Active Protection

Active Protection

Active Protectionは、システムをランサムウェアと暗号通貨採掘マルウェアから保護します。ランサムウェアは、ファイルを暗号化し、暗号化キーのための身代金(ランサム)を要求します。暗号通貨採掘マルウェアはバックグラウンドで数学的計算で実行し、それにより処理能力とネットワークトラフィックを盗みます。

BitoB Backup Standard Editionの場合、Active Protectionは保護計画の個別のモジュールです。そのため、デバイス別やデバイスグループ別に異なる内容を設定し、適用できます。

サイバープロテクションサービスの他のエディションの場合、Active Protectionは、ウイルス対策およびマルウェア対策保護モジュールの一部となります。

限定の設定：有効。

Windowsの場合、Active Protectionは、以下のオペレーティングシステムを実行しているマシンで使用できます。

・デスクトップオペレーティングシステム：Windows７ Service Pack１以降

Windows７を実行しているマシンでは、Windows７専用の更新プログラム(KB2533623)がインストールされていることを確認してください。

・サーバーオペレーティングシステム：Windows Server 2008 R2以降

保護されているマシンには、Windowsエージェントがインストールされている必要があります。エージェントのバージョンは12.0.4290(2017年10月リリース)以降である必要があります。エージェントをアップデートする方法については、[エージェントのアップデート]を参照してください。

Linuxの場合、Active Protectionは、以下を実行しているマシンで使用できます。

・CentOS 6.10、7.8および以降のマイナーバージョン

・CloudLinu 6.10、7.8および以降のマイナーバージョン

・Ubuntu 16.04.7および以降のマイナーバージョン

保護されているマシンには、Linuxエージェントがインストールされている必要があります。エージェントのバージョンは15．0.26077(2020年12月リリース)以降である必要があります。

仕組み

Active Protectionは、保護されているマシンで実行されているプロセスを監視します。サードパーティのプロセスがファイルの暗号化や暗号通貨の採掘をしようとすると、Active Protectionは、アラートを生成し、保護計画で指定されている追加のアクションを実行します。

加えて、Active Protectionは、バックアップソフトソフトウェア自体のプロセス、レジストリレコード、実行可能ファイルと構成ファイル、およびローカルフォルダにあるバックアップへの不正な変更を防止します。

悪意のあるプロセスを特定するために、Active Protectionではビヘイビアヒューリスティック法を使用します。Active Protectionでは、プロセスによって実行された一連のアクションと、悪意のある振る舞いパターンのデータベースに記録された一連のイベントを比較します。この方法により、新たなマルウェアを典型的な振る舞いによって検知できます。

Active Protection設定

基本機能で以下の Active Protectionを構成できます。

・ 検出時のアクション

・ 自己防御機能

・ ネットワークフォルダの保護

・ サーバー側保護機能

・ クリプトマイニングプロセス検出

・ 除外

注意

Linux向けのActive Protectionでは、以下の設定をサポートしています。検出時のアクション、ネットワークフォルダの保護、除外。ネットワークフォルダ保護は常に有効な状態であり、構成することはできません。

検出時のアクション

[検出時のアクション] で、ランサムウェアのアクティビティを検出したときに実行されるアクションを選択し、[完了] をクリックします。

次のいずれかを選択できます。

・ 通知のみ

　プロセスに関するアラートを生成します。

・ [プロセスの停止]

　アラートを生成し、プロセスを停止します。

・ [キャッシュを使用して元に戻す]

　アラートを生成し、プロセスを停止して、サービスキャッシュを使用してファイルの変更を元に戻します。

既定の設定:キャッシュを使用して元に戻す

自己防衛

自己防衛機能は、ソフトウェア自体のプロセス、レジストリレコード、実行可能ファイルと設定ファイル、ローカルフォルダ内のバックアップへの不正な変更を防止します。この機能は無効にしないことをお勧めします。

既定の設定：有効

注意

自己防衛機能はLinuxではサポートされていません。

パスワードによる保護

パスワードによる保護は、許可されていないユーザーまたはソフトウェアが、Windowsエージェントをアンインストールしたりそのコンポーネントを変更したりするのを防ぎます。これらのアクションは、管理者が提供するパスワードによってのみ実行可能です。

次のアクションでは、パスワードは必要ありません。

・プログラムの設定をローカルで実行してインストールを更新する。

・ウェブコンソールを使用してインストールを更新するCyber Protection

・インストールを修復する

既定の設定：無効

パスワードによる保護を有効にする方法の詳細については、[エージェントの不正なインストール解除または変更の防止]を参照してください。

ネットワークフォルダの保護

[ローカルドライブとしてマッピングされているネットワークフォルダの保護]設定では、Active Protectionによって、ローカルドライブとしてマッピングされているネットワークフォルダを有害なプロセスから保護するかどうかを定義します。

