Workload Security は、エージェントで保護されているWindowsおよびLinuxコンピュータに適用できるセキュリティ設定を提供し、不正プログラムおよびランサムウェアの検出率と駆除率を向上させます。この設定を適用すると、パターンファイルとの照合による不正プログラムの検出にとどまらず、パターンファイルにまだ追加されていない新たな不正プログラムを含んでいる可能性がある不審なファイル
(ゼロデイ攻撃) も特定できます。
不正プログラム対策モジュールの概要については、不正プログラムからの保護を参照してください。
macOSエージェントの場合、挙動監視はサポートされません。
強化された検索保護
脅威の検出: 検出を回避するために、一部の不正プログラムはシステムファイルや既知のインストール済みソフトウェアに関連するファイルを変更しようとします。これらの変更は、不正プログラムが正当なファイルの代わりをするため、しばしば気付かれません。Workload
Securityは、システムファイルとインストール済みソフトウェアをモニタし、不正な変更を検出して防止することができます。
攻撃コード対策: 不正プログラムの作成者は、ユーザモードプロセスに悪意のあるコードをフックして、信頼されたプロセスへの特権アクセスを得たり、悪意のある活動を隠したりすることができます。不正プログラムの作成者は、DLLインジェクションを通じてユーザプロセスにコードを注入し、特権を昇格させたAPIを呼び出します。また、悪意のあるペイロードを送り込んでメモリ内でコード実行を引き起こすことで、ソフトウェアの脆弱性を攻撃することもできます。Workload
Securityでは、アンチエクスプロイト機能が、特定のプロセスによって通常行われないアクションを実行している可能性のあるプロセスを監視します。データ実行防止 (DEP)、構造化例外処理上書き保護
(SEHOP)、ヒープスプレー防止などの複数のメカニズムを使用して、Workload Securityはプロセスが侵害されているかどうかを判断し、さらなる感染を防ぐためにプロセスを終了させることができます。
拡張されたランサムウェア対策: 最近、ランサムウェアはより高度で標的型になっています。ほとんどの組織は、エンドポイントに不正プログラム対策を含むセキュリティポリシーを持っており、既知のランサムウェアの亜種に対する一定の保護を提供します。しかし、新しい亜種の発生を検出し防止するには不十分な場合があります。Workload
Securityが提供するランサムウェア対策は、文書の不正な暗号化や変更から保護します。Workload Securityには、ランサムウェアプロセスによって暗号化された可能性のあるファイルを回復するための追加の機会をユーザに提供するために、暗号化されているファイルのコピーをオプションで作成できるデータ回復エンジンも組み込まれています。
拡張検索を有効にする
強化スキャンは、ポリシーまたは個々のコンピュータに適用される不正プログラム対策設定の一部として構成されます。不正プログラム対策保護の構成に関する一般情報については、不正プログラム対策の有効化と構成を参照してください。
これらの設定は、エージェントで保護されているWindowsおよびLinuxコンピュータにのみ適用できます。
![]() |
警告強化スキャンは、負荷の高いアプリケーションを実行しているエージェントコンピュータのパフォーマンスに影響を与える可能性があります。強化スキャンを有効にしてエージェントを展開する前に、不正プログラム対策のパフォーマンスのヒントを確認してください。
|
最初に、不正プログラムのリアルタイム検索設定で、強化された検索を有効にします。
手順
- Workload Securityコンソールで、 に移動します。
- 既存のリアルタイム検索設定をダブルクリックして編集します (不正プログラム検索設定の詳細については、不正プログラム検索の設定を参照してください)。
- [一般]タブで、[挙動監視]の下にある[挙動監視を有効にする]を選択します。
- [検出レベル]フィールドと[保護レベル]フィールドを使用して、機械学習型検索が潜在的な脅威に対応する際の警戒度と厳格さの度合いを設定し、検出と保護のレベルを構成します。
- 1 - 慎重: 機械学習型検索がアクティビティが悪意のあるものであると高い確信を持っている場合にのみ、検出または防止が実行されます。
- 2 - 中: 機械学習型検索がアクティビティが悪意のあるものであると中程度の確信を持っている場合に、検出または防止が実行されます。トレンドマイクロは、ほとんどのケースでこのレベルを使用することを推奨します。中レベルは、慎重レベルで検出または防止されるアクティビティも検出および防止します。
