DeP BE ホワイトブラックリスト作成ツールの見方を教えてください。
以下の図表を参照してください。
リストモード:分割モード
表示モード:アプリケーション情報と動作情報に分割して表示する
1.アプリケーション表示リストの説明
| 列のタイトル | 列の説明 |
| アプリ設定 | アプリケーションに対する設定の状態と、設定を行った方法が表示されます。 <設定の状態> “アプリホワイトリスト”…アプリホワイトリストに登録済み状態 “アプリホワイトリスト(予定)”…アプリホワイトリストに登録予定(リスト作成ツールで、アプリホワイトリストに指定した状態) “アプリブラックリスト”…アプリブラックリストに登録済み状態 “アプリブラックリスト(予定)”…アプリブラックリストに登録予定(リスト作成ツールで、アプリブラックリストに指定した状態) “未設定”…まだ設定を行っていない状態 |
| アプリ設定コメント*1 | アプリケーションに対する設定でコメントとして登録した内容を表示します。コメント内に改行がある場合は、改行を無視して1行で表示します。 |
| 親プロセス種別 | 親プロセスの種類(エクスプローラ/メーラー/ブラウザ/コマンドプロンプト)を表示します。併せて、ブラウザの場合URLが、メーラーの場合、差出人と件名がカッコ“()”内に出力されます。 例:ブラウザ(https://www.hummingheads.co.jp/) メーラー(xxx@xxxxxx.co.jp,至急確認ください) 親プロセスの種類は、iniファイルを編集することで追加することが可能です。 |
| 起動場所 | アプリケーションが起動した場所として、“メール添付ファイル”、“ダウンロードファイル”、“リムーバブル”、“CD/DVD”、“ネットワークドライブ”のいずれかが表示されます。 |
| 親プロセス名 | アプリケーションが別のアプリケーション(親プロセス)から実行された場合、表示します。 |
| パス | アプリケーションが実行されたパスを表示します。 |
| ファイル名 | アプリケーション名(exe名)を表示します。 ※アプリケーションからモジュール(DLLなど)が起動される場合、そのモジュール名と呼び出し元のアプリケーション名両方を“モジュール名(アプリケーション名)”の形式で表示します。 ※アプリケーションがインストーラであった場合は“アプリケーション名[インストーラ]”、アンインストーラであった場合は“アプリケーション名[アンインストーラ]”と表示します。 |
| インタプリタ名 | スクリプトの動作時はスクリプトのインタプリタ名を表示します。 |
| モジュールパス(DLL・OCX) | アプリケーションから起動されたモジュールパスを表示します。 |
| スクリプト・UR L・マクロ | スクリプト名、UR L、マクロファイル名を表示します。 |
| 会社名 | アプリケーションの会社名を表示します。取得できない場合、“不明”と表示します。 |
| デジタル署名 | DeP BEが信用するデジタル署名の有無を表示します。 |
| バージョン*2 | アプリケーションのバージョンを表示します。 |
| ファイルサイズ*2 | ファイルのサイズ(バイト)を表示します。 |
| 更新日付*2 | ファイルの更新日時を表示します。 |
| ハッシュ値*2 | アプリケーションのハッシュ値を表示します。 |
| 合計*2 | アプリケーションが行った履歴の合計数を表示します。 |
| 動作ホワイトリスト*2 | 履歴表示リストで、動作ホワイトリストに指定された履歴の数を表示します。 |
| 動作ブラックリスト*2 | 履歴表示リストで、動作ブラックリストに指定された履歴の数を表示します。 |
| 警告*2 | 警告パネルが表示された履歴の数を表示します。 |
| 隔離*2 | 隔離履歴の数を表示します。 |
| 拒否*2 | 拒否履歴の数を表示します。 |
| その他*2 | その他の履歴の項目数を表示します。 |
2.履歴表示リストの説明
| 列のタイトル | 列の説明 |
| 動作設定 | 動作に対する設定の状態と、設定を行った方法が表示されます。 <設定の状態> “動作ホワイトリスト”…動作ホワイトリストに登録済み状態 “動作ホワイトリスト(予定)”…動作ホワイトリストに登録予定(リスト作成ツールで、動作ホワイトリストに指定した状態) “動作ブラックリスト”…動作ブラックリストに登録済み状態 “動作ブラックリスト(予定)”…動作ブラックリストに登録予定(リスト作成ツールで、動作ブラックリストに指定した状態) “未設定”…まだ設定を行っていない状態 |
| 動作設定設定コメント*1 | 動作に対する設定でコメントとして登録した内容を表示します。コメント内に改行がある場合は、改行を無視して1行で表示します。 |
| ファイル名*2 | アプリケーション名(exe名)を表示します。 ※アプリケーションからモジュール(DLLなど)が起動される場合、そのモジュール名と呼び出し元のアプリケーション名両方を“モジュール名(アプリケーション名)”の形式で表示します。 ※アプリケーションがインストーラであった場合は“アプリケーション名[インストーラ]”、アンインストーラであった場合は“アプリケーション名[アンインストーラ]”と表示します。 |
| パス*2 | アプリケーションが実行されたパスを表示します。 |
