検出除外

検出除外では、検出名、オブジェクトパス、またはハッシュをフィルタリングして、オブジェクトを駆除から除外できます。

example

検出除外の仕組み

検出除外は、パフォーマンス除外と違い、ファイルとフォルダーを検査から除外しません。検出除外は、検出エンジンで検出され、適切なルールが除外リストにあるときにのみ、オブジェクトを除外します。

たとえば(以下の画像の最初の行を参照)、オブジェクトがWin32/Adware.Optmediaとして検出され、検出されたファイルがC:\Recovery\file.exeのときです。2番目の行では、適切なSHA-1ハッシュがある各ファイルは、検出名に関係なく、常に除外されます。

CONFIG_EXCLUDE_DETECTION

すべての脅威を確実に検出するために、絶対に必要なときにのみ検出除外を作成することをお勧めします。

ファイルとフォルダーを除外リストに追加するには、詳細設定(F5) > 検出エンジン > 除外 > 検出除外 > 編集で行います。

駆除から(検出名またはハッシュで)オブジェクトを除外するには、追加をクリックします。

検出除外オブジェクト条件

パス – 指定されたパス(またはすべて)の検出除外を制限します。

検出名 - 除外されるファイルの横に検出の名前がある場合、それは特定の検出に対してのみファイルの除外が行われ、他の検出には行われないことを意味します。ファイルが後から他のマルウェアに感染した場合は、検出されます。このような除外は、一定の種類の侵入物にのみ使用できます。これは、侵入物をレポートする警告ウィンドウで作成する([設定の表示]オプションをクリックしてから[検出対象外]を選択)か、または[ツール] > [隔離]をクリックし、隔離されたファイルを右クリックし、コンテキストメニューから[検査からの復元と除外]を選択して作成できます。

ハッシュ - ファイルタイプ、場所、名前、拡張子に関係なく、指定されたハッシュ(SHA1)に基づいて、ファイルを除外します。

コントロール要素

追加 – オブジェクトを駆除から除外する新しいエントリを追加します。

編集 - 選択したエントリーを編集します。

Delete – 選択したエントリを削除します(CTRLを押しながらクリックすると、複数のエントリを選択できます)。

インポート/エクスポート – 検出除外のインポートとエクスポートは、後で使用するためにの現在の除外をバックアップする必要がある場合に便利です。エクスポート設定オプションは、管理されていない環境で任意の基本設定を複数のシステムに対して使用する場合にも便利です。.txtファイルを簡単にインポートして、設定を転送できます。
hmtoggle_plus0 インポート/エクスポートファイル形式の例を表示する

ESMCでの検出除外設定

ESMC 7.1には、検出除外管理のための新しいウィザードがあり、検出除外を作成し、別のコンピューターまたはグループに適用できます。

ESMCから検出除外が上書きされる可能性

検出除外ローカルリストが既に存在しているときには、管理者は、検出除外をローカル定義リストの最後に追加することを許可によってポリシーを適用する必要があります。その後に、想定どおり、ESMCから検出除外を最後に追加できるようになります。

admin_pol_detection_exclusion