目次
このページのトピック

不正プログラム検索の設定

不正プログラム検索設定は、ポリシーまたはコンピュータの不正プログラム対策を設定するときに適用できる、再利用可能な保存済み設定です。不正プログラム検索の設定では、 Workload Securityが実行する不正プログラム検索の種類と検索するファイルを指定します。一部のポリシープロパティは、不正プログラム検索の動作にも影響します。

CPU使用率とRAM使用率は、不正プログラム対策の設定によって異なります。 エージェントでの不正プログラム対策のパフォーマンスを最適化するには、不正プログラム対策のパフォーマンスのヒント を参照してください。

不正プログラム検索設定を作成または編集する

不正プログラム検索設定を作成または編集して、リアルタイム検索、手動検索、または予約検索の動作を制御します (不正プログラム検索設定 を参照)。必要に応じて、複数の不正プログラム検索設定を作成できます。

  • 不正プログラム検索設定を作成したら、ポリシーまたはコンピュータの検索に関連付けることができます (実行する検索の種類の選択 を参照)。

  • ポリシーまたはコンピュータが使用している不正プログラム検索設定を編集すると、この変更は設定に関連付けられている検索に影響します。

既存の設定に類似する不正プログラム検索設定を作成するには、既存の設定を複製して編集します。

制御する検索の種類に応じて、2種類の不正プログラム検索設定を作成できます (「不正プログラム検索の種類」を参照してください)。

  • リアルタイム検索の設定: リアルタイム検索を制御します。[アクセス拒否] などの一部の処理は、リアルタイム検索の設定でのみ使用可能です。

  • 手動検索/予約検索の設定: 手動検索または予約検索を制御します。 CPU使用率 などの一部のオプションは、手動検索または予約検索の設定でのみ使用できます。

Workload Security には、検索の種類ごとに初期設定の不正プログラム検索設定が用意されています。

  1. [ポリシー]→[共通オブジェクト]→[その他]→[不正プログラム検索設定] に移動します。
  2. 検索設定を作成するには、[ New ]をクリックし、[リアルタイム検索設定]または[新規手動/予約検索設定]の順にクリックします。
    1. 検索設定を識別する名前を入力します。この名前は、ポリシーで不正プログラム検索を設定するときにリストに表示されます。
    2. オプションで、設定の使用例を説明する説明を入力します。
  3. 既存の検索設定を表示して編集するには、その検索設定を選択して [プロパティ] をクリックします。
  4. 検索設定を複製するには、その検索設定を選択して [複製] をクリックします。

不正プログラム検索設定を使用しているポリシーとコンピュータは、プロパティの [割り当て先] タブに表示されます。

不正プログラム検索をテストする

不正プログラム対策の設定手順を続行する前に、リアルタイム検索、手動検索、または予約検索をテストして、正常に動作することを確認します。

リアルタイム検索は、次の方法でテストできます。

  1. リアルタイム検索が有効で、設定が選択されていることを確認します。
  2. EICARサイトに移動し、不正プログラム対策のテストファイルをダウンロードします。この標準ファイルは、リアルタイム検索の不正プログラム対策機能をテストします。このファイルが隔離されればテストは成功です。
  3. Workload Security コンソールで、[イベントとレポート]→[不正プログラム対策イベント]の順に選択して、EICARファイル検出のレコードを確認します。検出が記録されていれば、不正プログラム対策のリアルタイム検索は正常に機能しています。

手動検索または予約検索のテストを開始する前に、リアルタイム検索が無効になっていることを確認してください。

手動検索または予約検索は、次の手順でテストできます。

  1. [管理] を選択します。
  2. [予定タスク]→[新規] の順にクリックします。
  3. ダウンロードメニューから [コンピュータの不正プログラムを検索] を選択し、実行間隔を選択します。必要な指定を行い、検索の設定を完了します。
  4. EICARサイトに移動し、不正プログラム対策のテストファイルをダウンロードします。この標準ファイルは、手動/予約検索の不正プログラム対策機能をテストします。
  5. 予約検索を選択して、[今すぐタスクを実行] をクリックします。このテストファイルが隔離されればテストは成功です。
  6. Workload Security コンソールで、[イベントとレポート]→[不正プログラム対策イベント]の順に選択して、EICARファイル検出のレコードを確認します。検出が記録されていれば、不正プログラム対策の手動/予約検索は正常に機能しています。

