除外とそれを使用するタイミング

次の表では、各タイプの除外を説明し、それらを適切に使用するタイミングと方法に関して一般的なガイダンスを示します。

除外タイプ 説明と例

ポリシーセーフリスト(ファイルアクション)

ポリシーセーフリストは、デバイスポリシーの[ファイルアクション]タブで指定します。

デバイスにデバイスポリシーが割り当てられている場合、デバイスはポリシーセーフリストで指定されたファイルを実行できます。ポリシーセーフリストは特定のデバイスのポリシーレベルで適用されますが、グローバルセーフリストまたは隔離リストはすべてのデバイスのグローバルレベルで適用されます。ポリシーセーフリストは、グローバル隔離リストよりも優先されます。ポリシーセーフリストに追加されたファイルは、そのファイルがグローバル隔離リストに登録されている場合でも、ポリシーが割り当てられているすべてのデバイスで実行できます。グローバル隔離リストは、すべてのデバイスでファイルの実行をブロックします。

例: PSEXEC などの権限の昇格ツールを頻繁に使用して日常業務を行っているとします。他のユーザーに同じ権限を持たせず、自社の日常業務に影響を与えることなく、そのようなツールを使用できないようにしたいと考えています。これを行うには、グローバル隔離リストに PSEXEC を追加し、ポリシーセーフリストに同じファイルハッシュを追加します。次に、PSEXEC をセーフリストに追加した特定のデバイスポリシーに、ユーザーと他の許可ユーザーのみが割り当てられていることを確認します。結果的に、デバイスポリシーに割り当てられていないすべてのユーザーは PSEXEC を隔離していますが、デバイスポリシーに割り当てられているユーザーは使用できることになります。

実行可能ファイルまたはマクロファイルを除外(メモリ保護)

[メモリ保護]が有効になっている場合、メモリ保護ポリシーの除外は、デバイスポリシーの[メモリアクション]タブで指定します。

メモリ保護の除外を指定すると、エージェントは特定アプリケーションからの特定タイプの違反を無視するようになります。言い換えると、アプリケーションが特定タイプの違反を引き起こすアクションを実行しても、アプリケーションのブロックまたは終了を回避できます。

メモリ保護が有効になっている場合、エージェントはアプリケーションプロセスを監視し、プロセスが実行する特定のアクションをチェックしています。エージェントが監視している特定のアクション(LSASS 読み取りなど)をプロセスが実行する場合、エージェントはデバイスポリシーに従ってそのアクションに応答します。偽陽性のイベントが発生し、メモリ保護によって、アプリケーションによるアクションがブロックされたり、アプリケーションが完全に終了されたりする場合もあります。このような状況では、メモリ保護の除外を指定できます。特定のアプリケーションを特定の違反タイプから除外すると、ブロックまたは終了せずに、意図したとおりにアプリケーションを実行できます。

例: デフォルトの場合、組織では、全アプリケーションの全メモリ保護違反がブロックされます。担当者は Test.exe を頻繁に使用しており、LSASS 読み取り違反にのみ、正当な理由があると理解しています。このような場合、エージェントが Test.exe からの LSASS 読み取り違反のみを無視するように除外を追加できます。他のタイプの違反が発生した場合、エージェントは Test.exe をブロックします。

メモリ保護の除外では、相対パス(ドライブ文字は不要)を使用し、実行可能ファイルのレベルまで指定できます。例:

  • \Application\Subfolder\Test.exe
  • \Subfolder\executable
注: 実行可能ファイルのレベルでは、相対パスなしで除外を指定することは推奨されません。たとえば、\Test.exe に対して除外が設定されている場合、同じ名前の悪意のあるファイルは、デバイス上の任意のフォルダから実行できます。

特定のフォルダを除外(保護設定)

[バックグラウンド脅威検出]が有効になっている場合、バックグラウンド脅威検出の除外は、デバイスポリシーの[保護設定]タブで指定します。これは、ディレクトリセーフリストと呼ばれます。ディレクトリを除外すると、スキャンの実行時に、そのディレクトリ内のすべてのファイル(サブフォルダを含む)が無視されます。

[実行を許可]を選択すると、エージェントは除外ディレクトリから起動された実行可能ファイルをすべて無視します。

例: 組織内のアプリケーション開発者は、コンパイル時に生成される一時ファイルを格納するために、特定のディレクトリ(C:\DevFiles\Temp など)を使用します。エージェントは、これらのファイルをスキャンし、検出されたさまざまな特性により安全でないと判断した場合、それ以降、これらのファイルを隔離することになります。開発者は、一時ディレクトリを許可する要求を送信します。このような場合、C:\DevFiles\Temp ディレクトリを追加すると、一時ファイルは無視され、開発者は作業を実行できるようになります。 

フォルダの除外(スクリプト制御)

[スクリプト制御]が有効になっている場合、スクリプト制御ポリシーの除外は、デバイスポリシーの[スクリプト制御]タブで指定します。指定したディレクトリでスクリプトを実行できるようにする場合は、除外を追加できます。スクリプト制御除外を追加する場合は、相対パスを指定します。  サブフォルダも除外に含まれます。

例: IT 管理者は、C:\Scripts\Subfolder\Test にあるスクリプトを実行しようとしています。IT 管理者がスクリプトを実行しようとするたびに、スクリプトはスクリプト制御によってブロックされます。スクリプトを実行可能にするには、スクリプト制御ポリシーの除外として、以下のいずれかの相対パスを追加できます。

  • \Scripts\Subfolder\Test
  • \Subfolder\Test\
  • \Scripts\Subfolder\
  • \Scripts\
  • \Subfolder\
  • \Test\