この設定は、SMBまたはNFSプロトコル経由で共有されているフォルダに適用されます。

ファイルが当初、マップされたドライブにあった場合、[キャッシュを使用して元に戻す]アクションによりキャッシュから抽出されたときには、元のロケーションに保存することはできません。その代わりに、この設定で指定するフォルダに保存されます。デフォルトのフォルダは、C:\ProgramData\Acronis\Restored Network Filesです。このフォルダが存在しない場合は、作成されます。このパスを変更する場合は、ローカルフォルダを指定してください。マッピングされているドライブを含むネットワークフォルダは、サポートされていません。

既定の設定：有効

サーバー側保護

この設定では、Active Protectionが、脅威を持ち込む可能性のあるネットワーク内の他のサーバーの外部受信接続から、ユーザ共有しているネットワークフォルダを保護するかどうかを定義します。

既定の設定：無効

注意

サーバーサイド防御機能はLinuxではサポートされていません。

信頼できる接続とブロックされた接続を設定する

[信頼できる] タブで、データ変更を許可する接続を指定します。ユーザー名とIPアドレスを定義します。

[ブロック]タブで、データ変更を許可しない接続を指定します。ユーザー名とIPアドレスを定義します。

クリプトマイニングプロセス検出

この設定は、Active Protectionが潜在的なクリプトマイニングマルウェアを検出するかどうかを定義します。

クリプトマイニングマルウェアは、有用なアプリケーションのパフォーマンスを低下させ、電気代を増加させ、システムクラッシュの要因となる可能性があり、酷使によるハードウェアダメージをも引き起こしかねません。ワークロードを保護するため、クリプトマイニングマルウェアを[有害なプロセス]リストに追加することをお勧めします。

既定の設定：有効。

注意

クリプトマイニングプロセス検知はLinuxではサポートされていません。

クリプトマイニングプロセス検出設定

[検出時のアクション]で、クリプトマイニングのプロセスを検出したときに実行されるアクションを選択し、[完了]をクリックします。

次のいずれかを選択できます。

・通知のみ

クリプトマイニングのアクティビティが疑われるプロセスについてのアラートが生成されます。

・[プロセスの停止]

クリプトマイニングのアクティビティが疑われるプロセスについてのアラートが生成され、プロセスが停止します。

既定の設定：[プロセルの停止]

除外

ヒューリスティック分析によって使用されるリソースを最小化するために、また、いわゆる誤検知(信頼されているプログラムがランサムウェアまたは他のマルウェアと見なされてしまうこと)をなくすために、次の設定を定義することができます。

[信頼できる]タブで、以下の指定ができます。

・マルウェアとは絶対に見なされないプロセス。Microsoftが署名したプロセスは常に信頼されます。

・ファイル変更を監視しないフォルダ。

・スケジュールに基づくスキャンを実行しないファイルとフォルダ。

[ブロック]タブで、以下の指定ができます。

・常にブロックするプロセス。Active Protectionまたはマルウェア対策保護がマシン上で有効になっていると、これらのプロセスを開始できません。

・すべてのプロセスをブロックするファルダ。

既定の設定：デフォルトでは除外は定義されていません。

ワイルドカード(＊)を使用して、除外リストにアイテムを追加できます。

変数を使用して、除外リストにアイテムを追加することもできます。次の制限事項に注意してください。

・Windowsでは、システム変数のみがサポートされます。％USERNAME％、％APPDATA%などのユーザー固有の変数はサポートされていません。｛username}を伴う変数はサポート対象外です。

・macOSでは、環境変数はサポートされていません。

・Linuxでは、環境変数はサポートされていません。

サポートされる形式の例：

・％WINDIR%￥Meedia

・％public%

・%CommonProgramFiles％￥Acronis￥*

• Related Articles

• サポート対象 OS

  Windowsエージェント このエージェントには、ウイルス対策およびマルウェア対策保護とURLフィルタリングのコンポーネントが含まれています。 オペレーティングシステムでサポートされている機能の詳細については、「オペレーティングシステムでサポートされる保護機能」を参照してください。 Windows XP Professional SP1（x64）、SP2（x64）、SP3（x86） Windows Server 2003 SP1/2003 R2以降 – ...

• ワークロードの監視管理 (Advanced Management)

  ワークロードのヘルス状態とパフォーマンスを監視する 組織内のシステムパラメータやワークロードのヘルス状態を監視できます。 パラメータが基準値から外れている場合、すぐに通知され、問題を迅速に解決できます。 また、カスタムアラートと自動対応操作を構成できます。 これらは、ワークロードの異常な動作を解決するために自動的に実行される操作です。 注意 監視機能を利用するには、ワークロードに保護エージェントの15.0.35324以降のバージョンをインストールする必要があります。 計画の監視 ...

• デバイス制御

  デバイス制御の使用 デバイス制御モジュールは、BitoB Protectionサービス保護計画の一環として、保護された各コンピューター上のデータ漏洩防止エージェントの機能的サブセットを利用します。これにより、ローカルコンピューターのチャネルを介したデータの不正アクセスおよび送信を検出し、防止します。リムーバブルメディア、プリンタ、仮想デバイスやリダイレクトデバイス、Windowsクリップボードを使用したデータ交換など、多岐にわたるデータ漏洩経路をきめ細かく制御します。 ...