特定の種類の不正プログラムを検索する

関連項目:

ドキュメントの脆弱性を突いた攻撃コードを検索する

今日のデータセンターでは、フィッシングやスピアフィッシングなどの手法を用いた標的型攻撃によるセキュリティ侵害が増えています。これらのケースでは、不正プログラム作成者は特定の環境を標的にした不正プログラムを作成することによって、従来の不正プログラムScannerを回避します。Workload Security は、ドキュメントの脆弱性攻撃からの保護機能により、新たな脅威に対する不正プログラム対策を強化します。

文書脆弱性対策では、ヒューリスティック検出と高度な脅威検索エンジン(ATSE)を使用して、保護対象のコンピュータ上のファイルを分析し、不審ファイルかどうかを判断します。

  1. 不正プログラム検索設定のプロパティを開きます。
  2. [ 一般 ]タブの[ ドキュメントの脆弱性対策 ]で、[ ドキュメントの脆弱性を突いた攻撃コードを検索する ]を選択し、次のいずれかのオプションを選択します。

    • 既知の重大な脆弱性に対してのみエクスプロイトを検索する: 既知の重大な脆弱性のみを検出します。このオプションには、CVEエクスプロイトの脆弱性の種類が関連付けられています。 不正プログラムの修復処理のカスタマイズ を参照してください。
    • 既知の重大な脆弱性に対するエクスプロイトの検索と、未知の不審なエクスプロイトの積極的な検出: より多くの問題を検出しますが、誤検出が増える可能性があります。このオプションには、[アグレッシブ検出ルール] の脆弱性の種類が関連付けられています。 不正プログラムの修復処理のカスタマイズ を参照してください。
    • OK をクリックします。

[イベントとレポート]→[イベント]→[不正プログラム対策イベント]→[検出されたファイル] で不正プログラムと識別されたファイルが不正プログラムではないことがわかっている場合は、[ドキュメントのエクスプロイト対策ルールの除外] リストにファイルを追加できます。 コンピュータまたはポリシーエディタの[不正プログラム対策]→[詳細設定] タブでファイルを許可するには、ファイルを右クリックして [許可] を選択し、表示されるウィザードの手順に従います。

macOSエージェントの場合、ドキュメントの攻撃コード検索はサポートされていません。

Windows AMSI保護を有効にする(リアルタイム検索のみ)

Windows Antimalware Scan Interface (AMSI) は、MicrosoftがWindows 10以降で提供するインタフェースです。 Workload Securityでは、AMSIを使用して不正なスクリプトを検出します。 Workload Securityの不正プログラム検索設定では、このオプションは初期設定で有効になっています。

  1. 不正プログラム検索設定のプロパティを開きます。
  2. [ 一般 ]タブで、[ AMSI保護を有効にする ]を選択します。
  3. [OK] をクリックします。

スパイウェア/グレーウェアを検索する

スパイウェアおよびグレーウェア対策を有効にすると、不審なファイルの検出時に、スパイウェア検索エンジンによってこれらのファイルが隔離されます。

  1. 不正プログラム検索設定のプロパティを開きます。
  2. [一般]タブで、[スパイウェア/グレーウェア保護を有効にする]を選択します。
  3. [OK] をクリックします。

スパイウェア検索エンジンで無視する必要のあるファイルを特定するには、不正プログラム対策除外の作成を参照してください。

圧縮済み実行可能ファイルを検索する (リアルタイム検索のみ)

ウイルスは、リアルタイム圧縮アルゴリズムを使用して、ウイルスフィルタを回避しようとすることがあります。IntelliTrap機能は、リアルタイムの圧縮済み実行可能ファイルを遮断し、他の不正プログラムの特性とファイルを組み合わせます。

