このページのトピック
不正プログラム検索設定を作成または編集する
不正プログラム検索をテストする
特定の種類の不正プログラムを検索する
Windows AMSI保護を有効にする(リアルタイム検索のみ)
スパイウェア/グレーウェアを検索する
圧縮済み実行可能ファイルを検索する (リアルタイム検索のみ)
プロセスメモリを検索する (リアルタイム検索のみ)
圧縮ファイルを検索する
埋め込みのMicrosoft Officeオブジェクトを検索する
検索対象ファイルを指定する
検索対象
検索除外
ファイル除外のテスト
ディレクトリリストの構文
ファイルリストの構文
ファイル拡張子リストの構文
プロセスイメージファイルリストの構文 (リアルタイム検索のみ)
ネットワークディレクトリを検索する (リアルタイム検索のみ)
リアルタイム検索を実行するタイミングを指定する
不正プログラムの処理方法を設定する
不正プログラム修復処理をカスタマイズする
トレンドマイクロの推奨処理
不正プログラム検出のアラートを生成する
ファイルのハッシュダイジェストにより不正プログラムファイルを特定する
コンピュータで通知を設定する

不正プログラム検索の設定

不正プログラム検索 設定は再利用可能な設定で、 不正プログラム対策 をポリシーまたはコンピュータで設定する際に適用できます。不正プログラム検索設定では、 Workload Security が実行する不正プログラムの検索の種類と、検索するファイルの種類を指定します。 一部のポリシーのプロパティも、不正プログラム検索の動作に影響を与えます。

CPU使用率とRAM使用率は、 不正プログラム対策 設定によって異なります。最適化する不正プログラム対策パフォーマンスをDeep Security Agentで確認する方法については、を参照してください。のパフォーマンスに関するヒント不正プログラム対策

不正プログラム検索設定を作成または編集する

リアルタイム、手動、または予約検索の動作を制御するために、不正プログラム検索設定を作成または編集します (詳細については、「不正プログラム検索設定」を参照してください)。必要に応じて、複数の不正プログラム検索設定を作成できます。

  • 作成した不正プログラム検索設定は、ポリシーまたはコンピュータの検索と関連付けることができます (「実行する検索の種類を選択する」を参照してください)。

  • ポリシーまたはコンピュータが使用している不正プログラム検索設定を編集すると、この変更は設定に関連付けられている検索に影響します。

既存の設定に類似する不正プログラム検索設定を作成するには、既存の設定を複製して編集します。

制御する検索の種類に応じて、2種類の不正プログラム検索設定を作成できます (「不正プログラム検索の種類」を参照してください)。

  • リアルタイム検索の設定: リアルタイム検索を制御します。[アクセス拒否] などの一部の処理は、リアルタイム検索の設定でのみ使用可能です。

  • 手動/予約検索の設定: 手動検索または予約検索を制御します。[CPU使用率] などの一部のオプションは、手動/予約検索の設定でのみ使用可能です。

Workload Security には、検索の種類ごとに初期設定の不正プログラム検索設定が用意されています。

  1. [ポリシー]→[共通オブジェクト]→[その他]→[不正プログラム検索設定] に移動します。
  2. 検索設定を作成するには、[ New ]をクリックし、[ ] [ リアルタイム検索 設定] または[ ] [新規手動/予約検索 設定] []の順にクリックします。
    1. 検索設定を識別する名前を入力します。この名前は、ポリシーで不正プログラム検索を設定するときにリストに表示されます。
    2. (オプション) この設定の使用例の説明を入力します。
  3. 既存の検索設定を表示して編集するには、その検索設定を選択して [プロパティ] をクリックします。
  4. 検索設定を複製するには、その検索設定を選択して [複製] をクリックします。

不正プログラム検索設定を使用するポリシーとコンピュータを確認するには、プロパティの [割り当て対象] タブをご覧ください。

不正プログラム検索をテストする

以降の不正プログラム対策の設定手順に進む前に、リアルタイム検索および手動/予約検索をテストし、それらが正しく動作することを確認します。

リアルタイム検索のテスト:

