このページのトピック

不正プログラム対策の除外を作成する

悪意のないファイルが不正プログラムと特定の特徴を共有している場合、不正プログラムとして誤って識別されることがあります。ファイルが無害であることが判明しており、不正プログラムとして識別された場合、そのファイルまたはファイルを検出したルールに対して除外を作成できます。除外が作成されると、Workload Securityは除外されたファイルまたはルールに対してイベントをトリガーしません。

不正プログラム対策モジュールの概要については、不正プログラムからの保護を参照してください。

リアルタイム、手動、および予約検索でファイルを除外することもできます。「検索対象ファイルを指定する」を参照してください。

次の不正プログラムおよび不正プログラム検索の種類について、例外を作成できます。

不正プログラム対策スキャン
機械学習型検索 (機械学習型検索を使用した新しい脅威の検出を参照)。
スパイウェアおよびグレーウェアを検索します (スパイウェアおよびグレーウェアの検索を参照)。
挙動監視による保護 (挙動監視による不正プログラム対策およびランサムウェア検索の強化を参照)。

信頼できる証明書で署名されているファイルを不正プログラム検索から除外することもできます。この機能は、Windows上のバージョン20.0.0-3445以降のエージェントでサポートされます。詳細については、信頼できる証明書で署名されたファイルを除外するを参照してください。

Workload Securityでは、ポリシーおよびコンピュータのプロパティで、不正プログラム検索の種類ごとに除外リストを管理しています。除外リストを表示するには、ポリシー エディタまたはコンピュータ エディタを開き、[不正プログラム対策] > [詳細設定] をクリックします。

以下の除外リストを表示および編集できます:

許可されたスパイウェア/グレーウェア: スパイウェアまたはグレーウェアとして識別されたアプリケーションを一部のシステムに残すことを許可します。不正プログラム対策のスパイウェア検出イベントを使用して例外を追加します。
ルール例外: ルールIDに基づいて検出例外を作成します。ルールIDはイベントとレポートでイベントを表示することで見つけることができます。ルール例外は不正プログラム対策スキャンと挙動監視の両方に適用されます。
挙動監視保護の例外: 挙動監視保護の検出からファイルを除外します。
機械学習型検索検出の例外: SHA1ハッシュに基づいてファイルを免除します。
信頼された証明書の検出例外: 信頼された証明書を持つファイルを検出から除外するかどうかを選択します。

「検索除外の推奨設定」も参照してください。

不正プログラム対策イベントから除外設定を作成する

ファイルが不正プログラムとして識別されると、 Workload Securityは不正プログラム対策イベントを生成します。ファイルが無害であることがわかっている場合は、イベントレポートからファイルの除外を作成できます。

[イベントとレポート]→[イベント]→[不正プログラム対策イベント] の順にクリックして、不正プログラム検出イベントを特定します。
該当するイベントを右クリックします。
[許可] を選択します。

手動で不正プログラム対策の除外を作成する

512件を超える不正プログラム対策の除外エントリを作成すると、除外が機能しなくなります。{: .note }

除外リストを使用して、不正プログラム対策の除外を手動で作成できます。除外を手動で追加するには、スキャンによって生成された不正プログラム対策イベントから特定の情報が必要です。不正プログラムの種類やスキャンによって、必要な情報が異なります。

許可されたスパイウェア/グレーウェア: MALWAREフィールドの値、例えばSPY_CCFR_CPP_TEST.A。
ルール例外: 不正プログラム対策イベントビューアの脅威情報セクションにあるルールID。例えば、RAN4685T。

ルールIDは大文字と小文字を区別します。機械学習関連のTRX不正プログラム (例: Ransom.Win32.TRX) やVSAPIX不正プログラム (例: Trojan.Win32.VSX.PE04C93) のルールIDを使用してルール例外を作成することは現在サポートされていません。{: .note }
挙動監視保護の例外: プロセスイメージパス、例えばC:\test.exe。
機械学習型検索検出の例外: FILE SHA-1フィールドのファイルのSHA1ダイジェスト、例えば3395856CE81F2B7382DEE72602F798B642F14140。

