たとえば、検査のプロセス中、エージェントが電子メール アクセスについてのシグネチャを認識する可能性があります。特定の状況では、このシグネチャによって発生したイベントがアラームの原因になります。ハッカーによって、通常は電子メール アプリケーション用である TCP/IP ポート 25 を使用するトロイの木馬アプリケーションがインストールされた可能性があり、この動作は、TCP/IP ポート 25 の動作 (SMTP) シグネチャによって検出されます。その一方で、正常な電子メール トラフィックも、このシグネチャに一致します。このシグネチャを確認した場合は、イベントを開始したプロセスを調査してください。Notepad.exe など、プロセスが電子メールに正常に関連しているものでない場合、トロイの木馬が仕掛けられたと疑う正当な理由がある可能性があります。イベントを開始したプロセスが通常どおり電子メール送信を担当しているのであれば (Eudora、Netscape、Outlook など)、そのイベントに対して例外を作成してください。

また、たとえば、多数のエージェントが起動プログラムについてのシグネチャを呼び出しており、それらのシグネチャが次のようなレジストリ キーの値の変更または作成を示す可能性もあります。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

これらのキーに保存されている値は、コンピュータの起動時に開始されるプログラムを示すため、このシグネチャの認識は、誰かがシステムを改ざんしようとしていることを示している可能性があります。一方、従業員が [RealAudio] をコンピュータにインストールしているなど、害のない動作を示している可能性もあります。[RealAudio] のインストールによって、[RealTray] の値が レジストリ キー [Run] に追加されます。

承認されたソフトウェアをユーザがインストールするたびにイベントが発生するのを回避するには、これらのイベントに対して例外を作成します。エージェントは、このような承認されたソフトウェアのインストールに対してイベントを生成しなくなります。

イベント ベースの例外を作成するには、次の操作を行います。

  1. イベントを選択し、ショートカット メニューまたはツール バーの [例外の作成] をクリックします。
  2. 事前入力された [New Exception (新しい例外)] ダイアログ ボックスが表示されます。

  3. 例外ルールの指示にしたがって、例外を作成します。

イベント ベースの信頼できるアプリケーションを作成するには、次の操作を行います。

  1. イベントを選択し、ショートカット メニューまたはツール バーの [信頼できるアプリケーションの作成] をクリックします。
  2. 事前入力された [信頼できるアプリケーションの作成] ダイアログ ボックスが表示されます。

  3. 信頼できるアプリケーション ポリシーの作成と適用の指示にしたがって、信頼できるアプリケーションを作成します。

Copyright © 2005 McAfee, Inc. All Rights Reserved.