| パス説明 | 動作した場所を、次の中から表示します。 “ファイル”…ファイルへの書き込み、削除、移動 “レジストリ”…レジストリへの書き込み・削除 “データ転送”…データ転送 “メモリ”…メモリへの書き込み処理 “通信”…通信処理 また、特定の場所で動作した場合、その情報を組み合わせて表示します。 ファイルへの書き込みが次の場所で行われた場合、その場所の情報が組み合わせて表示されます。 例:MBRに書き込まれた場合、“ファイル(MBR)”と表示されます。 ・MBR・OSのシステム領域(System32/SysWow64フォルダ) ・システムドライブ直下・スタートアップフォルダ(Startupフォルダ) ・Web公開フォルダ・他のアプリケーションの領域(ProgramFiles/AppDataフォルダ) ・CD/DVD/BD・外部メディア(USBメモリ/SDカードなど) ・メーラーの設定ファイル・スクリプトファイル(.vbs/.vbeファイル) ・実行可能ファイル(.exe/.com/.sys/.dll/.libファイル) 次のレジストリへの書き込みが行われた場合、そのレジストリの情報が組み合わせて表示されます。 例:スタートアップレジストリに書き込まれた場合、“レジストリ(スタートアップレジストリ)”と出力されます。 ・スタートアップレジストリ・OSのシステム領域(システムレジストリ) ・メーラーの設定レジストリ・ファイル共有の設定 ・フォルダの共有設定・ネットワークの設定 ・タスクスケジューラの設定 |
| 対象パス | 動作の対象となっているファイルパスまたはIPアドレスを表示します。対象がIPアドレスの場合、右クリックメニューから通信先のホスト名を取得することができます。 ホスト名の取得は、DNSサーバを用いて行います。 |
| 操作名 | 動作の操作名が表示されます。 通信の操作が行われた場合は通信の情報(通信方法または通信プロトコル・通信プロトコル・動作種別)を組み合わせて表示されます。 例:メール送信した場合、“通信(メール送信・TCP・SEND)”と表示されます。 通信方法または通信プロトコル…“メール送信”、“アップロード”、“FTPプロトコル”、“SSHプロトコル”、“telnetプロトコル”、“DNSプロトコル”、“DHCPプロトコル”、“IMAP4プロトコル”、“SMBプロトコル”、“FTPSプロトコル”、または“POP3プロトコル” 通信プロトコル…“TCP”または“UDP” 動作種別…“CONNECT”(クライアントがサーバに接続したとき)、“SEND”(実際にデータが送信されたとき)、“ACCEPT”(ポートを開けて待機中のサーバにクライアントから接続があったとき) |
| 種類 | 動作の種類を表示します。 <ディフェンスモード時の動作> ・DeP BEの警告パネルもしくは自動的に許可された動作 “DeP履歴”…履歴から設定が行えないデータ(アプリケーション登録・削除、隔離、駆除、復元) “DeP履歴(設定対象)”…履歴から設定が行えるデータ(ファイル書き込み、ファイル削除、レジストリ書き込み、データ転送、通信、メモリ書き込み、他プロセス起動、他プロセス停止) “設定済み(履歴)”…既に設定されているデータ ・DeP BEにより拒否された動作 “DeP履歴(設定対象):自動的に拒否されました”…自動的に拒否された履歴で設定が可能なデータ “設定済み(履歴):自動的に拒否されました”…自動的に拒否された履歴で既に設定されているデータ ・DeP BEによる隔離 “DeP履歴:隔離されました”…隔離された履歴データ ・DeP BEの警告パネルが表示される動作 “DeP履歴(設定対象):警告パネルから「続ける」を選択しました”…警告パネルで「続ける」を押した履歴で設定が可能なデータ “DeP履歴(設定対象):警告パネルから「止める」を選択しました”…警告パネルで「止める」を押した履歴で設定が可能なデータ <検知モード時の動作> “DeP履歴:検知されました”…設定が行えないデータ “DeP履歴(設定対象):検知されました”…設定が可能なデータ “設定済み(履歴):検知されました”…既に設定されているデータ “DeP履歴(設定対象):自動的に拒否される操作が検知されました”…ディフェンスモードに変更すると止められるデータ “設定済み(履歴):自動的に拒否される操作が検知されました”…ディフェンスモードに変更すると止められるデータで既に設定済みのデータ “DeP履歴:自動的に隔離される操作が検知されました”…ディフェンスモードに変更すると隔離されるデータ “DeP履歴(設定対象):警告パネルが表示される操作が検知されました”…ディフェンスモードに変更すると警告パネルが出力されるデータ |
| 追加情報 | 通信時のTCP/UDP情報、接続状態情報、およびデータ転送時の情報を表示します。 |
| 備考 | アプリケーションの備考を表示します。 |
| ハッシュ値*2 | アプリケーションのハッシュ値を表示します。 |
| 会社名*2 | アプリケーションの会社名を表示します。取得できない場合、“不明”と表示します。 |
| マシン名 | コンピュータ名を表示します。 |
| ユーザ名 | ユーザ名を表示します。 |
| 日付*2 | 動作が行われた日時(yyyy/mm/ddhh:mm)を表示します。 |
| 重複数 | 同一履歴の重複数を表示します。 |
*1 クライアント版では表示されません。
*2 初期設定では、表示されません。
※画像はHome Editionのものを使用していますが、内容は同じです。
更新日時:2020/01/17
NO:DB00130003-15