このページのトピック
不正プログラム検索の設定
不正プログラム検索 設定は再利用可能な設定で、 不正プログラム対策 をポリシーまたはコンピュータで設定する際に適用できます。不正プログラム検索設定では、 Workload Security が実行する不正プログラムの検索の種類と、検索するファイルの種類を指定します。 一部のポリシーのプロパティも、不正プログラム検索の動作に影響を与えます。
CPU使用率とRAM使用率は、 不正プログラム対策 設定によって異なります。エージェントの不正プログラム対策のパフォーマンスを最適化するには、不正プログラム対策のパフォーマンスに関するヒントを参照してください。
不正プログラム検索設定を作成または編集する
リアルタイム、手動、または予約検索の動作を制御するために、不正プログラム検索設定を作成または編集します (詳細については、「不正プログラム検索設定」を参照してください)。必要に応じて、複数の不正プログラム検索設定を作成できます。
-
作成した不正プログラム検索設定は、ポリシーまたはコンピュータの検索と関連付けることができます (「実行する検索の種類を選択する」を参照してください)。
-
ポリシーまたはコンピュータが使用している不正プログラム検索設定を編集すると、この変更は設定に関連付けられている検索に影響します。
既存の設定に類似する不正プログラム検索設定を作成するには、既存の設定を複製して編集します。
制御する検索の種類に応じて、2種類の不正プログラム検索設定を作成できます (「不正プログラム検索の種類」を参照してください)。
-
リアルタイム検索の設定: リアルタイム検索を制御します。[アクセス拒否] などの一部の処理は、リアルタイム検索の設定でのみ使用可能です。
-
手動/予約検索の設定: 手動検索または予約検索を制御します。[CPU使用率] などの一部のオプションは、手動/予約検索の設定でのみ使用可能です。
Workload Security には、検索の種類ごとに初期設定の不正プログラム検索設定が用意されています。
- [ポリシー]→[共通オブジェクト]→[その他]→[不正プログラム検索設定] に移動します。
- 検索設定を作成するには、[ New ]をクリックし、[リアルタイム検索設定]または[新規手動/予約検索設定]の順にクリックします。
- 検索設定を識別する名前を入力します。この名前は、ポリシーで不正プログラム検索を設定するときにリストに表示されます。
- (オプション) この設定の使用例の説明を入力します。
- 既存の検索設定を表示して編集するには、その検索設定を選択して [プロパティ] をクリックします。
- 検索設定を複製するには、その検索設定を選択して [複製] をクリックします。
不正プログラム検索設定を使用するポリシーとコンピュータを確認するには、プロパティの [割り当て対象] タブをご覧ください。
不正プログラム検索をテストする
以降の不正プログラム対策の設定手順に進む前に、リアルタイム検索および手動/予約検索をテストし、それらが正しく動作することを確認します。
リアルタイム検索のテスト:
- リアルタイム検索が有効で、設定が選択されていることを確認します。
- EICARサイトに移動し、不正プログラム対策のテストファイルをダウンロードします。この標準ファイルは、リアルタイム検索の不正プログラム対策機能をテストします。このファイルが隔離されればテストは成功です。
- Workload Security コンソールで、[イベントとレポート]→[不正プログラム対策イベント]の順に選択して、EICARファイル検出のレコードを確認します。検出が記録されていれば、不正プログラム対策のリアルタイム検索は正常に機能しています。
手動/予約検索のテスト:
手動/予約検索のテストを開始する前に、リアルタイム検索が無効になっていることを確認します。
- [管理] を選択します。
- [予定タスク]→[新規] の順にクリックします。
- ダウンロードメニューから [コンピュータの不正プログラムを検索] を選択し、実行間隔を選択します。必要な指定を行い、検索の設定を完了します。
- EICARサイトに移動し、不正プログラム対策のテストファイルをダウンロードします。この標準ファイルは、手動/予約検索の不正プログラム対策機能をテストします。
- 予約検索を選択して、[今すぐタスクを実行] をクリックします。このテストファイルが隔離されればテストは成功です。
- Workload Security コンソールで、[イベントとレポート]→[不正プログラム対策イベント]の順に選択して、EICARファイル検出のレコードを確認します。検出が記録されていれば、不正プログラム対策の手動/予約検索は正常に機能しています。
