権限ルールを使用すると、動作の許可、動作の許可と記録、または Cb Defense による特 定のパスの完全なバイパスを⾏うことができます。
たとえば、" パス … のアプリケーションが … の操作を実⾏しようとした場合、バイパス する " というルールでは、Cb Defense はそのパスでのすべての動作を棄却します。この バイパス ルールにより、このパスで処理される動作が⼀切認識されなくなるため、セキ ュリティ リスクが生じるおそれがあります。合致するパスから実⾏されるマルウェアは センサーによって検出されず、Cb Defense バックエンドに記録されません。
ポリシー ルール (バイパス ルールを含む) では、UNC パスがサポートされます。
権限ルールを作成するケースとして次が挙げられます。
• その他の AV 製品やセキュリティ製品の例外の設定
• ソフトウェア開発者のワークステーションの障害除去
[Policy (ポリシー)] ページの左側にある [Policy (ポリシー)] パネルでポリシーを選 択すると、そのポリシーに関連する権限が右側の [Permissions(権限)] パネルに表示さ れます。
権限ルールを作成または編集する :
1. 左側のパネルで、表示または編集するポリシーを選択します。
2. [Policy (ポリシー)] ページの右側のパネルで、[Cb Defense Settings (Cb Defense 設定)] タブをクリックし、[Permissions(権限)] の横にある矢印をクリックします。
3. [Add Application Path(アプリケーション パスの追加)] をクリックするか、既存の ルールの隣にある鉛筆アイコンをクリックして編集します。
4. アプリケーション パスを⼊力します。複数のパスをコンマで区切って⼊力できます。
5. [Operation Attempt (操作の試⾏)] と目的の [Action (アクション)] を選択し、
[Confirm (確認)] をクリックします。ごみ箱アイコンをクリックすると、ルールを 削除できます。
6. ポリシーの変更が完了したら、[Save (保存)] をクリックします。
ポリシーから別のポリシーまたはすべてのポリシーにルールをコピーすることができま す。“ ルールのコピー ” を参照してください。
次の表では、[Permissions (権限)] パネルについて説明します。
注意
任意のルールの横にある [Investigate (調査)] アイコンをクリックすると、
[Investigate (調査)] ページが開き、ルール プロパティに設定されている検 索パラメーターが使用されます。“ アラートの調査 ” を参照してください。
表 25: [Permissions (権限)] パネル
次の表では、各操作について説明します。
[Title
(タイトル)] 説明 Process
(プロセス)
権限ルールの最初の要素であるアプリケーションに関する説明が表 示されます。アプリケーション パスを⼊力する必要があります。
Operation Attempt
(操作の試⾏)
権限ルールの 2 番目の要素である操作に関する説明が表示されま す。選択可能な値は次のとおりです。
• Performs any operation (なんらかの操作を実⾏)
• Performs any API operation (なんらかの API 操作を実⾏)
• Runs or is running (実⾏または実⾏中)
• Communicates over the network (ネットワーク経由で通信)
• Scrapes memory of another process (他のプロセスのメモリに 対するスクレイピング)
• Executes code from memory (メモリからコードを実⾏)
• Invokes a command interpreter (コマンド インタープリターを 起動)
• Performs ransomware-like behavior (ランサムウェアのような 振る舞いを実⾏)
• Executes a fileless script (ファイルレス スクリプトを実⾏)
• Injects code or modifies memory of another process (コードを 挿⼊または他のプロセスのメモリを変更)
表 26、「各操作の概要」 を参照してください。
[Action
(アクション)]
[Application (アプリケーション)] と [Operation (操作)] の選択 に基づいて実⾏されるアクションに関する説明が表示されます。選 択可能な値は次のとおりです。
• [Allow (許可)] - 指定されたパスで、指定された動作を許可しま す。このパスでの指定された動作はログ記録されず、データが Cb Defense バックエンドに送信されることもありません。
• [Allow & Log (許可および記録)] - 指定されたパスで、指定され た動作を許可します。すべてのアクティビティがログに記録さ れ、Cb Defense バックエンドに報告されます。
• [Bypass (バイパス)] - このオプションは [Tries to perform any operation (なんらかの操作の実⾏を試⾏)] または [Tries to perform any API operation (なんらかの API 操作の実⾏を試⾏)
] を選択した場合にのみ使用できます。センサーによって実⾏可 能ファイルが監視されません。何もブロックされず、何もログに 記録されません。アクティビティを⼀切参照できないため、この アクションは最後の⼿段として考える必要があります。
表 26: 各操作の概要
OperationAttempt
(操作の試⾏)
説明
Performs any operation
(なんらかの操作 を実⾏)
この操作は [Runs or is running(実⾏または実⾏中)] に似ています が、操作を実⾏しようとしている実⾏可能ファイルが Cb Defense に よって監視される点が異なります。
Performs any API operation
(なんらかの API 操作を実⾏)*
