Symantec Endpoint Protection (SEP) の改変対策警告が、あるプロセスによりトリガーされている。どうすればよいか。具体的には、SEP の改変対策警告がポップアップ表示されるか、イベント ID 45 の改変対策に関するログが OS イベントログに記録されている。

改変対策イベントは、マルウェアによって引き起こされる場合と、SEP が使用するファイルやレジストリキーにアクセスしようとする正規のソフトウェアによって引き起こされる場合があります。

警告ではまず [対象] [処理側] [適用した処理] を確認する必要があります。

• [対象] とは攻撃されるプロセスのことです。
• [処理側] は攻撃を行うプロセスです。
• [適用した処理] は改変対策が攻撃に対応するために実行した処理です。 

次に [処理側] が正当なプロセスなのか、それとも疑わしいプロセスなのかを検討します。

• [処理側] のプロセスが正規のプロセスである場合:
• • 改変対策の除外を検討してください。詳細については Windows クライアントの改変対策例外の作成 を参照してください。また、イベントに対して実行される処理を変更することもできます。SEP では処理を [ログのみ] に設定することができます。改変対策 を参照してください。
• [処理側] のプロセスが潜在的な脅威であると思われる場合:
• • 疑わしいプロセスをシマンテックセキュリティレスポンスに提出、分析してください。セキュリティレスポンスにファイルを送信する方法については シマンテックセキュリティレスポンスに疑わしいファイルを提出する を参照してください。
  • 最新の定義ファイルを使用して完全システムスキャンを実行し、ウイルス対策製品によって検出されたリスクがあるかどうか、リスク履歴やログを確認してください。

[英語文書] What should I do when I get a Tamper Protection Alert?