特定の種類の不正プログラムを検索する
- ドキュメントの脆弱性を突いた攻撃コードを検索する
- AMSI保護を有効にする(リアルタイム検索のみ)
- スパイウェア/グレーウェアを検索する
- 圧縮済み実行可能ファイルを検索する (リアルタイム検索のみ)
- プロセスメモリを検索する (リアルタイム検索のみ)
- 圧縮ファイルを検索する
- 埋め込みのMicrosoft Officeオブジェクトを検索する
関連項目:
ドキュメントの脆弱性を突いた攻撃コードを検索する
macOSエージェントの場合、ドキュメントの攻撃コード検索はサポートされていません。
今日のデータセンターでは、フィッシングやスピアフィッシングなどの手法を用いた標的型攻撃によるセキュリティ侵害が増えています。これらのケースでは、不正プログラム作成者は特定の環境を標的にした不正プログラムを作成することによって、従来の不正プログラムScannerを回避します。Workload Security は、ドキュメントの脆弱性攻撃からの保護機能により、新たな脅威に対する不正プログラム対策を強化します。
文書脆弱性対策では、ヒューリスティック検出と高度な脅威検索エンジン(ATSE)を使用して、保護対象のコンピュータ上のファイルを分析し、不審ファイルかどうかを判断します。
- 不正プログラム検索設定のプロパティを開きます。
-
[ 一般 ]タブの[ ドキュメントの脆弱性対策 ]で、[ ドキュメントの脆弱性を突いた攻撃コードを検索する ]を選択し、次のいずれかのオプションを選択します。
- 既知の脆弱性に対する攻撃コードのみを検索する:既知の重大な脆弱性のみを検出します。CVE 攻撃コード 脆弱性タイプがこのオプションに関連付けられています。(不正プログラムの修復処理のカスタマイズを参照してください)。
- 既知の脆弱性に対する攻撃に加え、未知の攻撃コードも積極的に検索する: より多くの問題が検出されますが、誤判定も増えます。アグレッシブ検出ルールの脆弱性タイプはこのオプションに関連付けられています(不正プログラムの修復処理のカスタマイズを参照してください)。
- OK をクリックします。
[イベントとレポート]→[イベント]→[不正プログラム対策イベント]→[検出されたファイル]ページでファイルが不正プログラムと特定されたものの、不正プログラムではないことがわかっている場合は、ドキュメントの脆弱性対策ルールの例外リストに[不正プログラム対策]→[詳細]コンピュータエディタまたはポリシーエディタのタブをクリックします。ファイルを許可するには、そのファイルを右クリックして[ 許可 ]を選択し、表示されるウィザードの手順に従います。
Windows AMSI保護を有効にする(リアルタイム検索のみ)
Windows Antimalware Scan Interface (AMSI)は、MicrosoftがWindows 10以降で提供しているインタフェースです。Workload Security は、AMSIを利用して不正なスクリプトの検出を支援します。 Workload Security の不正プログラム検索設定では、このオプションは初期設定で有効になっています。
- 不正プログラム検索設定のプロパティを開きます。
- [ 一般 ]タブで、[ AMSI保護を有効にする ]を選択します。
- [OK] をクリックします。
スパイウェア/グレーウェアを検索する
スパイウェアおよびグレーウェア対策を有効にすると、不審なファイルの検出時に、スパイウェア検索エンジンによってこれらのファイルが隔離されます。
- 不正プログラム検索設定のプロパティを開きます。
- [一般]タブで、[スパイウェア/グレーウェア保護を有効にする]を選択します。
- [OK] をクリックします。
スパイウェア検索エンジンで無視する必要のあるファイルを特定するには、不正プログラム対策除外の作成を参照してください。
圧縮済み実行可能ファイルを検索する (リアルタイム検索のみ)
ウイルスは、リアルタイム圧縮アルゴリズムを使用して、ウイルスフィルタを回避しようとすることがあります。IntelliTrap機能は、リアルタイムの圧縮済み実行可能ファイルを遮断し、他の不正プログラムの特性とファイルを組み合わせます。
