適応脅威対策 -> アプリケーションの動的隔離
DAC(Dynamic Application Containment)は、他の動作ベースのアクセス保護ルールを使用して、含まれるプロセスを監視します。 封じ込められたプロセスとは、DAC 用に設定された評価スコアを満たし、Threat Intelligence または他の製品機能が DAC に封じ込めを勧告したプロセスのことです。 DAC に含まれるプロセスは、DAC ルールによってプロセスが特定のアクティビティを実行することができないため、ブロックされる可能性があります。 (有効になっている各 DAC ルールは、これらの活動を定義しています)。
動的アプリケーションの包含がアプリケーションをブロックしているかどうかを判断する方法
- イベント ID 37275 影響を受けるシステムの ePolicy Orchestrator 脅威イベントログに「アプリケーションが含まれています」が表示され、影響を受けるシステムの ENS コンソールイベントログにローカルで検出されます。
- DynamicApplicationContainment_Activity.log には、製品や機能の要求に応じてアプリケーションが含まれていたことを示すテキストが含まれています。
- エンドポイントセキュリティの適応型脅威防止ポリシー、オプションカテゴリでのみオブザーブモードを使用するように DAC が設定されている場合、 アクション実行セクション、観測モードを有効にする。 (イベントが生成されますが、ポリシーは施行されません。)
動的アプリケーションの隔離がアプリケーションをブロックしないようにする方法
- 該当する DAC ルールを無効にするか、そのルールの "Block" オプションの選択を解除します。
- DAC 除外ポリシーのプロセスを除外します。
- 脅威インテリジェンス Exchange Server を使用して、プロセスの既知の良い評判を手動で設定します。