不正プログラム検索設定は、ポリシーまたはコンピュータの不正プログラム対策を設定するときに適用できる、再利用可能な保存済み設定です。不正プログラム検索の設定では、 Workload
Securityが実行する不正プログラム検索の種類と検索するファイルを指定します。一部のポリシープロパティは、不正プログラム検索の動作にも影響します。
CPU使用率とRAM使用率は、不正プログラム対策の設定によって異なります。不正プログラム対策のパフォーマンスをエージェントで最適化するには、不正プログラム対策のパフォーマンス向上のヒントを参照してください。
不正プログラム検索設定を作成または編集する
リアルタイム、手動、または予約検索の動作を制御するために、不正プログラム検索の設定を作成または編集します (不正プログラム検索の設定を参照)。必要に応じて、複数の不正プログラム検索の設定を作成できます。
-
不正プログラム検索の設定を作成した後、ポリシーまたはコンピュータの検索に関連付けることができます (実行する検索の種類を選択を参照)。
-
ポリシーまたはコンピュータが使用している不正プログラム検索設定を編集すると、この変更は設定に関連付けられている検索に影響します。
既存の設定に類似する不正プログラム検索設定を作成するには、既存の設定を複製して編集します。
不正プログラム検索の種類に応じて2種類の不正プログラム検索構成を作成できます (不正プログラム検索の種類を参照)。
-
[リアルタイム検索設定:]はリアルタイム検索を制御します。[アクセス拒否]などの一部の操作はリアルタイム検索の設定でのみ利用可能です。
-
[手動/予約検索の設定:]は手動またはスケジュール検索を制御します。[CPU使用率]などのオプションは、手動またはスケジュール検索の設定でのみ利用可能です。
Workload Security には、検索の種類ごとに初期設定の不正プログラム検索設定が用意されています。
- に移動します。
- 検索設定を作成するには、[新規]をクリックし、次に[リアルタイム検索設定]または[新規の不正プログラムの手動/予約検索設定]をクリックしてください。
- 検索設定を識別する名前を入力します。この名前は、ポリシーで不正プログラム検索を設定するときにリストに表示されます。
- オプションで、設定の使用例を説明する説明を入力します。
- 既存の検索設定を表示および編集するには、それを選択して[プロパティ]をクリックします。
- 検索設定を複製するには、それを選択して[複製]をクリックしてください。
不正プログラム検索設定を使用しているポリシーとコンピューターは、プロパティの[割り当て先]タブで表示されます。
不正プログラム検索をテストする
不正プログラム対策の設定手順を続行する前に、リアルタイム検索、手動検索、または予約検索をテストして、正常に動作することを確認します。
リアルタイム検索は、次の方法でテストできます。
- リアルタイム検索が有効で、設定が選択されていることを確認します。
- EICARサイトにアクセスして、不正プログラム対策テストファイルをダウンロードしてください。この標準化されたファイルは、リアルタイム検索のウイルス対策機能をテストします。ファイルは隔離されるべきです。
- Workload Security コンソールで、 の順に選択して、EICARファイル検出のレコードを確認します。検出が記録されていれば、不正プログラム対策のリアルタイム検索は正常に機能しています。
手動検索または予約検索のテストを開始する前に、リアルタイム検索が無効になっていることを確認してください。
手動検索または予約検索は、次の手順でテストできます。
- [管理] に移動します。
- をクリックします。
- ドロップダウンメニューから[コンピュータの不正プログラムを検索]を選択し、頻度を選択します。希望する仕様で検索設定を完了してください。
- EICARサイトにアクセスして、不正プログラム対策テストファイルをダウンロードしてください。この標準化されたファイルは、手動/予約検索のウイルス対策機能をテストします。
- スケジュールされた検索を選択し、[今すぐタスクを実行]をクリックします。テストファイルは隔離されるべきです。
- Workload Security コンソールで、 の順に選択して、EICARファイル検出のレコードを確認します。検出が記録されていれば、不正プログラム対策の手動/予約検索は正常に機能しています。
動的インテリジェンスモード
動的インテリジェンスモードにより、エージェントは検出された脅威、ユーザの挙動、システムコンテキストの分析に基づいて、セキュリティ対応を最適化するために監視レベルを自動的に調整できます。
![]() |
重要動的インテリジェンスモードのセキュリティ機能を最大化するために、トレンドマイクロは不正プログラム対策、挙動監視、機械学習型検索、Windows Antimalware
Scan Interface (AMSI)、およびプロセスメモリスキャンを有効にすることを推奨します。
動的インテリジェンスモードを有効にすると、不正プログラム対策、挙動監視、機械学習型検索、Windows Antimalware Scan Interface (AMSI)、およびプロセスメモリ検索の検出レベルと予防レベルの設定が無効になります。
|
動的インテリジェンスモードを有効にするには:
- 不正プログラム検索設定のプロパティを開きます。
- [一般] タブで、[動的インテリジェンスモード] の下にある [動的インテリジェンスモードを有効にする] を選択します。
