目次
このページのトピック
不正プログラム対策 イベントから除外設定を作成する
手動で不正プログラム対策の除外を作成する
除外リストのワイルドカードのサポート
スパイウェア/グレーウェアの例外の処理方法
検索除外の推奨設定
信頼された証明書で署名されたファイルを除外する

不正プログラム対策の除外を作成する

不正プログラムと同じ特徴があると、不正ではないファイルが不正プログラムに誤って識別される場合があります。安全なことがわかっていて、不正プログラムに識別されてしまう場合は、そのファイルの例外を作成できます。例外が作成されると、ファイルは Workload Security がファイルを検索する際にイベントをトリガしません。

不正プログラム対策 モジュールの概要については、 不正プログラムからの保護を参照してください。

リアルタイム、手動、および予約検索でファイルを除外することもできます。「検索対象ファイルを指定する」を参照してください。

次の不正プログラムおよび不正プログラム検索の種類について、例外を作成できます。

信頼できる証明書で署名されているファイルを不正プログラム検索から除外することもできます。この機能は、Windows上のバージョン20.0.0-3445以降のエージェントでサポートされます。詳細については、信頼できる証明書で署名されたファイルを除外する を参照してください。

Workload Securityでは、ポリシーおよびコンピュータのプロパティで、不正プログラム検索の種類ごとに除外リストを管理しています。除外リストを表示するには、ポリシー エディタまたはコンピュータ エディタを開き、[不正プログラム対策] > [詳細設定] をクリックします。

例外は、 許可されたスパイウェア/グレーウェアドキュメントの脆弱性対策ルール除外機械学習型検索の検出除外対象挙動監視保護の除外信頼済み証明書の検出除外対象 のセクションに記載されています。

「検索除外の推奨設定」も参照してください。

不正プログラム対策 イベントから除外設定を作成する

ファイルが不正プログラムとして識別されると、 Workload Securityは不正プログラム対策イベントを生成します。ファイルが無害であることがわかっている場合は、イベントレポートからファイルの除外を作成できます。

  1. [イベントとレポート]→[イベント]→[不正プログラム対策イベント] の順にクリックして、不正プログラム検出イベントを特定します。
  2. 該当するイベントを右クリックします。
  3. [許可] を選択します。

手動で不正プログラム対策の除外を作成する

スパイウェアまたはグレーウェアに対する 不正プログラム対策 除外、文書脆弱性対策ルール、機械学習型予測、および挙動監視除外を手動で作成できます。例外を追加するには、 不正プログラム対策 イベントから、検索が生成されたことを示す特定の情報が必要です。不正プログラムまたは検索の種類によって、次の情報が必要になります。

  • Workload Securityでは、ポリシーおよびコンピュータのプロパティで、不正プログラム検索の種類ごとに除外リストを管理しています。除外リストを表示するには、ポリシー エディタまたはコンピュータ エディタを開き、[不正プログラム対策] > [詳細設定] をクリックします。
  • ドキュメントのエクスプロイトプロテクションルール: [MALWARE] フィールドの値 (「HEUR_OLEP.EXE」など)
  • 機械学習型予測: [FILE SHA-1] フィールドのファイルのSHA1ダイジェスト。例: 3395856CE81F2B7382DEE72602F798B642F14140

  • 挙動監視: プロセスイメージパスなど C:\test.exe

  • [イベントとレポート]→[イベント]→[不正プログラム対策イベント] の順にクリックして、不正プログラムの識別に必要なフィールド値をコピーします。

  • 例外を作成するポリシーまたはコンピュータのエディタを開きます。
  • [不正プログラム対策]→[詳細] の順にクリックします。
  • [許可するスパイウェア/グレーウェア][ドキュメントの脆弱性対策ルールの例外][機械学習型検索の検出除外対象]、または [挙動監視保護の例外] セクションのテキストボックスにイベントの情報を入力します。
  • [追加] をクリックします。

除外リストのワイルドカードのサポート

挙動監視保護の除外 リストでは、ファイルパス、ファイル名、およびファイル拡張子の除外の種類を定義するときに、ワイルドカード文字を使用できます。次の表を使用して除外リストを適切にフォーマットし、 Workload Security が正しいファイルとフォルダを検索から除外するようにします。

サポートされるワイルドカード文字:

  • アスタリスク(*):任意の文字または文字列を表します。

挙動監視保護の除外リストでは、ワイルドカード文字を使用してシステムドライブの指定を置き換えたり、UNC (Universal Naming Convention) アドレス内でワイルドカード文字を使用することはできません。

除外の種類 ワイルドカードの使用 一致 一致しません
ディレクトリ

C:\*

指定したドライブ上のすべてのファイルとフォルダを除外します。
  • C:\sample.exe
  • C:\folder\test.doc
  • D:\sample.exe
  • E:\folder\test.doc
特定のフォルダレベルにある特定のファイル

C:\*\Sample.exe

Sample.exe ファイルが C:\ ディレクトリの任意のサブフォルダにある場合のみ除外します。
  • C:\files\Sample.exe
  • C:\temp\files\Sample.exe
  • C:\sample.exe
UNC(Universal Naming Convention)パス

\\<UNC path>\*\Sample.exe

Sample.exe ファイルが、指定されたUNCパスのサブフォルダにある場合にのみ除外します。
  • \\<UNC path>\files\Sample.exe
  • \\<UNC path>\temp\files\Sample.exe
  • R:\files\Sample.exe

