メモリ保護の設定とテスト

Aurora Protect Desktop 3.x では、さまざまなメモリ保護機能が強化され、デバイス上のアプリケーションとプロセスのアクティビティが可視化されます。アプリケーションは、正当な目的のために処理を実行していても、状況によっては、その実行に悪意があると見なされる場合もあります。Arctic Wolf は、Aurora Protect Desktop 3.x エージェントを実稼働環境に導入する前に、次の手順とベストプラクティスに従って適切にチューニングすることをお勧めします。メモリ保護違反タイプの詳細については、「デバイスポリシー:メモリ保護の設定」(Aurora Endpoint Security セットアップガイド)を参照してください。
  1. 管理コンソールのメニューバーで、[ポリシー] > [デバイスポリシー]をクリックします。
  2. テストデバイスのデバイスポリシーをクリックします。
  3. [メモリアクション]タブで[メモリ保護]チェックボックスをオンにします。
  4. [違反タイプ]テーブルで[エクスプロイテーション]、[プロセスの注入]、および[昇格]の順に展開します。[Agent バージョン 2.1.1580 以降で使用できます]および[CylancePROTECT 3.0 以降で使用できます]にリストされているすべての違反タイプについて、[アラート]アクションを選択します。
  5. デバイスポリシーを保存します。
  6. テストデバイスで Aurora Protect Desktop 3.x を実行し、アラートを確認して、環境内でこれらの脆弱性が発生するリスクを判断します。これらのアラートのいずれかが低リスクであり、ビジネスに影響を与える場合は、対象となるメモリ保護の除外を追加できます。手順とガイダンスについては、「メモリ保護」を参照してください。
    Aurora Protect Desktop 3.x をインストールまたはアップグレードした後、各テストデバイスを再起動することをお勧めします。
アラートを確認し、必要な除外を追加したら、デバイスポリシーの違反タイプアクションを必要に応じて変更できます(たとえば、ブロックまたは終了)。