バージョン 14 以降の Symantec Endpoint Protection には、メモリエクスプロイト緩和機能が導入されました。この機能では、複数の緩和機能を使用してソフトウェアの脆弱性に対する攻撃を停止させます。たとえば、クライアントユーザーが Internet Explorer などのアプリケーションを実行するときに、代わりに、悪質なコードが含まれた別のアプリケーションが起動される恐れがあります。
エクスプロイトを止めるために、メモリエクスプロイト緩和機能は保護対象のアプリケーションに DLL を挿入します。エクスプロイトの試みを検出すると、メモリエクスプロイト緩和機能はエクスプロイトを遮断するか、エクスプロイトの脅威にさらされたアプリケーションを終了します。Symantec Endpoint Protection は、クライアントコンピュータのユーザーに検出について通知し、クライアントのセキュリティログにイベントを記録します。
たとえば、クライアントユーザーに、次の通知が表示される場合があります。
Symantec Endpoint Protection: Attack: Structured Exception Handler Overwrite detected. Symantec Endpoint Protection will terminate <application name> application
クライアントコンピュータで脆弱性が修正されたバージョンのソフトウェアが実行されるまで、メモリエクスプロイト緩和機能はエクスプロイトを遮断し続けるか、アプリケーションを終了します。
メモ: |
14 MPx では、メモリエクスプロイト緩和機能は汎用エクスプロイト緩和機能と呼ばれました。 |
メモリエクスプロイト緩和機能では、アプリケーションの種類にどの技術が最も適しているかに基づいて、複数の種類の緩和機能を使用してエクスプロイトに対処します。たとえば、StackPvt と RopHeap の両方の技術によって、Internet Explorer を攻撃するエクスプロイトが遮断されます。
Symantec Endpoint Protection メモリエクスプロイト緩和機能
メモ: |
機能をコンピュータで有効にしている場合、メモリエクスプロイト緩和機能は、App-V で保護されている Microsoft Office プロセスを保護しません。 |
メモリエクスプロイト緩和機能は、侵入防止をインストールしている場合にのみ利用できます。メモリエクスプロイト緩和機能には、侵入防止定義とともにダウンロードされるそれ独自の個別シグネチャがあります。ただし、侵入防止とメモリエクスプロイト緩和機能は、個別に有効または無効にすることができます。
メモ: |
14.0.1 以降のメモリエクスプロイト緩和機能には、独自のポリシーが用意されています。14 MPx リリースでは、このポリシーは侵入防止ポリシーの一部になっています。[概要]タブで侵入防止ポリシーを無効にした場合は、メモリエクスプロイト緩和機能が無効になります。 ネットワーク侵入防止とブラウザの侵入防止の有効化を参照してください。 クライアントにインストールするセキュリティ機能の選択を参照してください。 |
また、メモリエクスプロイト緩和機能ポリシーにアプリケーションリストを表示するには、少なくとも 1 回 LiveUpdate を実行する必要があります。デフォルトで、ポリシーに表示されるすべてのアプリケーションに対して保護が有効化されます。
Symantec Endpoint Protection Manager に最新のコンテンツが含まれていることの確認を参照してください。
メモリエクスプロイト緩和機能によって、クライアントコンピュータ上のアプリケーションが意図せずに終了されることがあります。そのアプリケーションの動作が正当であり、エクスプロイトされていなかったことが判明した場合、その検出は誤検知になります。シマンテックセキュリティレスポンスでメモリエクスプロイト緩和機能の動作が変更されるまでは、このような誤検知に対する保護を無効にしてください。
表: 誤検知を見つけて修復する手順 に、誤検知の検出を処理する手順を示します。
表: 誤検知を見つけて修復する手順
タスク |
|||
---|---|---|---|
ステップ 1: クライアントコンピュータで予期せずに終了したアプリケーションを見つける |
次の方法で、クライアントコンピュータで予期せずに終了したアプリケーションを見つけることができます。
|
||
ステップ 2: 保護を無効化し、アプリケーションを終了した機能を監査する |
他のプロセスの保護が維持されるようにするため、まず、必要最低限のレベルで保護を無効化します。他のすべての方法を試し終わるまでアプリケーションを実行できるようにするために、メモリエクスプロイト緩和機能はオフにしないようにします。 次の各サブタスクが終了したら、ステップ 3 に進みます。
|
||
ステップ 3: クライアントコンピュータのポリシーをアップデートして、アプリケーションを再実行する |
クライアントポリシーの更新を参照してください。 |
||
ステップ 4: 誤検知をレポートし、真陽性に対する保護を再度有効にする |
誤検知の場合:
真陽性の場合:
|
メモリエクスプロイト緩和機能によって終了したアプリケーションを見つけるために、ログを表示してクイックレポートを実行する必要があります。
メモリエクスプロイト緩和機能イベントのログとレポートを検索するには
コンソールで次のいずれかの処理を実行します。
誤検知をテストする際に、アプリケーションが実行されたまま検出が監査されるように、メモリエクスプロイト緩和機能の動作を変更します。ただし、メモリエクスプロイト緩和機能はアプリケーションを保護しません。
終了したアプリケーションに対する保護を監査するには
コンソールで[ポリシー] > [メモリエクスプロイト緩和機能] > [メモリエクスプロイト緩和機能]をクリックします。