除外を手動で追加するには:

[イベントとレポート]→[イベント]→[不正プログラム対策イベント] の順にクリックして、不正プログラムの識別に必要なフィールド値をコピーします。
例外を作成するポリシーまたはコンピュータのエディタを開きます。
[不正プログラム対策]→[詳細] の順にクリックします。
許可されたスパイウェア/グレーウェア、ルール例外、挙動監視保護例外、または機械学習型検索検出例外セクションで、イベントの情報をテキストボックスに入力してください。
[追加] をクリックします。
[保存] をクリックします。

除外リストのワイルドカードのサポート

挙動監視保護の除外 リストでは、ファイルパス、ファイル名、およびファイル拡張子の除外の種類を定義するときに、ワイルドカード文字を使用できます。次の表を使用して除外リストを適切にフォーマットし、 Workload Security が正しいファイルとフォルダを検索から除外するようにします。

サポートされるワイルドカード文字：

アスタリスク（*）：任意の文字または文字列を表します。

挙動監視保護の除外リストでは、ワイルドカード文字を使用してシステムドライブの指定を置き換えたり、UNC (Universal Naming Convention) アドレス内でワイルドカード文字を使用することはできません。

除外の種類	ワイルドカードの使用	一致	一致しません
ディレクトリ	`C:\*` 指定したドライブ上のすべてのファイルとフォルダを除外します。	`C:\sample.exe` `C:\folder\test.doc`	`D:\sample.exe` `E:\folder\test.doc`
特定のフォルダレベルにある特定のファイル	`C:\*\Sample.exe` `Sample.exe` ファイルが `C:\` ディレクトリの任意のサブフォルダにある場合のみ除外します。	`C:\files\Sample.exe` `C:\temp\files\Sample.exe`	`C:\sample.exe`
UNC（Universal Naming Convention）パス	`\\<UNC path>\*\Sample.exe` `Sample.exe` ファイルが、指定されたUNCパスのサブフォルダにある場合にのみ除外します。	`\\<UNC path>\files\Sample.exe` `\\<UNC path>\temp\files\Sample.exe`	`R:\files\Sample.exe` 理由：マップされたドライブはサポートされていません。 `\\<UNC path>\Sample.exe` 理由：ファイルがUNCパスのサブフォルダ内に存在しません。
ファイル名と拡張子	`C:\.` `C:\` ディレクトリのすべてのフォルダおよびサブフォルダにある拡張子のあるすべてのファイルを除外します。	`C:\Sample.exe` `C:\temp\Sample.exe` `C:\test.doc`	`D:\sample.exe` `C:\Sample` `C:\Sample` にはファイル拡張子がないため、例外とは一致しません。
ファイル名	`C:\*.exe` `C:\` ディレクトリのすべてのフォルダおよびサブフォルダにある、 `.exe` 拡張子を持つすべてのファイルを除外します。	`C:\Sample.exe` `C:\temp\test.exe`	`C:\Sample.doc` `C:\temp\test.bat` `C:\Sample` `C:\Sample` にはファイル拡張子がないため、例外とは一致しません。
ファイル拡張子	`C:\Sample.*` `Sample` という名前と `C:\` ディレクトリ内の任意の拡張子を持つすべてのファイルを除外します。	`C:\Sample.exe`	`C:\Sample1.doc` `C:\temp\Sample.bat` `C:\Sample` `C:\Sample` にはファイル拡張子がないため、例外とは一致しません。
特定のディレクトリ構造内のファイル	`C:\\\Sample.exe` `C:\` ディレクトリの2番目のサブフォルダレベルまたはそれ以降のサブフォルダ内にあり、ファイル名と拡張子を持つすべてのファイルを除外します。 `Sample.exe`	`C:\files\temp\Sample.exe` `C:\files\temp\test\Sample.exe`	`C:\Sample.exe` `C:\temp\Sample.exe` `C:\files\temp\Sample.doc`