IntelliTrapはそのようなファイルをセキュリティ上の危険として特定するため、IntelliTrapを有効にすると、安全なファイルを (削除や駆除ではなく) 隔離したり、間違ってブロックする場合があります(「不正プログラムの処理方法を設定する」を参照してください)。ユーザがリアルタイムで圧縮した実行可能ファイルを頻繁にやり取りする場合は、IntelliTrapを無効にしてください。IntelliTrapは、ウイルス検索エンジン、IntelliTrapパターンファイル、およびIntelliTrap除外パターンファイルを使用します。
macOSエージェントの場合、IntelliTrapはサポートされません。
- 不正プログラム検索設定のプロパティを開きます。
- [一般] タブで、[IntelliTrapを有効にする] を選択します。
- [OK] をクリックします。
プロセスメモリを検索する (リアルタイム検索のみ)
macOSエージェントの場合、プロセスメモリの検索はサポートされていません。
リアルタイムでプロセスメモリを監視し、Trend Micro Smart Protection Networkと連携した追加のチェックを実行することにより、不審なプロセスが既知の不正なプロセスであるかどうかを判別します。プロセスが不正な場合、 Workload Security はプロセスを終了します。詳細については、 Smart Protection ( Workload Security)を参照してください。
- 不正プログラム検索設定のプロパティを開きます。
- [一般] タブで、[プロセスメモリ内の不正プログラムを検索する] を選択します。
- [OK] をクリックします。
圧縮ファイルを検索する
圧縮ファイルを解凍し、コンテンツに不正プログラムが含まれていないか検索します。検索を有効にするときに、解凍するファイルの最大サイズと最大数を指定します (大きなファイルはパフォーマンスに影響を及ぼすことがあります)。また、圧縮ファイル内に存在する圧縮ファイルを検索できるように、検査する圧縮レベルも指定します。圧縮レベル1は、単一の圧縮ファイルです。レベル2は、ファイル内の圧縮ファイルです。最大6の圧縮レベルを検索できますが、レベルが高くなるとパフォーマンスに影響を及ぼす可能性があります。
- 不正プログラム検索設定のプロパティを開きます。
- [詳細] タブで、[圧縮ファイルの検索] を選択します。
- 解凍するコンテンツファイルの最大サイズ (MB)、検索する圧縮レベル、解凍する最大ファイル数を指定します。
- [OK] をクリックします。
埋め込みのMicrosoft Officeオブジェクトを検索する
macOSエージェントでは、埋め込まれたMicrosoft Officeオブジェクトの検索はサポートされていません。
Microsoft Officeの特定のバージョンでは、Object Linking and Embedding (OLE) を使用してOfficeファイルにファイルやその他のオブジェクトを挿入します。これらの埋め込みオブジェクトには、不正なコードが含まれている場合があります。
他のオブジェクトに埋め込まれているオブジェクトを検出するために、検索するOLE層の数を指定します。パフォーマンスへの影響を軽減するため、各ファイル内の埋め込みオブジェクトの層をいくつかだけ検索できます。
- 不正プログラム検索設定のプロパティを開きます。
- [詳細設定]タブで、[埋め込みMicrosoft Officeオブジェクト]を選択します。
- 検索するOLE層の数を指定します。
- [OK] をクリックします。
検索対象ファイルを指定する
検索に含めるファイルとディレクトリを特定し、それらのファイルとディレクトリからの除外を特定します。.ネットワークディレクトリも検索できます。
検索対象
検索するディレクトリと、ディレクトリ内の検索するファイルも指定します。
検索するファイルを指定するには、次のいずれかのオプションを使用します。
- すべてのファイル
- IntelliScanによって識別されるファイルタイプ。IntelliScanでは、感染しやすいファイルの種類 (.zipや.exeなど) のみを検索します。IntelliScanでは、ファイルの種類はファイル拡張子から判断するのではなく、ファイルのヘッダや内容を読み取ってそのファイルが検索対象かどうかを決定します。すべてのファイルを検索する場合と比較して、IntelliScanでは検索するファイル数が減少しパフォーマンスが向上します。
- 指定したリストに含まれているファイル名の拡張子を持つファイル: ファイル拡張子リストでは、特定の構文に含まれるパターンを使用します(「ファイル拡張子リストの構文」を参照してください)。