  1. リアルタイム検索が有効で、設定が選択されていることを確認します。
  2. EICARサイトに移動し、不正プログラム対策のテストファイルをダウンロードします。この標準ファイルは、リアルタイム検索の不正プログラム対策機能をテストします。このファイルが隔離されればテストは成功です。
  3. Workload Security コンソールで、[ イベント] [&レポート]→[ 不正プログラム対策 イベント ]の順に選択して、EICARファイル検出のレコードを確認します。検出が記録されていれば、不正プログラム対策のリアルタイム検索は正常に機能しています。

手動/予約検索のテスト:

手動/予約検索のテストを開始する前に、リアルタイム検索が無効になっていることを確認します。

  1. [管理] を選択します。
  2. [予定タスク]→[新規] の順にクリックします。
  3. ダウンロードメニューから [コンピュータの不正プログラムを検索] を選択し、実行間隔を選択します。必要な指定を行い、検索の設定を完了します。
  4. EICARサイトに移動し、不正プログラム対策のテストファイルをダウンロードします。この標準ファイルは、手動/予約検索の不正プログラム対策機能をテストします。
  5. 予約検索を選択して、[今すぐタスクを実行] をクリックします。このテストファイルが隔離されればテストは成功です。
  6. Workload Security コンソールで、[ イベント] [&レポート]→[ 不正プログラム対策 イベント ]の順に選択して、EICARファイル検出のレコードを確認します。検出が記録されていれば、不正プログラム対策の手動/予約検索は正常に機能しています。

特定の種類の不正プログラムを検索する

関連項目:

Windows AMSI保護を有効にする(リアルタイム検索のみ)

Windows Antimalware Scan Interface (AMSI)は、MicrosoftがWindows 10以降で提供しているインタフェースです。Deep Securityは、AMSIを利用して不正なスクリプトを検出します。初期設定では、 Deep Securityの不正プログラム検索設定でこのオプションが有効になっています。

  1. 不正プログラム検索設定のプロパティを開きます。
  2. [ 一般 ]タブで、[ AMSI保護を有効にする]を選択します。
  3. [OK] をクリックします。

スパイウェア/グレーウェアを検索する

スパイウェアおよびグレーウェア対策を有効にすると、不審なファイルの検出時に、スパイウェア検索エンジンによってこれらのファイルが隔離されます。

  1. 不正プログラム検索設定のプロパティを開きます。
  2. [ 一般]タブで、[ スパイウェア/グレーウェア保護を有効にする]を選択します。
  3. [OK] をクリックします。

スパイウェア検索エンジンが無視する特定のファイルを特定するには、 不正プログラム対策 除外の作成を参照してください。

圧縮済み実行可能ファイルを検索する (リアルタイム検索のみ)

ウイルスは、リアルタイム圧縮アルゴリズムを使用して、ウイルスフィルタを回避しようとすることがあります。IntelliTrap機能は、リアルタイムの圧縮済み実行可能ファイルを遮断し、他の不正プログラムの特性とファイルを組み合わせます。

IntelliTrapはそのようなファイルをセキュリティ上の危険として特定するため、IntelliTrapを有効にすると、安全なファイルを (削除や駆除ではなく) 隔離したり、間違ってブロックする場合があります(「不正プログラムの処理方法を設定する」を参照してください)。ユーザがリアルタイムで圧縮した実行可能ファイルを頻繁にやり取りする場合は、IntelliTrapを無効にしてください。IntelliTrapは、ウイルス検索エンジン、IntelliTrapパターンファイル、およびIntelliTrap除外パターンファイルを使用します。

  1. 不正プログラム検索設定のプロパティを開きます。
  2. [一般] タブで、[IntelliTrapを有効にする] を選択します。
  3. [OK] をクリックします。

プロセスメモリを検索する (リアルタイム検索のみ)

リアルタイムでプロセスメモリを監視し、Trend Micro Smart Protection Networkと連携した追加のチェックを実行することにより、不審なプロセスが既知の不正なプロセスであるかどうかを判別します。プロセスが不正な場合、 Workload Security はプロセスを終了します。詳細については、 Smart Protection ( Workload Security)を参照してください。

  1. 不正プログラム検索設定のプロパティを開きます。
  2. [一般] タブで、[プロセスメモリ内の不正プログラムを検索する] を選択します。
  3. [OK] をクリックします。