IntelliTrapはそのようなファイルをセキュリティ上の危険として特定するため、IntelliTrapを有効にすると、安全なファイルを (削除や駆除ではなく) 隔離したり、間違ってブロックする場合があります(「不正プログラムの処理方法を設定する」を参照してください)。ユーザがリアルタイムで圧縮した実行可能ファイルを頻繁にやり取りする場合は、IntelliTrapを無効にしてください。IntelliTrapは、ウイルス検索エンジン、IntelliTrapパターンファイル、およびIntelliTrap除外パターンファイルを使用します。

  1. 不正プログラム検索設定のプロパティを開きます。
  2. [一般] タブで、[IntelliTrapを有効にする] を選択します。
  3. [OK] をクリックします。

IntelliTrapはmacOSエージェントではサポートされないことに注意してください。

プロセスメモリを検索する (リアルタイム検索のみ)

リアルタイムでプロセスメモリを監視し、Trend Micro Smart Protection Networkと連携した追加のチェックを実行することにより、不審なプロセスが既知の不正なプロセスであるかどうかを判別します。不正なものである場合、プロセスは強制終了されます。詳細については、「 Workload SecurityのSmart Protection」 を参照してください。

  1. 不正プログラム検索設定のプロパティを開きます。
  2. [一般] タブで、[プロセスメモリ内の不正プログラムを検索する] を選択します。
  3. [OK] をクリックします。

プロセスメモリのキャニングは、macOSエージェントではサポートされないことに注意してください。

圧縮ファイルを検索する

圧縮ファイルを解凍し、コンテンツに不正プログラムが含まれていないか検索します。検索を有効にするときに、解凍するファイルの最大サイズと最大数を指定します (大きなファイルはパフォーマンスに影響を及ぼすことがあります)。また、圧縮ファイル内に存在する圧縮ファイルを検索できるように、検査する圧縮レベルも指定します。圧縮レベル1は、単一の圧縮ファイルです。レベル2は、ファイル内の圧縮ファイルです。最大6の圧縮レベルを検索できますが、レベルが高くなるとパフォーマンスに影響を及ぼす可能性があります。

  1. 不正プログラム検索設定のプロパティを開きます。
  2. [詳細] タブで、[圧縮ファイルの検索] を選択します。
  3. 解凍するコンテンツファイルの最大サイズ (MB)、検索する圧縮レベル、解凍する最大ファイル数を指定します。
  4. [OK] をクリックします。

埋め込みのMicrosoft Officeオブジェクトを検索する

Microsoft Officeの特定のバージョンでは、Object Linking and Embedding (OLE) を使用してOfficeファイルにファイルやその他のオブジェクトを挿入します。これらの埋め込みオブジェクトには、不正なコードが含まれている場合があります。

他のオブジェクトに埋め込まれているオブジェクトを検出するために、検索するOLE層の数を指定します。パフォーマンスへの影響を軽減するため、各ファイル内の埋め込みオブジェクトの層をいくつかだけ検索できます。

  1. 不正プログラム検索設定のプロパティを開きます。
  2. [詳細設定]タブで、[埋め込みMicrosoft Officeオブジェクト]を選択します。
  3. 検索するOLE層の数を指定します。
  4. [OK] をクリックします。

macOSエージェントでは、埋め込まれたMicrosoft Officeオブジェクトの検索はサポートされないことに注意してください。

Notifierアプリケーションの手動検索を有効にする

トレンドマイクロの通知アプリケーション を使用した手動検索の有効化は、WindowsではDeep Security Agent 20.0.0~5512以降、macOSでは20.0.0~180以降でサポートされています。

有効にすると、通知アプリケーションを介して検索を開始できます。

  • コンピュータエディタまたはポリシーエディタで、[ 不正プログラム対策 ] タブを選択します。
  • 一般 水平タブをクリックします。
  • [ 手動検索 ]セクションで、Agentによるトレンドマイクロの通知アプリケーションからの手動検索のトリガまたはキャンセルを許可しますを選択します。