検索するディレクトリを指定するには、すべてのディレクトリまたはディレクトリのリストを指定できます。ディレクトリリストでは、特定の構文に含まれるパターンを使用して、検索するディレクトリを指定します(「ディレクトリリストの構文」を参照してください)。
- 不正プログラム検索設定のプロパティを開きます。
- [検索対象] タブをクリックします。
- 検索するディレクトリを指定するには、[ すべてのディレクトリ ]または[ ディレクトリリスト ]を選択します。
- [ディレクトリリスト]を選択した場合、ドロップダウンメニューから既存のリストを選択するか、または[新規]を選択してリストを作成します。
- 検索するファイルを指定するには、[すべてのファイル]、[トレンドマイクロの推奨設定で検索されるファイルタイプ]、または [ファイル拡張子リスト] のいずれかを選択します。
- [ファイル拡張子リスト]を選択した場合は、ドロップダウンメニューから既存のリストを選択するか、または[新規]を選択してリストを作成します。
- [OK] をクリックします。
検索除外
検索対象からディレクトリ、ファイル、およびファイル拡張子を除外します。リアルタイム検索の場合は、プロセスイメージファイルを検索から除外することもできます。
除外するファイルとフォルダの例:
- Microsoft Exchangeサーバの不正プログラム検索設定を作成する場合は、不正プログラムと確認されたファイルが再検索されないように、SMEX隔離フォルダを除外します。
- サイズの大きいVMwareイメージがある場合は、パフォーマンスの問題が発生した場合は、これらのイメージが格納されているディレクトリを除外します。
信頼されたデジタル証明書で署名されたファイルを不正プログラム対策から除外することもできます。この種類の除外は、ポリシーまたはコンピュータの設定で定義します。(信頼された証明書によって署名されたファイルを除外するを参照してください)。
ディレクトリ、ファイル、およびプロセスイメージファイルを除外するには、除外する項目を識別するパターンを使用するリストを作成します。
- 不正プログラム検索設定のプロパティを開きます。
- [検索除外] タブをクリックします。
- 検索から除外するディレクトリを指定します。
- [ ディレクトリリスト ]を選択します。
- ディレクトリリストを選択するか、[新規]を選択してディレクトリリストを作成します。(ディレクトリリストの構文を参照してください)。
- ディレクトリリストを作成した場合は、ディレクトリリストで選択します。
- 同様に、検索から除外するファイルリスト、ファイル拡張子リスト、プロセスイメージファイルを指定します(「ファイルリストの構文」、「ファイル拡張子リストの構文」、および「プロセスイメージファイルリストの構文 (リアルタイム検索のみ)」を参照してください)。
- [OK] をクリックします。
ファイル除外のテスト
以降の不正プログラム対策の設定手順に進む前に、ファイル除外をテストし、それらが正しく動作することを確認します。
開始する前に、リアルタイム検索が有効で、設定が選択されていることを確認します。
- [ポリシー]→[共通オブジェクト]→[その他]→[不正プログラム検索設定] に移動します。
- [新規]→[新規の不正プログラムのリアルタイム検索設定] の順にクリックします。
- [ 検索除外 ]タブに移動し、ディレクトリリストから[ 新規 ]を選択します。
- ディレクトリリストに名前を付けます。
- [ディレクトリ] で、検索から除外するディレクトリのパスを指定します。例:,
c:\テストフォルダ\。[OK] をクリックします。 - [一般]タブに移動し、手動検索に名前を付けて[ OK ]をクリックします。
- EICARサイトに移動し、不正プログラム対策のテストファイルをダウンロードします。前の手順で指定したフォルダにファイルを保存します。このファイルが不正プログラム対策モジュールによって検出されずにそのまま保存されればテストは成功です。
ディレクトリリストの構文
ディレクトリリスト項目では、WindowsとLinuxの両方の命名規則をサポートするため、スラッシュ (/) とバックスラッシュ () の区別はありません。
| 検索除外 | 形式 | 説明 | 例 |
| ディレクトリ | DIRECTORY\ | 指定したディレクトリとそのすべてのサブディレクトリにあるファイルをすべて除外します。 | C:\Program Files\
「Program Files」ディレクトリとそのすべてのサブディレクトリにあるファイルをすべて除外します。 |