- [OK]をクリックしてください。
特定の種類の不正プログラムを検索する
- ドキュメントをスキャンして攻撃コードを検出
- AMSI保護を有効にする (リアルタイムスキャンのみ)
- スパイウェアおよびグレーウェアのスキャン
- 圧縮実行ファイルをスキャン (リアルタイムスキャンのみ)
- スキャンプロセスメモリ
- 圧縮ファイルをスキャン
- 埋め込みMicrosoft Officeオブジェクトをスキャン
関連項目:
ドキュメントの脆弱性を突いた攻撃コードを検索する
現代のデータセンターでは、フィッシングやスピアフィッシングなどの手法を使用した標的型攻撃によるセキュリティ侵害が増加しています。これらの場合、不正プログラム作成者は、特定の環境を狙った不正プログラムを作成することで、従来の不正プログラムスキャナーを回避することができます。Workload
Securityは、ドキュメントの脆弱性対策を通じて、新たな脅威や新興の脅威に対する強化された不正プログラム保護を提供します。
文書脆弱性対策では、ヒューリスティック検出と高度な脅威検索エンジン(ATSE)を使用して、保護対象のコンピュータ上のファイルを分析し、不審ファイルかどうかを判断します。
現在、Linux AMD64およびx86エージェントの不正プログラム対策監視レベルを次のように定義できます。
-
不正プログラム検索設定のプロパティを開きます。
-
[一般] タブの [不正プログラム対策の監視レベル] の下で、[検出レベル] および [保護レベル] フィールドを使用して、機械学習型検索 が潜在的な脅威に対応する際に適用する警戒度と厳格さを割り当てることにより、検出と保護のレベルを構成します。
-
1 - 慎重: Workload Securityがアクティビティが悪意のあるものであると高い確信を持っている場合にのみ、検出または防止が実行されます。
-
2 - 中: Workload Securityがアクティビティが悪意のあるものであると中程度の確信を持っている場合に、検出または防止が実行されます。トレンドマイクロは、ほとんどの場合にこのレベルを使用することを推奨します。中レベルは、慎重レベルで検出または防止されるアクティビティも検出および防止します。
-
3 - アグレッシブ: Workload Securityが活動が悪意のあるものであるという確信が低い場合に、検出または防止が実行されます。アグレッシブレベルは、モデレートおよびカウシャスレベルで検出または防止される活動も検出および防止します。
-
4 - 超攻撃的: Workload Securityがアクティビティが悪意のあるものであるという確信が最も低い場合に、検出または防止が実行されます。超攻撃的レベルは、攻撃的、中程度、および慎重なレベルで検出または防止されるアクティビティも検出および防止します。
-
防御レベルは検出レベルと同じかそれ以下でなければなりません。
予防レベルは、予防レベルがスキャン結果の検出レベルと同じくらい積極的であるか、より積極的である場合にアクションを実行するかどうかを決定します。
ファイルが
ページで不正プログラムとして識別された場合、しかしそれが不正プログラムでないことを知っている場合は、[コンピュータ]または[ポリシー]エディターの タブで[ドキュメントの脆弱性対策ルールの例外]リストに追加できます。ファイルを許可するには、右クリックして[許可]を選択し、表示される一連のダイアログの手順に従ってください。macOSエージェントでは、エクスプロイトのドキュメントスキャンはサポートされていません。Linux AMD64およびx86以外のOSの予防および検出レベルを設定しても効果はなく、常にレベル2
- 中程度で実行されます。
Windows AMSI保護を有効にする(リアルタイム検索のみ)
Windows Antimalware Scan Interface (AMSI) は、MicrosoftがWindows 10以降で提供するインタフェースです。 Workload Securityでは、AMSIを使用して不正なスクリプトを検出します。
Workload Securityの不正プログラム検索設定では、このオプションは初期設定で有効になっています。
-
不正プログラム検索設定のプロパティを開きます。
-
[一般]タブで、[Windows Antimalware Scan Interface (AMSI)]の下にある[AMSI保護を有効にする]を選択します。
-
[検出レベル]フィールドと[保護レベル]フィールドを使用して、機械学習型検索が潜在的な脅威に対応する際の警戒度と厳格さを設定し、検出と保護のレベルを構成します。
-
1 - 慎重: 検出または防止は、機械学習型検索がアクティビティが悪意のあるものであると高い確信を持っている場合にのみ実行されます。
-
2 - 中: 機械学習型検索がアクティビティが悪意のあるものであると中程度の確信を持っている場合に、検出または防止が実行されます。トレンドマイクロは、ほとんどのケースでこのレベルを使用することを推奨します。中レベルは、慎重レベルで検出または防止されるアクティビティも検出および防止します。
-
3 - アグレッシブ: 機械学習型検索がアクティビティが悪意のあるものであるという事実に対して低い信頼度を持つ場合に、検出または防止が実行されます。アグレッシブレベルは、モデレートおよびカウシャスレベルによって検出または防止されるアクティビティも検出および防止します。
