エクスプロイト検出の停止

検出に応じて、または検出が行われる前に、アプリケーションをエクスプロイト検出から除外できます。

警告 ただし、セキュリティが低下するので、除外を追加する前に慎重に検討してください。

特定のイベント、特定のエクスプロイト、またはアプリケーションに関連付けされるすべてのエクスプロイトの除外を設定できます。

一部のユーザーやデバイスのエクスプロイト対策のみからアプリケーションを除外するには、エンドポイントの脅威対策ポリシーで設定できます。詳細は、脅威対策ポリシーを参照してください。

一部のサーバーのエクスプロイト対策のみからアプリケーションを除外するには、サーバーの脅威対策ポリシーで設定できます。詳細は、サーバーの脅威対策ポリシーを参照してください。

除外項目を追加するとセキュリティが低下するため、すべてのユーザーとデバイスに適用される除外オプションでなく、ポリシーを使用して、除外が必要なユーザーやデバイスのみを対象とする設定を行うことを推奨します。

検出されたエクスプロイトの検出の停止 (イベントリストを使用)

アプリケーションでエクスプロイトが検出されたが、誤って検出されたことがわかっている場合は、イベントリストにあるオプションを使用して、以後検出されないようにできます。

この設定は、すべてのユーザーとコンピュータに適用されます。

除外項目を追加するとセキュリティが低下するため、ここで設定するグローバルオプションでなく、ポリシーを使用して、除外が必要なユーザーやデバイスのみを対象とする設定を行うことを推奨します。

エクスプロイトの検出を停止するには、次の手順を実行してください。

  1. 概要」を参照した後、「デバイス」をクリックします。
  2. アプリケーションの検出場所に応じて、「コンピュータ」または「サーバー」を参照します。
  3. 検知が発生したコンピュータをクリックして詳細を表示します。
  4. イベント」タブで、該当する検出イベントの「詳細」をクリックします。
  5. イベントの詳細」で、「再検出しない」を参照してオプションを選択します。
    • この検出 ID を検索から除外します。 この検出 ID が、このアプリケーションで検出されなくなります。この特定の検出に関連付けられた検出 ID に対して除外を追加します。同じ動作が管理サイトで再度発生しても、それは検出されません。ただし、動作が異なる場合 (パスやファイルが異なる場合など) は、検出 ID が異なるため、別の除外が必要になります。
    • この防止策を、このアプリケーションの検索から除外します。 このエクスプロイトが、このアプリケーションで検出されなくなります。これにより、攻撃のリスクが高まります。ただし、特定のビジネスアプリケーションで予期しない検出が多数発生する場合などに便利です。
    • このアプリケーションを検索から除外します。 すべてのエクスプロイトが、このアプリケーションで検出されなくなります。これは最もセキュリティの危険性が高まるため、最終的な手段としてのみ使用してください。
    1. より正確に適用されるため、まず、検出 ID の除外を選択するようにしてください。同じ項目が再度検出される場合は、エクスプロイトを除外してください。同じ項目が依然として検出される場合は、次に、アプリケーションを除外してください。
      アプリケーション上の StackExec 検出タイプを示す「イベントの詳細」
  6. 除外」をクリックします。

ここで指定した除外項目は、一覧に追加されます。

検出 ID の除外項目は、グローバル除外に追加されます。アプリケーションの除外項目は、エクスプロイト防止の除外に追加されます。

検出されたエクスプロイトの検出の停止 (ポリシー設定を使用)

アプリケーションでエクスプロイトが検出されたが、誤って検出されたことがわかっている場合は、脅威対策ポリシーにあるオプションを使用して、以後検出されないようにできます。

また、脅威保護ポリシーを使用して、エクスプロイト対策の対象から Windows アプリケーションを除外することもできます。

除外を追加すると、セキュリティが低下します。特定のユーザーやデバイスのみを対象にできるため、ポリシーを使用してエクスプロイト防止の除外を追加することを推奨します。ポリシーは、除外が必要なユーザーとデバイスのみに割り当てることができます。

