機械学習型検索を使用した脅威の検出

機械学習型検索は、バージョン11.0以降のエージェントでサポートされます。この機能をサポートするプラットフォームの詳細については、「各プラットフォームでサポートされている機能」を参照してください。

機械学習型検索を使用して、未知の不正プログラムや感染率の低い不正プログラムを検出します。詳細については、「機械学習型検索」を参照してください。

機械学習型検索では、高度な脅威検索エンジン (ATSE) を使用して、ファイルの特徴を抽出し、Trend Micro Smart Protection Network上の機械学習型検索エンジンにレポートを送信します。

検出されたすべての不正プログラムと同様に、機械学習型検索では不正プログラムが検出されるとイベントがログに記録されます。詳細については、「Workload Securityのイベント収集」を参照してください。誤検出に対する例外を作成することもできます。詳細については、「不正プログラム対策の例外の作成」を参照してください。

機械学習型検索を有効にする

機械学習型検索は、ポリシーまたは個々のコンピュータに適用されるリアルタイム検索設定の一部として設定されます。詳細については、「不正プログラム検索の設定」を参照してください。検索設定を設定したら、ポリシーまたはコンピュータに適用します。

機械学習型検索では、リアルタイム検索で検索するように設定されたファイルとディレクトリのみが保護されます。詳細については、「検索対象ファイルを指定する」を参照してください。

次の設定は、Windowsコンピュータのリアルタイム検索設定にのみ適用できます。

機械学習型検索を有効にするには、次の手順を実行します。

1. [ポリシー]→[共通オブジェクト]→[その他]→[不正プログラム検索設定] に移動します。

2. 設定するリアルタイム検索の設定を選択し、[詳細] をクリックします。

   新しいリアルタイム検索設定を作成することもできます。

3. [一般] タブの [機械学習型検索] で、[機械学習型検索の有効化] を選択します。[ Action to take ]リスト、必要な修復アクションを選択しますWorkload Securityマルウェアを検出したときに取る：

   • 隔離 (推奨) : 感染ファイルを保護対象コンピュータの隔離ディレクトリに移動します。隔離されたファイルは、 [イベントとレポート] → [イベント] → [不正プログラム対策イベント] → [検出ファイル] で表示および復元できます。
   • 放置: 感染ファイルに何もせずに、そのファイルへのフルアクセスを許可します。不正プログラム対策イベントが記録されます。
   • 削除: Linuxでは、感染ファイルはバックアップなしで削除されます。Windowsでは、感染ファイルはバックアップされてから削除されます。Windowsのバックアップファイルは、[イベントとレポート] → [イベント] → [不正プログラム対策イベント] → [識別ファイル] で表示および復元できます。

   上記の処理はmacOSエージェントではサポートされないことに注意してください。

4. [OK] をクリックします。

5. 検索設定を適用するポリシーまたはコンピュータのエディタを開いて、[不正プログラム対策]→[一般] の順に選択します。

6. [不正プログラム対策のステータス] が [オン] または [継承 (オン)] になっていることを確認します。

7. [リアルタイム検索] セクションで、不正プログラム検索設定を選択します。

8. [保存] をクリックします。