-
4 - 超攻撃的: 機械学習型検索がアクティビティが悪意のあるものであるという確信が最も低い場合に、検出または防止が実行されます。超攻撃的レベルは、攻撃的、中程度、および慎重なレベルで検出または防止されるアクティビティも検出および防止します。
防御レベルは検出レベルと同じかそれ以下でなければなりません。予防レベルは、予防レベルがスキャン結果の検出レベルと同じくらい積極的であるか、より積極的である場合にアクションを実行するかどうかを決定します。 -
-
[OK] をクリックします。
スパイウェア/グレーウェアを検索する
スパイウェアおよびグレーウェア対策を有効にすると、不審なファイルの検出時に、スパイウェア検索エンジンによってこれらのファイルが隔離されます。
- 不正プログラム検索設定のプロパティを開きます。
- [一般]タブで[スパイウェア/グレーウェア対策を有効にする]を選択してください。
- [OK] をクリックします。
スパイウェア検索エンジンが無視するファイルを特定するには、不正プログラム対策の例外を作成するを参照してください。
圧縮済み実行可能ファイルを検索する (リアルタイム検索のみ)
ウイルスは、リアルタイム圧縮アルゴリズムを使用して、ウイルスフィルタを回避しようとすることがあります。IntelliTrap機能は、リアルタイムの圧縮済み実行可能ファイルを遮断し、他の不正プログラムの特性とファイルを組み合わせます。
IntelliTrapはそのようなファイルをセキュリティリスクとして識別し、安全なファイルを誤ってブロックする可能性があるため、IntelliTrapを有効にする場合はファイルを削除またはクリーンアップするのではなく、隔離することを検討してください。(不正プログラムの処理方法を設定するを参照してください。) ユーザがリアルタイムで圧縮された実行ファイルを定期的に交換する場合は、IntelliTrapを無効にしてください。IntelliTrapはウイルス検索エンジン、IntelliTrapパターンファイル、およびIntelliTrap除外パターンファイルを使用します。
- 不正プログラム検索設定のプロパティを開きます。
- [一般]タブで[IntelliTrapの有効化]を選択します。
- [OK] をクリックします。
IntelliTrapはmacOSエージェントではサポートされないことに注意してください。
プロセスメモリを検索する
プロセスメモリをリアルタイムでモニタし、トレンドマイクロSmart Protection Networkを使用して追加のチェックを行い、疑わしいプロセスが悪意のあるものであるかどうかを判断します。プロセスが悪意のあるものである場合、Workload
Securityはプロセスを終了します。詳細については、Workload SecurityのSmart Protectionを参照してください
-
不正プログラム検索設定のプロパティを開きます。
-
[一般]タブで、[プロセスメモリ検索]の下にある[プロセスメモリ内の不正プログラムを検索する]を選択します。[検出レベル]フィールドと[保護レベル]フィールドを使用して、機械学習型検索が潜在的な脅威に対応する際の警戒度と厳格さを設定し、検出と保護のレベルを構成します。
-
1 - 慎重: 検出または防止は、機械学習型検索がアクティビティが悪意のあるものであると高い確信を持っている場合にのみ実行されます。
-
2 - 中: 機械学習型検索がアクティビティが悪意のあるものであると中程度の確信を持っている場合に、検出または防止が実行されます。トレンドマイクロは、ほとんどのケースでこのレベルを使用することを推奨します。中レベルは、慎重レベルで検出または防止されるアクティビティも検出および防止します。
-
3 - アグレッシブ: 機械学習型検索がアクティビティが悪意のあるものであるという事実に対して低い信頼度を持つ場合に、検出または防止が実行されます。アグレッシブレベルは、モデレートおよびカウシャスレベルによって検出または防止されるアクティビティも検出および防止します。
-
4 - 超攻撃的: 機械学習型検索がアクティビティが悪意のあるものであるという確信が最も低い場合に、検出または防止が実行されます。超攻撃的レベルは、攻撃的、中程度、および慎重なレベルで検出または防止されるアクティビティも検出および防止します。
防御レベルは検出レベルと同じかそれ以下でなければなりません。予防レベルは、予防レベルがスキャン結果の検出レベルと同じくらい積極的であるか、より積極的である場合にアクションを実行するかどうかを決定します。 -
-
[OK] をクリックします。
Deep Security Agentバージョン20.0.1-12510以降では、[実行する処理]を使用して、Deep Securityが不正プログラムを検出した際に実行する修復アクションを選択できます。推奨値は[ActiveAction]です。または[放置]を選択することもできます。詳細については、ActiveActionアクションおよび不正プログラム修復アクションのカスタマイズを参照してください。
macOSエージェントではプロセスメモリのスキャンはサポートされていませんのでご注意ください。
圧縮ファイルを検索する