[緩和機能]タブの[緩和機能を選択]の隣で、アプリケーションを終了した機能を選択します ([StackPvt]など)。
[保護されています]列で終了したアプリケーションを選択して、[デフォルト (はい)]を[ログのみ]に変更します。
検出が本当に誤検知であることを確認したら、処理を[いいえ]に変更します。[ログのみ]と[いいえ]の両方で、可能性があるエクスプロイトが許可されますが、アプリケーションの実行は継続されます。
一部のアプリケーションには、エクスプロイトを遮断するための複数の緩和機能があります。その場合は、各機能で個別にこのステップに従います。
(省略可能) 次のステップのいずれかを行い、[OK]をクリックします。
(省略可能) 機能に関係なくアプリケーションをテストする場合は、[アプリケーションルール]タブの[保護されています]列で、終了したアプリケーションのチェックマークをはずして[OK]をクリックします。
14 MPx のレガシークライアントの場合は、このオプションのみを使用できます。14.0.1 クライアントにアップグレードした後で保護を再度有効にし、詳細な設定を調整します。[コンピュータの状態]ログを開いて、どのクライアントでどの製品バージョンが実行されているかを確認します。
ステップ 3 から 5 を終えたら、クライアントコンピュータのアプリケーションを実行します。メモリエクスプロイト緩和機能のログを確認して、アプリケーションがまだ実行されているかどうかを確認します。
最終的に、次のような理由からメモリエクスプロイト緩和機能を無効にする場合があります。
クライアントで実行されているアプリケーションが終了する原因となっている緩和機能をみつけることができなかった場合。このようなケースは、シマンテックセキュリティレスポンスに通知します。シマンテック社では、トラブルシューティングが終了したら、できるだけ早くメモリエクスプロイト緩和機能を再度有効にすることを推奨します。
ソフトウェア脆弱性に対する保護を望まない場合。
メモリエクスプロイト緩和機能を無効化するには
コンソールで、[ポリシー] > [メモリエクスプロイト緩和機能]の順にクリックします。
[メモリエクスプロイト緩和機能を有効にする]のチェックマークをはずします。
[OK]をクリックします。
MEM 検出が誤検知である疑いがある場合は、セキュリティレスポンスに問い合わせて問題を解決してください。セキュリティレスポンスでは、提供される情報を使用して誤検知を再現する必要があります。
誤検知の情報をセキュリティレスポンスに送信するには
Symantec Endpoint Protection Manager, で Symantec Insight が有効になっていることを確認します。Insight はデフォルトで有効になっています。
クライアントコンピュータで SymDiag ツールをダウンロードして実行します。
SymDiag ツールの[ホーム]で[サポート用のデータを収集]をクリックし、[デバッグログ] > [拡張]オプションで、[WPP のデバッグ] > [トレースレベル]を[詳細]に設定します。
誤検知の検出を再現します。
ログの収集が完了した後に、新しいケースを開くか、既存のケースに新しい情報を更新して .sdbz
ファイルを テクニカルサポートに送信します。
Methods to provide data for Technical Support cases (テクニカルサポートケースのデータを提供する方法)
検出されたアプリケーションを誤検知ポータルに送信し、次のタスクを実行します:
検出が発生したタイミングを選択し、[B2 Symantec Endpoint Protection 14.x]製品を選択し、[C5 - IPS]イベントをクリックします。
送信メモには、ステップ5のテクニカルサポートのケース番号、MEM 検出がトリガされたアプリケーション、アプリケーションのバージョン番号に関する詳細を入力します。
たとえば、「"Blocked Attack: Return Oriented Programming API Invocation attack against C:\Program Files\VideoLAN\VLC\vlc.exe"、vlc.exe のバージョンは 2.2.0-git-20131212-0038 です。これは最新の利用可能なバージョンではありませんが、組織で使用する必要があるバージョンです」のように追加します。」
Symantec Insider Tip: Successful Submissions! (シマンテックインサイダーヒント: ファイルの提出方法)
クライアントコンピュータで、次の場所にある提出フォルダのコピーを圧縮します: %PROGRAMDATA%\Symantec\Symantec Endpoint Protection\CurrentVersion\Data\CmnClnt\ccSubSDK
。
このフォルダをテクニカルサポートに提出し、ステップ6で開いた誤検知の提出の追跡番号を通知します。テクニカルサポートがすべての必要なログと資料に変更が加えられておらず、誤検知の調査と関連付けられていることを確認します。
購読すると、この記事が更新されたときに更新内容が配信されます。ログインが必要です。
14.2, 14.0.1, 14.0.0 MP2, 14 MP1, 14, 12.1 RU6 MP8, 12.1 RU6 MP7, 12.1 RU6 MP6, 12.1 RU6 MP5, 12.1 RU6 MP4, 12.1 RU6 MP3, 12.1 RU6 MP2, 12.1 RU6 MP1, 12.1 RU6, 12.1 RU5, 12.1 RU4, 12.1 RU3, 12.1 RU2
This will clear the history and restart the chat.
ご意見ありがとうございます。以下にコメントがある場合はお知らせください。(ログインが必要です)