圧縮ファイルを検索する

圧縮ファイルを解凍し、コンテンツに不正プログラムが含まれていないか検索します。検索を有効にするときに、解凍するファイルの最大サイズと最大数を指定します (大きなファイルはパフォーマンスに影響を及ぼすことがあります)。また、圧縮ファイル内に存在する圧縮ファイルを検索できるように、検査する圧縮レベルも指定します。圧縮レベル1は、単一の圧縮ファイルです。レベル2は、ファイル内の圧縮ファイルです。最大6の圧縮レベルを検索できますが、レベルが高くなるとパフォーマンスに影響を及ぼす可能性があります。

  1. 不正プログラム検索設定のプロパティを開きます。
  2. [詳細] タブで、[圧縮ファイルの検索] を選択します。
  3. 解凍するコンテンツファイルの最大サイズ (MB)、検索する圧縮レベル、解凍する最大ファイル数を指定します。
  4. [OK] をクリックします。

埋め込みのMicrosoft Officeオブジェクトを検索する

Microsoft Officeの特定のバージョンでは、Object Linking and Embedding (OLE) を使用してOfficeファイルにファイルやその他のオブジェクトを挿入します。これらの埋め込みオブジェクトには、不正なコードが含まれている場合があります。

他のオブジェクトに埋め込まれているオブジェクトを検出するために、検索するOLE層の数を指定します。パフォーマンスへの影響を軽減するため、各ファイル内の埋め込みオブジェクトの層をいくつかだけ検索できます。

  1. 不正プログラム検索設定のプロパティを開きます。
  2. [ 詳細設定]タブで、[ 埋め込みMicrosoft Officeオブジェクト] []を選択します。
  3. 検索するOLE層の数を指定します。
  4. [OK] をクリックします。

検索対象ファイルを指定する

不正プログラムを検索するファイルを指定するには、検索に含めるファイルとディレクトリを指定してから、これらのファイルとディレクトリのうち、検索から除外するものを指定します。ネットワークディレクトリも検索できます。

検索対象

検索するディレクトリと、ディレクトリ内の検索するファイルも指定します。

検索するファイルを指定するには、次のいずれかのオプションを使用します。

  • すべてのファイル
  • IntelliScanによって識別されるファイルタイプ。IntelliScanでは、感染しやすいファイルの種類 (.zipや.exeなど) のみを検索します。IntelliScanでは、ファイルの種類はファイル拡張子から判断するのではなく、ファイルのヘッダや内容を読み取ってそのファイルが検索対象かどうかを決定します。すべてのファイルを検索する場合と比較して、IntelliScanでは検索するファイル数が減少しパフォーマンスが向上します。
  • 指定したリストに含まれているファイル名の拡張子を持つファイル: ファイル拡張子リストでは、特定の構文に含まれるパターンを使用します(「ファイル拡張子リストの構文」を参照してください)。

検索するディレクトリを指定するには、すべてのディレクトリまたはディレクトリのリストを指定できます。ディレクトリリストでは、特定の構文に含まれるパターンを使用して、検索するディレクトリを指定します(「ディレクトリリストの構文」を参照してください)。

  1. 不正プログラム検索設定のプロパティを開きます。
  2. [検索対象] タブをクリックします。
  3. 検索するディレクトリを指定するには、[ All directories ]または[ Directory List]を選択します。
  4. 選択した場合ディレクトリリスト、ドロップダウンメニューから既存のリストを選択するか、または新しいを作成します。
  5. 検索するファイルを指定するには、[すべてのファイル][トレンドマイクロの推奨設定で検索されるファイルタイプ]、または [ファイル拡張子リスト] のいずれかを選択します。
  6. 選択した場合ファイル拡張子リスト、ドロップダウンメニューから既存のリストを選択するか、または新しいを作成します。
  7. [OK] をクリックします。

検索除外

特定のディレクトリ、ファイル、およびファイル拡張子を、検索から除外します。リアルタイム検索では、特定のプロセスイメージファイルを検索対象から除外することもできます。

除外するファイルとフォルダの例:

  • Microsoft Exchangeサーバの不正プログラム検索設定を作成する場合は、SMEX隔離フォルダを除外して、不正プログラムであることがすでに確認されているファイルの再検索を回避する必要があります。
  • サイズの大きいVMwareイメージがある場合は、パフォーマンスの問題が発生した場合は、これらのイメージが格納されているディレクトリを除外します。