| ワイルドカード (*) を使用したディレクトリ | DIRECTORY\*\ | 指定されたサブディレクトリと、そこに含まれるファイルを除き、すべてのサブディレクトリを除外します。 |
C:\abc\*\
「abc」のすべてのサブディレクトリ内のすべてのファイルを除外しますが、「abc」ディレクトリ内のファイルは除外しません。 C:\abc\wx*z\ 一致: C:\abc\wxz\ C:\abc\wx123z\ 一致しない: C:\abc\wxz C:\abc\wx123z C:\abc\*wx\ 一致: C:\abc\wx\ C:\abc\123wx\ 一致しない: C:\abc\wx C:\abc\123wx |
| ワイルドカード (*) を使用したディレクトリ | ディレクトリ*\ | 一致する名前を持つ任意のサブディレクトリを除外します。ただし、そのディレクトリにあるファイルおよび任意のサブディレクトリは除外しません。 |
C:\Program Files\SubDirName*\
「SubDirName」で始まるフォルダ名を持つすべてのサブディレクトリを除外します。C:\Program Files \またはその他のサブディレクトリにあるすべてのファイルを除外しません。
|
| 環境変数 | ${ENV VAR} | 環境変数によって定義されているすべてのファイルとサブディレクトリを除外します。仮想アプライアンスの場合、環境変数の値ペアは、 ポリシーまたはコンピュータエディタの[設定]→[一般]→[環境変数のオーバーライド]で定義する必要があります。 |
${windir}
変数が「c:\windows」に解決されると、「c:\windows」内のすべてのファイルとそのすべてのサブディレクトリが除外されます。 |
| コメント | DIRECTORY #コメント | 除外の定義にコメントを追加します。 | c:\abc #Exclude the abc directory |
ファイルリストの構文
| 検索除外 | 形式 | 説明 | 例 |
| ファイル | FILE | 場所やディレクトリに関係なく、指定したファイル名を持つすべてのファイルを除外します。 |
abc.doc
すべてのディレクトリ内の「abc.doc」という名前のすべてのファイルを除外します。「abc.exe」は除外しません。 |
| ファイルパス | FILEPATH | ファイルパスで指定された単一のファイルを除外します。 |
C:\Documents\abc.doc
「Documents」ディレクトリ内の「abc.doc」という名前のファイルのみを除外します。 |
| ワイルドカード (*) を使用したファイルパス | FILEPATH | ファイルパスで指定されたすべてのファイルを除外します。 | C:\Documents\abc.co* (Windows Agentプラットフォームのみ) "Documents"ディレクトリ内のファイル名が「abc」で、拡張子が「.co」で始まるファイルを除外します。 |
| ファイル名がワイルドカード(*) | FILEPATH\* | パス内のすべてのファイルを除外しますが、指定されていないサブディレクトリ内のファイルは除外します |
C:\Documents\*
ディレクトリC:\Documents\にあるすべてのファイルを除外します。 C:\Documents\SubDirName*\* フォルダ名が「SubDirName」で始まるサブディレクトリ内のすべてのファイルを除外します。C:\ Documents \またはその他のサブディレクトリにあるすべてのファイルを除外しません。 C:\Documents\*\* C:\Documentsの下のすべての 直接 サブディレクトリ内のすべてのファイルを除外します。以降のサブディレクトリにあるファイルは除外しません。 |
| ワイルドカード (*) を使用したファイル | FILE* | ファイル名のパターンに一致するすべてのファイルを除外します。 |
abc*.exe
接頭辞が「abc」、拡張子が「.exe」のファイルを除外します。 *.db 一致: 123.db abc.db 一致しない: 123db 123.abd cbc.dba *db 一致: 123.db 123db ac.db acdb db 一致しない: db123 wxy*.db 一致: wxy.db wxy123.db 一致しない: wxydb |
| ワイルドカード (*) を使用したファイル | FILE.EXT* | ファイルの拡張子のパターンに一致するすべてのファイルを除外します。 |
abc.v*
