不正プログラム対策の除外を作成する

不正プログラムと同じ特徴があると、不正ではないファイルが不正プログラムに誤って識別される場合があります。安全なことがわかっていて、不正プログラムに識別されてしまう場合は、そのファイルの例外を作成できます。例外が作成されると、ファイルは Workload Security がファイルを検索する際にイベントをトリガしません。

不正プログラム対策 モジュールの概要については、 不正プログラムからの保護を参照してください。

リアルタイム、手動、および予約検索でファイルを除外することもできます。「検索対象ファイルを指定する」を参照してください。

次の不正プログラムおよび不正プログラム検索の種類について、例外を作成できます。

Workload Security では、ポリシーおよびコンピュータの各プロパティで検索される不正プログラムの種類ごとに除外リストが保持されます。

  1. 例外のリストを表示するには、ポリシーまたはコンピュータのエディタを開きます。
  2. [不正プログラム対策]→[詳細] の順にクリックします。

例外は、 許可されたスパイウェア/グレーウェア, ドキュメントの脆弱性対策 ルール除外, 機械学習型検索 検出除外および 挙動監視保護の除外 セクションに記載されています。

「検索除外の推奨設定」も参照してください。

不正プログラム対策 イベントから除外設定を作成する

ファイルが不正プログラムとして検出されると、 Workload Security によって 不正プログラム対策 イベントが生成されます。ファイルが安全だとわかっている場合は、イベントレポートからそのファイルの例外を作成できます。

  1. [イベントとレポート]→[イベント]→[不正プログラム対策イベント] の順にクリックして、不正プログラム検出イベントを特定します。
  2. 該当するイベントを右クリックします。
  3. [許可] を選択します。

手動で不正プログラム対策の除外を作成する

スパイウェアまたはグレーウェアに対する 不正プログラム対策 除外、文書脆弱性対策ルール、機械学習型予測、および挙動監視除外を手動で作成できます。例外を追加するには、 不正プログラム対策 イベントから、検索が生成されたことを示す特定の情報が必要です。不正プログラムまたは検索の種類によって、次の情報が必要になります。

  • スパイウェアまたはグレーウェア: 「MALWARE」フィールドの値など SPY_CCFR_CPP_TEST.A
  • 脆弱性対策ルールの文書化: 「MALWARE」フィールドの値など HEUR_OLEP.EXE
  • 機械学習型検索: たとえば、「FILE SHA-1」フィールドからのファイルのSHA1通知 3395856CE81F2B7382DEE72602F798B642F14140
  • 挙動監視: プロセスイメージパスなど C:\test.exe



  1. [イベントとレポート]→[イベント]→[不正プログラム対策イベント] の順にクリックして、不正プログラムの識別に必要なフィールド値をコピーします。
  2. 例外を作成するポリシーまたはコンピュータのエディタを開きます。
  3. [不正プログラム対策]→[詳細] の順にクリックします。
  4. [許可するスパイウェア/グレーウェア][ドキュメントの脆弱性対策ルールの例外][機械学習型検索の検出除外対象]、または [挙動監視保護の例外] セクションのテキストボックスにイベントの情報を入力します。
  5. [追加] をクリックします。

スパイウェア/グレーウェアの例外の処理方法

スパイウェアが検出された場合、検索を制御する不正プログラム検索設定に基づいて、不正プログラムは即座に駆除、隔離、または削除されます。スパイウェア/グレーウェアイベントの例外を作成後、ファイルの復元が必要な場合があります(「検出ファイルを復元する」を参照してください)。

または、一時的に処理を [放置] に設定した上でスパイウェア/グレーウェアを検索すると、スパイウェア/グレーウェア検出がすべて [不正プログラム対策イベント] 画面に記録されても、駆除、隔離、または削除は実行されません。これにより、検出されたスパイウェア/グレーウェアの例外を作成できます。例外リストの安全性が高くなったら、処理を [駆除]、[隔離]、または [削除] モードに設定できます。

処理の設定の詳細については、「不正プログラムの処理方法を設定する」を参照してください。

検索除外の推奨設定

検索除外については、トレンドマイクロやその他のベンダが包括的な詳しい情報を提供しています。ここでは、検索除外の推奨設定の一部について、その概要を紹介します。

  • 隔離フォルダ(Microsoft Windows Exchange ServerのSMEXなど)は除外して、すでに不正プログラムであると確認されたファイルの再スキャンを回避する必要があります。
  • 検索を実行するとデータベースのパフォーマンスに影響することがあるため、大規模なデータベースやデータベースファイル (dsm.mdfやdsm.ldfなど) を除外します。データベースファイルを検索する必要がある場合は、ピーク時を避けてデータベースを検索する予約タスクを作成します。Microsoft SQL Serverデータベースは動的なので、ディレクトリとバックアップフォルダを検索リストから除外します。

Windowsの場合:

${ProgramFiles}\ Microsoft SQL Server \ MSSQL \ Data\

${Windir}\WINNT\Cluster\ # if using SQL Clustering

Q:\ # if using SQL Clustering

Linuxの場合:

/var/lib/mysql/ # if path is set to this Data Location of MySQL in the machine.

/mnt/volume-mysql/ # if path is set to this Data Location of MySQL in the machine.

推奨検索除外リストについては、 トレンドマイクロ推奨検索除外リストを参照してください。マイクロソフトでは、 のウイルス対策除外リスト も管理しており、Windowsサーバでの検索からファイルを除外するための参照として使用できます。