検索対象ファイルを指定する

検索に含めるファイルとディレクトリを特定し、それらのファイルとディレクトリから除外するファイルを特定します。ネットワークディレクトリも検索できます。

検索対象

検索するディレクトリと、ディレクトリ内の検索するファイルも指定します。

検索するファイルを指定するには、次のいずれかのオプションを使用します。

  • すべてのファイル。
  • IntelliScanによって識別されるファイルの種類。 IntelliScanは、感染に対して脆弱なファイルタイプ ( .zip.exeなど) のみを検索します。 IntelliScanは、ファイル拡張子に依存してファイルの種類を判断するのではなく、ファイルのヘッダと内容を読み取って、検索する必要があるかどうかを判断します。すべてのファイルを検索する場合と比較して、IntelliScanでは検索するファイルの数が減り、パフォーマンスが向上します。
  • 指定されたリストに含まれるファイル名拡張子を持つファイルでは、特定の構文を持つパターンを使用します (ファイル拡張子リストの構文を参照)。

検索するディレクトリを指定するには、次のように、すべてのディレクトリまたはディレクトリのリストを指定します。

  1. 不正プログラム検索設定のプロパティを開きます。
  2. [検索対象] タブをクリックします。
  3. 検索するディレクトリを指定するには、[ すべてのディレクトリ ]または[ ディレクトリリスト ]を選択します。
  4. [ディレクトリリスト] を選択した場合は、メニューから既存のリストを選択するか、[新規] を選択してリストを作成します。
  5. 検索するファイルを指定するには、[すべてのファイル][トレンドマイクロの推奨設定で検索されるファイルタイプ]、または [ファイル拡張子リスト] のいずれかを選択します。
  6. [ファイル拡張子リスト] を選択した場合は、メニューから既存のリストを選択するか、[新規] を選択してリストを作成します。
  7. [OK] をクリックします。

ディレクトリリストでは、特定の構文を持つパターンを使用して検索するディレクトリを識別します (ディレクトリリストの構文を参照)。

検索除外

検索対象からディレクトリ、ファイル、およびファイル拡張子を除外します。リアルタイム検索の場合は、プロセスイメージファイルを検索から除外することもできます。

除外するファイルとフォルダの例:

  • Microsoft Exchangeサーバの不正プログラム検索設定を作成する場合は、不正プログラムと確認されたファイルが再検索されないように、SMEX隔離フォルダを除外します。
  • サイズの大きいVMwareイメージがある場合は、パフォーマンスの問題が発生した場合は、これらのイメージが格納されているディレクトリを除外します。

信頼できるデジタル証明書で署名されているファイルを不正プログラム検索から除外することもできます。この種類の除外は、ポリシーまたはコンピュータの設定で定義されます (信頼できる証明書で署名されたファイルを除外する を参照)。

ディレクトリ、ファイル、およびプロセスイメージファイルを除外するには、パターンを使用して除外する項目を特定するリストを作成します。

  1. 不正プログラム検索設定のプロパティを開きます。
  2. [検索除外] タブをクリックします。
  3. 検索から除外するディレクトリを指定します。
    1. [ ディレクトリリスト ]を選択します。
    2. ディレクトリリストを選択するか、[新規] を選択して作成します (ディレクトリリストの構文 を参照)。
    3. ディレクトリリストを作成した場合は、ディレクトリリストで選択します。
  4. 同様に、除外するファイルリスト、ファイル拡張子リスト、およびプロセスイメージファイルリストを指定します (ファイルリストの構文ファイル拡張子リストの構文、および「プロセスイメージファイルリストの構文」を参照)。
  5. [OK] をクリックします。

ファイル除外のテスト

開始する前に、リアルタイム検索が有効で、設定が選択されていることを確認します。

以降の不正プログラム対策の設定手順に進む前に、ファイル除外をテストし、それらが正しく動作することを確認します。

  1. [ポリシー]→[共通オブジェクト]→[その他]→[不正プログラム検索設定] に移動します。
  2. [新規]→[新規の不正プログラムのリアルタイム検索設定] の順にクリックします。
  3. [ 検索除外 ]タブに移動し、ディレクトリリストから[ 新規 ]を選択します。
  4. ディレクトリリストに名前を付けます。
  5. [ディレクトリ] で、検索から除外するディレクトリのパスを指定します。例:, c:\テストフォルダ\[OK] をクリックします。
  6. [一般]タブに移動し、手動検索に名前を付けて[ OK ]をクリックします。
  7. EICARサイトに移動し、不正プログラム対策のテストファイルをダウンロードします。前の手順で指定したフォルダにファイルを保存します。このファイルが不正プログラム対策モジュールによって検出されずにそのまま保存されればテストは成功です。

