アダプティブアノマリーコントロールルールの除外の作成と編集

アダプティブアノマリーコントロールルールの除外を 1000 個を超えて作成することはできません。また、200 個を超える除外を作成することも推奨されません。使用する除外の件数を少なくするには、除外の指定時にマスクを使用することが推奨されます。

アダプティブアノマリーコントロールルールの除外には、ソースオブジェクトとターゲットオブジェクトの説明が含まれます。ソースオブジェクトとは、処理を実行しているオブジェクトです。ターゲットオブジェクトとは、処理が実行されているオブジェクトです。たとえば、「file.xlsx」という名前のファイルを開いたとします。このとき、拡張子が DLL のライブラリファイルがコンピューターメモリに読み込まれます。このライブラリがブラウザー(実行ファイル名は「browser.exe」)で使用されたとします。この場合、「file.xlsx」がソースオブジェクトで、Excel がソースプロセス、「browser.exe」がターゲットオブジェクト、ブラウザーがターゲットプロセスになります。

アダプティブアノマリーコントロールルールの除外の作成と編集を行うには:

  1. メインウィンドウで、[設定]をクリックします。
  2. 本製品の設定ウィンドウで、[セキュリティコントロール]→[アダプティブアノマリーコントロール]の順に選択します。
  3. ウィンドウの右側にある表から対象のルールを選択します。
  4. 編集]をクリックします。

    アダプティブアノマリーコントロールルール]ウィンドウが開きます。

  5. 次のいずれかの手順を実行します:
    • 除外を追加するには、[追加]をクリックします。
    • 既存の除外を編集するには、[除外]の表から目的の行を選択して[編集]をクリックします。

    ルールからの除外]ウィンドウが開きます。

  6. 説明]に、除外の説明を入力します。
  7. ユーザー]フィールドの横の[参照]をクリックして、除外を適用するユーザーを指定します。

    Microsoft Windows 標準の[ユーザーまたはグループの選択]ウィンドウが開きます。

  8. ソースオブジェクトまたはオブジェクトが開始したソースプロセスの設定を指定します:
    • ソースプロセス:ファイルまたはファイルが含まれているフォルダーのパスまたはパスのマスク(例:「C:\Dir\File.exe」または「Dir\*.exe」)
    • ソースプロセスのハッシュファイルのハッシュ値。
    • ソースオブジェクト:ファイルまたはファイルが含まれているフォルダーのパスまたはパスのマスク(例:「C:\Dir\File.exe」または「Dir\*.exe」)。たとえば、ターゲットプロセスを起動するスクリプトまたはマクロを使用するファイルのパスとして「document.docm」を指定します。

      Web アドレス、マクロ、コマンドラインのコマンド、レジストリパスなどのその他の種別のオブジェクトを指定することもできます。「object://<オブジェクト>」という形式でオブジェクトを指定してください。「<オブジェクト>」にはオブジェクト名が入るように、「object://web.site.example.com」「object://VBA」「object://ipconfig」「object://HKEY_USERS」などのように指定します。「object://*C:\Windows\temp\*」のようにマスクを使用することもできます。

    • ソースオブジェクトのハッシュ:ファイルのハッシュ値。

    指定したオブジェクトが実行した処理、またはオブジェクトによって起動されたプロセスに対しては、アダプティブアノマリーコントロールルールが適用されません。

  9. ターゲットオブジェクトまたはオブジェクトが開始したターゲットプロセスの設定を指定します:
    • ターゲットプロセス:ファイルまたはファイルが含まれているフォルダーのパスまたはパスのマスク(例:「C:\Dir\File.exe」または「Dir\*.exe」)
    • ターゲットプロセスのハッシュ:ファイルのハッシュ値。
    • ターゲットオブジェクト:ターゲットプロセスを起動するコマンド。「object://<コマンド>」という形式で、「object://cmdline:powershell -Command "$result = 'C:\windows\temp\result_local_users_pwdage txt'"」などのようにコマンドを指定します。「object://*C:\windows\temp\*」のようにマスクを使用することもできます。
    • ターゲットオブジェクトのハッシュ:ファイルのハッシュ値。

    指定したオブジェクトに対して実行された処理、またはオブジェクトに対して起動されたプロセスに対しては、アダプティブアノマリーコントロールルールが適用されません。

  10. 変更内容を保存します。
ページのトップに戻る