実行制御を使用して危険な実行ファイルを自動隔離

有効にすると、危険なファイルの実行がデバイス上で試されたとき、Aurora Protect Desktop が自動的にそのファイルを隔離します。有効にしたら、異常な実行可能ファイルの実行が試行されたときにそのファイルを自動的に隔離するかどうかを選択することもできます（実行制御を使用して異常な実行可能ファイルを自動隔離）。

安全でないファイルには、マルウェアの属性が非常に多く含まれており、異常なファイルよりもマルウェアの可能性が高くなっています。

ユーザーがそのファイルを操作できないように、ファイルのアクセス制御リスト（ACL）が変更されます。

マルウェアの中には、他のディレクトリにファイルを作成するよう設計されているものもあり、この試みは成功するまで継続されます。このようなファイルを削除する代わりに、Aurora Protect Desktop はマルウェアを変更してこれらが再作成されないようにすることで、その実行を阻止します。

実行中の危険なプロセスとそのサブプロセスを停止

有効にすると、Aurora Protect Desktop エージェントは、.exe や .dll の脅威を検出すると、すべての安全でない実行中のプロセスと子プロセスを停止します。これにより、デバイス上で実行されている可能性のある悪意のあるプロセスを詳細に制御できます。

ファイルは、自動隔離、手動隔離、またはグローバル隔離リストを使用して隔離する必要があります。この機能は、ファイルを隔離する前に有効にする必要があります。この機能が有効になっていても、ファイルが隔離または自動隔離されていない場合、プロセスは引き続き実行されます。

例：あるファイルの実行が許可されていたときに、それを隔離することにしたとします。この設定を有効にすると、ファイルが隔離され、子プロセスとともにプロセスが終了します。この設定を無効にすると、ファイルは隔離されますが、ファイルの実行が許可されているため、ファイルによって開始されたプロセスは引き続き実行される可能性があります。

.exe ファイルの自動アップロード

有効にすると、Aurora Protect Desktop は、検出した不明な実行可能ファイルを Aurora Protect クラウドサービスに自動的にアップロードしてファイルを詳細に分析し、検出に関する追加情報を提供して、手動分析やトリアージを支援します。

Aurora Protect Desktop がアップロードして分析するのは、Portable Executable（PE）、Executable and Linkable Format（ELF）、Mach Object ファイル形式（Mach-O）ファイルなどの不明なファイルのみです。同じ不明ファイルが複数のデバイスで検出された場合、Aurora Protect Desktop はデバイスごとに 1 つのファイルではなく、1 つのデバイスからのみ 1 つのファイルをアップロードして分析します。

ファイルサンプルのコピー(マルウェア)

有効にしたら、バックグラウンド脅威検出、新しいファイルの監視、実行制御による自動隔離で検出されたファイルサンプルのコピーを保存するため、完全修飾ネットワーク共有（\\server_name\shared_folder）を指定します。Aurora Protect Desktop が危険または異常とみなしたファイルを独自に分析できるようになります。

CIFS/SMB ネットワーク共有がサポートされています。危険または異常の基準を満たす、すべてのファイルがコピーされます。一意性テストは実行されません。ファイルは圧縮され、パスワードで保護されます。パスワードは「infected」です。

ポリシーセーフリスト

組織が安全であるとみなしたファイルをポリシーセーフリストに追加し、デバイス上でのそれらの実行を可能にします。ポリシーセーフリストは、グローバルセーフリストやグローバル隔離リストよりも優先されます。

ポリシーセーフリストの詳細については、「除外とそれを使用するタイミング」を参照してください。

バックグラウンド脅威検出

有効にすると、Aurora Protect Desktop エージェントは指定された間隔でフルディスクスキャンを実行し、潜伏している脅威を検出して分析します。

スキャンは、システムリソースの使用を少なくすることで、デバイスユーザーへの影響を最小限に抑えるように設計されています。バックグラウンド脅威検出スキャンには、システムの使用状況と分析が必要なシステム上のファイルの数に応じて、最大 1 週間かかることがあります。最後に完了したスキャンの日時は管理コンソールに記録されます。

エージェントのインストール後に 1 回だけスキャンを実行するか、指定した定期的な間隔（デフォルトは 10 日）でスキャンを実行するかを指定できます。スキャンの頻度を上げると、デバイスのパフォーマンスが影響される可能性があります。エージェントの検出モデルを大幅に更新すると（新しい OS のサポートを追加した場合など）、フルディスクスキャンがトリガーされることがあります。

バックグラウンド脅威検出を 1 回実行するように設定し、新しいファイルの監視を有効にすることをお勧めします。ディスク全体の定期スキャンは不要ですが、コンプライアンス（PCI コンプライアンスなど）を目的として実施できます。

同じ VM ホストの複数の VM デバイスでバックグラウンド脅威検出スキャンを同時に実行すると、デバイスのパフォーマンスに影響します。この機能を VM デバイスに対して段階的に有効にして、同時に実行されるスキャンの数を制限することを検討してください。

新しいファイルを監視

有効にすると、Aurora Protect Desktop エージェントが新しいファイルや変更ファイルをスキャンおよび分析して、潜伏している脅威を確認します。脅威が検出されると、実行が試行されなくても、ファイルを（自動隔離設定に従って）隔離できます。この設定は、バックグラウンド脅威検出（1 回実行）と併せて有効にすることをお勧めします。

実行制御による自動隔離では、安全でないファイルや異常なファイルの実行が試行されると、そのファイルがブロックされます。一方、新しいファイルの監視では、安全でないファイルや異常なファイルが検出されたときに、そのファイルを隔離できます。スキャン中にエージェントが脅威を検出したらすぐに、悪意のあるファイルを隔離する場合を除き、自動隔離を有効にしている場合は、新しいファイルの監視を有効にする必要はありません。

この設定は、デバイスのパフォーマンスに影響する可能性があります。ディスク処理やメッセージ処理を監視して、パフォーマンスに変化がないか確認することをお勧めします。特定のフォルダを除外すると、パフォーマンスが向上する場合があります。また、エージェントが特定のフォルダやファイルをスキャンまたは分析する対象から外すことができます。

アーカイブをスキャン：最大アーカイブサイズ

この設定を使用できるのは、バックグラウンド脅威検出または新しいファイルの監視を有効にしている場合です。

Aurora Protect Desktop エージェントがスキャンできるアーカイブファイルの最大サイズを MB 単位で指定できます（バックグラウンド脅威検出と新しいファイルの監視）。ファイルサイズを 0（デフォルト値）に設定すると、アーカイブファイルはスキャンされません。

フォルダを除外：除外を追加

この設定を使用できるのは、バックグラウンド脅威検出または新しいファイルの監視を有効にしている場合です。

指定したフォルダパスを自動隔離（実行制御あり）から除外する場合は、実行許可の設定をオンにすることもできます。除外フォルダにドロップされたファイルや脅威は実行が許可されるので、デバイスや組織が侵害されるおそれがあります。不正なファイルを除外フォルダに追加しないように十分に注意してください。

除外は以前の設定には影響しません。最初の検出または有害判定の後に除外を追加しても、ファイルが改めて除外されることはありません。以前に検出または有害判定を受けたファイルは、ローカルで撤回されるかグローバルセーフリストに追加されるまで、この状態のままになります。

フォルダの除外にワイルドカードを使用する方法については、以下の詳細を参照してください。