Issue:
Elements Endpoint Protection 機能 DataGuard によって C:\Windows\System32\svchost.exe がブロックされ、ランサムウェアのアクセス制御アラートが大量に発生しています。
この根本的な原因は何でしょうか?
Resolution:
ランサムウェア アクセス制御はDataGuard の機能であり、ユーザーは重要なデータをランサムウェアから保護することができます。詳細については、この記事とヘルプ ガイドを参照してください。
この特定のケースでは、ランサムウェアから保護するために、特定のフォルダーに対して DataGuard が有効になっています。このため、svchost.exe (正規の Windows アプリケーション) がそれらのフォルダーにあるファイルにアクセスしようとする可能性がありますが、これは DataGuard によって直ちにブロックされます。デフォルトでは、svchost.exe は DataGuard によって信頼されるアプリケーションではありません。
この検出の詳細については、Elements Endpoint Protection ポータルをご覧ください。
- Elements Endpoint Protectionポータルにログインする
- 左側のメニューから、セキュリティイベントパイロットをクリックします。
- 検出をクリックすると、同様の詳細が表示されます。
アプリケーション C:\Windows\System32\svchost.exe
ターゲットC:\Users\Username\Desktop\My Documents\ examplematerial.xlsx
プロフィールバージョンxxxxxxxxx
クライアントのタイムスタンプ 2020年10月30日 午前4時51分35秒
取引ID 0000-xxxxxxxxx
これは、 svchost.exe が、 DataGuard によって保護されているユーザーのデスクトップに保存されているexamplematerial.xlsx を変更しようとしたことを意味します。
DataGuard は、他のエンジンとは動作が異なり、可能な限り厳重に動作します (Microsoft Windows ファイルの検出も含む)。これは、一部のマルウェアが正当な Microsoft ファイルに挿入されるためで、これが DataGuard が他のエンジンに比べて厳重に動作する理由です。DataGuard では、保護されたファイルの変更を信頼できるアプリケーションのみに許可します。デフォルトでは、svchost.exe は信頼できるアプリケーションではありません。
したがって、選択肢は 1 つだけになります。そのままにしておくか (推奨)、信頼できるアプリケーションとして svchost.exe を追加するかのいずれかです。後者を実行する場合は、 ヘルプ ガイドの手順に従ってください。
Windows プロセス モニターを使用して、どの svchost プロセスがファイルを変更しようとしたかを正確に把握することもできます。
このプロセスを使用するのは、Windowsまたはサードパーティの機能である可能性もあります。必要ない場合は無効にすることができますが、これは当社の製品とは関係ありません。当社は、これらのファイルへの書き込みアクセスをブロックするだけです。
Article no: 000027366
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.