問題
- ESET InspectまたはESET Inspect On-Premに除外を追加する
- トリガーイベントの追加
- 信頼済みプロセス/システムプロセスへのインジェクション
- 信頼済みプロセスが疑わしい DLL をロード
- 親プロセスの追加
詳細
拡大するにはここをクリック
プロセスがシステム/信頼されたプロセスにインジェクションすると、ESET Inspect または ESET Inspect On-Prem は検出結果を返します。これにより、いくつかの誤検出が発生します。誤検出を解決するには、システム/信頼済みプロセスに自己注入しようとするプロセスを含む除外を作成します。
XML 構文とルールの詳細については、『ESET Inspect Rules Guide』を参照してください。ESET では、ESET Inspect 用のセキュリティサービスを提供しています。詳細については、最寄りの販売代理店にお問い合わせください。
ソリューション
.
トリガーイベントの追加
- ESET Inspect にログインします。ESET Inspect On-Prem ユーザーは、Web ブラウザで ESET Inspect Web Console を開き、ログインします。
- 検出] をクリックし、[検出] の 横にあるドロップダウンメニューをクリックして、[ルール] を選択します。保護]ボタンの下にある歯車アイコンをクリックします。
図1-1 - Select 列を選択します。
図1-2 - Enter quick search pattern.]フィールドに[Trigger] と入力し、[Trigger Event]の横のチェックボックスを選択します。
図 1-3
信頼済みプロセス/システムプロセスへのインジェクション
- ESET Inspect にログインします。ESET Inspect On-Prem ユーザーは、Web ブラウザで ESET Inspect Web Console を開き、ログインします。
- 検出] をクリックし、[検出] の横にあるドロップダウンメニューをクリックして、[ルール] を選択します。ルールを展開して、ルールに関連するすべての検出を表示します。
図 2-1 - 実行可能ファイル] フィルタ タイプに実行可能ファイル名を入力し、[Enter] キーを押します。右にスクロールして、完全なトリガーイベント名を表示します。
- 検出の横にあるチェックボックスを選択します。
図 2-3 - Create Exclusion をクリックします。
- 除外の名前を 入力し、Criteria をクリックします。
図 2-4 - Exclude Processes that match these criteria」フィールドが選択されていることを確認し、「Advanced Editor」をクリックする。
- 現在のプロセスが選択されている。
- Process Name(プロセス名)のいずれかが正しい実行可能タイプである。
- 署名者名」のいずれかが正しい署名者を選択している
- 署名者のタイプが 「Trusted」または「Valid」の いずれかが選択されている
- 操作コードを除外式に追加する。Create Exclusionをクリックする。
- 新しい <operations> タグは、既存の </process> と </definition> の閉じタグの間に配置する必要があります。
- 操作の条件と値はトリガーイベント名によって異なります。例えば、トリガーイベント名が各検出で同じ場合、条件は
isに等しく、値はトリガーイベント名に等しくなります。トリガーイベント名に固有の情報がある場合、コンディションをstartに設定し、別の行をendsに設定することができます。図 2-6 では、開始と終了に設定された条件を示しています。
<operations> <operationタイプ="Codeinjection"> <operatorタイプ="and"> <condition component="FileItem" property="FullPath" condition="is" value=""/> </operator> </operation> </operations>
- XML 構文とルールの詳細については、『ESET Inspect Rules Guide』を参照してください。ESET では、ESET Inspect 用のセキュリティサービスを提供しています。詳しくは、最寄りの販売代理店にお問い合わせください。
信頼済みプロセスが疑わしい DLL をロード
- 信頼済みプロセス/システムプロセスへの注入」セクションのステップ 1 ~ 6 を完了します。
- これらの条件に一致するプロセスを除外する] フィールドが選択されていることを確認します。詳細エディタ] をクリックします。
- 現在のプロセスが選択されている
- プロセス名のいずれかが正しい実行可能タイプである。
- プロセスパスの先頭が完了している
- コマンドラインにファイルパスが含まれている
- 署名者名のいずれかが正しい署名者を選択している
- 署名者のタイプが「信頼済み」または「有効 」を選択している
- 操作コードを除外式に追加します。Create Exclusion」をクリックする。
- 新しい <operations> タグは、既存の </process> と </definition> の閉じタグの間に配置する必要があります。
- 操作の条件と値はトリガーイベント名によって異なります。例えば、トリガーイベント名が各検出で同じ場合、条件は
isに等しく、値はトリガーイベント名に等しくなります。トリガーイベント名に固有の情報がある場合、コンディションをstartに設定し、別の行をendsに設定することができます。図 3-2 の例では、条件をstartsとendsに設定しています。
<operations> <operation type="LoadDLL"> <operator type="and"> <condition component="FileItem" property="FullPath" condition="is" value=""/> </operator> </operation> </operations>
- XML 構文とルールの詳細については、『ESET Inspect Rules Guide』を参照してください。ESET では、ESET Inspect 用のセキュリティサービスを提供しています。詳しくは、最寄りの販売代理店にお問い合わせください。
親プロセスの追加
除外式に親プロセスを追加すると、より厳格な除外が作成されます。
- 最初の除外を作成します。
- ESET Inspect または ESET Inspect On-Prem の新しいインスタンスを開きます。 ESET Inspect ユーザーは、ESET PROTECT HubまたはESET Business アカウントにログインし、[Open Inspect] をクリックします。ESET Inspect On-Prem ユーザーは、Web ブラウザで ESET Inspect Web Console を開き、ログインします。
- 基準] ウィンドウで [親プロセス] を選択します。Process Name is one of,Process path starts with,Signer Name is one of,Signature type is の正しいオプションを選択します。Advanced Editor」をクリックする。
<parentprocess>で始まり</parentprocess>で終わる式全体をコピーする。
- 元の除外に戻り、親プロセスを現在の
<process>の上の除外式に貼り付ける。
- ESET Inspect/ESET Inspect On-Prem の新しいインスタンスで、Cancel をクリックして親プロセスの除外をキャンセルします。
.
