アダプティブアノマリーコントロールルールの除外の作成

アダプティブアノマリーコントロールルールの除外を 1000 個を超えて作成することはできません。また、200 個を超える除外を作成することも推奨されません。使用する除外の件数を少なくするには、除外の指定時にマスクを使用することが推奨されます。

アダプティブアノマリーコントロールルールの除外には、ソースオブジェクトとターゲットオブジェクトの説明が含まれます。ソースオブジェクトとは、処理を実行しているオブジェクトです。ターゲットオブジェクトとは、処理が実行されているオブジェクトです。たとえば、「file.xlsx」という名前のファイルを開いたとします。このとき、拡張子が DLL のライブラリファイルがコンピューターメモリに読み込まれます。このライブラリがブラウザー(実行ファイル名は「browser.exe」)で使用されたとします。この場合、「file.xlsx」がソースオブジェクトで、Excel がソースプロセス、「browser.exe」がターゲットオブジェクト、ブラウザーがターゲットプロセスになります。

アダプティブアノマリーコントロールルールの除外を作成するには:

  1. メインウィンドウで歯車の形をした製品設定アイコン。 をクリックします。
  2. 本製品の設定ウィンドウで、[セキュリティコントロール]→[アダプティブアノマリーコントロール]を選択します。
  3. ルール]ブロックの[ルールの編集]をクリックします。

    アダプティブアノマリーコントロールルールのリストが開きます。

  4. ルールを選択します。
  5. 編集する]をクリックします。

    アダプティブアノマリーコントロールルールのプロパティウィンドウが開きます。

  6. 除外リスト]ブロックの[追加]をクリックします。

    除外リストのプロパティウィンドウが表示されます。

  7. 除外リストを設定するユーザーを選択します。

    ユーザーは、Active Directory または Kaspersky Security Center のアカウントのリストで選択するか、ローカルユーザー名を手入力して選択することができます。ローカルユーザーアカウントを使用するのは、ドメインユーザーアカウントを使用できない特別な状況のみにすることを推奨します。

    アダプティブアノマリーコントロールはユーザーグループに対する除外リストをサポートしません。ユーザーグループを選択すると、Kaspersky Endpoint Security は除外リストを適用しません。

  8. 説明]に、除外の説明を入力します。
  9. ソースオブジェクトまたはオブジェクトが開始したソースプロセスの設定を指定します:
    • ソースプロセス:ファイルまたはファイルが含まれているフォルダーのパスまたはパスのマスク(例:「C:\Dir\File.exe」または「Dir\*.exe」)。
    • ソースプロセスのハッシュ:ファイルのハッシュ値。
    • ソースオブジェクト:ファイルまたはファイルが含まれているフォルダーのパスまたはパスのマスク(例:「C:\Dir\File.exe」または「Dir\*.exe」)。たとえば、ターゲットプロセスを起動するスクリプトまたはマクロを使用するファイルのパスとして「document.docm」を指定します。

      Web アドレス、マクロ、コマンドラインのコマンド、レジストリパスなどのその他の種別のオブジェクトを指定することもできます。「object://<object>」という形式でオブジェクトを指定してください。「<object>」にはオブジェクト名が入るように、「object://web.site.example.com」、「object://VBA」、「object://ipconfig」、「object://HKEY_USERS」などのように指定します。「object://*C:\Windows\temp\*」のようにマスクを使用することもできます。

    • ソースオブジェクトのハッシュ:ファイルのハッシュ値。

    指定したオブジェクトが実行した処理、またはオブジェクトによって起動されたプロセスに対しては、アダプティブアノマリーコントロールルールが適用されません。

  10. ターゲットオブジェクトまたはオブジェクトが開始したターゲットプロセスの設定を指定します:
    • ターゲットプロセス:ファイルまたはファイルが含まれているフォルダーのパスまたはパスのマスク(例:「C:\Dir\File.exe」または「Dir\*.exe」)。
    • ターゲットプロセスのハッシュ:ファイルのハッシュ値。
    • ターゲットオブジェクト:ターゲットプロセスを起動するコマンド。「object://<command>」という形式で、「object://cmdline:powershell -Command "$result = 'C:\Windows\temp\result_local_users_pwdage.txt'"」などのようにコマンドを指定します。「object://*C:\Windows\temp\*」のようにマスクを使用することもできます。
    • ターゲットオブジェクトのハッシュ:ファイルのハッシュ値。

    指定したオブジェクトに対して実行された処理、またはオブジェクトに対して起動されたプロセスに対しては、アダプティブアノマリーコントロールルールが適用されません。

  11. 変更内容を保存します。
ページのトップに戻る