ファイル名が「abc」で、拡張子が「.v」で始まるファイルを除外します。 abc.*pp 一致: abc.pp abc.app 一致しない: wxy.app abc.a*p 一致: abc.ap abc.a123p 一致しない: abc.pp abc.* 一致: abc.123 abc.xyz 一致しない: wxy.123 |
| ワイルドカード (*) を使用したファイル | FILE*.EXT* | ファイル名と拡張子のパターンに一致するすべてのファイルを除外します。 |
a*c.a*p
一致: ac.ap a123c.ap ac.a456p a123c.a456p 一致しない: ad.aa |
| 環境変数 | ${ENV VAR} | ${ENV VAR} の形式を使用した環境変数で指定されるファイルを除外します。これらは、 ポリシーまたは コンピュータエディタの[設定]→[一般]→[環境変数のオーバーライド]で定義する必要があります。 |
${myDBFile}
ファイル「myDBFile」を除外します。 |
| コメント | FILEPATH #コメント | 除外の定義にコメントを追加します。 | C:\Documents\abc.doc #This is a comment |
ファイル拡張子リストの構文
| 検索除外 | 形式 | 説明 | 例 |
| ファイル拡張子 | EXT | 一致する拡張子を持つすべてのファイルと一致します。 |
doc
すべてのディレクトリで「.doc」拡張子を持つすべてのファイルに一致します。 |
| コメント | EXT #コメント | 除外の定義にコメントを追加します。 | doc #This a comment |
プロセスイメージファイルリストの構文 (リアルタイム検索のみ)
| 検索除外 | 形式 | 説明 | 例 |
| ファイルパス | FILEPATH | ファイルパスで指定されたプロセスイメージファイルを除外します。 | C:\abc\file.exe
「abc」ディレクトリ内の「file.exe」という名前のファイルのみを除外します。 |
ネットワークディレクトリを検索する (リアルタイム検索のみ)
Network File System(NFS), Server Message Block(SMB)またはCommon Internet File System(CIFS)にあるネットワーク共有およびマップされたネットワークドライブ内のファイルとフォルダを検索する場合は、[ネットワークディレクトリ検索を有効にする]を選択します。このオプションはリアルタイム検索でのみ使用できます。
GVFS (GNOMEデスクトップで利用できる仮想ファイルシステム) を通じて「~/.gvfs」でアクセスされるリソースは、ネットワークドライブではなくローカルリソースとして扱われます。
Windows上でネットワークフォルダをスキャンする場合、ウイルスが検出された場合、エージェントは、いくつかの「きれいな失敗」(削除失敗)のイベントを表示することがあります。
リアルタイム検索を実行するタイミングを指定する
ファイルの読み取り時、書き込み時、またはそのどちらでもファイルを検索するかを選択します。
- 不正プログラム検索設定のプロパティを開きます。
- [詳細] タブで、[リアルタイム検索] プロパティのオプションを1つ選択します。
- [OK] をクリックします。
不正プログラムの処理方法を設定する
不正プログラムが検出された場合のWorkload Securityの動作を設定します。
不正プログラム修復処理をカスタマイズする
Workload Securityが不正プログラムを検出すると、処理を実行してファイルを処理します。不正プログラムに遭遇した場合、Workload Securityが実行できる処理には次の5つがあります。
-
放置: 感染ファイルに何も行わず、そのファイルへのフルアクセスを許可する(不正プログラム対策イベントは依然として記録されます。)
修復処理 放置 は、ウイルスの可能性がある場合には使用しないでください。
-
駆除: 完全なアクセスを許可する前に感染ファイルを駆除します。駆除できないファイルは、隔離されます。
-
削除:Linuxでは、感染ファイルはバックアップせずに削除されます。
Windowsでは、感染ファイルがバックアップされてから削除されます。Windowsのバックアップファイルは、[イベントとレポート]→[イベント]→[不正プログラム対策イベント]→[検出ファイル] で表示および復元できます。
-