圧縮ファイルを解凍し、コンテンツに不正プログラムが含まれていないか検索します。検索を有効にするときに、解凍するファイルの最大サイズと最大数を指定します (大きなファイルはパフォーマンスに影響を及ぼすことがあります)。また、圧縮ファイル内に存在する圧縮ファイルを検索できるように、検査する圧縮レベルも指定します。圧縮レベル1は、単一の圧縮ファイルです。レベル2は、ファイル内の圧縮ファイルです。最大6の圧縮レベルを検索できますが、レベルが高くなるとパフォーマンスに影響を及ぼす可能性があります。
- 不正プログラム検索設定のプロパティを開きます。
- [詳細]タブで[圧縮ファイルの検索]を選択します。
- 解凍するコンテンツファイルの最大サイズ (MB)、検索する圧縮レベル、解凍する最大ファイル数を指定します。
- [OK] をクリックします。
埋め込みのMicrosoft Officeオブジェクトを検索する
Microsoft Officeの特定のバージョンでは、Object Linking and Embedding (OLE) を使用してOfficeファイルにファイルやその他のオブジェクトを挿入します。これらの埋め込みオブジェクトには、不正なコードが含まれている場合があります。
他のオブジェクトに埋め込まれているオブジェクトを検出するために、検索するOLE層の数を指定します。パフォーマンスへの影響を軽減するため、各ファイル内の埋め込みオブジェクトの層をいくつかだけ検索できます。
- 不正プログラム検索設定のプロパティを開きます。
- [詳細] タブで[埋め込みのMicrosoft Officeオブジェクトを検索する]を選択します。
- 検索するOLE層の数を指定します。
- [OK] をクリックします。
macOSエージェントでは、埋め込まれたMicrosoft Officeオブジェクトの検索はサポートされないことに注意してください。
Notifierアプリケーションの手動検索を有効にする
トレンドマイクロ通知アプリケーションを通じて手動検索を有効にすることは、Windowsの場合はDeep Security Agent 20.0.0-5512以降、macOSの場合は20.0.0-180以降でサポートされています。
有効にすると、通知アプリケーションを介して検索を開始できます。
- コンピュータエディタまたはポリシーエディタから、[不正プログラム検索] タブを選択してください。
- [一般]水平タブをクリックします。
- [手動検索]セクションで[AgentによるNotifierからの手動検索実行またはキャンセルを許可する]を選択します。
検索対象ファイルを指定する
検索に含めるファイルとディレクトリを特定し、それらのファイルとディレクトリから除外するファイルを特定します。ネットワークディレクトリも検索できます。
検索対象
検索するディレクトリと、ディレクトリ内の検索するファイルも指定します。
検索するファイルを指定するには、次のいずれかのオプションを使用します。
- すべてのファイル。
- IntelliScanで判別されるファイルタイプ。IntelliScanは、
.zip
や.exe
など、感染しやすいファイルタイプのみを検索します。IntelliScanはファイル拡張子に依存せず、ファイルのヘッダや内容を読み取ってファイルタイプを判別し、検索対象かどうかを判断します。すべてのファイルを検索する場合と比べて、IntelliScanを使用すると検索するファイルの数が減り、パフォーマンスが向上します。 - 特定の構文を使用するパターンを含む指定されたリストに含まれるファイル名拡張子を持つファイル (ファイル拡張子リストの構文を参照)。
検索するディレクトリを指定するには、次のように、すべてのディレクトリまたはディレクトリのリストを指定します。
- 不正プログラム検索設定のプロパティを開きます。
- [検索対象]タブをクリックしてください。
- 検索するディレクトリを指定するには、[すべてのディレクトリ]または[ディレクトリリスト]を選択してください。
- メニューから[ディレクトリリスト]を選択した場合は、既存のリストを選択するか、[新規]を選択して新しいリストを作成してください。
- 検索するファイルを指定するには、[すべてのファイル]、[トレンドマイクロの推奨設定で検索されるファイルタイプ]、または[ファイル拡張子リスト]を選択してください。
- メニューから[ファイル拡張子リスト]を選択した場合は、既存のリストを選択するか、[新規]を選択して新しいリストを作成してください。
- [OK] をクリックします。
ディレクトリリストは特定の構文を使用してスキャンするディレクトリを識別します (ディレクトリリストの構文を参照)。
検索除外
検索対象からディレクトリ、ファイル、およびファイル拡張子を除外します。リアルタイム検索の場合は、プロセスイメージファイルを検索から除外することもできます。
除外するファイルとフォルダの例:
- Microsoft Exchangeサーバの不正プログラム検索設定を作成する場合は、不正プログラムと確認されたファイルが再検索されないように、SMEX隔離フォルダを除外します。
- サイズの大きいVMwareイメージがある場合は、パフォーマンスの問題が発生した場合は、これらのイメージが格納されているディレクトリを除外します。
信頼できるデジタル証明書で署名されたファイルを不正プログラム対策スキャンから除外することもできます。この種の除外は、ポリシーまたはコンピュータの設定で定義されます
(信頼できる証明書で署名されたファイルを除外するを参照)。
ディレクトリ、ファイル、およびプロセスイメージファイルを除外するには、パターンを使用して除外する項目を特定するリストを作成します。