ディレクトリ、ファイル、プロセスイメージファイルを除外するには、除外する項目を特定するためにパターンを使用するリストを作成します。

  1. 不正プログラム検索設定のプロパティを開きます。
  2. [検索除外] タブをクリックします。
  3. 検索から除外するディレクトリを指定します。
    1. [ ディレクトリリスト]を選択します。
    2. ディレクトリリストを選択するか、選択します。新しいを作成します。(「ディレクトリリストの構文」を参照してください)。
    3. ディレクトリリストを作成した場合は、ディレクトリリストで選択します。
  4. 同様に、検索から除外するファイルリスト、ファイル拡張子リスト、プロセスイメージファイルを指定します(「ファイルリストの構文」「ファイル拡張子リストの構文」、および「プロセスイメージファイルリストの構文 (リアルタイム検索のみ)」を参照してください)。
  5. [OK] をクリックします。

ファイル除外のテスト

以降の不正プログラム対策の設定手順に進む前に、ファイル除外をテストし、それらが正しく動作することを確認します。

開始する前に、リアルタイム検索が有効で、設定が選択されていることを確認します。

既定では、隔離ファイルの最大サイズは32 MBに設定されます。初期設定のサイズより大きいファイルは隔離できず、自動的に削除されます。

  1. [ポリシー]→[共通オブジェクト]→[その他]→[不正プログラム検索設定] に移動します。
  2. [新規]→[新規の不正プログラムのリアルタイム検索設定] の順にクリックします。
  3. [ 検索除外 ]タブに移動し、ディレクトリリストから[ 新規 ]を選択します。
  4. ディレクトリリストに名前を付けます。
  5. [ディレクトリ] で、検索から除外するディレクトリのパスを指定します。例:, c:\テストフォルダ\[OK] をクリックします。
  6. [ 一般]タブに移動し、手動検索に名前を付けて[ OK]をクリックします。
  7. EICARサイトに移動し、不正プログラム対策のテストファイルをダウンロードします。前の手順で指定したフォルダにファイルを保存します。このファイルが不正プログラム対策モジュールによって検出されずにそのまま保存されればテストは成功です。

ディレクトリリストの構文

ディレクトリリスト項目では、WindowsとLinuxの両方の命名規則をサポートするため、スラッシュ (/) とバックスラッシュ () の区別はありません。

検索除外 形式 説明
ディレクトリ DIRECTORY\ 指定したディレクトリとそのすべてのサブディレクトリにあるファイルをすべて除外します。 C:\プログラムFiles \
「Program Files」ディレクトリとそのすべてのサブディレクトリにあるファイルをすべて除外します。
ワイルドカード (*) を使用したディレクトリ DIRECTORY\*\ 指定されたサブディレクトリと、そこに含まれるファイルを除き、すべてのサブディレクトリを除外します。 C:\abc\*\
「abc」のすべてのサブディレクトリ内のすべてのファイルを除外しますが、「abc」ディレクトリ内のファイルは除外しません。

C:\abc \ wx * z \
一致:
C:\abc \ wxz \
C:\abc \ wx123z \
一致しない:
C:\abc \ wxz
C:\abc \ wx123z

C:\abc\*wx \
一致:
C:\abc \ wx \
C:\abc \ 123wx \
一致しない:
C:\abc \ wx
C:\abc \ 123wx
ワイルドカード (*) を使用したディレクトリ ディレクトリ*\ 一致する名前を持つ任意のサブディレクトリを除外します。ただし、そのディレクトリにあるファイルおよび任意のサブディレクトリは除外しません。 C:\Program Files\サブディレクトリ名*\

「SubDirName」で始まるフォルダ名を持つすべてのサブディレクトリを除外します。C:\Program Files \またはその他のサブディレクトリにあるすべてのファイルを除外しません。
環境変数 ${ENV VAR} 環境変数によって定義されているすべてのファイルとサブディレクトリを除外します。仮想アプライアンスの場合、環境変数の値ペアは、 ポリシーまたは コンピュータエディタ>で定義する必要があります。設定> 一般>環境変数 オーバーライドをオーバーライドします。 ${windir}
変数が「c:\windows」に解決されると、「c:\windows」内のすべてのファイルとそのすべてのサブディレクトリが除外されます。
コメント DIRECTORY #コメント 除外の定義にコメントを追加します。 c:\abc #Exclude the abc directory

