強化された不正プログラム対策と挙動監視によるランサムウェア検索

Workload Securityでは、Deep Security Agentで保護されているWindowsおよびLinuxコンピュータに適用できるセキュリティ設定を提供し、不正プログラムやランサムウェアの検出およびクリーンナップを強化します。この設定を適用すると、パターンファイルとの照合による不正プログラムの検出にとどまらず、パターンファイルにまだ追加されていない新たな不正プログラムを含んでいる可能性がある不審なファイル (ゼロデイ攻撃) も特定できます。

不正プログラム対策モジュールの概要については、不正プログラムからの保護を参照してください。

強化された検索で実現される保護

脅威の検出:不正プログラムの中には、検出を逃れるために、システムファイルや既知のインストール済みソフトウェアに関連するファイルを変更しようとするものがあります。不正プログラムは正規のファイルに代わって動作するため、多くの場合このような変更が表面化することはありません。Workload Securityでは、システムファイルとインストールされているソフトウェアを監視して不正な変更を検出し、これらの変更の発生を防止できます。

攻撃コード対策:不正プログラムの作成者は、不正プログラムを使用してユーザモードプロセスに接続し、信頼されたプロセスへのアクセス権を取得し、不正な活動を隠すことができます。また、DLLインジェクションを通じてユーザプロセスにコードを挿入し、エスカレートされた特権でAPIを呼び出します。さらに、不正なペイロードを挿入してメモリ内でコードの実行をトリガする方法で、ソフトウェアのセキュリティホールに対して攻撃を仕掛けることもあります。 Workload Securityでは、脆弱性対策機能は、通常は特定のプロセスで実行されない処理を実行しているプロセスを監視します。データ実行防止(DEP), 構造化除外処理上書き保護(SEHOP), およびヒープスプレー防止)を含む、 Workload Security などのメカニズムを使用すると、プロセスが侵害されているかどうかを判断し、プロセスを終了して感染を防ぐことができます。

拡張されたランサムウェア対策:最近、ランサムウェアはより洗練され、標的になっています。ほとんどの組織では、不正プログラム対策を含むセキュリティポリシーをエンドポイントに適用しており、既知のランサムウェア亜種には対応しています。ただし、新たな亜種の発生を検出して防止するには不十分です。 Workload Security が提供するランサムウェア保護は、不正な暗号化や変更からドキュメントを保護することができます。Workload Security には、オプションで、暗号化されているファイルのコピーを作成して、ランサムウェアで暗号化された可能性のあるファイルを回復できるようにするデータリカバリエンジンも組み込まれています。

強化された検索を有効にする方法

拡張検索は、ポリシーまたは個々のコンピュータに適用される 不正プログラム対策 設定の一部として設定されます。不正プログラム対策 保護の設定の一般的な情報については、 不正プログラム対策を有効にして設定するを参照してください。

この設定は、Deep Security Agentで保護されているWindowsコンピュータにのみ適用できます。

強化された検索は、負荷の高いアプリケーションを実行しているAgentコンピュータのパフォーマンスに影響する可能性があります。Googleでは、のパフォーマンスに関するヒント不正プログラム対策強化された検索が有効になったDeep Security Agentを配信する前に確認してください。

最初に、不正プログラムのリアルタイム検索設定で、強化された検索を有効にします。

  1. Workload Security コンソールで、[ Policies]→[Common Objects]→[Other Objects]→[Other]→[Malware Scan Configurations]の順に選択します。
  2. 既存のリアルタイム検索設定をダブルクリックして編集します (不正プログラム検索設定の詳細については、「不正プログラム検索の設定」を参照してください)。
  3. [一般] タブの[ 挙動監視] で、 [挙動監視] [を有効にする]を選択します。[ Action to take ]リストで、不正プログラムを検出した場合にDeep Securityで実行する修復処理を選択します。
    • ActiveAction(推奨): ActiveActionが決定する処理を使用します。トレンドマイクロの推奨処理は、不正プログラムの各カテゴリ用に最適化された一連の定義済みのクリーンナップ処理です。トレンドマイクロでは、ActiveActionの処理を継続的に調整して、個々の検出が適切に処理されるようにします。(「トレンドマイクロの推奨処理」を参照してください)。
    • 放置: 感染ファイルに何も行わず、そのファイルへのフルアクセスを許可する(不正プログラム対策イベントは依然として記録されます。)
  4. 必要に応じて、 [ランサムウェア暗号化ファイルのバックアップと復元] の順に選択します。このオプションを選択すると、 Deep Securityは、ランサムウェアプロセスによって暗号化されている場合に暗号化されているファイルのバックアップコピーを作成します。このオプションは、Windowsを実行しているコンピュータにのみ適用されます。
  5. [OK] をクリックします。

初期設定では、リアルタイム検索はすべてのディレクトリを検索するように設定されます。この設定をディレクトリリストの検索に変更すると、強化された検索が想定どおりに機能しない場合があります。たとえば、[検索対象ディレクトリ] を「Folder1」に設定した場合にFolder1でランサムウェアが発生すると、Folder1の外部にあるファイルがランサムウェアによって暗号化された場合、ランサムウェアが検出されない可能性があります。

次に、不正プログラム検索設定をポリシーまたは個々のコンピュータに適用します。

  1. [コンピュータ]または[ポリシーエディタ]で、[ 不正プログラム対策 ]→[一般]の順に選択します。
  2. 不正プログラム対策 の状態の場合 または の継承(オン)であることを確認してください。
  3. [一般] タブには、[リアルタイム検索][手動検索][予約検索] の各セクションがあります。該当するセクションで、[不正プログラム検索設定] リストから上記の手順で作成した検索設定を選択します。
  4. [保存] をクリックします。

強化された検索で問題が検出された場合の動作

Workload Security が、有効にした拡張検索設定に一致するアクティビティまたはファイルを検出すると、イベントをログに記録します( イベント&レポート>イベント> 不正プログラム対策 イベントの へのイベントのリストを参照)。このイベントは [主要なウイルスの種類] 列に「不審なアクティビティ」または「不正な変更」として記録され、[対象] 列と [対象の種類] 列に詳細が表示されます。

Workload Security では、強化された検索設定に関連するさまざまな種類のチェックが実行され、処理の種類は問題の検出されたチェックの種類によって異なります。Workload Security は、不審オブジェクトの「アクセス拒否」、「終了」、または「駆除」を行うことがあります。これらの処理は、 Workload Security によって実行されます。この処理は設定できません。ただし、[駆除]処理を除きます。

  • 拒否アクセス: Workload Security が不審ファイルのオープンまたは実行の試行を検出すると、ただちにその操作をブロックし、 不正プログラム対策 イベントを記録します。
  • 終了: Workload Security は、不審な操作を実行したプロセスを終了して、 不正プログラム対策 イベントを記録します。
  • 駆除: Workload Security は不正プログラム検索の設定をチェックし、[処理]タブでトロイの木馬に指定された処理を実行します。トロイの木馬ファイルに対して実行される処理に関連して、1つ以上のイベントが追加で生成されます。

イベントをダブルクリックすると詳細が表示されます。

ランサムウェアに関連するイベントの場合は、[対象ファイル] タブが追加で表示されます。

特定のファイルが有害でないことが調査および検出された場合は、イベントを右クリックして[許可]をクリックして、コンピュータまたはポリシーの検索除外リストにファイルを追加できます。検索除外リストは、ポリシーエディタまたはコンピュータエディタで [不正プログラム対策]→[詳細]→[挙動監視保護の例外] の順に選択して確認できます。