脅威の発生時に実行されるステップ

1. ユーザまたはプロセスが何らかのアクションを実行しようとします。
2. そのアクションは、定義済みルールに従ってアクセス保護によって検査されます。
3. ルールに違反している場合は、ユーザまたはプロセスによって要求されたアクションは、設定されたルール内の情報を使用して管理されます。たとえば、そのアクションによって何も発生しないか、そのアクションがブロックされるか、またはそのアクションがブロックされた上でレポートが送信されます。
4. アクセス保護のログ ファイルが更新されて、ePolicy Orchestrator のグローバル管理者に対してイベントが生成されます。

アクセス脅威の例

1. ユーザが MyProgram.exe というプログラムをインターネットからダウンロードします。
   注意: この例では、MyProgram.exe はマルウェアではありません。
2. ユーザはこのプログラムを起動して、正常に起動されたように見えます。
3. 次に MyProgram.exe は AnnoyMe.exe という子プロセスを起動して、このプロセスはオペレーティング システムに変更を加えて、このプロセスがオペレーティング システムの起動時に常にロードされるようにします。
4. アクセス保護はこの要求を処理して、ブロックおよびレポートするように設定された既存のルールと照らし合わせます。
5. AnnoyMe.exe は、オペレーティング システムに変更を加えようとしたときにアクセスを拒否され、アクセス保護はこの変更試行の詳細をログに記録して、 ePolicy Orchestrator のグローバル管理者に対してアラートを生成します。

ログ レポートおよび生成されたアラート

次にアクセス保護のログ エントリの例を示します。

  2/10/2010 11:00AM アクセス保護によってブロック TestDomain\TestUser C:\Users\TestUser\Desktop\AnnoyMe.exe \REGISTRY\MACHINE\SOFTWARE\Microsoft\Window\CurrentVersion\Run\ プログラムの自動実行登録を防止する  

同様の情報を ePolicy Orchestrator のクエリを使用して取得できます。詳細については、「クエリおよびダッシュボードへのアクセス」を参照してください。