ファイルリストの構文

検索除外 形式 説明
ファイル FILE 場所やディレクトリに関係なく、指定したファイル名を持つすべてのファイルを除外します。 abc.doc
すべてのディレクトリ内の「abc.doc」という名前のすべてのファイルを除外します。「abc.exe」は除外しません。
ファイルパス FILEPATH ファイルパスで指定した特定のファイルを除外します。 C:\Documents \ abc.doc
「Documents」ディレクトリ内の「abc.doc」という名前のファイルのみを除外します。
ワイルドカード (*) を使用したファイルパス FILEPATH ファイルパスで指定した特定のファイルをすべて除外します。 C:\Documents\abc.co* (Windows Agentプラットフォームのみ) "Documents"ディレクトリ内のファイル名が「abc」で、拡張子が「.co」で始まるファイルを除外します。
ワイルドカード (*) を使用したファイル FILE* ファイル名のパターンに一致するすべてのファイルを除外します。 abc * .exe
接頭辞が「abc」、拡張子が「.exe」のファイルを除外します。

* .db
一致:
123.db
abc.db
一致しない:
123db
123.abd
cbc.dba

* db
一致:
123.db
123db
ac.db
acdb
db
一致しない:
db123

wxy * .db
一致:
wxy.db
wxy123.db
一致しない:
wxydb
ワイルドカード (*) を使用したファイル FILE.EXT* ファイルの拡張子のパターンに一致するすべてのファイルを除外します。 abc.v *
ファイル名が「abc」で、拡張子が「.v」で始まるファイルを除外します。

abc。* pp
一致:
abc.pp
abc.app
一致しない:
wxy.app

abc.a * p
一致:
abc.ap
abc.a123p
一致しない:
abc.pp

abc。*
一致:
abc.123
abc.xyz
一致しない:
wxy.123
ワイルドカード (*) を使用したファイル FILE*.EXT* ファイル名と拡張子のパターンに一致するすべてのファイルを除外します。 a*ca*p
一致:
ac.ap
a123c.ap
ac.a456p
a123c.a456p
一致しない:
ad.aa
環境変数 ${ENV VAR} ${ENV VAR} の形式を使用した環境変数で指定されるファイルを除外します。これらは、 Policyまたは コンピュータエディタ>を使用して定義またはオーバーライドできます。設定> 一般>環境変数 オーバーライドをオーバーライドします。 ${myDBFile}
ファイル「myDBFile」を除外します。
コメント FILEPATH #コメント 除外の定義にコメントを追加します。 C:\Documents\abc.doc #This is a comment

ファイル拡張子リストの構文

検索除外 形式 説明
ファイル拡張子 EXT 一致する拡張子を持つすべてのファイルと一致します。 doc
すべてのディレクトリで「.doc」拡張子を持つすべてのファイルに一致します。
コメント EXT #コメント 除外の定義にコメントを追加します。 doc #This a comment

プロセスイメージファイルリストの構文 (リアルタイム検索のみ)

検索除外 形式 説明
ファイルパス FILEPATH ファイルパスで指定した特定のプロセスイメージファイルを除外します。 C:\abc \ file.exe
「abc」ディレクトリ内の「file.exe」という名前のファイルのみを除外します。

ネットワークディレクトリを検索する (リアルタイム検索のみ)

ネットワークファイルシステム(NFS), Server Message Block(SMB)またはCommon Internet File System(CIFS), )の Enable Network Directory Scan)にあるネットワーク共有とマップされたネットワークドライブ内のファイルとフォルダを検索する場合。このオプションはリアルタイム検索でのみ使用できます。

GVFS (GNOMEデスクトップで利用できる仮想ファイルシステム) を通じて「~/.gvfs」でアクセスされるリソースは、ネットワークドライブではなくローカルリソースとして扱われます。

Windows上でネットワークフォルダをスキャンする場合、ウイルスが検出された場合、エージェントは、いくつかの「きれいな失敗」(削除失敗)のイベントを表示することがあります。

リアルタイム検索を実行するタイミングを指定する

ファイルの読み取り時、書き込み時、またはそのどちらでもファイルを検索するかを選択します。

  1. 不正プログラム検索設定のプロパティを開きます。
  2. [詳細] タブで、[リアルタイム検索] プロパティのオプションを1つ選択します。
  3. [OK] をクリックします。