- 不正プログラム検索設定のプロパティを開きます。
- [検索除外]タブをクリックします。
- 検索から除外するディレクトリを指定します。
- [ディレクトリリスト]を選択します。
- ディレクトリリストを選択するか、[新規]を選択して作成してください (ディレクトリリストの構文を参照)。
- ディレクトリリストを作成した場合は、ディレクトリリストで選択します。
- 同様に、除外するファイルリスト、ファイル拡張子リスト、およびプロセスイメージファイルリストを指定します (ファイルリストの構文、ファイル拡張子リストの構文、およびプロセスイメージファイルリストの構文を参照)。
- [OK] をクリックします。
ファイル除外のテスト
開始する前に、リアルタイム検索が有効で、設定が選択されていることを確認します。
以降の不正プログラム対策の設定手順に進む前に、ファイル除外をテストし、それらが正しく動作することを確認します。
- に移動します。
- をクリックします。
- [検索除外]タブに移動し、ディレクトリリストから[新規]を選択します。
- ディレクトリリストに名前を付けます。
- [ディレクトリ]で検索から除外したいディレクトリのパスを指定します。例えば、
c:\Test Folder\
。 - [OK]をクリックします。
- [一般] タブに移動し、手動検索に名前を付けて、[OK]をクリックします。
- EICARサイトにアクセスして、不正プログラム対策テストファイルをダウンロードしてください。ファイルを前のステップで指定されたフォルダに保存します。ファイルは保存され、不正プログラム対策モジュールによって検出されないようにしてください。
ディレクトリリストの構文
除外
|
形式
|
説明
|
例
|
ディレクトリ
|
DIRECTORY\
|
指定したディレクトリとそのすべてのサブディレクトリにあるファイルをすべて除外します。
|
C:\Program Files\
Program Files ディレクトリとそのすべてのサブディレクトリ内のファイルをすべて除外します。 |
Directory with wildcard (*)
|
DIRECTORY\*\
|
指定されたサブディレクトリと、そこに含まれるファイルを除き、すべてのサブディレクトリを除外します。
|
C:\abc\*\
abc のすべてのサブディレクトリ内のファイルを除外しますが、abc ディレクトリ内のファイルは除外しません。C:\abc\wx*z\
一致:
C:\abc\wxz\
C:\abc\wx123z\
一致しない:
C:\abc\wxz
C:\abc\wx123z
C:\abc\*wx\
一致:
C:\abc\wx\
C:\abc\123wx\
一致しない:
C:\abc\wx
C:\abc\123wx
|
Directory with wildcard (*)
|
ディレクトリ*\
|
一致する名前を持つ任意のサブディレクトリを除外します。ただし、そのディレクトリにあるファイルおよび任意のサブディレクトリは除外しません。
|
C:\Program Files\SubDirName*\
フォルダ名が
SubDirName で始まるサブディレクトリを除外します。C:\Program Files\ または他のサブディレクトリ内のすべてのファイルを除外しません。 |
環境変数
|
${ENV VAR}
|
環境変数${ENV VAR}で定義されたすべてのファイルとサブディレクトリを除外します。
windir 、programfiles などのWindowsの一般的な環境変数がサポートされています。Linuxの場合、環境変数の値のペアはポリシーまたはコンピュータエディター > 設定 > 一般 > 環境変数のオーバーライドで定義する必要があります。
macOSではサポートされていません。
|
${windir}
変数が
c:\windows に解決される場合、c:\windows ディレクトリとそのすべてのサブディレクトリ内のすべてのファイルを除外します。 |
コメント
|
DIRECTORY #コメント
|
除外の定義にコメントを追加します。
|
c:\abc
abc ディレクトリを除外します。 |
ディレクトリリストの項目では、WindowsとLinuxの両方の規則をサポートするために、スラッシュまたはバックスラッシュを使用できます。
ファイルリストの構文
除外
|
形式
|
説明
|
例
|
ファイル
|
FILE
|
指定されたファイル名のすべてのファイルを、その場所やディレクトリに関係なく除外します。
macOSではサポートされていません。
|
abc.doc
すべてのディレクトリで
abc.doc という名前のファイルを除外します。abc.exe は除外しません。 |
ファイルパス
|
FILEPATH
|
ファイルパスで指定された単一のファイルを除外します。
|
C:\Documents\abc.doc
Documents ディレクトリ内のファイル名abc.doc のみを除外します。 |
ワイルドカード (*) を使用したファイルパス
|
FILEPATH
|
ファイルパスで指定されたすべてのファイルを除外します。
|
[C:\Documents\abc.co*] (Windowsエージェントのみ)
Documents ディレクトリ内でファイル名がabc で、拡張子が.co で始まるファイルを除外します。 |
ファイル名がワイルドカード(*)
|
FILEPATH\*
|