ディレクトリリストの構文

検索除外 形式 説明
ディレクトリ DIRECTORY\ 指定したディレクトリとそのすべてのサブディレクトリにあるファイルをすべて除外します。 C:\Program Files\
Program Filesディレクトリとそのすべてのサブディレクトリにあるファイルをすべて除外します。
ワイルドカード (*) を使用したディレクトリ DIRECTORY\*\ 指定されたサブディレクトリと、そこに含まれるファイルを除き、すべてのサブディレクトリを除外します。 C:\abc\*\
abcのすべてのサブディレクトリ内のすべてのファイルを除外しますが、 abcディレクトリ内のファイルは除外しません。

C:\abc\wx*z\
一致:
C:\abc\wxz\
C:\abc\wx123z\
一致しない:
C:\abc\wxz
C:\abc\wx123z

C:\abc\*wx\
一致:
C:\abc\wx\
C:\abc\123wx\
一致しない:
C:\abc\wx
C:\abc\123wx
ワイルドカード (*) を使用したディレクトリ ディレクトリ*\ 一致する名前を持つ任意のサブディレクトリを除外します。ただし、そのディレクトリにあるファイルおよび任意のサブディレクトリは除外しません。 C:\Program Files\SubDirName*\

SubDirNameで始まるフォルダ名を持つすべてのサブディレクトリを除外します。C:\Program Files\またはその他のサブディレクトリにあるすべてのファイルを除外しません。

環境変数 ${ENV VAR} 環境変数で定義されたすべてのファイルとサブディレクトリを除外します。仮想アプライアンスの場合、環境変数の値のペアは[ポリシーエディタ] または [コンピュータエディタ]>[設定]>[一般]>[環境変数オーバーライド]で定義する必要があります。
macOSではサポートされていません。
${windir}
変数がc:\windowsに解決されると、 c:\windows内のすべてのファイルとそのすべてのサブディレクトリが除外されます。
コメント DIRECTORY #コメント 除外の定義にコメントを追加します。 c:\abc #Exclude the abc directory

ディレクトリリストの項目では、WindowsとLinuxの両方の規則をサポートするために、スラッシュまたはバックスラッシュを使用できます。

ファイルリストの構文

検索除外 形式 説明
ファイル FILE 場所やディレクトリに関係なく、指定したファイル名を持つすべてのファイルを除外します。
macOSではサポートされていません。
abc.doc
すべてのディレクトリ内のabc.docという名前のすべてのファイルを除外します。 abc.exeは除外しません。
ファイルパス FILEPATH ファイルパスで指定された単一のファイルを除外します。 C:\Documents\abc.doc
Documentsディレクトリ内のabc.docという名前のファイルのみを除外します。
ワイルドカード (*) を使用したファイルパス FILEPATH ファイルパスで指定されたすべてのファイルを除外します。 C:\Documents\abc.co* (Windows Agentプラットフォームのみ) Documentsディレクトリ内のファイル名がabcで、拡張子が.coで始まるファイルを除外します。
ファイル名がワイルドカード(*) FILEPATH\* パス内のすべてのファイルを除外しますが、指定されていないサブディレクトリ内のファイルは除外します C:\Documents\*
ディレクトリC:\Documents\にあるすべてのファイルを除外します。

C:\Documents\SubDirName*\*
フォルダ名がSubDirNameで始まるサブディレクトリ内のすべてのファイルを除外します。 C:\Documents\またはその他のサブディレクトリにあるすべてのファイルを除外しません。

C:\Documents\*\*
C:\Documentsの下のすべての直下サブディレクトリ内のすべてのファイルを除外します。以降のサブディレクトリにあるファイルは除外しません。
ワイルドカード (*) を使用したファイル FILE* ファイル名のパターンが一致するすべてのファイルを除外します。
macOSではサポートされていません。
abc*.exe
接頭辞がabc、拡張子が.exeのファイルを除外します。

