アクセス脅威の阻止方法

アクセス保護機能の設定を有効化または変更することで、スパイウェア対策保護、ウイルス対策保護、共通保護、仮想マシン保護を設定して、独自の保護ルールを定義できます。以下では、VirusScan Enterprise がアクセス保護を実現するために使用する基本的なプロセスを示しています。


脅威の発生時に実行されるステップ

  1. ユーザまたはプロセスが何らかのアクションを実行しようとします。
  2. そのアクションは、定義済みルールに従ってアクセス保護によって検査されます。
  3. ルールに違反している場合は、ユーザまたはプロセスによって要求されたアクションは、設定されたルール内の情報を使用して管理されます。たとえば、そのアクションによって何も発生しないか、そのアクションがブロックされるか、またはそのアクションがブロックされた上でレポートが送信されます。
  4. アクセス保護のログ ファイルが更新されて、ePolicy Orchestrator のグローバル管理者に対してイベントが生成されます。

アクセス脅威の例

  1. ユーザが MyProgram.exe というプログラムをインターネットからダウンロードします。
    注意: この例では、MyProgram.exe はマルウェアではありません。
  2. ユーザはこのプログラムを起動して、正常に起動されたように見えます。
  3. 次に MyProgram.exeAnnoyMe.exe という子プロセスを起動して、このプロセスはオペレーティング システムに変更を加えて、このプロセスがオペレーティング システムの起動時に常にロードされるようにします。
  4. アクセス保護はこの要求を処理して、ブロックおよびレポートするように設定された既存のルールと照らし合わせます。
  5. AnnoyMe.exe は、オペレーティング システムに変更を加えようとしたときにアクセスを拒否され、アクセス保護はこの変更試行の詳細をログに記録して、 ePolicy Orchestrator のグローバル管理者に対してアラートを生成します。

ログ レポートおよび生成されたアラート

次にアクセス保護のログ エントリの例を示します。

  2/10/2010 11:00AM アクセス保護によってブロック TestDomain\TestUser C:\Users\TestUser\Desktop\AnnoyMe.exe \REGISTRY\MACHINE\SOFTWARE\Microsoft\Window\CurrentVersion\Run\ プログラムの自動実行登録を防止する  
次の表では、上記のアクセス保護ログ エントリ内のデータについて説明しています。

ログ エントリ 説明
2/10/2010 日付
11:00AM 時刻
アクセス保護ルールによってブロッ
実行されたアクション
TestDomain\TestUser 資格情報
C:\Users\TestUser\Desktop\AnnoyMe.exe ルールに違反したプロセスの名前
\REGISTRY\MACHINE\SOFTWARE\Microsoft… プロセスがアクセスしようとした場所
プログラムの自動実行登録を防止する トリガされたアクセス保護ルール

同様の情報を ePolicy Orchestrator のクエリを使用して取得できます。詳細については、「クエリおよびダッシュボードへのアクセス」を参照してください。

アクセス脅威の阻止方法