エクスプロイト対策の検出に関する問題をトラブルシューティングする

適用対象: WatchGuard Advanced EPDR 本トピックは、WatchGuard Advanced EPDR エンドポイント セキュリティ製品に適用されます。、WatchGuard EPDR 本トピックは、WatchGuard EPDR エンドポイント セキュリティ製品に適用されます。、WatchGuard EDR 本トピックは、WatchGuard EDR エンドポイント セキュリティ製品に適用されます。、WatchGuard EPP 本トピックは、WatchGuard EPP エンドポイント セキュリティ製品に適用されます。、WatchGuard EDR Core 本トピックは、Total Security Suite ライセンスで使用可能な WatchGuard EDR Core に適用されます。

WatchGuard Endpoint Security 製品に含まれているエクスプロイト対策保護機能により、コンピュータのアクティブなプロセスで検出された脆弱性が自動的にブロックされます。初めてエクスプロイト対策を有効化した際に、コンピュータのプログラムでエクスプロイトが検出される可能性があります。本トピックでは、考えられる原因と実行できるアクションについてご説明します。詳細については、エクスプロイト対策保護について を参照してください。

ソフトウェアを更新する

リリースされているすべてのアップデートをオペレーティング システムおよび影響を受けるプログラムに必ずインストールしてください。アップデートをインストールした後も WatchGuard Endpoint Security 製品でエクスプロイトが継続的に検出される場合、または検出が誤検出であると考えられる場合は、サポートに連絡してください。サポートに連絡する際に、エクスプロイトの誤検出がいつ、どのように発生したかを示すメモリ ダンプ (.DMP) ファイルを提供することができます。

自動ダンプ収集

エクスプロイト対策保護により、ユーザーのコンピュータ上のアクティブ プロセスで検出された脆弱性を悪用する試みが自動的にブロックされます。エクスプロイトが誤検知であることが分かっている場合にのみ、antiexploittechid ツールを使用します。

antiexploittechid ツールを使用して、エクスプロイトの誤検出が発生した場合に実行される .DMP ファイルの自動作成を有効化または無効化することができます。このツールにより、一部のエクスプロイト対策保護の構成設定の値が変更され、デバッグ モードになります。エクスプロイトが実行された場合は、プログラムによって自動的にダンプ ファイルが作成され、それがインストール フォルダに保存されます。既定のインストール フォルダの場所とファイル名は以下の通りです。

• 32 ビット バージョン：
  C:\Program Files\Panda Security\Advanced File Report Generation\Panda_AllFlags_Dump.dmp
• 64 ビット バージョン：
  C:\Program Files (x86)\Panda Security\Advanced File Report Generation\Panda_AllFlags_Dump.dmp

自動ダンプ収集を実行するには、以下の手順を実行します。

エクスプロイト対策をサポートに報告する場合は、サポートに送信する DMP ファイルを生成できるように、エクスプロイト対策での誤検出を再現する必要があります。エクスプロイト対策保護では、そのプロセスによって脆弱性の悪用が試みられているかどうかが検知され、その構成に基づいてプロセスがブロックされます。

1. 以下のインストーラ ファイルをダウンロードします。
   https://www.pandasecurity.com/resources/tools/antiexploit/antiexploittechid_configurator_installer_gui.exe
2. antiexploittechid_configurator_installer_gui.exe セットアップ ファイルを実行します。
   インストーラによるインストールが完了するまでに時間がかかる場合があります。
   

3. 完了 をクリックします。
4. エクスプロイトの誤検出を再現する手順を実行します。
   エクスプロイトが発生すると、プログラムによって自動的にダンプ ファイルが作成されます。
5. 以下のインストーラ ファイルをダウンロードします。
   https://www.pandasecurity.com/resources/tools/antiexploit/antiexploittechid_feature_disable_recovery_gui.exe
6. エクスプロイト対策保護の構成への変更を元に戻すには、antiexploittechid_feature_disable_recovery_gui.exe ファイルを実行します。
   インストーラによるインストールが完了するまでに時間がかかる場合があります。
7. 完了 をクリックします。

8. ダンプ ファイルを圧縮して、サポートに送信します。

また、PSInfo ツールを使用して、サポートによる問題のトラブルシューティングに有用となる診断ログを提供することができます。詳細については、PSInfo の使用を開始する を参照してください。