挙動監視のルールと除外の設定

ビュー:

ランサムウェア、脆弱性攻撃、および新たに出現した脅威からエンドポイントを保護するように挙動監視ポリシーを設定します。不正プログラムの脅威に共通する挙動を診断またはブロックするには、イベント監視機能を使用します。

注:

Windows Serverコンピュータでは、いずれのバージョンでも初期設定で挙動監視が無効になっています。

[不正プログラム挙動ブロック] セクションで、次の手順を実行します。
1. [不正プログラム挙動ブロックを有効にする] を選択し、ブロックする脅威の種類を指定します。
  - 既知の脅威: 既知の不正プログラムの脅威に関連する挙動をブロックします。
  - 既知の脅威と潜在的な脅威: 既知の脅威に関連付けられた挙動をブロックし、潜在的に不正な挙動に対して処理を実行します。
2. 有効にするランサムウェア対策オプションを選択します。
  - 不正な暗号化や変更から文書を保護: 潜在的なランサムウェアによる文書の暗号化や変更を防止します。
    - 不審なプログラムによって変更されたファイルを自動的にバックアップして復元: ランサムウェアの脅威が検出された場合に、暗号化されたファイルのバックアップコピーをエンドポイントに作成してデータの損失を防止します。
      
      注:
      自動ファイルバックアップを実行するには、エージェントエンドポイントに100MB以上のディスク容量が必要です。また、バックアップされるのは10MB未満のファイルだけです。
  - ランサムウェアに関連付けられていることの多いプロセスをブロック: 既知のランサムウェアに関連付けられているプロセスをブロックして、文書の暗号化や変更を防止します。
  - プログラム検査を有効にして不正な実行可能ファイルを検出およびブロック: プログラム検査は、プロセスを監視してAPIフックを行うことで、予期しない挙動を示すプログラムを特定します。これにより、不正な実行可能ファイルの全体的な検出率が高くなりますが、システムのパフォーマンスが下がる場合があります。
    
    ヒント:
    [ブロックする脅威] リストから [既知の脅威と潜在的な脅威] を選択すると、プログラム検査によるセキュリティが向上します。
  詳細については、ランサムウェア対策を参照してください。
3. [脆弱性対策] で [脆弱性攻撃に関連する異常な挙動を示すプログラムを終了] を有効にし、プログラムの潜在的な脆弱性を悪用した攻撃を防止します。
  注:
  脆弱性対策を使用するには、[プログラム検査を有効にして不正な実行可能ファイルを検出およびブロック] を選択する必要があります。
  
  詳細については、脆弱性対策を参照してください。
  
  重要:
  脆弱性対策はリアルタイム検索 (メモリで検出された不正プログラムの変種/亜種を隔離する) と連携して、ファイルレス攻撃からの保護を強化します。
  
  詳細については、リアルタイム検索: [対象] タブを参照してください。
[新たに検出されたプログラム] セクションで、[Webまたはメールアプリケーションチャネルを介してダウンロードされた新たなプログラムを監視する] を有効にし、ダウンロードされたプログラムの実行前にユーザにメッセージを表示するか、Apex Oneでログへの記録だけを行うかを選択します。
[イベント監視] セクションで、次の手順を実行します。
1. [イベント監視を有効にする] を選択します。
2. [詳細な設定を指定] をクリックして、監視するイベントの種類を選択します。
3. 監視するシステムイベントを選択し、選択したイベントごとに処理を選択します。
  監視対象のシステムイベントの詳細については、イベント監視を参照してください。
[除外] タブをクリックし、除外リストを設定します。
1. [プログラムのフルパスを入力してください] で、承認またはブロックするプログラムのフルパスを入力します。
  複数のエントリを区切るには、セミコロン (;) を使用します。
2. [承認済みリストに追加]、または [ブロックリストに追加] をクリックします。
3. ブロックするプログラムまたは承認済みプログラムをリストから削除するには、プログラムの横にあるごみ箱アイコン () をクリックします。
  注:
  Apex Oneでは、承認済みプログラムとブロックするプログラムを合計1,024個まで指定できます。