[Cisco Secure Endpoint] Policyで入力可能だが動作しないExclusion設定

Kenichiro Kato · ‎2018-07-10

はじめに

Exclusionは主にCisco Secure Endpointと他のアンチウイルスソフトウェア等との競合や、大量のファイルの作成等によるCPU高負荷を防ぐために使用されます。

ExclusionはAMP ConsoleのManagement -> Exclusionsより設定し、Policyにて対象Exclusionを指定することで、端末上に反映されますが、一部、入力は出来てしまうものの、動作しない設定があるため、注意が必要です。

例えば、以下の画面のExclusionのうち、「Path: C:\Program Files\*\directory」はPolicy上設定されているように見えますが、無効な設定であり、実際には動作しません。

本記事では、このように、Policyには入力出来るにも関わらず、端末では実際に動作しないExclusionについてご紹介いたします。

なお、Exclusionの基本的な動作や設定方法に関しては、以下のドキュメントをご参照ください。

本記事は、2018年7月10日時点のAMP Consoleと、Windows Connector 5.1.13 / 6.1.5にて動作確認をしております。将来的に予告なくUIやソフトウェアの挙動が変更となる場合がございますので予めご了承ください。

こちらは、特に多くのお客様で間違えられておりますが、Path Exclusionに「*（アスタリスク）」が入力されていてもWildcardとしては動作しません。
従いまして、以下のようなExclusionは全て無効です。

Path: C:\hoge\*.log <---*は指定不可

File Extension Exclusionは、.xxx(ドット＋拡張子の文字列）のみ指定することが出来、それ以外の文字列を入力しても動作しません。例えば、以下のようなパス情報やWildcardを指定することはできません。

File Extension: .C:\*.txt  <--- 「:」,「*」,「\」は指定不可

上記のような、.txtをFile Extensionとして指定する場合は以下の通りです。

<File Extension Exclusion>
File Extension: .txt

Process Exclusionには実行ファイル(WindowsであればPEファイル(.exe) ）を指定する必要があります。
そうでないファイル（例えば.txtファイル）を指定しても動作しません。

例えば以下のようなProcess Exclusionは無効です。

Process: File Scans
Full Path: C:\Program Files\dir\hoge.txt   <--- Textファイルは実行できない
File Scans - Also Exclude Child Processes: No

Process Exclusionには実行ファイルを指定します。

Process: File Scans
Full Path: C:\Program Files\dir\hoge.exe
File Scans - Also Exclude Child Processes: No

Windowsでは、C:\Users\<user>\AppDataを%AppData%と示すことがありますが、Exclusionとしては指定することができません。例えば、以下のようなExclusionは無効です。

Path: %Program Files%\Cisco  <--- %Folder%の形式は使用できない

Exclusionでは以下のようなCSIDLで記述します。

Path: CSIDL_PROGRAM_FILES\Cisco

Process ExclusionはVersion 5.xでは25個、Version 6.xでは100個まで設定可能です。
それを超えた場合、例えばVersion 6.xで105個設定している場合、有効な設定は最初の100個までとなり、残りの5個は設定されているものの、動作しません。