こんにちは。
マカフィー テクニカルサポートセンターです。
監視モードを使用すると、組織で関連ポリシーを検出できます。 実行をモニタリングし、ローカルのインベントリや事前定義のルールと比較することで、ポリシーの候補を識別します。 監視モードで実行すると、Application Control は有効モードをエミュレートしますが、監視結果をログに記録する以外の処理は行いません。
有効モードと監視モードにおけるイベントの生成は以下の表のとおりです。
操作 |
モード |
イベントの生成 |
- バイナリ ファイルの実行(他の exe、dll、スクリプト等を展開しない)
- スクリプトファイルの実行
|
有効化 |
する |
監視 |
しない |
バイナリ ファイルの実行 (インストーラ形式のような、他の exe、dll、スクリプト等を展開する)
|
有効化 |
する |
監視 |
する |
※ 監視モードで実行が許可されたファイルがホワイトリストに登録されていない場合、これらのファイルはホワイトリストに自動的に追加されます。
※ 実行ファイルに名前、SHA-1 または SHA-256 による禁止ルールが存在する場合、実行は禁止されます。 対応する監視結果は生成されません。 対応するイベントが生成され、[Solidcore イベント] ページに表示されます。
※ 汎用ランチャープロセス(ePO の [設定] - [サーバー設定] - カテゴリの設定から "Solodcore" を開く)にはセキュリティ上のリスクから、ポリシーによる実行許可をしないよう推奨されるプロセスがリストされております。これらのプロセスによる実行については、ポリシー検出におけるイベントは生成されません。
関連するナレッジのご案内
MAC 6.2/7.0.x/8.0.0 アップデートモード vs 観察モード
監視モードと更新モードの違い
今後ともマカフィー製品をご愛顧くださいますよう宜しくお願い致します。