*.db
一致:
123.db
abc.db
一致しない:
123db
123.abd
cbc.dba

*db
一致:
123.db
123db
ac.db
acdb
db
一致しない:
db123

wxy*.db
一致:
wxy.db
wxy123.db
一致しない:
wxydb
ワイルドカード (*) を使用したファイル FILE.EXT* ファイル拡張子のパターンが一致するすべてのファイルを除外します。
macOSではサポートされていません。
abc.v*
ファイル名がabc、拡張子が.vで始まるファイルを除外します。

abc.*pp
一致:
abc.pp
abc.app
一致しない:
wxy.app

abc.a*p
一致:
abc.ap
abc.a123p
一致しない:
abc.pp

abc.*
一致:
abc.123
abc.xyz
一致しない:
wxy.123
ワイルドカード (*) を使用したファイル FILE*.EXT* ファイル名と拡張子のパターンが一致するすべてのファイルを除外します。
macOSではサポートされていません。
a*c.a*p
一致:
ac.ap
a123c.ap
ac.a456p
a123c.a456p
一致しない:
ad.aa
環境変数 ${ENV VAR} ${ENV VAR}形式の環境変数で指定されたファイルを除外します。これらは、[ポリシー] または [コンピュータ] エディタ> [設定] > [一般] > [環境変数のオーバーライド] を使用して定義またはオーバーライドできます。
macOSではサポートされていません。
${myDBFile}
ファイルmyDBFileを除外します。
コメント FILEPATH #コメント 除外の定義にコメントを追加します。 C:\Documents\abc.doc #This is a comment

ファイル拡張子リストの構文

検索除外 形式 説明
ファイル拡張子 EXT 一致する拡張子を持つすべてのファイルと一致します。 doc
すべてのディレクトリ内の拡張子が.docであるすべてのファイルに一致します。
コメント EXT #コメント 除外の定義にコメントを追加します。 doc
#This is a comment

プロセスイメージファイルリストの構文 (リアルタイム検索のみ)

除外 形式 説明
ファイルパス ファイルパス ファイルパスで指定されたプロセスイメージファイルを除外します。 C:\abc\file.exe
abc ディレクトリ内の file.exe という名前のファイルのみを除外します。

ネットワークディレクトリを検索する (リアルタイム検索のみ)

Network File System (NFS), Server Message Block (SMB)またはCommon Internet File System (CIFS)にあるネットワーク共有およびマップされたネットワークドライブ内のファイルとフォルダを検索する場合は、[ネットワークディレクトリ検索を有効にする]を選択します。このオプションはリアルタイム検索でのみ使用できます。

GNOMEデスクトップで使用可能な仮想ファイルシステムであるGVFSを介して ~/.gvfs でアクセスされるリソースは、ネットワークドライブではなくローカルリソースとして扱われます。

Windowsでネットワークフォルダの検索中にウイルスが検出された場合、 エージェントに駆除失敗 (削除失敗) イベントが表示されることがあります。

リアルタイム検索を実行するタイミングを指定する

ファイルを読み取り用に開くとき、ファイルに書き込むとき、またはその両方で検索するかどうかを次のいずれかで選択します。

  1. 不正プログラム検索設定のプロパティを開きます。
  2. [詳細] タブで、[リアルタイム検索] プロパティのオプションを1つ選択します。
  3. [OK] をクリックします。

不正プログラム処理の設定

不正プログラムが検出された場合のWorkload Securityの動作を設定します。

不正プログラム修復処理をカスタマイズする

Workload Securityは不正プログラムを検出すると、修復処理を実行してファイルを処理します。不正プログラムが検出された場合、 Workload Securityは次の処理を実行できます。

  • 放置: 感染ファイルに何もせずに、そのファイルへのフルアクセスを許可します (不正プログラム対策イベントは引き続き記録されます)。

    修復処理 放置 は、ウイルスの可能性がある場合には使用しないでください。

  • 駆除: 完全なアクセスを許可する前に感染ファイルを駆除します。駆除できないファイルは、隔離されます。

  • 削除:Linuxでは、感染ファイルはバックアップせずに削除されます。

    Windowsでは、感染ファイルがバックアップされてから削除されます。Windowsのバックアップファイルは、[イベントとレポート]→[イベント]→[不正プログラム対策イベント]→[検出ファイル]表示および復元できます。

