[KB3755] ホストベース侵入防御システム（HIPS） - 高度な設定

HIPS設定へのアクセス

いくつかの設定は、ホストベースの侵入防御システム (HIPS) がシステム操作を監視する方法に影響し、詳細設定メニューからアクセスできます。

1. これらの設定には、「詳細設定」メニューからアクセスできます。ESETのWindows製品のメインプログラムウィンドウを開く.

2. F5 キーを押して、詳細設定にアクセスします。

3. Detection Engine→HIPS をクリックします。

   

HIPSモジュールの基本 セクションで、以下の設定にアクセスできます：

• Enable HIPS- HIPS が無効になっている場合は、再度有効にする。

• Self-Defense を有効にする- 組み込みの Self-Defense HIPS テクノロジは、悪意のあるソフトウェアがアンチウイルスおよびアンチスパイウェア保護を破壊したり、無効にしたりするのを防ぎます。セルフディフェンスは、重要なシステムプロセスや ESET プロセス、レジストリキー、およびファイルが改ざんされないように保護します。無効になっている場合は、クリックして HIPS Self-Defense メカニズムを有効にします。

• Enable Protected Service] - カーネルの保護を有効にします。
• Advanced Memory Scanner を有効にする - Exploit Blocker と連携して、難読化または暗号化を使用して検出を回避するように設計されたマルウェアに対する保護を強化します。Advanced Memory Scanner はデフォルトで有効になっています。
• Exploit Blockerを有効にする - Web ブラウザ、PDF リーダー、電子メールクライアント、Microsoft Office コンポーネントなど、一般的に悪用されるアプリケーションタイプを強化します。Exploit Blocker は Java をサポートし、この種の脆弱性の検出と保護を強化します。

ディープ・ビヘイビアル・インスペクション

• Deep Behavioral Inspection の有効化- HIPS モジュールの一部として機能する追加の保護レイヤーです。この HIPS 拡張機能は、コンピュータ上で実行されているすべてのプログラムの動作を分析し、プロセスの動作が悪意のあるものである場合に警告を発します。
• 除外- 分析からプロセスを除外することができます。可能性のある脅威についてすべてのプロセスがスキャンされるように、絶対に必要な場合にのみ除外を作成することをお勧めします。

ランサムウェアシールド

• Ransomware Shield を有効にする- HIPS モジュールの一部として機能するもう 1 つの保護レイヤーです。個人データを変更しようとするアプリケーションやプロセスの動作を監視します。アプリケーションの動作が悪意があると見なされた場合、またはレピュテーションベースのスキャンによってアプリケーションが疑わしいと示された場合、そのアプリケーションはブロックされるか、ブロックまたは許可するようユーザーに要求されます。

HIPS 設定

フィルタリングモード- HIPS がシステムアクティビティをフィルタリングする方法を変更するた めに選択できる 5 つのフィルタリングモードがあります。

• 自動モード：これはデフォルトの設定です。このモードでは、システムを保護するために事前に定義されたルールによってブロックされる操作を除き、操作が有効になります。
• スマート・モード：不審なシステム・イベントに関する通知のみを受け取ります。
• インタラクティブ・モード：上級ユーザーのみにお勧めします。検出された各操作を許可 または拒否 するよう促す通知を受け取ります。ルールの作成] チェック ボックスを選択すると、指定した操作に対するル ールとして応答を保存できます。このプロセスに対してこのアクションを一時的に記憶する] の横にあるチェックボックスを選択すると、HIPS ルールが変更されるか、HIPS フィルタリングモードが変更されるか、HIPS モジュールが更新されるか、またはコンピュータが再起動されるまで、アクション(許可/拒否) が記憶されます。
• ポリシーベースモード：ルールで定義されていない操作はブロックされます。詳細については、HIPS - 詳細設定を参照してください。
• 学習 モード：学習モードでは、操作が有効になり、各操作後にルールが作成されます。このモードで作成されたルールはルールエディタで表示できますが、その優先順位は手動で作成されたルールや自動モードで使用されたルールの優先順位よりも低くなります。
  • 学習モードを選択すると、[学習モードが終了する]オプションが有効になる。特定の期間が経過すると、学習モードは無効になる。最大期間は14日間である。この期間が経過すると、ルールを編集し、別のフィルタリング モードを選択するよう求められます。
    

    

• ルール エディタ - HIPS ルールの追加、変更、削除を行うには、［編集］をクリックします。

  

詳細設定

Detection Engine をクリックし、HIPS→Advanced setup をクリックすると、アプリケーションの動作のデバッギングと分析のための詳細な設定にアクセスできます。

HIPS → Advanced setupには以下の設定があります：

• ドライバのロードを常に許可する：選択されたドライバは、ユーザールールによって明示的にブロックされない限り、構成されたフィルタリングモードに関係なく、常にロードが許可されます。
• すべてのブロックされた操作をログに記録する：ブロックされた操作はすべて HIPS ログに記録されます。この機能は、膨大なログファイルが生成され、コンピュータの動作が遅くなる可能性があるため、トラブルシューティング時やESETテクニカルサポートから要求された場合にのみ使用してください。

• スタートアップ アプリケーションで変更が発生したときに通知する：スタートアップにアプリケーションが追加または削除されるたびに、デスクトップ通知を表示します。