ポリシーを使用してエクスプロイトの検出を停止した場合でも、アプリケーションに影響を与える他のエクスプロイト検出は、引き続き実施されます。

エクスプロイトの検出を停止するには、次の手順を実行してください。

  1. エンドポイントプロテクション」または「サーバープロテクション」を参照します。
  2. ポリシー」で、デバイスに適用されている「脅威対策」ポリシーを参照します。
  3. 設定」の下で「除外」を参照して、「除外の追加」をクリックします。
  4. 除外の種類」ボックスで、「検出されたエクスプロイト (Windows/Mac)」を選択します。
  5. エクスプロイトを選択して「追加」をクリックします。
  6. ポリシーが適切なユーザーとデバイスに割り当てられていることを確認します。

ポリシーを使用して、特定の種類のアプリケーションにおけるエクスプロイトの検出を停止することもできます。その場合は、脅威対策ポリシーを開き、対象となるアプリケーションの種類に対するエクスプロイト防止 (「ランタイム保護」の下にあります) をオフに設定します。

警告 エクスプロイト防止をオフにすることは推奨されません。

アプリケーションで特定のエクスプロイトの検出を停止

アプリケーションでエクスプロイトが検出されていないが、アプリケーションを特定の防止策から除外する必要があることが確認されているとします。この場合、特定のエクスプロイトのチェックを事前に停止できます。

この設定を行った場合、アプリケーションに影響を与える他のエクスプロイト検出は、引き続き実施されます。

除外項目を追加するとセキュリティが低下するため、ここで設定するグローバルオプションでなく、ポリシーを使用して、除外が必要なユーザーやデバイスのみを対象とする設定を行うことを推奨します。

特定のエクスプロイトの検出を停止するには、次の手順を実行してください。

  1. グローバル設定 > グローバル除外」を参照します。
  2. 除外の追加」をクリックします。
  3. 除外の種類」で、「エクスプロイト防止 (Windows)」を選択します。
  4. アプリケーションリストで、除外するアプリケーションを選択します。
    1. リストに表示されていない場合は、「アプリケーションが一覧に表示されていない場合」をクリックします。「パスを指定してアプリケーションを除外」で、アプリケーションのフルパスを入力します。
      保護対象アプリケーションのリストを示す「除外の追加」
  5. 防止策」で、アプリケーションを検出から除外する防止策をオフにします。
    アプリケーションに対してオンになっている防止策のリストを示す「防止策」
  6. 追加」をクリックします。
  7. 保存」をクリックします。

アプリケーションですべてのエクスプロイトの検出を停止

アプリケーションで、予期しないエクスプロイト検出が多数発生したり、エクスプロイト防止がオンになっているときにパフォーマンスの問題が発生したりする場合は、アプリケーションですべてのエクスプロイトの検出を停止できます。

この設定を行った場合、アプリケーションに対するエクスプロイト検知は実施されなくなりますが、ランサムウェアやマルウェアのチェックは今後も実施されます。

除外項目を追加するとセキュリティが低下するため、ここで設定するグローバルオプションでなく、ポリシーを使用して、除外が必要なユーザーやデバイスのみを対象とする設定を行うことを推奨します。

アプリケーションですべてのエクスプロイトの検出を停止するには、次の手順を実行します。

  1. グローバル設定 > グローバル除外」を参照します。
  2. 除外の追加」をクリックします。
  3. 除外の種類」で、「エクスプロイト防止 (Windows)」を選択します。
  4. アプリケーションリストで、除外するアプリケーションを選択します。
    1. リストに表示されていない場合は、「アプリケーションが一覧に表示されていない場合」をクリックします。
    2. パスを指定してアプリケーションを除外」で、アプリケーションのフルパスを入力します。
      保護対象アプリケーションのリストを示す「除外の追加」
  5. 防止策」で、「アプリケーションの保護」をオフにします。
    「アプリケーションの保護」オプションを示す「防止策」
  6. 追加」をクリックします。
  7. 保存」をクリックします。