例外ルール

攻撃だと解釈される動作が、実際にはユーザの作業手順の正常な一部である場合があります。これを誤検出といいます。誤検出を防ぐには、その動作に対して例外を作成します。

例外機能を使用すると、誤検出を除去し、コンソールに送られる不要なデータを最小限に抑え、アラートを本当のセキュリティ上の脅威として捉えることができます。

たとえば、検査のプロセス中、エージェントが [Outlook エンベロープ ― 怪しい実行可能モジュール] のシグネチャを認識したとします。このシグネチャは、Outlook 電子メールのアプリケーションが Outlook の通常のリソースであるエンベロープ外部のアプリケーションを変更しようとしていることを示しています。したがって、たとえば [Notepad.exe] など、通常は電子メールに関連しないアプリケーションを Outlook が変更しようとしている可能性があるため、このシグネチャによって発生したイベントがアラートの原因になります。この場合、トロイの木馬が仕掛けられたと疑う正当な理由がある可能性があります。しかし、イベントを開始したプロセス (たとえば [Outlook.exe] によるファイルの保存) が通常どおり電子メール送信を担当しているのであれば、この動作を許可する例外を作成する必要があります。

[IPS ルール] ダイアログ ボックスの [例外] タブで、例外のリストを参照して例外を作成および変更できます。

Copyright © 2005 McAfee, Inc. All Rights Reserved.