ふるまい検知

ふるまい検知は、コンピューター上でのアプリケーションの処理に関するデータを取得し、別のコンポーネントのパフォーマンスを向上するために、その情報を提供します。ふるまい検知は、アプリケーションの Behavior Stream Signatures(BSS)を使用します。アプリケーションの動作が BSS のシグネチャと一致する場合、選択された処理が実行されます。Kaspersky Endpoint Security は、Behavior Stream Signatures に基づいて、コンピューターへのプロアクティブディフェンスを実現しています。

ふるまい検知の設定

パラメータ

説明

マルウェア活動の検知時の処理

削除する:このオプションを選択した場合、悪意のある動作が検知されると、悪意のあるアプリケーションの実行ファイルを削除し、そのファイルのバックアップコピーをバックアップに作成します。

ブロックする:このオプションを選択した場合、悪意のある活動が検知されると、Kaspersky Endpoint Security はそのアプリケーションを終了します。

通知する:このオプションを選択した場合、アプリケーションの悪意のある活動が検知されると、アプリケーションは終了されませんが、悪意のある活動に関する情報がアクティブな脅威のリストに追加されます。

共有フォルダーの保護

このオプションをオンにすると、共有フォルダー上で実行される操作を分析します。これらの操作が外部からの暗号化に典型的な Behavior Stream Signatures と一致する場合、選択した処理が実行されます。

NTFS ファイルシステムで、EFS システムで暗号化されていないメディア上にあるファイルのみ外部からの暗号化をブロックします。

  • 通知する:このオプションを選択した場合、共有フォルダーにあるファイルを変更する試みが検知されると、共有フォルダーにあるファイルを変更する試みに関する情報がアクティブな脅威のリストに追加され、ローカルの製品インターフェイスレポートに項目が追加されて、検知された悪意のある活動に関する情報が Kaspersky Security Center に送信されます。
  • 接続をブロックする時間:このオプションを選択した場合、共有フォルダーにあるファイルを変更する試みが検知されると、悪意のある活動を開始したセッションのファイル変更に対するアクセスをブロックし(読み取り専用)、変更されたファイルのバックアップコピーが作成されます。

修復エンジンが有効になっていて[接続をブロックする時間]が選択されている場合、変更されたファイルがバックアップコピーから復元されます。

保護範囲

保護範囲は、Kaspersky Endpoint Security がファイルの動作を監視する共有フォルダーへのパスのリストです。Kaspersky Endpoint Security は環境変数とマスクの入力時の文字「*」および「?」をサポートします。既定では、本製品は共有フォルダーを自動的に識別し、すべてのフォルダー内のファイルの動作を監視します。

名前または IP アドレスによる除外リスト

名前または IP アドレスによる除外リスト:このリストにある、共有フォルダーの暗号化を試行したコンピューターは監視されません。

共有フォルダーの外部からの暗号からの保護で、暗号化を行う側のコンピューターの除外リストを有効にするには、Windows セキュリティポリシーでログオンの監査を有効にする必要があります。既定では、ログオンの監査は無効です。Windows での監査ポリシーを使用したセキュリティ設定の詳細については、Microsoft 社の Web サイトを参照してください。

マスクによる除外:保護範囲の除外リスト。組織で、共有フォルダーを使用したファイルの交換時にデータ暗号化が使用されている場合、保護範囲からフォルダーを除外することで誤検知の量を減らすことができます。例えば、ユーザーが共有フォルダーで拡張子 ENC のファイルを使用していると、ふるまい検知で誤検知の量が増えることがあります。このような操作は、外部からの暗号化攻撃に典型的な動作と一致します。データを保護するために共有フォルダーでファイルを暗号化した場合は、そのフォルダーを除外リストに追加します。

マスクを使用する

  • *」(アスタリスク)文字。「\」および「/」(ファイルまたはフォルダーのパスにおけるファイル名またはフォルダー名の区切り文字)を除く任意の文字列に置き換えられます。たとえば、マスク「C:\*\*.txt」は、C: ドライブ上のフォルダーにある拡張子が txt のすべてのファイルのパスを含みますが、サブフォルダーにあるファイルのパスは含みません。
  • 2 つの連続した「*」(アスタリスク)文字。ファイル名またはフォルダー名内の、「\」および「/」(ファイルまたはフォルダーのパスにおけるファイル名またはフォルダー名の区切り文字)を含む任意の文字列に置き換えられます。たとえば、マスク「C:\Folder\**\*.txt」は、「Folder」フォルダーおよびそのサブフォルダーにある拡張子が txt のすべてのファイルのパスを含みます。このマスクは、1 つ以上のフォルダーの下に指定する必要があります。ドライブ直下での「C:\**\*.txt」というマスクの指定は無効です。
  • ?」(クエスチョンマーク)。「\」および「/」(ファイルまたはフォルダーのパスにおけるファイル名またはフォルダー名の区切り文字)を除く任意の 1 文字に置き換えられます。たとえば、マスク「C:\Folder\???.txt」は、「Folder」フォルダーにある拡張子が txt でファイル名が 3 文字のすべてのファイルのパスを含みます。

参照:製品のローカルインターフェイスを使用した管理

ふるまい検知の有効化と無効化

マルウェアの動作を検知したときに実行する処理の選択

外部からの暗号化に対する共有フォルダーの保護

ページのトップに戻る