HIPS - ホストベースの侵入防止システム)
HIPS設定の変更は、経験豊富なユーザーだけが行ってください。HIPSの設定が正しくないと、システムが不安定になる可能性があります。 |
ホストベースの侵入防止システム(HIPS)により、コンピュータのセキュリティに悪影響を与えようとする望ましくない活動およびマルウェアからシステムが保護されます。HIPSは、高度な動作分析とネットワークフィルタリングの検出機能を連携して、実行中のプロセス、ファイル、およびレジストリキーを監視します。HIPSはリアルタイムファイルシステム保護とは異なります。
HIPS設定は、詳細設定 > 検出エンジン > HIPS > ホスト侵入防止システムで設定できます。HIPSの状態(有効/無効)は、ESET Endpoint Antivirusのプログラムのメインウィンドウ > 設定 > コンピューターに表示されます。
HIPS
HIPSを有効にする - ESET Endpoint Antivirusでは既定でHIPSが有効です。HIPSをオフにすると、エクスプロイトブロッカーなどのHIPS関連機能が無効になります。
自己防衛を有効にする - ESET Endpoint Antivirusには、悪意のあるソフトウェアによってウイルス・スパイウェア対策の保護機能が破損されたり無効化されたりしないようにするHIPSの一部として、自己防衛技術が組み込まれています。自己防衛は、重要なシステムおよびESETのプロセス、レジストリキー、およびファイルを改ざんから防止します。インストール時には、ESET Managementエージェントも保護されます。
保護されたサービスを有効にする – ESET Service (ekrn.exe)の保護を有効にします。有効にすると、サービスは保護されたWindowsプロセスとして起動し、マルウェアによる攻撃を防御します。このオプションは、Windows 8.1およびWindows 10で使用できます。
詳細メモリ検査を有効にするはエクスプロイトブロックとともに動作し、難読化または暗号化を使用することで、マルウェア対策製品の検出を回避するように設計されたマルウェアに対する保護を強化します。既定では、詳細メモリ検査が有効です。この保護の詳細については、「用語集」を参照してください。
エクスプロイトブロックを有効にする - Webブラウザ、PDFリーダー、電子メールクライアント、MS Officeコンポーネントなどの一般的に利用されるアプリケーションタイプの保護を強化するための機能です。既定では、エクスプロイトブロックが有効です。この保護の詳細については、「用語集」を参照してください。
詳細動作検査
詳細動作検査を有効にするは、HIPS機能の一部として動作する別のレイヤーの保護です。このHIPSの拡張は、コンピューターで実行中のすべてのプログラムの動作を分析し、プロセスの動作に悪意がある場合はユーザーに警告します。
詳細動作検査のHIPS除外では、プロセスをスキャンから除外することができます。すべてのプロセスで脅威の可能性がスキャンされるように、絶対に必要な場合を除いては、除外を作成しないことをお勧めします。
ランサムウェア保護
ランサムウェアシールドを有効にする - HIPS機能の一部として動作する保護の別のレイヤーです。ランサムウェア保護を実行するには、ESET LiveGrid®レピュテーションシステムを有効にする必要があります。この保護の詳細を参照してください。
Intel® Threat Detection Technologyを有効にする - 固有のIntel CPUテレメトリを使用して、ランサムウェア攻撃を検出し、検出効率を高め、誤検知アラートを減らし、詳細な回避技術を検出する可視性を高めます。サポートされているプロセッサーを参照してください。
監査モードを有効にする - ランサムウェア保護で検出されたすべての項目は自動的にブロックされませんが、重要度警告でログに出力され、「監査モード」フラグ付きで管理コンソールに送信されます。管理者は、このような検出を除外して、さらなる検出を防止するか、有効な状態を保つ(監査モードが終了した後にブロックされ、削除されます)かどうかを決定できます。監査モードを有効//無効にすると、ESET Endpoint Antivirusのログに記録されます。このオプションは、ESET PROTECT On-Premポリシー設定エディターでのみ使用できます。
HIPS 設定
フィルタリングモードは、次のモードのいずれかで実行できます。
説明 |
|
---|---|
ルール付き自動モード |
操作は、システムを保護する事前定義ルールでブロックされる操作を除いて有効です。 |
スマートモード |
非常に不審なイベントに関する通知だけが表示されます。 |
対話モード |
ユーザーは操作を確定するよう要求されます。 |
ポリシーベースモード |
許可する特定のルールで定義されていない、すべての処理をブロックします。 |
学習モード |
操作は有効で、各操作の後にルールが作成されます。このモードで作成されたルールは、HIPSルールエディターで表示できますが、手動で作成したルールや、自動モードで作成されるルールより優先度は低くなります。フィルタリングモードドロップダウンメニューで学習モードを選択すると、学習モードが終了設定が使用できるようになります。学習モードを有効にする期間を選択します。最大期間は14日です。指定した期間が過ぎると、学習モード中にHIPSで作成されたルールを編集するように指示されます。別のフィルタリングモードを選択するか、決定を延期し、学習モードを使用し続けることもできます。 |
学習モードの期限切れの後に設定されるモード - 学習モードの期限が終了した後に使用されるフィルタリングモードを選択します。期限切れの後にユーザーに確認するオプションでHIPSフィルタリングモードを変更するには、管理者権限が必要です。
HIPSシステムはオペレーティングシステム内部のイベントを監視し、ファイアウォールで使用されるルールに似たルールに基づいて対応します。ルールの横の[編集]をクリックして、HIPSルールエディターを開きます。HIPSルールウィンドウでは、ルールを選択、追加、編集、または削除できます。ルール作成およびHIPS操作の詳細については、HIPS ルールの編集を参照してください。