パス内のすべてのファイルを除外しますが、指定されていないサブディレクトリ内のファイルは除外します
|
C:\Documents\*
ディレクトリ
C:\Documents\ 以下のすべてのファイルを除外しますC:\Documents\SubDirName*\*
フォルダ名が
SubDirName で始まるサブディレクトリ内のすべてのファイルを除外します。C:\Documents\ またはその他のサブディレクトリ内のすべてのファイルを除外しません。C:\Documents\*\*
C:\Documents 以下の[direct]サブディレクトリ内のすべてのファイルを除外します。後続のサブディレクトリ内のファイルを除外しません。
|
ワイルドカード (*) を使用したファイル
|
FILE*
|
ファイル名のパターンに一致するすべてのファイルを除外します。
macOSではサポートされていません。
|
abc*.exe
abc というプレフィックスと.exe という拡張子を持つファイルを除外します。*.db
一致:
123.db
abc.db
一致しない:
123db
123.abd
cbc.dba
*db
一致:
123.db
123db
ac.db
acdb db
一致しない:
db123
wxy*.db
一致:
wxy.db
wxy123.db
一致しない:
wxydb
|
ワイルドカード (*) を使用したファイル
|
FILE.EXT*
|
ファイルの拡張子のパターンに一致するすべてのファイルを除外します。
macOSではサポートされていません。
|
abc.v*
ファイル名が
abc で、拡張子が.v で始まるファイルを除外します。abc.*pp
一致:
abc.pp
abc.app
一致しない:
wxy.app
abc.a*p
一致:
abc.ap
abc.a123p
一致しない:
abc.pp
abc.*
一致:
abc.123
abc.xyz
一致しない:
wxy.123
|
ワイルドカード (*) を使用したファイル | FILE*.EXT* |
ファイル名と拡張子のパターンに一致するすべてのファイルを除外します。
macOSではサポートされていません。
|
a*c.a*p
一致:
ac.ap
a123c.ap
ac.a456p
a123c.a456p
一致しない:
ad.aa
|
環境変数 | ${ENV VAR} |
環境変数 ${ENV VAR} の形式で指定されたファイルを除外します。
windir 、programfiles などの Windows の一般的な環境変数がサポートされています。Linuxの場合、環境変数の値ペアはポリシーまたはコンピュータエディタ > 設定 > 一般 > オーバーライドで定義する必要があります。
macOSではサポートされていません。
|
${myDBFile}
ファイル
myDBFile を除外します。 |
コメント | FILEPATH #コメント | 除外の定義にコメントを追加します。 | [C:\Documents\abc.doc] #これはコメントです |
ファイル拡張子リストの構文
除外
|
形式
|
説明
|
例
|
ファイル拡張子
|
EXT
|
一致する拡張子を持つすべてのファイルと一致します。
|
doc
すべてのディレクトリ内で
.doc 拡張子を持つすべてのファイルに一致します。 |
コメント
|
EXT #コメント
|
除外の定義にコメントを追加します。
|
[doc] #これはコメントです |
プロセスイメージファイルリストの構文
除外
|
形式
|
説明
|
例
|
ファイルパス
|
C:\DIR\FILE.EXT
|
ファイルパスで指定されたプロセスイメージファイルを除外します。
|
C:\abc\file.exe
abc ディレクトリ内のfile.exe という名前のファイルのみを除外します。 |
ワイルドカード (*) を含むディレクトリ
|
C:\DIR*\FILE.EXT
|
ワイルドカードはディレクトリ名を置き換えます。 |
C:\abc*\file.exe
一致項目:
C:\abc\file.exe C:\abc1\file.exe C:\abc1\abc2\file.exe C:\abc*\*\file.exe
一致項目:
C:\abc1\abc2\file.exe 一致しません:
C:\abc\file.exe C:\abc1\file.exe |
ワイルドカード (*) 付きファイル名
|
C:\DIR\FILE*.EXT
C:\DIR\FILE.EXT*
C:\DIR\FILE*.EXT*
|
ワイルドカードはファイル名を置き換えます。 |
C:\abc\file*.exe
一致項目:
C:\abc\file.exe C:\abc\file123.exe 一致しません:
C:\abc\file.exe123 C:\abc\file123.exe123 C:\abc\file.exe*
一致項目:
C:\abc\file.exe C:\abc\file.exe123 一致しません:
C:\abc\file123.exe C:\abc\file123.exe123 C:\abc\file*.exe*
一致項目:
C:\abc\file.exe C:\abc\file123.exe C:\abc\file.exe123 C:\abc\file123.exe123 |
ワイルドカード (*) 付きドライブ名
|
*:\DIR\FILE.EXT
|
ワイルドカードはドライブ名を置き換えます。
|
