Issue:
ディープガード Security アラートは、Elements Endpoint Protection ポータルのセキュリティ イベントリストまたは Policy Manager コンソールのアラートリストに送信されます。
例:
セキュリティ警告: ディープガード は、信頼できないアプリケーションによる別のプロセスの変更を防止しました。
詳細: ディープガード は、信頼できないアプリケーションによる別のプロセスの変更を防止しました。アプリケーション パス: C:\Program Files\exampleprogram\examplefile.exe ファイル ハッシュ: 2179dde55137b4a228135af0b45acc7752e13e15
これは誤検知である可能性があり、ファイルを除外できるでしょうか?
Resolution:
ディープガードには、プロセスが WithSecure のプロセスを終了するのを防ぐ自己保護機能が装備されています。 ディープガード は、プログラムが終了権限でWithSecureプロセス情報にアクセスするために使用するOpenProcess関数を監視します。
ディープガード は、プログラムがPROCESS_TERMINATEフラグを使用してWithSecureプロセスを開こうとしていることを検出すると、ブロック メッセージを表示してフラグを削除し、プログラムがプロセスを終了できないようにします。
ディープガード は終了権限を削除するだけなので、このアラートはアクセサー プログラムの機能には影響しません。したがって、呼び出されるOpenProcessはWithSecureプロセスに対してより安全になります。
誤検知ではないことを確認したい場合は、サンプル チケットの送信を開くことができます。
誤検知であることが確実で、アラートを表示したくない場合は、回避策として、パスとファイル名を使用するか、アラートに表示される SHA1 値を除外することによって、プログラムを直接除外できます。
除外を追加するには、次の手順に従います。
Policy Manager ポリシーを使用するビジネス スイート (クライアント セキュリティとサーバー セキュリティ) の場合:
- ポリシー マネージャー コンソールにログインします。
- ドメイン ツリーからポリシー ドメインまたはホストを選択します
- 「設定」タブに移動します
- リアルタイムスキャン設定に移動します
- 「スキャンから除外されたファイルとアプリケーション」テーブルまでスクロールし、 「次のファイルとアプリケーションをスキャンない」を有効にします。
- 「追加」をクリックします
- スコープをすべてのスキャンに設定し、ドロップダウン メニューからファイル パスを選択します。
- ファイル パスC:\Program Files\Exampleprogram\examplefile.exeを追加し、 [OK]をクリックします。
- ポリシーを配布する (Ctrl + D)
ポータル プロファイルを使用した Elements Endpoint Protection (EPP for Computers および EPP for Servers) の場合:- Elements Security Center にログインします: https://elements.withsecure.com
- 左側のメニューから「セキュリティ構成」セクションを開きます
- プロフィールページに移動します
- デバイスが使用しているプロファイルを選択します
- 一般設定ページに移動します
- [すべてのセキュリティ スキャンからフォルダーとファイルを除外する]セクションまで下にスクロールし、 [除外を追加] をクリックします。
- 「パス」フィールドに以下を追加します。
- 特定のアプリケーションを除外する場合は、アプリケーションのフルパス
- フォルダーとそのサブフォルダーを除外する場合のフォルダー パス
- 「保存して公開」をクリックします
SHA-1 をディープガード保護ルールに手動で追加することもできます。 ディープガードに SHA-1 除外を手動で追加するには、次の手順に従います。- Elements ポータルにログインします
- 左側のメニューから「セキュリティ構成」セクションを開きます
- 左側の「プロファイル」タブを選択します
- 除外を追加するプロファイルを選択します
- 左側の「リアルタイム スキャン」を選択します。
- ディープガード保護ルールまで下にスクロールします
- 「ルールの追加」をクリックします
- SHA1 ハッシュとアプリケーションに関するメモを入力します。
- 「保存して公開」をクリックします
Article no: 000029044
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.