不正プログラム挙動ブロック、イベント監視、および除外リストの設定

[エージェント] > [エージェント管理] に移動します。

エージェントツリーで、ルートドメインアイコン (

) をクリックしてすべてのエージェントを含めるか、特定のドメインまたはエージェントを選択します。

[設定] > [挙動監視設定] の順にクリックします。

[ルール] タブをクリックします。

[不正プログラム挙動ブロック] セクションで、次の手順を実行します。

[不正プログラム挙動ブロックを有効にする] を選択し、ブロックする脅威の種類を指定します。
- 既知の脅威: 既知の不正プログラムの脅威に関連する挙動をブロックします。
- 既知の脅威と潜在的な脅威: 既知の脅威に関連付けられた挙動をブロックし、潜在的に不正な挙動に対して処理を実行します。
有効にするランサムウェア対策オプションを選択します。
- 不正な暗号化や変更から文書を保護: 潜在的なランサムウェアによる文書の暗号化や変更を防止します。
  - 不審なプログラムによって変更されたファイルを自動的にバックアップして復元: ランサムウェアの脅威が検出された場合に、暗号化されたファイルのバックアップコピーをエンドポイントに作成してデータの損失を防止します。
    
    注:
    自動ファイルバックアップを実行するには、エージェントエンドポイントに100MB以上のディスク容量が必要です。また、バックアップされるのは10MB未満のファイルだけです。
- ランサムウェアに関連付けられていることの多いプロセスをブロック: 既知のランサムウェアに関連付けられているプロセスをブロックして、文書の暗号化や変更を防止します。
- プログラム検査を有効にして不正な実行可能ファイルを検出およびブロック: プログラム検査は、プロセスを監視してAPIフックを行うことで、予期しない挙動を示すプログラムを特定します。これにより、不正な実行可能ファイルの全体的な検出率が高くなりますが、システムのパフォーマンスが下がる場合があります。
  
  ヒント:
  [ブロックする脅威] リストから [既知の脅威と潜在的な脅威] を選択すると、プログラム検査によるセキュリティが向上します。
詳細については、ランサムウェア対策を参照してください。
[脆弱性対策] で [脆弱性攻撃に関連する異常な挙動を示すプログラムを終了] を有効にし、プログラムの潜在的な脆弱性を悪用した攻撃を防止します。
注:
脆弱性対策を使用するには、[プログラム検査を有効にして不正な実行可能ファイルを検出およびブロック] を選択する必要があります。

詳細については、脆弱性対策を参照してください。

[新たに検出されたプログラム] セクションで、[Webまたはメールアプリケーションチャネルを介してダウンロードされた新たなプログラムを監視する] を有効にし、ダウンロードされたプログラムの実行前にユーザにメッセージを表示するか、Apex Oneでログへの記録だけを行うかを選択します。

[イベント監視] セクションで、次の手順を実行します。

[イベント監視を有効にする] を選択します。
監視するシステムイベントを選択し、選択したイベントごとに処理を選択します。
監視対象のシステムイベントの詳細については、イベント監視を参照してください。

[除外] タブをクリックし、除外リストを設定します。

[プログラムのフルパスを入力してください] で、承認またはブロックするプログラムのフルパスを入力します。
[承認済みリストに追加]、または [ブロックリストに追加] をクリックします。
ブロックするプログラムまたは承認済みプログラムをリストから削除するには、プログラムの横にあるごみ箱アイコン () をクリックします。
注:
Apex Oneでは、承認済みプログラムとブロックするプログラムを合計1,024個まで指定できます。

エージェントツリーでドメインまたはエージェントを選択した場合は、[保存] をクリックします。ルートドメインアイコンをクリックした場合は、次のオプションのいずれかを選択します。

すべてのエージェントに適用: すべての既存のエージェント、および既存または今後追加されるドメインに加えられる新しいエージェントに、設定を適用します。今後追加されるドメインとは、設定を指定した時点でまだ作成されていないドメインのことです。
今後追加されるドメインにのみ適用: 今後追加されるドメインに加えられるエージェントにのみ設定を適用します。このオプションでは、既存のドメインに加えられる新しいエージェントには設定を適用しません。