この問題は、ENS 10.7.0 November 2020 Update で解決されています。
トラブルシューティング:
フォルダーのサイズで予期しない拡張が継続する場合は、次の手順を実行します:
- 影響を受けるシステムで ENS デバッグロギングを有効にします。
- フォルダのサイズが増加している間、AMTraceとプロセスモニターを数分間実行します。
手順については、 Endpoint Security の問題に関する KB86691-最小のデータ収集手順を参照してください。
- 影響を受けるシステムで、CLI から次のコマンドを実行します:
dir C:\$mfedeeprem\ /s >> c:\temp\deeprem.txt
- 最小のエスカレーション要件 (MER) をすぐに実行します。完了後、deeprem.txtファイル(大きい場合はzip形式)、AMTrace ログ、プロセスモニターのログをテクニカルサポートに提出してください。
背景:
- 新たに開始されたプロセスで、レピュテーションが50(「不明」)以下のものは、Enhanced Remediation の対象として監視されます。さらに、不明または不正な DLL を読み込もうとした結果として、50以下になるように、すでに実行中のプロセスは監視対象になります。
- あるプロセスでEnhanced Remediationが開始され、10分以内にATPスキャナによる検出が行われなかった場合、そのプロセスの監視を停止し、mfedeeprem DLLをアンインジェクトします。c:\$mfedeeprem\current_sessions\のセッションの詳細はc:\$mfedeeprem\terminated_sessions\に移動します。
- システムの稼働時間の5分ごとに、c:\$mfedeeprem\terminated_sessions\のコンテンツ全体がc:\$mfedeeprem\archived_sessions\にアーカイブされます。
- 30日以上経過したアーカイブセッションは自動的に削除されます。
- 終了したセッションフォルダーのアーカイブをいつでも即時にトリガーするには、ATP を無効にして再度有効にします。
テスト:
拡張修復が機能していることを確認するには、テストシステムで CLI から次のコマンドを実行します。
copy c:\windows\system32\calc.exe c:\temp\not_calc.exe
echo "test" >> c:\temp\not_calc.exe
start c:\temp\not_calc.exe
変更された
calc.exe が開始されましたが、現在は不明な評判になっています。
\current_sessions\に新しいセッション GUID が作成されているはずです。
ENS ATP デバッグロギングを有効にしている場合、
EnhancedRemediation_Debug ログには、
not_calc.exeの監視に関連するセッション ID とその他の詳細情報が記録されています。
除外対象
割り当てられたオンアクセススキャンポリシーの標準リスク除外にプロセスパスまたはファイル名の除外を追加します。この除外により、関連する拡張修復 DLL がプロセスを注入することもできなくなります。
- 登録済みのユーザーの場合は、ユーザー ID とパスワードを入力して、[ ログイン] をクリックします。
- 登録済みのユーザーでない場合は、 登録 をクリックして各項目を入力すると、パスワードと手順がメールで送信されます。