ナビゲーションをスキップする

メモリアクション

次の設定は、デバイスポリシーの
[メモリアクション]
タブで指定します。
[メモリ保護]
を有効にして、プロセスの注入やエスカレーションなど、
CylancePROTECT Desktop
エージェントによるメモリエクスプロイトの処理方法を指定できます。実行可能ファイルを除外リストに追加して、このポリシーが適用されたときにこれらのファイルを実行できるようにすることもできます。
オプション
説明
メモリ保護
この設定では、このポリシーでメモリ保護設定を有効にするかどうかを指定します。有効にすると、エージェントは潜在的な脅威であるさまざまなタイプのプロセスの呼び出しを検出し、選択した設定に従って各タイプを処理します。
  • 無視
    :エージェントはアクションを実行しません。
  • アラート
    :エージェントは違反をログに記録してそのインシデントを管理コンソールに報告します。
  • ブロック
    :エージェントは違反をログに記録してそのインシデントを管理コンソールに報告し、プロセスの呼び出しをブロックします。呼び出しを行ったアプリケーションは、引き続き実行できます。
  • 停止
    :エージェントは違反をログに記録してそのインシデントを管理コンソールに報告し、プロセスの呼び出しをブロックして、呼び出したアプリケーションを終了します。
実行可能ファイルを除外
この設定では、無視するファイルの相対パスを指定します。この除外リストにファイルを追加すると、このポリシーが割り当てられているデバイス上でファイルを実行またはインストールできるようになります。
ファイルの相対パスと無視する違反タイプを指定します。
Windows
デバイスでは、絶対ファイルパスを指定することもできます。相対パスが同じである他の実行可能ファイルも除外される可能性があるため、短縮された相対パスは注意して使用してください。
除外を適用した後、そのプロセスのすべてのインスタンスを終了して、ドライバがそのプロセスに注入できないようにする必要があります。
Windows
の例
  • 相対パス:
    \Application\Subfolder\application.exe
  • 絶対パス:
    C:\Application\Subfolder\application.exe
Linux
の例
  • 相対パス:
    /opt/application/executable
  • ダイナミックライブラリファイルの相対パス:
    /executable.dylib
macOS
の例
  • 相対パス(スペースなし):
    /Applications/SampleApplication.app/Contents/MacOS/executable
  • 相対パス(スペースあり):
    /Applications/Sample Application.app/Contents/MacOS/executable
  • ダイナミックライブラリファイルの相対パス:
    /executable.dylib
メモリ保護の除外にワイルドカードを使用することもできます。詳細については、「メモリ保護の除外におけるワイルドカード」を参照してください。
無視する違反タイプを 1 つも追加せずに除外を保存すると、メモリ保護イベントとスクリプト制御イベントの両方に除外が適用されます。無視する違反タイプを 1 つ以上追加すると、除外はメモリ保護にのみ適用されます。
特定の違反タイプを無視
除外を追加する場合は、このチェックボックスをオンにすると、次のいずれかまたはすべての項目に基づいてファイル違反が無視されます。
  • 違反タイプのカテゴリ(エクスプロイト、プロセスの注入、エスカレーションなど)
  • 各カテゴリの個々の違反タイプ(スタックピボット、メモリのリモート割り当て、ゼロ割り当てなど)
メモリ保護ポリシーに除外を追加する際に、ポリシーをメモリ保護違反のみに適用してスクリプト制御違反に適用しない場合は、無視する違反タイプを 1 つ以上指定します。無視する違反タイプを選択しない場合、警告メッセージが表示され、メモリ保護ポリシーとスクリプト制御ポリシーの両方に除外が適用されます。
既存のメモリ保護ポリシーの場合:
  • [特定の違反タイプを無視]
    除外設定がオンになっていても、スクリプト制御ポリシーが無効になっている場合には、アクションは必要ありません。
  • [特定の違反タイプを無視]
    除外設定がオフになっており、ポリシーをメモリ保護違反のみに適用してスクリプト制御には適用しないようにする場合は、この設定をオンにして、無視する違反タイプを 1 つ以上指定する必要があります。
既存のポリシーを編集して除外を追加した場合、違反タイプを変更するまで[特定の違反タイプを無視]チェックボックスは表示されません(ブロックから終了または警告への変更など)。
無視する特定の違反タイプが設定されているファイルごとに、詳細情報の表示、設定の編集、または削除を行うことができます。
DLL 除外として扱う
サードパーティ DLL の除外を追加する場合は、この設定を選択します。たとえば、
CylancePROTECT Desktop
for
Windows
に加えてサードパーティのセキュリティ製品を実行している場合は、
CylancePROTECT
がその製品に関する特定の違反を無視するように、適切な .dll ファイルの除外を追加できます。この機能は、[悪意のあるペイロード]および[システム DLL を上書き]違反タイプのみをサポートしています。
DLL 除外を指定する場合、次のルールが適用されます。
  • デバイスポリシーで、
    [DLL 除外として扱う]
    オプションを選択する必要があります。
  • Windows
    デバイスでは、デバイスで
    CylancePROTECT Desktop
    エージェントバージョン 3.1.1001 以降を実行している必要があります。
  • 指定するファイルパスは、.dll ファイルへのフルパス、直接のパスである必要があります。ワイルドカードは許可されていません。
  • .dll ファイルは、
    CylancePROTECT Desktop
    がインストールされているデバイスで信頼済み証明書を使用して署名されている必要があります。それ以外の場合、除外されません。
DLL 除外のサポートに関する詳細については、support.blackberry.com にアクセスして KB 108909 を参照してください。