- 3 - アグレッシブ: 機械学習型検索がアクティビティが悪意のあるものであるという確信度が低い場合に、検出または防止が実行されます。アグレッシブレベルは、モデレートおよびカウシャスレベルで検出または防止されるアクティビティも検出および防止します。
- 4 - 超攻撃的: 機械学習型検索がアクティビティが悪意のあるものであるという確信度が最も低い場合に、検出または防止が実行されます。超攻撃的レベルは、攻撃的、中程度、および慎重なレベルで検出または防止されるアクティビティも検出および防止します。
防御レベルは検出レベルと同じか、それ以下でなければなりません。予防レベルは、予防レベルがスキャン結果の検出レベルと同じくらい積極的であるか、より積極的である場合にアクションを実行するかどうかを決定します。 - [実行する処理]リストで、Workload Securityが不正プログラムを検出した際に実行する修復アクションを選択してください。
- [トレンドマイクロの推奨処理 (推奨):] ActiveActionが決定するアクションを使用します。ActiveActionは、各不正プログラムカテゴリに最適化されたクリーンアップアクションの事前定義されたグループです。トレンドマイクロは、個々の検出が適切に処理されるように、ActiveActionのアクションを継続的に調整しています (ActiveActionのアクションを参照)。
- [放置:] は感染したファイルに対して何もせずに完全なアクセスを許可します。不正プログラム対策イベントは記録されます。
- 必要に応じて[ランサムウェアによって暗号化されたファイルをバックアップおよび復元する]を選択します。このオプションを選択すると、Workload Securityはランサムウェアプロセスによって暗号化されている場合に備えて、暗号化されているファイルのバックアップコピーを作成します。このオプションは、Windowsを実行しているコンピュータにのみ適用されます。
- [OK] をクリックします。デフォルトでは、リアルタイム検索はすべてのディレクトリを検索するように設定されています。検索設定をディレクトリリストを検索するように変更すると、強化された検索が期待通りに機能しない場合があります。例えば、[検索対象ディレクトリ]を「Folder1」を検索するように設定し、Folder1でランサムウェアが発生した場合、ランサムウェアに関連する暗号化がFolder1外のファイルで発生すると検出されない可能性があります。
- 不正プログラム検索の設定をポリシーまたは個別のコンピュータに適用します。
- [コンピュータ]または[ポリシー]エディターで、 に移動します。
- [不正プログラム対策のステータス]が[オン]または[継承 (オン)]であることを確認してください。
- [一般]タブには、[リアルタイム検索]、[手動検索]、[予約検索]のセクションが含まれています。適切なセクションで、[不正プログラム検索設定]リストを使用して作成した検索設定を選択してください。
- [保存] をクリックします。
強化された検索で問題が検出された場合の動作
Workload Securityが有効にした強化検索設定に一致する活動やファイルを発見すると、イベントを記録します (イベントの一覧を見るには
に移動します)。イベントは[主要なウイルスの種類]列で疑わしい活動または不正な変更として識別され、詳細は[対象]および[対象の種類]列に表示されます。Workload Securityは、拡張検索設定に関連するさまざまな種類のチェックを実行します。実行される処理は、問題を検出したチェックの種類によって異なります。
Workload Securityは、不審オブジェクトのアクセス拒否、終了、または駆除を行う場合があります。これらの処理は、Workload Securityによって決定され、設定することはできません。ただし、駆除処理は除きます。
- アクセス拒否: Workload Securityが不審ファイルを開いたり実行しようとする試みを検出すると、直ちに操作をブロックし、不正プログラム対策イベントを記録します。
- 終了: Workload Securityは疑わしい操作を行ったプロセスを終了し、不正プログラム対策イベントを記録します。
- 駆除: Workload Securityは不正プログラム検索の設定を確認し、アクションタブで指定されたトロイの木馬に対するアクションを実行します。トロイの木馬ファイルに対して実行されたアクションに関連する1つ以上の追加イベントが生成されます。

イベントをダブルクリックすると詳細が表示されます。

ランサムウェアに関連するイベントの場合は、[対象ファイル] タブが追加で表示されます。


ファイルを調査して無害であることが判明した場合は、イベントを右クリックして[許可]をクリックし、ファイルをコンピュータまたはポリシーの検索除外リストに追加できます。ポリシーまたはコンピュータエディターで検索除外リストを確認するには、
の下にあります。