキー、およびサービスの保護
挙動監視設定パターンファイル
挙動監視ドライバではこのパターンファイルを使用して通常のシステムイベントを識別し、それらをポリシー施行から除外します。
デジタル署名パターンファイル
このパターンファイルには、システムイベントを管理するプログラムが安全かどうかを特定するために挙動監視コアサービスで使用される、有効なデジタル署名のリストが含まれます。
ポリシー施行パターンファイル
挙動監視コアサービスでは、このパターンファイルのポリシーに照らしてシステムイベントがチェックされます。
メモリ検索実行パターンファイル (32ビット/64ビット)
挙動監視は、次の操作が実行されたことを検知すると、メモリ検索実行パターンファイルを使用して潜在的な脅威を特定します。
  • ファイル書き込み処理
  • レジストリ書き込み処理
  • 新しいプロセスの作成
これらの操作のいずれかを検出すると、挙動監視は、リアルタイム検索のメモリ検査パターンファイルを呼び出してセキュリティリスクがあるかどうかをチェックします。
リアルタイム検索の詳細については、「メモリ検査パターンファイル」を参照してください。
ダメージリカバリエンジン
ダメージリカバリエンジンは、不審な脅威によってファイルの変更やその他の不正な処理が実行される前に、システムイベントとバックアップファイルを受け取ります。また、ファイルのリカバリリクエストを受け取った後に、影響を受けたファイルを復元します。
ダメージリカバリパターンファイル
ダメージリカバリパターンファイルには、不審な脅威の挙動監視に使用されるポリシーが含まれています。
プログラム検査監視パターンファイル
プログラム検査監視パターンファイルは、挙動監視に使用される検査ポイントを監視し、保存します。