*:\abc\file.exe
一致項目:
C:\abc\file.exe |
ワイルドカード (*) を含む特殊文字
|
C:\DIR\FILE*EXT
|
ワイルドカードは、コロン (:)、バックスラッシュ (\)、スラッシュ (/)、ピリオド (.) などの特殊文字を置き換えます。 |
C:\abc\file*exe
一致項目:
C:\abc\file.exe 一致しません:
C:\abc\abc2\file.exe C:\abc\abc2\abc3\file.exe C:\abc\abc2*file.exe
一致項目:
C:\abc\abc2\file.exe C:\abc\abc2\abc3\file.exe 一致しません:
C:\abc\file.exe |
ネットワークディレクトリを検索する (リアルタイム検索のみ)
ネットワーク共有およびネットワークドライブに存在するファイルとフォルダを検索したい場合は、[Enable Network Directory Scan]を選択してください。このオプションはリアルタイム検索のみで利用可能です。
GVFS (GNOMEデスクトップで利用できる仮想ファイルシステム) を通じて
~/.gvfs
でアクセスされるリソースは、ネットワークドライブではなくローカルリソースとして扱われます。Windowsでネットワークフォルダの検索中にウイルスが検出された場合、 エージェントに駆除失敗 (削除失敗) イベントが表示されることがあります。
リアルタイム検索を実行するタイミングを指定する
ファイルを読み取り用に開くとき、ファイルに書き込むとき、またはその両方で検索するかどうかを次のいずれかで選択します。
- 不正プログラム検索設定のプロパティを開きます。
- [詳細]タブで、[リアルタイム検索]プロパティのオプションを選択してください。
- [OK] をクリックします。
不正プログラム処理の設定
不正プログラムが検出された場合のWorkload Securityの動作を設定します。
不正プログラム修復処理をカスタマイズする
Workload Securityは不正プログラムを検出すると、修復処理を実行してファイルを処理します。不正プログラムが検出された場合、 Workload Securityは次の処理を実行できます。
-
[放置:] は、ファイルに対して何もせずに感染したファイルへの完全なアクセスを許可します (不正プログラム対策イベントは記録されます)。可能性のあるウイルスに対しては、[放置]の修復措置を使用してはいけません。
-
[駆除:]は、感染したファイルを完全にアクセスする前にクリーンします。ファイルがクリーンできない場合は、隔離されます。
-
[削除:]Linuxでは、感染したファイルはバックアップなしで削除されます。Windowsでは、感染したファイルはバックアップされてから削除されます。Windowsのバックアップファイルは表示および復元できます。で
-
アクセス拒否:このスキャンアクションはリアルタイムスキャン中にのみ実行できます。Workload Securityが感染ファイルを開いたり実行しようとする試みを検出すると、直ちに操作をブロックします。感染ファイルは変更されません。アクセス拒否アクションがトリガーされると、感染ファイルは元の場所に留まります。[リアルタイム検索]が[書き込み時]に設定されている場合、[アクセス拒否]の是正措置を使用しないでください。[書き込み時]が選択されていると、ファイルは書き込まれる際にスキャンされ、[アクセス拒否]の措置は効果がありません。
-
[隔離:]は感染したファイルをコンピュータの隔離ディレクトリに移動します。隔離されたファイルは表示および復元できます。でLinuxでは[隔離]としてマークされた不正プログラムが、Windowsでは[削除済み]としてマークされることがありますが、両方のオペレーティングシステムで不正プログラムは同一です。いずれの場合も、ファイルは表示および復元でき、 で操作できます。
不正プログラム検索設定の初期設定の修復処理は、ほとんどの状況に適しています。ただし、 Workload Securityが不正プログラムを検出したときに実行する処理はカスタマイズできます。次のように、ActiveActionによって決定された処理を使用するか、脆弱性の種類ごとに処理を指定できます。
-
不正プログラム検索設定のプロパティを開きます。
-
[詳細]タブで、[修復処理]に対して[カスタム]を選択します。
-
実行する処理を指定します。
-
ActiveActionにどのアクションを取るか決定させるには、[トレンドマイクロの推奨処理を使用]を選択してください。
-
各種脆弱性に対するアクションを指定するには、[カスタム処理を使用]を選択し、使用するアクションを選択します。
-
-
潜在的な不正プログラムに対して実行する処理を指定します。
-
[OK] をクリックします。
ActiveActionは、各不正プログラムカテゴリに最適化されたクリーンアップアクションの定義済みグループです。トレンドマイクロは、個々の検出が適切に処理されるように、ActiveActionのアクションを継続的に調整しています
(ActiveActionアクションを参照)。
macOSエージェントの場合、サポートされるカスタム処理は、ウイルス、トロイの木馬、およびスパイウェアです。
トレンドマイクロの推奨処理
次の表は、トレンドマイクロの推奨処理を選択した場合に実行される処理の一覧です。
不正プログラムの種類
