ビュー:

イベント監視は、不正なソフトウェアおよび不正なプログラムによる攻撃に対して保護するためのより一般的なアプローチを提供します。イベント監視では、システムエリアで特定のイベントを監視して、管理者がこのようなイベントを実行するプログラムを制御できるようにします。不正プログラム挙動ブロックで提供される保護を超える特別なシステム要件がある場合は、イベント監視を使用してください。

次の表は監視対象のシステムイベントの一覧を示しています。

表 1. 監視対象のシステムイベント

イベント

説明

システムファイルの複製

多くの不正プログラムは、Windowsシステムファイルが使用しているファイル名を使って、自分自身または他の不正プログラムのコピーを作成します。これは、通常、システムファイルの上書きまたは置換、検出の回避、またはユーザによる不正ファイルの削除を阻止する目的で実行されます。

Hostsファイルの変更

Hostsファイルは、ドメイン名とIPアドレスを比較し、一致しているかどうかを確認します。不正プログラムの多くは、感染したWebサイト、存在しないWebサイト、または偽のWebサイトにWebブラウザをリダイレクトするようにHostsファイルを変更します。

不審な挙動

不審な挙動とは、正規プログラムではまれにしか実行されない特定の処理または処理グループです。不審な挙動を示すプログラムは、注意して使用する必要があります。

Internet Explorerプラグインの追加

スパイウェア/グレーウェアは、多くの場合、ツールバーやブラウザヘルパーオブジェクトを含む不要なInternet Explorerプラグインをインストールします。

Internet Explorer設定の変更

不正プログラムは、ホームページ、信頼するWebサイト、プロキシサーバの設定、メニュー拡張などのInternet Explorerの設定を変更することがあります。

セキュリティポリシー設定の変更

Windowsセキュリティポリシーを変更して、不要なアプリケーションを実行し、システム設定を変更させる場合があります。

DLL (プログラムライブラリ) インジェクション

不正プログラムの多くは、すべてのアプリケーションがプログラムライブラリ (DLL) を自動的にロードするように、Windowsを設定します。これにより、アプリケーションが起動するたびに、DLL内の不正なルーチンが実行されるようになります。

シェル設定の変更

多くの不正プログラムは、Windowsシェルの設定を変更し、それらを特定のファイルタイプに関連付けます。ユーザがWindowsエクスプローラで関連付けられたファイルを開くと、このルーチンによって不正プログラムが自動的に起動します。不正プログラムは、Windowsシェルの設定を変更することで、使用されているプログラムの追跡を可能にしたり、正規のアプリケーションと一緒に自身を起動できるようにしたりします。

サービスの追加

Windowsサービスは特殊な機能を持ち、通常はフル管理アクセス権でバックグラウンドで継続して実行されるプロセスです。不正プログラムは、自身をサービスとしてインストールし、隠れた状態のままでいることがあります。

システムファイルの変更

特定のWindowsシステムファイルは、スタートアッププログラムやスクリーンセーバの設定を含む、システムの挙動を決定します。多くの不正プログラムは、システムファイルを変更することで、スタートアップ時に自動的に起動し、システムの挙動を制御できるようにします。

ファイアウォールポリシー設定の変更

Windowsファイアウォールポリシーは、ネットワークにアクセス可能なアプリケーション、通信用に開くポート、コンピュータと通信可能なIPアドレスを決定します。多くの不正プログラムは、このポリシーを変更して、自身がネットワークとインターネットへアクセスできるようにします。

システムプロセスの変更

多くの不正プログラムが組み込みWindowsシステムのプロセスでさまざまな処理を実行します。これらの処理には、実行中のプロセスを終了または変更するものがあります。

スタートアッププログラムの追加

不正なアプリケーションは、通常、Windowsレジストリに自動スタートエントリを追加または変更して、コンピュータを起動するたびに自動的に起動します。

イベント監視で監視対象のシステムイベントを検出すると、そのイベントに設定された処理を実行します。

次の表は、管理者が監視対象のシステムイベントで実行できる処理の一覧を示します。

表 2. 監視対象のシステムイベントでの処理

処理

説明

診断

セキュリティエージェントは常にイベントに関連したプログラムの実行を許可し、診断用にイベントをログに記録します。

これは、すべての監視対象のシステムイベントのデフォルトの処理です。

注:

このオプションは、64ビットシステムのプログラムライブラリインジェクション (DLLインジェクション) イベントではサポートされていません。

許可

セキュリティエージェントは常にイベントに関連したプログラムの実行を許可します。

必要に応じて問い合わせ

セキュリティエージェントはイベントに関連したプログラムの実行を許可または拒否するように求めるメッセージを表示し、プログラムを除外リストに追加します。

特定の期間内にユーザが応答しない場合、セキュリティエージェントは自動的にプログラムの実行を許可します。デフォルトの期間は30秒です。

この時間を変更するには、グローバル挙動監視設定を参照してください。

注:

このオプションは、64ビットシステムのプログラムライブラリインジェクション (DLLインジェクション) イベントではサポートされていません。

拒否

セキュリティエージェントは常にイベントに関連したプログラムの実行をブロックし、イベントをログに記録します。

通知が有効になっているプログラムをブロックした後、セキュリティエージェントはエンドポイントに通知を表示します。

通知の詳細については、セキュリティエージェントユーザへの挙動監視通知を参照してください。