スパイウェア/グレーウェアの例外の処理方法

スパイウェアが検出されると、検索を制御する不正プログラム検索設定に応じて、不正プログラムの駆除、隔離、または削除をすぐに実行できます。スパイウェアイベントまたはグレーウェアイベントの除外を作成した後で、ファイルの復元が必要になる場合があります。特定されたファイルの復元を参照してください。

または、処理を [パス] に設定して一時的にスパイウェアおよびグレーウェアを検索し、すべてのスパイウェアおよびグレーウェアの検出を [不正プログラム対策イベント] 画面に記録しますが、駆除、隔離、または削除は行いません。その後、検出されたスパイウェアおよびグレーウェアの除外を作成できます。除外リストが堅牢な場合は、処理を [駆除]、[隔離]、または [削除] のいずれかのモードに設定できます。

詳細については、不正プログラムの処理方法の設定を参照してください。

検索除外については、トレンドマイクロやその他のベンダが包括的な詳しい情報を提供しています。ここでは、検索除外の推奨設定の一部について、その概要を紹介します。

隔離フォルダ（Microsoft Windows Exchange ServerのSMEXなど）は除外して、すでに不正プログラムであると確認されたファイルの再スキャンを回避する必要があります。
検索はデータベースのパフォーマンスに影響を与える可能性があるため、大規模なデータベースおよびデータベースファイル (dsm.mdf や dsm.ldfなど) は除外する必要があります。データベースファイルの検索が必要な場合は、予約タスクを作成して、オフピーク時にデータベースを検索できます。 Microsoft SQL Serverデータベースは動的であるため、ディレクトリとバックアップフォルダを検索リストから除外します。

Windowsの場合:

${ProgramFiles}\Microsoft SQL Server\MSSQL\Data\

${Windir}\WINNT\Cluster\ # if using SQL Clustering

Q:\ # if using SQL Clustering

Linuxの場合:

/var/lib/mysql/ # if path is set to this Data Location of MySQL in the machine.

/mnt/volume-mysql/ # if path is set to this Data Location of MySQL in the machine.

推奨される検索除外のリストについては、トレンドマイクロ Endpoint 製品の推奨検索除外リストを参照してください。Microsoft も、Windows サーバー上でファイルをスキャンから除外するために使用できるアンチウイルス除外リストを維持しています。

信頼された証明書で署名されたファイルを除外する

アプリケーションに署名していて、そのプロセスのすべてのアクティビティをリアルタイムの不正プログラム対策から除外する場合は（ファイル検索、挙動監視、機械学習型検索を含む）、のデジタル証明書をの信頼済み証明書リストに追加します。 Workload Security。

この種類の除外は、Windowsのエージェントバージョン20.0.0-3549以降でサポートされます。

ポリシーエディタまたはコンピュータエディタで、[不正プログラム対策]→[詳細]に移動します。
[信頼する証明書の検出除外] セクションで、[信頼する証明書を含むファイルを除外する] を [はい] または [継承 (はい)] に設定します。
[証明書リストの管理]を選択します。
[信頼された証明書]画面には、インポートした証明書が表示されます。[ファイルからインポート]を選択して、検索除外に別の項目を追加します。
証明書ファイルを選択し、[次へ]を選択します。
表示された証明書の概要を確認して、次の処理でこの証明書を信頼 を 検索除外 に設定します。[次へ]を選択します。
[概要]画面に、インポートが成功したかどうかが表示されます。[閉じる]を選択します。

インポートされた証明書が[信頼された証明書]リストに表示され、目的が[除外]と表示されます。

Workload Securityは、プロセスの開始時に除外リストを確認します。除外を設定する前にプロセスが実行中の場合、そのプロセスは再起動されるまで除外リストに追加されません。