強化された不正プログラム対策と挙動監視によるランサムウェア検索

Workload Security は、エージェントで保護されているWindowsおよびLinuxコンピュータに適用できるセキュリティ設定を提供し、不正プログラムおよびランサムウェアの検出率と駆除率を向上させます。この設定を適用すると、パターンファイルとの照合による不正プログラムの検出にとどまらず、パターンファイルにまだ追加されていない新たな不正プログラムを含んでいる可能性がある不審なファイル (ゼロデイ攻撃) も特定できます。

不正プログラム対策モジュールの概要については、不正プログラムからの保護を参照してください。

macOSエージェントの場合、挙動監視はサポートされません。

強化された検索保護

脅威の検出：不正プログラムの中には、検出を逃れるために、システムファイルや既知のインストール済みソフトウェアに関連するファイルを変更しようとするものがあります。不正プログラムは正規のファイルに代わって動作するため、多くの場合このような変更が表面化することはありません。Workload Securityでは、システムファイルとインストールされているソフトウェアを監視して不正な変更を検出し、これらの変更の発生を防止できます。

攻撃コード対策: 不正プログラムの作成者は、不正なコードをユーザモードのプロセスにフックすることで、信頼されたプロセスに特権でアクセスし、不審なアクティビティを隠します。また、DLLインジェクションを通じてユーザプロセスにコードを挿入し、エスカレートされた特権でAPIを呼び出します。さらに、不正なペイロードを挿入してメモリ内でコードの実行をトリガする方法で、ソフトウェアのセキュリティホールに対して攻撃を仕掛けることもあります。Workload Securityの攻撃コード対策機能は、通常とは異なる操作を実行している可能性があるプロセスがないかを監視します。Workload Securityでは、Data Execution Prevention (DEP)、Structured Exception Handling Overwrite Protection (SEHOP)、ヒープスプレー防止などの複数のメカニズムを使用して、プロセスへの感染を判断し、プロセスを終了してさらなる感染を防止します。

拡張されたランサムウェア対策：最近、ランサムウェアはより洗練され、標的になっています。ほとんどの組織では、不正プログラム対策を含むセキュリティポリシーをエンドポイントに適用しており、既知のランサムウェア亜種には対応しています。ただし、新たな亜種の発生を検出して防止するには不十分です。 Workload Security が提供するランサムウェア保護は、不正な暗号化や変更からドキュメントを保護することができます。Workload Security には、オプションで、暗号化されているファイルのコピーを作成して、ランサムウェアで暗号化された可能性のあるファイルを回復できるようにするデータリカバリエンジンも組み込まれています。

拡張検索を有効にする

拡張検索は、ポリシーまたは個々のコンピュータに適用される 不正プログラム対策 設定の一部として設定されます。不正プログラム対策 保護の設定の一般的な情報については、 不正プログラム対策を有効にして設定するを参照してください。

これらの設定は、エージェントで保護されているWindowsおよびLinuxコンピュータにのみ適用できます。

拡張検索は、負荷の高いアプリケーションを実行しているエージェントコンピュータのパフォーマンスに影響を与える可能性があります。拡張検索を有効にしてエージェントを配信する前に、不正プログラム対策のパフォーマンスのヒント を確認する必要があります。

最初に、不正プログラムのリアルタイム検索設定で、強化された検索を有効にします。

1. Workload Security コンソールで、[ポリシー]→[共通オブジェクト]→[その他のオブジェクト]→[その他]→[不正プログラム検索設定] の順に選択します。
2. 既存のリアルタイム検索設定をダブルクリックして編集します (不正プログラム検索設定の詳細については、「不正プログラム検索の設定」を参照してください)。
3. [一般]タブの[ 挙動監視 ]で、[ 挙動監視を有効にする ]を選択します。[ Action to take ]リストで、必要な修復アクションを選択しますWorkload Securityマルウェアを検出したときに取る：
   • トレンドマイクロの推奨処理 (推奨): トレンドマイクロの推奨処理によって決定される処理を使用します。トレンドマイクロの推奨処理は、マルウェアのカテゴリごとに最適化された、事前定義されたクリーンナップ処理のグループです。トレンドマイクロでは、個々の検出が適切に処理されるように、トレンドマイクロの推奨処理の処理を継続的に調整しています (トレンドマイクロの推奨処理を参照)。
   • 放置: 感染ファイルに何もせずに、そのファイルへのフルアクセスを許可します。不正プログラム対策イベントが記録されます。
4. 必要に応じて、 [ランサムウェア暗号化ファイルのバックアップと復元] の順に選択します。このオプションを選択すると、 Workload Security が作成されWorkload Security。このオプションは、Windowsを実行しているコンピュータにのみ適用されます。
5. [OK] をクリックします。

初期設定では、リアルタイム検索はすべてのディレクトリを検索するように設定されます。この設定をディレクトリリストの検索に変更すると、強化された検索が想定どおりに機能しない場合があります。たとえば、[検索対象ディレクトリ] を「Folder1」に設定した場合にFolder1でランサムウェアが発生すると、Folder1の外部にあるファイルがランサムウェアによって暗号化された場合、ランサムウェアが検出されない可能性があります。

次に、不正プログラム検索設定をポリシーまたは個々のコンピュータに適用します。

1. [コンピュータ] エディタまたは [ポリシー] エディタで、[不正プログラム対策]→[一般] の順に選択します。
2. 不正プログラム対策の状態 が 場合 または 継承（オン）であることを確認してください。
3. [一般] タブには、[リアルタイム検索]、[手動検索]、および [予約検索] の各セクションがあります。該当するセクションで、[不正プログラム検索設定] リストを使用して、作成した検索設定を選択します。
4. [保存] をクリックします。

強化された検索で問題が検出された場合の動作

Workload Securityは、有効にした拡張検索設定に一致するアクティビティまたはファイルを検出すると、イベントをログに記録します ([イベントとレポート]→[イベント]→[不正プログラム対策イベントイベント] の順に選択すると、イベントのリストが表示されます)。イベントは、[主要なウイルスの種類] 列に「不審なアクティビティ」または「不正な変更」として識別され、[対象] および [対象の種類] 列に詳細が表示されます。

Workload Securityは、拡張検索設定に関連するさまざまな種類のチェックを実行します。実行される処理は、問題を検出したチェックの種類によって異なります。 Workload Securityは、不審オブジェクトのアクセス拒否、終了、または駆除を行う場合があります。これらの処理は、Workload Securityによって決定され、設定することはできません。ただし、駆除処理は除きます。

• 拒否アクセス： Workload Security が不審ファイルのオープンまたは実行の試行を検出すると、ただちにその操作をブロックし、 不正プログラム対策 イベントを記録します。
• 終了： Workload Security は、不審な操作を実行したプロセスを終了して、 不正プログラム対策 イベントを記録します。
• 駆除： Workload Security は不正プログラム検索の設定をチェックし、[処理]タブでトロイの木馬に指定された処理を実行します。トロイの木馬ファイルに対して実行される処理に関連して、1つ以上のイベントが追加で生成されます。

イベントをダブルクリックすると詳細が表示されます。

ランサムウェアに関連するイベントの場合は、[対象ファイル] タブが追加で表示されます。

調査の結果、特定されたファイルに有害でないことが判明した場合は、そのイベントを右クリックし、[許可] をクリックして、そのファイルをコンピュータまたはポリシーの検索除外リストに追加できます。ポリシーエディタまたはコンピュータエディタの [不正プログラム対策] →[詳細設定]→[挙動監視保護の除外] で、検索除外リストを確認できます。