Cb Defense による防止が有効になっている場合、サードパーティ ア プリケーションによっては、パフォーマンスの問題が発生すること があります。この場合、すべての API 操作をバイパスするように権 限ルールを構成すると、そうしたサードパーティ アプリケーション との相互運用性の問題に対処できます。この権限ルールでは、そう したアプリケーションの実⾏が許可されますが、Cb Defense が次の ポリシー レビューについて防止を強制しなくなります。
• Tries to scrape memory (メモリ スクレイピングを試⾏)
• Tries to inject code (コード インジェクションを試⾏)
• Tries to execute code from memory (メモリからのコードの実
⾏を試⾏)
• Master Boot Record protection for Performs ransomware-like behavior (ランサムウェアのような振る舞いの実⾏に対してマ スター ブート レコードを保護)
Runs or is running
(実⾏または実⾏
中)
エンドポイントの初期スキャンが完了すると、デバイス上の各アプ リケーションにレピュテーションが割り当てられます。Cb Defense によってすべての実⾏中のプロセスが確認され、指定されたルール に基づいてアプリケーションがシャットダウンされます。組み込み のロジックにより、重要なシステム(lsass など) のシャットダウン は防止されます。
Communicates over the network
(ネットワーク経 由で通信)
Cb Defense によって特定のアプリケーションに関連するすべてのネ ットワーク アクティビティにフラグが付けられます。
Scrapes memory of another process
(他のプロセスの メモリに対するス クレイピング)
主なユース ケースは次のとおりです。
• Lsass を標的としたターゲット型メモリ スクレイピング。
• 複数のプロセスが列挙されており、これらのプロセスのメモリの 読み取りが試みられている。
これはターゲット型の操作であるため、偽陽性の可能性はわずかで す。通常、これは⼀律のルールとして使用できるため、適用された 環境で偽陽性を受信する可能性が少なくなります。
Executes code from memory
(メモリからコー ドを実⾏)
この操作はターゲット型ではないため、正しく使用しないと、偽陽 性のフラグが付けられる危険性が⾼まります。関連する TTP は SUSPICIOUS_BEHAVIOR です。これは、動的メモリ(バッファ オー バーフローやアンパックされたコードなど) からコードを実⾏して いるアプリケーションを検索します。ただし、この TTP は処理中の スクリプトにもフラグを付けます。たとえば、環境でマクロが使用 されている場合、マクロにフラグが付けられます。
Invokes an untrusted process
(信頼できないプ ロセスを起動)
レピュテーションを調べます。具体的には、ADAPTIVE_WHITE_APP、
UNKNOWN_APP、DETECTED_SUSPECT_APP、
DETECTED_PUP_APP、DETECTED_BLACKLIST_APP、および DETECTED_MALWARE_APP (およびこれに類似する値) です。ル ールは選択したアクションに適用されます。
Invokes a command interpreter
(コマンド イン タープリターを 起動)
シェル(コマンド ライン ツール) の呼び出しが試みられます。サポ ートされているコマンド インタープリターは次のとおりです。
• cmd.exe
• powershell.exe
• wscript.exe/cscript.exe
• wmic.exe
• mshta.exe
• sh?bash?dsch?zsh?tcsh?python?macOS? Performs
ransomware-like behavior
(ランサムウェア のような振る舞 いを実⾏)
ランサムウェアのような振る舞いでは、次の状況を検出するために システム ストレージが監視されます。
• Cb Defense センサー以外のプロセスが、センサー所有の隠しファ イルの変更を試みている。センサーが所有するいくつかのおとり ファイルがファイルシステムのさまざまな場所に隠されています。
これらのファイルは、ランサムウェアの興味を引くように設計さ れており、ランサムウェア攻撃の初期段階で暗号化されます。
• プロセスが Microsoft Windows オペレーティング システムのボ リューム シャドウ コピー バックアップの操作を試⾏している。
• プロセスがシステムの起動ディスクのマスター ブート レコード
(MBR) へのデータ書き込みを試⾏している。
この操作のルールに⼀致し、上記のいずれかの状況に合致したプロ セスは終了され、このアクティビティを報告するアラートが生成さ れます。
“ ランサムウェア ” を参照してください。
Executes a fileless script
(ファイルレス ス クリプトを実⾏)
コマンド インタープリターが、スクリプト ファイルからの読み取り ではなく、コマンド ラインへのスクリプトの⼊力に利用されている かどうかを特定します。
Injects code or modifies memory of another process
(コードを挿入ま たは他のプロセス のメモリを変更)
主なユース ケースは次のとおりです。
• Cb Defense では、通常はコード インジェクションを試みること がなく、問題がないことがわかっているアプリケーションのリス トを管理しています。コード インジェクションを試みた場合、
Cb Defense が対処します。
• あらゆる種類のターゲット型のプロセス ハロウイング。
Cb Defense では、これらの特定のアクションを防止するために、こ の 2 つのユース ケースに焦点を当てています。偽陽性の可能性はわ ずかです。
Operation Attempt
(操作の試⾏)
説明