デフォルトの検出と応答ポリシーの詳細

このページでは、エンドポイント活動レコーダ ポリシーの詳細を説明します。また、以下の内容を含む、このページのデフォルトのポリシー設定を編集します。
  • デフォルトでエンドポイント活動レコーダがオンまたはオフであるかどうか。
  • イベント データを格納するエンドポイント上のデータベースのサイズ。この設定は、エンドポイント活動レコーダのセットアップ時に最初に行います。必要に応じて、ここで値を編集できます。
  • エンドポイントのイベント データが EDR に送信される頻度。この設定は、エンドポイント活動レコーダのセットアップ時に最初に行います。必要に応じて、ここで値を編集できます。
  • EDR に送信されるイベント データの種類。
  • 記録しないファイルとファイル パス。
EDR に送信されるイベント
デフォルトでは、PowerShell の実行は EDR に自動的に送信されます。以下の種類のイベント データを EDR に送信するように選択することもできます。
ロードポイントの変更
このイベントの種類は、エンドポイントでの持続性の保守機能に関連するすべてのイベントから構成されます。このイベントの種類には、スタートアップのレジストリキー、サービス、定時ジョブなどが含まれますが、これに限定されません。
疑わしいシステム活動
このイベントは、システム処理によって疑わしいプロトコルポートの使用状況、予期しない場所から起動されるシステムファイルなど、専門家ルールから構成されます。
ヒューリスティック検出 (Heuristic detections)
このイベントの種類は、悪質な活動で多くみられる一連のイベントに一致するルールで構成されます。
プロセス起動の活動 (Process launch activity)
すべてのプロセスの起動イベントを、親と子の関係とコマンド ラインと共に送信します。環境内で実行した内容、使用されたコマンドライン引数、ユーザーのコンテキストを識別するにはとても有効です。プロセスの起動イベントは価値がありますが、EDR に送信されているイベントの 49% を占めています。
プロセス終了の活動 (Process terminate activity)
このイベントの種類は、プロセス起動イベントほど便利ではありませんが、プロセスがまだ実行中であるかどうかを示します。このカテゴリは、EDR に送信されているすべてのイベントの 49% の割合を占めています。負荷を軽減する必要がある場合は、このカテゴリを最初に無効にして開始します。
AntiMalware Scan Interface (AMSI)の活動
このイベントの種類は、すべてのマルウェア対策製品と統合するアプリケーションとサービスに関連するイベントで構成されています。
このイベントを EDR に転送するには、エンドポイントで SEP 14.3 RU1 以降を実行している必要があります。
Windows イベント トレーシング (ETW) の活動
このイベントの種類は、カーネルやアプリケーション定義のイベントをログに記録できるカーネルレベルのトレース機能に関連するイベントで構成されています。
このイベントを EDR に転送するには、エンドポイントで SEP 14.3 RU1 以降を実行している必要があります。
[インシデント]
詳細ページに
[プロセスの系列]
イベントを表示するには、
[プロセス起動アクティビティ]
を選択する必要があります。
ポリシーに変更を加えた場合は、
[ポリシーの保存]
をクリックします。