|
処理
|
この動作には除外があります。LinuxまたはSolarisエージェントでTest Virusタイプのウイルスが見つかった場合、感染したファイルへのアクセスは拒否されます。
|
|
隔離
|
|
隔離
|
|
CVE攻撃コード
|
隔離
|
アグレッシブ検出ルール
|
放置
この設定はより多くの問題を検出しますが、誤検知も増える可能性があるため、デフォルトのアクションはイベントを発生させることです。
|
削除
リアルタイムスキャンには適用されません。
|
|
駆除
脅威を駆除できない場合は、次のように処理されます。
また、LinuxまたはSolarisエージェントでジョーク型のウイルスが見つかった場合、それは直ちに隔離されます。クリーンアップは試みられません。
|
|
トレンドマイクロの推奨処理
|
CVE攻撃コードとアグレッシブ検出ルールの詳細については、攻撃コードのスキャンドキュメントを参照してください。
AgentでアップデートサーバまたはRelayからウイルスパターンファイルのアップデートをダウンロードすると、それに応じてトレンドマイクロの推奨処理が変わることがあります。
不正プログラム検出のアラートを生成する
Workload Securityが不正プログラムを検出した場合は、次のようにアラートを生成できます。
- 不正プログラム検索設定のプロパティを開きます。
- [一般]タブで、[警告]に対して[この不正プログラム検索設定でイベントが記録されたときにアラートを発令]を選択します。
- [OK] をクリックします。
ファイルのハッシュダイジェストにより不正プログラムファイルを特定する
Workload Security では、不正プログラムファイルのハッシュ値を計算し、
ページに表示できます。一部の不正プログラムには複数の異なる名前が使用されていることがあるため、不正プログラムを一意に識別するハッシュ値が役立ちます。ハッシュ値は、他のソースでその不正プログラムに関する情報を確認する場合に使用できます。-
設定するポリシーエディタまたはコンピュータエディタを開きます。
-
をクリックします。
-
[ファイルハッシュ計算]の下で、[初期設定]または[継承]のチェックボックスをクリアします。[初期設定]はルートポリシーに表示され、[継承]は子ポリシーに表示されます。[継承]が選択されると、ファイルハッシュ設定は現在のポリシーの親ポリシーから継承されます。[初期設定]が選択されている場合、Workload Securityはハッシュ値を計算しません。
-
[すべての不正プログラム対策イベントのハッシュ値を計算する]を選択してください。
-
デフォルトでは、Workload SecurityはSHA-1ハッシュ値を生成します。追加のハッシュ値を生成したい場合は、[MD5]と[SHA256]のいずれかまたは両方を選択できます。
-
不正プログラムファイルのハッシュ値を計算する際の最大サイズを任意で変更できます。デフォルトでは128MBを超えるファイルはスキップされますが、64MBから512MBの間で値を変更できます。
コンピュータで通知を設定する
Windowsベースのエージェントでは、不正プログラム対策およびWebレピュテーションモジュールに関連するWorkload Securityのアクションについて、画面上に通知メッセージが表示されることがあります。例えば、「不正プログラム対策のクリーンアップタスクには再起動が必要です」というメッセージが表示されることがあります。このダイアログを閉じるには、[OK]をクリックする必要があります。
これらの通知が表示されないようにするには、次の手順を実行します。
- コンピュータエディタまたはポリシーエディタに移動します。
- 左側の[設定]をクリックしてください。
- [ホストのすべてのポップアップ通知を抑制]を[はい]に設定します。メッセージはWorkload Securityでアラートまたはイベントとして表示されます。通知機能の詳細については、Notifierを参照してください。
Workload Security にアクセスできない場合に予約検索を実行する
Windowsでは、この機能はDeep Securityエージェントバージョン20.0.3445以降でサポートされています。
通常、 エージェントがオフラインの場合、不正プログラムの予約検索はキューに登録されます。 エージェントがWorkload Securityに接続できない場合でも予約検索を実行するには、次の手順を実行します。
-
[コンピュータ]または[ポリシー]エディターに移動します。
-
左側で[不正プログラム検索]をクリックします。
-
[一般] タブで [予約検索] に対して [エージェントが不正プログラムの定期検索を開始できるようにする] を選択します。選択時:
- [予約タスク]ページの[今すぐタスクを実行]ボタンはこのエージェントのために無効になっています。
- Workload Securityマネージャは、エージェントがオフラインのときに予約検索タスクを積極的にキューに入れることはありません。
トラブルシューティング
次の特殊なケースでは、 エージェントがオフライン予約検索を起動しないことがあります。
- コンピュータがシャットダウンしている場合、コンピュータの再起動時にタイムアウトすると、次回の予約検索が実行されないことがあります。
- コンピュータが予約検索中にシャットダウンされた場合、中断された予約検索はコンピュータが再起動されても続行されません。