アクセス拒否:この検索処理は、リアルタイム検索でのみ実行できます。 Workload Security は、感染ファイルのオープンまたは実行の試行を検出すると、すぐに処理をブロックします。感染ファイルは変更されずにそのままバックアップされます。アクセス拒否の処理がトリガされると、感染ファイルは元の場所に留まります。
リアルタイム検索 が 書き込み時に設定されているときに是正処置 アクセス拒否 を使用しないでください。 書き込み時 が選択されている場合、ファイルが書き込まれるとファイルが検索され、 アクセス拒否 の処理は無効になります。
-
隔離:感染したファイルを、コンピュータまたはVirtual Appliance上の隔離ディレクトリに移動します。隔離ファイルは、[イベントとレポート]→[イベント]→[不正プログラム対策イベント]→[検出ファイル] で表示および復元できます。
両方のOSで同一の不正プログラムであっても、Linuxでは 隔離済み とマークされ、Windowsでは 削除済み とマークされることがあります。どちらの場合でも、[イベントとレポート]→[イベント]→[不正プログラム対策イベント]→[検出ファイル] でファイルを表示および復元できます。
Windowsでは、感染した非圧縮ファイル(.txtファイルなど)は隔離され、感染した圧縮ファイル(.zipファイルなど)は削除されます。Windowsでは、隔離されたファイルと削除されたファイルの両方にバックアップが作成され、 [イベントとレポート]→[イベント]→[不正プログラム対策イベント]→[検出ファイル]で表示および復元 できます。Linuxでは、感染ファイル(圧縮または非圧縮)はすべて隔離されており、 [イベントとレポート]→[イベント]→[不正プログラム対策イベント]→[検出ファイル] で表示および復元できます。
不正プログラム検索設定の修復処理は、ほとんどの状況に対応できるように初期設定されています。ただし、 Workload Security が不正プログラムを検出した場合に実行する処理をカスタマイズできます。トレンドマイクロの推奨処理を使用することも、脆弱性の種類ごとに処理を指定することもできます。
トレンドマイクロの推奨処理は、不正プログラムの各カテゴリ用に最適化された一連の定義済みのクリーンナップ処理です。トレンドマイクロでは、ActiveActionの処理を継続的に調整して、個々の検出が適切に処理されるようにします。(「トレンドマイクロの推奨処理」を参照してください)。
macOSエージェントの場合、サポートされるカスタム処理は、ウイルス、トロイの木馬、およびスパイウェアです。
-
不正プログラム検索設定のプロパティを開きます。
-
詳細タブの 修復処理 で カスタム を選択します。
-
実行する処理を指定します。
-
トレンドマイクロ推奨の修復処理から実行する処理を決定するには、[トレンドマイクロの推奨処理を使用] を選択します。
-
脆弱性の種類ごとに処理を指定するには、[カスタム処理を使用] を選択してから、使用する処理を選択します。
-
-
潜在的な不正プログラムに対して実行する処理を指定します。
-
[OK] をクリックします。
トレンドマイクロの推奨処理
次の表は、トレンドマイクロの推奨処理を選択した場合に実行される処理の一覧です。
| 不正プログラムの種類 | 処理 |
| ウイルス |
駆除。ウイルスを駆除できない場合は、 削除 (Windows)または 隔離 (LinuxまたはSolaris)されます。この動作には例外があります。LinuxまたはSolarisエージェントで「テストウイルス」タイプのウイルスが発見された場合、感染したファイルへのアクセスは 拒否されます。 |
| トロイの木馬 | 隔離 |
| パッカー | 隔離 |
| スパイウェア | 隔離 |
| CVE攻撃コード | 隔離 |
| アグレッシブ検出ルール | 放置 (この設定ではより多くの問題が検出されますが、誤検出も増える可能性があるため、初期設定の処理はイベントの発生です)。 |
| Cookie | 削除 (リアルタイム検索には適用されません) |
| その他の脅威 |
駆除 脅威を駆除できない場合は、次のように処理されます。 また、LinuxまたはSolarisのエージェントでは、「Joke」タイプのウイルスが検出された場合、ウイルスはただちに隔離されます。駆除は行われません。 |
| 潜在的な不正プログラム | トレンドマイクロの推奨処理 |
CVEの詳細については攻撃コードおよび積極的な検出ルール、ドキュメントをスキャンしてエクスプロイトを探すを参照してください。