  • アクセス拒否:この検索処理は、リアルタイム検索でのみ実行できます。 Workload Security は、感染ファイルのオープンまたは実行の試行を検出すると、すぐに処理をブロックします。感染ファイルは変更されずにそのままバックアップされます。アクセス拒否の処理がトリガされると、感染ファイルは元の場所に留まります。

    リアルタイム検索書き込み時に設定されているときに是正処置 アクセス拒否 を使用しないでください。書き込み時が選択されている場合、ファイルが書き込まれるとファイルが検索され、アクセス拒否の処理は無効になります。

  • 隔離:感染したファイルを、コンピュータまたはVirtual Appliance上の隔離ディレクトリに移動します。隔離ファイルは、[イベントとレポート]→[イベント]→[不正プログラム対策イベント]→[検出ファイル]表示および復元できます。

    両方のOSで同一の不正プログラムであっても、Linuxでは 隔離済み とマークされ、Windowsでは 削除済み とマークされることがあります。どちらの場合でも、[イベントとレポート]→[イベント]→[不正プログラム対策イベント]→[検出ファイル] でファイルを表示および復元できます。

    Windowsでは、感染した非圧縮ファイル(.txtファイルなど)は隔離され、感染した圧縮ファイル(.zipファイルなど)は削除されます。Windowsでは、隔離されたファイルと削除されたファイルの両方にバックアップが作成され、 [イベントとレポート]→[イベント]→[不正プログラム対策イベント]→[検出ファイル]表示および復元 できます。Linuxでは、感染ファイル(圧縮または非圧縮)はすべて隔離されており、 [イベントとレポート]→[イベント]→[不正プログラム対策イベント]→[検出ファイル]表示および復元できます。

不正プログラム検索設定の初期設定の修復処理は、ほとんどの状況に適しています。ただし、 Workload Securityが不正プログラムを検出したときに実行する処理はカスタマイズできます。次のように、ActiveActionによって決定された処理を使用するか、脆弱性の種類ごとに処理を指定できます。

  1. 不正プログラム検索設定のプロパティを開きます。

  2. 詳細タブの 修復処理カスタム を選択します。

  3. 実行する処理を指定します。

    • トレンドマイクロ推奨の修復処理から実行する処理を決定するには、[トレンドマイクロの推奨処理を使用] を選択します。

    • 脆弱性の種類ごとに処理を指定するには、[カスタム処理を使用] を選択してから、使用する処理を選択します。

  4. 潜在的な不正プログラムに対して実行する処理を指定します。

  5. [OK] をクリックします。

ActiveActionは、マルウェアのカテゴリごとに最適化された、事前定義されたクリーンナップ処理のグループです。トレンドマイクロでは、個々の検出が適切に処理されるように、ActiveActionの処理を継続的に調整しています (ActiveAction処理 を参照)。

macOSエージェントの場合、サポートされるカスタム処理は、ウイルス、トロイの木馬、およびスパイウェアです。

トレンドマイクロの推奨処理

次の表は、トレンドマイクロの推奨処理を選択した場合に実行される処理の一覧です。

不正プログラムの種類 処理
ウイルス

駆除。ウイルスを駆除できない場合は、 削除 (Windows)または 隔離 (LinuxまたはSolaris)されます。この動作には例外があります。LinuxまたはSolarisエージェントで「テストウイルス」タイプのウイルスが発見された場合、感染したファイルへのアクセスは 拒否されます。

トロイの木馬 隔離
パッカー 隔離
スパイウェア 隔離
CVE攻撃コード 隔離
アグレッシブ検出ルール 放置
(この設定ではより多くの問題が検出されますが、誤検出も増える可能性があるため、初期設定の処理はイベントの発生です)。
Cookie 削除
リアルタイム検索には適用されません。
その他の脅威

駆除

脅威を駆除できない場合は、次のように処理されます。

また、LinuxまたはSolarisのエージェントでは、「Joke」タイプのウイルスが検出された場合、ウイルスはただちに隔離されます。駆除は行われません。

潜在的な不正プログラム トレンドマイクロの推奨処理

CVEの詳細については攻撃コードおよび積極的な検出ルール、ドキュメントをスキャンしてエクスプロイトを探すを参照してください。

AgentでアップデートサーバまたはRelayからウイルスパターンファイルのアップデートをダウンロードすると、それに応じてトレンドマイクロの推奨処理が変わることがあります。

