HIPSルール設定
このウィンドウには、既存のHIPSルールの概要が表示されます。
ルール |
ユーザーが定義したか、または自動選択されたルール名。 |
|---|---|
有効 |
ルールをリスト内に置いたまま、使用しない場合にこのチェックボックスをオフにします。 |
アクション |
ルールは、条件が一致した場合に実行する必要のあるアクション、つまり[許可]、[拒否]、または[確認]を指定します。 |
ソース |
ルールは、このアプリケーションによってイベントが起動された場合のみ使用されます。 |
ターゲット |
操作が特定のファイル、アプリケーション、レジストリエントリに関連付けられている場合にのみ、このルールが使用されます。 |
ログ重大度 |
このオプションをオンにすると、このルールに関する情報がHIPSログ に書き込まれます。 |
通知 |
イベントがトリガーされた場合に、Windows通知領域に小さいウィンドウが表示されます。 |
新しいルールを作成し、新しいHIPSルールの追加または選択したエントリの編集をクリックします。
ルール名
ユーザーが定義したか、または自動選択されたルール名。
アクション
ルールは、条件が一致した場合に実行する必要のあるアクション、つまり[許可]、[拒否]、または[確認]を指定します。
動作影響
ルールが適用される処理のタイプを選択する必要があります。ルールは、選択された[ターゲット]に対するこのタイプの操作に限り使用されます。ルールは、このルールの使用をトリガする条件を記述した部分で構成されます。
ソースアプリケーション
ルールは、このアプリケーションによってイベントが起動された場合のみ使用されます。ドロップダウンメニューから特定のアプリケーションを選択し、[追加]をクリックして、新しいファイルまたはフォルダを選択します。あるいは、ドロップダウンメニューからすべてのアプリケーションを選択してすべてのアプリケーションを追加します。
|
HIPSで事前定義された特定のルールの操作にはブロックできないものがあり、既定で許可されています。さらに、システムの動作すべてがHIPSにより監視されているわけではありません。HIPSは、危険性があると考えられる動作を監視しています。 |
主要な操作の説明
ファイルの操作
ファイルの削除 |
アプリケーションはターゲットファイルを削除する許可を求めています。 |
|---|---|
ファイルへの書き込み |
アプリケーションはターゲットファイルに書き込む許可を求めています。 |
ディスクへの直接アクセス |
アプリケーションは標準的でない方法でディスクからの読み出しまたは書き込みを行おうとしており、通常のWindowsの手順をたどりません。この結果、対応するルールの適用なしにファイルが変更される場合があります。この動作は、マルウェアが検知されるのを逃れようとしたり、バックアップソフトウェアがディスクの正確なコピーを作成しようとしたり、またはパーティションマネージャがディスクボリュームを認識しようとしたりすることで引き起こされる場合があります。 |
グローバルフックのインストール |
MSDNライブラリからのSetWindowsHookEx関数の呼び出しを指します。 |
ドライバの読み込み |
システムへのドライバのインストールと読み込み。 |
ルールは、操作がこのターゲットと関連する場合に限り使用されます。ドロップダウンメニューから特定のファイルを選択し、[追加]をクリックして、新しいファイルまたはフォルダーを追加します。または、ドロップダウンメニューからすべてのファイルを選択してすべてのアプリケーションを追加します。
アプリケーション動作
別のアプリケーションをデバッグ |
デバッガをプロセスにアタッチします。アプリケーションのデバッグ中にそのアプリケーションの動作のさまざまな詳細を表示して変更し、そのデータにアクセスできます。 |
|---|---|
別のアプリケーションからのイベントの取得 |
ソースアプリケーションは、特定のアプリケーションを対象としたイベントを取得しようとします(キーロガーがブラウザのイベントのキャプチャを試みるなど)。 |
別のアプリケーションの終了/中断 |
プロセスの中断、再開、終了(Process ExplorerまたはProcessesウィンドウから直接アクセス可能)。 |
新規アプリケーションの開始 |
新規のアプリケーションまたはプロセスの開始。 |
別のアプリケーションの状態を変更 |
ソースアプリケーションは、ターゲットアプリケーションのメモリに書き込もうとしているか、または代行でコードを実行しようとしています。この機能は、この動作の使用をブロックするルール中で、重要なアプリケーションをターゲットアプリケーションとして設定することによって保護するのに役立ちます。 |
ルールは、操作がこのターゲットと関連する場合に限り使用されます。ドロップダウンメニューから特定のアプリケーションを選択し、[追加]をクリックして、新しいファイルまたはフォルダーを追加します。または、ドロップダウンメニューからすべてのアプリケーションを選択してすべてのアプリケーションを追加します。
レジストリの操作
スタートアップ設定の変更 |
設定(Windows起動時に実行するアプリケーションの定義)の変更。これらは、たとえばWindowsレジストリのRunのキーを検索することによって見つけられます。 |
|---|---|
レジストリからの削除 |
レジストリキーまたはその値の削除。 |
レジストリキー名の変更 |
レジストリキーの名前の変更。 |
レジストリの変更 |
レジストリキーの新しい値の作成、既存の値の変更、データベース ツリー内のデータの移動、またはレジストリキーのユーザー権限またはグループ権限の設定。 |
ルールは、操作がこのターゲットと関連する場合に限り使用されます。ドロップダウンメニューから特定のエントリを選択し、[追加]をクリックして、新しいファイルまたはフォルダーを追加します。または、ドロップダウンメニューからすべてのエントリを選択してすべてのアプリケーションを追加します。
|
ターゲットの入力では、一定の制限付きでワイルドカードを使用できます。レジストリのパス内では、特定のキーの代わりに *(アスタリスク)記号を使用できます。たとえば、HKEY_USERS\*\software can mean HKEY_USER\.default\softwareHKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\softwareとは一致しません。 HKEY_LOCAL_MACHINE\system\ControlSet*は、有効なレジストリキーパスではありません。\*の入ったレジストリキーのパスは、「このパスまたはこの記号の後の任意のレベルの任意のパス」を意味します。ファイルターゲットに対してワイルドカードを使用する方法はこの方法だけです。最初に、パスの特定の部分が評価された後、ワイルドカード記号(*)に続くパスが評価されます。 |
|
明らかな汎用ルールを作成する場合は、通知を受信することがあります。 |