AgentでアップデートサーバまたはRelayからウイルスパターンファイルのアップデートをダウンロードすると、それに応じてトレンドマイクロの推奨処理が変わることがあります。
不正プログラム検出のアラートを生成する
Workload Security が不正プログラムを検出した場合、アラートを生成できます。
- 不正プログラム検索設定のプロパティを開きます。
- [一般] タブで、[アラート] に対して [この不正プログラム検索設定でイベントが記録されたときにアラートを発令する] を選択します。
- [OK] をクリックします。
ファイルのハッシュダイジェストにより不正プログラムファイルを特定する
Workload Security では、不正プログラムファイルのハッシュ値を計算し、 イベント&レポート/イベント/ 不正プログラム対策 イベント ページに表示できます。一部の不正プログラムには複数の異なる名前が使用されていることがあるため、不正プログラムを一意に識別するハッシュ値が役立ちます。ハッシュ値は、他のソースでその不正プログラムに関する情報を確認する場合に使用できます。
-
設定するポリシーエディタまたはコンピュータエディタを開きます。
-
[不正プログラム対策]→[詳細] の順にクリックします。
-
[ファイルハッシュ計算] で、[初期設定] または [継承] チェックボックスをオフにします(ルートポリシーには 初期設定 が表示され、子ポリシーには 継承 が表示されます)。
[継承] チェックボックスがオンになっている場合、ファイルハッシュ設定は現在のポリシーの親ポリシーから継承されます。
[初期設定] が選択されている場合、 Workload Security はハッシュ値を計算しません。
-
[すべての不正プログラム対策イベントのハッシュ値を計算する] を選択します。
-
初期設定では、 Workload Security はSHA-1ハッシュ値を生成します。追加のハッシュ値を生成するには、[MD5]または [SHA256]、あるいはその両方を選択します。
-
ハッシュ値を計算する不正プログラムファイルの最大サイズを変更することもできます。初期設定では128MBを超えるファイルはスキップされますが、この値を64~512MBの任意の値に変更できます。
コンピュータで通知を設定する
Windowsベースのクライアントでは、不正プログラム対策およびWebレピュテーションモジュールに関連する Workload Security 処理を警告する警告メッセージが画面上に表示されることがあります。たとえば、「 A reboot is required for Anti-Malware cleanup task」というメッセージが表示されます。ダイアログボックスで [OK] をクリックしてメッセージを消去する必要があります。
このような通知を表示しないようにするには、次のように設定します。
- [コンピュータ]または[ポリシーエディタ]に移動します。
- 左側にある [設定] をクリックします。
- [ホストのすべてのポップアップ通知を抑制] を [はい] に設定します。メッセージは引き続き Workload Securityでアラートまたはイベントとして表示されます。Notifierの詳細については、Notifierを参照してください。
Workload Security にアクセスできない場合に予約検索を実行する
この機能は、Windowsのバージョン20.0.3445以降のエージェントでサポートされます。
不正プログラムの予約検索は通常、エージェントがオフラインのときに処理待ちになります。エージェントが Workload Securityに接続できない場合でも予約検索を実行するには
-
コンピュータエディタまたはポリシーエディタに移動します。
-
左側で 不正プログラム対策 をクリックします。
-
[ 一般 ]タブで、[ 予約検索 ]を選択し、[ エージェントでの不正プログラムの予約検索の実行を有効にする ]を選択します。
- このエージェントでは、予約タスクページの今すぐタスクを実行ボタンは無効になります。
- Workload Security Managerは、エージェントがオフラインの場合、予約検索タスクをキューに登録しません。
トラブルシューティング
オフライン予約検索が実行されない場合がエージェントます。
- コンピュータがシャットダウンしている場合、コンピュータの再起動時にタイムアウトすると、次回の予約検索が実行されないことがあります。
- 予約検索中にコンピュータがシャットダウンされた場合、中断された予約検索はコンピュータの再起動時に続行されません。