    理由:マップされたドライブはサポートされていません。

  • \\<UNC path>\Sample.exe

    理由:ファイルがUNCパスのサブフォルダ内に存在しません。
ファイル名と拡張子

C:\*.*

C:\ ディレクトリのすべてのフォルダおよびサブフォルダにある拡張子のあるすべてのファイルを除外します。
  • C:\Sample.exe
  • C:\temp\Sample.exe
  • C:\test.doc
  • D:\sample.exe
  • C:\Sample

    C:\Sample にはファイル拡張子がないため、例外とは一致しません。
ファイル名

C:\*.exe

C:\ ディレクトリのすべてのフォルダおよびサブフォルダにある、 .exe 拡張子を持つすべてのファイルを除外します。
  • C:\Sample.exe
  • C:\temp\test.exe
  • C:\Sample.doc
  • C:\temp\test.bat
  • C:\Sample

    C:\Sample にはファイル拡張子がないため、例外とは一致しません。

ファイル拡張子

C:\Sample.*

Sample という名前と C:\ ディレクトリ内の任意の拡張子を持つすべてのファイルを除外します。
  • C:\Sample.exe
  • C:\Sample1.doc
  • C:\temp\Sample.bat
  • C:\Sample

    C:\Sample にはファイル拡張子がないため、例外とは一致しません。
特定のディレクトリ構造内のファイル

C:\*\*\Sample.exe

C:\ ディレクトリの2番目のサブフォルダレベルまたはそれ以降のサブフォルダ内にあり、ファイル名と拡張子を持つすべてのファイルを除外します。 Sample.exe
  • C:\files\temp\Sample.exe
  • C:\files\temp\test\Sample.exe
  • C:\Sample.exe
  • C:\temp\Sample.exe
  • C:\files\temp\Sample.doc

スパイウェア/グレーウェアの例外の処理方法

スパイウェアが検出されると、検索を制御する不正プログラム検索設定に応じて、不正プログラムの駆除、隔離、または削除をすぐに実行できます。スパイウェアイベントまたはグレーウェアイベントの除外を作成した後で、ファイルの復元が必要になる場合があります。 特定されたファイルの復元 を参照してください。

または、処理を [パス] に設定して一時的にスパイウェアおよびグレーウェアを検索し、すべてのスパイウェアおよびグレーウェアの検出を [不正プログラム対策イベント] 画面に記録しますが、駆除、隔離、または削除は行いません。その後、検出されたスパイウェアおよびグレーウェアの除外を作成できます。除外リストが堅牢な場合は、処理を [駆除]、[隔離]、または [削除] のいずれかのモードに設定できます。

詳細については、不正プログラムの処理方法の設定 を参照してください。

検索除外の推奨設定

検索除外については、トレンドマイクロやその他のベンダが包括的な詳しい情報を提供しています。ここでは、検索除外の推奨設定の一部について、その概要を紹介します。

  • 隔離フォルダ(Microsoft Windows Exchange ServerのSMEXなど)は除外して、すでに不正プログラムであると確認されたファイルの再スキャンを回避する必要があります。
  • 検索はデータベースのパフォーマンスに影響を与える可能性があるため、大規模なデータベースおよびデータベースファイル (dsm.mdfdsm.ldfなど) は除外する必要があります。データベースファイルの検索が必要な場合は、予約タスクを作成して、オフピーク時にデータベースを検索できます。 Microsoft SQL Serverデータベースは動的であるため、ディレクトリとバックアップフォルダを検索リストから除外します。

Windowsの場合:

${ProgramFiles}\Microsoft SQL Server\MSSQL\Data\

${Windir}\WINNT\Cluster\ # if using SQL Clustering

Q:\ # if using SQL Clustering

Linuxの場合:

/var/lib/mysql/ # if path is set to this Data Location of MySQL in the machine.

/mnt/volume-mysql/ # if path is set to this Data Location of MySQL in the machine.

推奨される検索除外のリストについては、トレンドマイクロ Endpoint 製品の推奨検索除外リストを参照してください。Microsoft も、Windows サーバー上でファイルをスキャンから除外するために使用できるアンチウイルス除外リストを維持しています。

信頼された証明書で署名されたファイルを除外する

アプリケーションに署名していて、そのプロセスのすべてのアクティビティをリアルタイムの 不正プログラム対策 から除外する場合は(ファイル検索、挙動監視、機械学習型検索を含む)、のデジタル証明書をの信頼済み証明書リストに追加します。 Workload Security。

この種類の除外は、Windowsのエージェントバージョン20.0.0-3549以降でサポートされます。

  1. ポリシーエディタまたはコンピュータエディタで、[不正プログラム対策]→[詳細]に移動します。
  2. [信頼する証明書の検出除外] セクションで、[信頼する証明書を含むファイルを除外する] を [はい] または [継承 (はい)] に設定します。
  3. [証明書リストの管理]を選択します。
  4. [信頼された証明書]画面には、インポートした証明書が表示されます。[ファイルからインポート]を選択して、検索除外に別の項目を追加します。
  5. 証明書ファイルを選択し、[次へ]を選択します。
  6. 表示された証明書の概要を確認して、次の処理でこの証明書を信頼検索除外 に設定します。[次へ]を選択します。
  7. [概要]画面に、インポートが成功したかどうかが表示されます。[閉じる]を選択します。

インポートされた証明書が[信頼された証明書]リストに表示され、 目的 が[除外]と表示されます。

Workload Securityは、プロセスの開始時に除外リストを確認します。除外を設定する前にプロセスが実行中の場合、そのプロセスは再起動されるまで除外リストに追加されません。