不正プログラム検出のアラートを生成する

Workload Securityが不正プログラムを検出した場合は、次のようにアラートを生成できます。

  1. 不正プログラム検索設定のプロパティを開きます。
  2. [一般] タブで、[アラート] に対して [この不正プログラム検索設定でイベントが記録されたときにアラートを発令する] を選択します。
  3. [OK] をクリックします。

ファイルのハッシュダイジェストにより不正プログラムファイルを特定する

Workload Security では、不正プログラムファイルのハッシュ値を計算し、 イベント&レポート/イベント/ 不正プログラム対策 イベント ページに表示できます。一部の不正プログラムには複数の異なる名前が使用されていることがあるため、不正プログラムを一意に識別するハッシュ値が役立ちます。ハッシュ値は、他のソースでその不正プログラムに関する情報を確認する場合に使用できます。

  1. 設定するポリシーエディタまたはコンピュータエディタを開きます。

  2. [不正プログラム対策]→[詳細] の順にクリックします。

  3. [ファイルハッシュ計算] で、[初期設定] または [継承] チェックボックスをオフにします。ルートポリシーの場合は [初期設定]、子ポリシーの場合は [継承済み] と表示されます。

    [継承] チェックボックスがオンになっている場合、ファイルハッシュ設定は現在のポリシーの親ポリシーから継承されます。

    [初期設定] が選択されている場合、 Workload Security はハッシュ値を計算しません。

  4. [すべての不正プログラム対策イベントのハッシュ値を計算する] を選択します。

  5. 初期設定では、 Workload Security はSHA-1ハッシュ値を生成します。追加のハッシュ値を生成するには、[MD5]または [SHA256]、あるいはその両方を選択します。

  6. ハッシュ値を計算する不正プログラムファイルの最大サイズを変更することもできます。初期設定では128MBを超えるファイルはスキップされますが、この値を64~512MBの任意の値に変更できます。

コンピュータで通知を設定する

WindowsベースのAgentでは、不正プログラム対策およびWebレピュテーションモジュールに関連して実行する必要があるWorkload Security処理について警告する通知メッセージが画面に表示されることがあります。たとえば、「不正プログラムのクリーンナップタスクで再起動が必要です」というメッセージが表示されることがあります。ダイアログを閉じるには、[OK] をクリックする必要があります。

これらの通知が表示されないようにするには、次の手順を実行します。

  1. [コンピュータ]または[ポリシーエディタ]に移動します。
  2. 左側にある [設定] をクリックします。
  3. [ホストのすべてのポップアップ通知を抑制][はい] に設定します。メッセージは引き続き Workload Securityでアラートまたはイベントとして表示されます。Notifierの詳細については、Notifierを参照してください。

Workload Security にアクセスできない場合に予約検索を実行する

この機能は、Windowsのバージョン20.0.3445以降のエージェントでサポートされます。

通常、 エージェントがオフラインの場合、不正プログラムの予約検索はキューに登録されます。 エージェントがWorkload Securityに接続できない場合でも予約検索を実行するには、次の手順を実行します。

  1. コンピュータエディタまたはポリシーエディタに移動します。

  2. 左側で 不正プログラム対策 をクリックします。

  3. [ 一般 ]タブで、[ 予約検索 ]を選択し、[ エージェントでの不正プログラムの予約検索の実行を有効にする ]を選択します。

チェックボックスをオンにした場合:

  • このエージェントでは、予約タスクページの今すぐタスクを実行ボタンは無効になります。
  • Workload Security Managerは、エージェントがオフラインの場合、予約検索タスクをキューに登録しません。

トラブルシューティング

次の特殊なケースでは、 エージェントがオフライン予約検索を起動しないことがあります。

  1. コンピュータがシャットダウンしている場合、コンピュータの再起動時にタイムアウトすると、次回の予約検索が実行されないことがあります。
  2. 予約検索中にコンピュータがシャットダウンされた場合、中断された予約検索はコンピュータの再起動時に続行されません。