アダプティブアノマリーコントロールルールの除外の作成

アダプティブアノマリーコントロールルールの除外を 1000 個を超えて作成することはできません。また、200 個を超える除外を作成することも推奨されません。使用する除外の件数を少なくするには、除外の指定時にマスクを使用することが推奨されます。

アダプティブアノマリーコントロールルールの除外には、ソースオブジェクトとターゲットオブジェクトの説明が含まれます。ソースオブジェクトとは、処理を実行しているオブジェクトです。ターゲットオブジェクトとは、処理が実行されているオブジェクトです。たとえば、「file.xlsx」という名前のファイルを開いたとします。このとき、拡張子が DLL のライブラリファイルがコンピューターメモリに読み込まれます。このライブラリがブラウザー(実行ファイル名は「browser.exe」)で使用されたとします。この場合、「file.xlsx」がソースオブジェクトで、Excel がソースプロセス、「browser.exe」がターゲットオブジェクト、ブラウザーがターゲットプロセスになります。

アダプティブアノマリーコントロールルールの除外を作成するには:

  1. メインウィンドウで、icon_settings をクリックします。
  2. 本製品の設定ウィンドウで、[セキュリティコントロール]→[アダプティブアノマリーコントロール]の順に選択します。
  3. ルール]ブロックで、[ルールの編集]ボタンをクリックします。

    アダプティブアノマリーコントロールルールのリストが開きます。

  4. ルールを選択します。
  5. 編集]をクリックします。

    アダプティブアノマリーコントロールルールのプロパティウィンドウが開きます。

  6. 除外リスト]ブロックで、[追加]をクリックします。

    除外リストのプロパティウィンドウが表示されます。

  7. 除外リストを設定するユーザーを選択します。

    アダプティブアノマリーコントロールはユーザーグループに対する除外リストをサポートしません。ユーザーグループを選択すると、Kaspersky Endpoint Security は除外リストを適用しません。

  8. 説明]に、除外の説明を入力します。
  9. ソースオブジェクトまたはオブジェクトが開始したソースプロセスの設定を指定します:
    • ソースプロセス:ファイルまたはファイルが含まれているフォルダーのパスまたはパスのマスク(例:「C:\Dir\File.exe」または「Dir\*.exe」)。
    • ソースプロセスのハッシュ:ファイルのハッシュ値。
    • ソースオブジェクト:ファイルまたはファイルが含まれているフォルダーのパスまたはパスのマスク(例:「C:\Dir\File.exe」または「Dir\*.exe」)。たとえば、ターゲットプロセスを起動するスクリプトまたはマクロを使用するファイルのパスとして「document.docm」を指定します。

      Web アドレス、マクロ、コマンドラインのコマンド、レジストリパスなどのその他の種別のオブジェクトを指定することもできます。次の形式でオブジェクトを指定してください:形式:「object://<オブジェクト>」。「<オブジェクト>」にはオブジェクト名が入るように、「object://web.site.example.com」「object://VBA」「object://ipconfig」「object://HKEY_USERS」などのように指定します。「object://*C:\Windows\temp\*」のようにマスクを使用することもできます。

    • ソースオブジェクトのハッシュ:ファイルのハッシュ値。

    指定したオブジェクトが実行した処理、またはオブジェクトによって起動されたプロセスに対しては、アダプティブアノマリーコントロールルールが適用されません。

  10. ターゲットオブジェクトまたはオブジェクトが開始したターゲットプロセスの設定を指定します:
    • ターゲットプロセス:ファイルまたはファイルが含まれているフォルダーのパスまたはパスのマスク(例:「C:\Dir\File.exe」または「Dir\*.exe」)。
    • ターゲットプロセスのハッシュ:ファイルのハッシュ値。
    • ターゲットオブジェクト:ターゲットプロセスを起動するコマンド。「object://<コマンド>」という形式で、「object://cmdline:powershell -Command "$result = 'C:\Windows\temp\result_local_users_pwdage txt'"」などのようにコマンドを指定します。「object://*C:\Windows\temp\*」のようにマスクを使用することもできます。
    • ターゲットオブジェクトのハッシュ:ファイルのハッシュ値。

    指定したオブジェクトに対して実行された処理、またはオブジェクトに対して起動されたプロセスに対しては、アダプティブアノマリーコントロールルールが適用されません。

  11. 変更内容を保存します。
ページのトップに戻る