不正プログラムの処理方法を設定する

不正プログラムが検出された場合のWorkload Securityの動作を設定します。

不正プログラム修復処理をカスタマイズする

Workload Securityが不正プログラムを検出すると、処理を実行してファイルを処理します。不正プログラムに遭遇した場合、Workload Securityが実行できる処理には次の5つがあります。

  • 放置: 感染ファイルに何も行わず、そのファイルへのフルアクセスを許可する(不正プログラム対策イベントは依然として記録されます。)

    修復処理 Pass は、ウイルスの可能性がある場合には使用しないでください。

  • 駆除: 完全なアクセスを許可する前に感染ファイルを駆除します。駆除できないファイルは、隔離されます。

  • 削除:Linuxでは、感染ファイルはバックアップせずに削除されます。

    Windowsでは、感染ファイルがバックアップされてから削除されます。Windowsのバックアップファイルは、[イベントとレポート]→[イベント]→[不正プログラム対策イベント]→[検出ファイル]表示および復元できます。

  • 拒否アクセス:この検索処理は、リアルタイム検索でのみ実行できます。 Workload Security は、感染ファイルのオープンまたは実行の試行を検出すると、すぐに処理をブロックします。感染ファイルは変更されずにそのままバックアップされます。アクセス拒否の処理がトリガされると、感染ファイルは元の場所に留まります。

    リアルタイム検索に設定されているときに是正処置 拒否アクセス を使用しないでください。書き込み中書き込み中 が選択されている場合、ファイルが書き込まれるとファイルが検索され、 拒否アクセス の処理は無効になります。

  • 隔離:感染したファイルを、コンピュータまたはVirtual Appliance上の隔離ディレクトリに移動します。隔離ファイルは、[イベントとレポート]→[イベント]→[不正プログラム対策イベント]→[検出ファイル]表示および復元できます。

    不正プログラム(不正プログラム)隔離されたLinuxの場合は「」とマークされます。削除済み両方のOSで不正プログラムが同一であるにもかかわらず、Windows上で実行されます。どちらの場合でも、[イベントとレポート]→[イベント]→[不正プログラム対策イベント]→[検出ファイル] でファイルを表示および復元できます。

    Windowsでは、感染した非圧縮ファイル(.txtファイルなど)は隔離され、感染した圧縮ファイル(.zipファイルなど)は削除されます。Windowsでは、隔離ファイルまたは削除されたファイルのバックアップは で表示され、 イベント&レポート→イベント→ 不正プログラム対策 イベント→特定ファイル で復元できます。Linuxでは、感染ファイル(圧縮または非圧縮)はすべて隔離されており、 の[イベントとレポート]→[イベント]で で表示および復元できます。また、 に復元できます。不正プログラム対策イベント>特定ファイル>。

不正プログラム検索設定の修復処理は、ほとんどの状況に対応できるように初期設定されています。ただし、 Workload Security が不正プログラムを検出した場合に実行する処理をカスタマイズできます。トレンドマイクロの推奨処理を使用することも、脆弱性の種類ごとに処理を指定することもできます。

トレンドマイクロの推奨処理は、不正プログラムの各カテゴリ用に最適化された一連の定義済みのクリーンナップ処理です。トレンドマイクロでは、ActiveActionの処理を継続的に調整して、個々の検出が適切に処理されるようにします。(「トレンドマイクロの推奨処理」を参照してください)。

  1. 不正プログラム検索設定のプロパティを開きます。

  2. オンアドバンスタブ、for修復処理選択するカスタム

  3. 実行する処理を指定します。

    • トレンドマイクロ推奨の修復処理から実行する処理を決定するには、[トレンドマイクロの推奨処理を使用] を選択します。

    • 脆弱性の種類ごとに処理を指定するには、[カスタム処理を使用] を選択してから、使用する処理を選択します。

  4. 潜在的な不正プログラムに対して実行する処理を指定します。

  5. [OK] をクリックします。

トレンドマイクロの推奨処理

次の表は、トレンドマイクロの推奨処理を選択した場合に実行される処理の一覧です。

不正プログラムの種類 処理
ウイルス

駆除。ウイルスを駆除できない場合は、 deleted (Windows)または quarantined (LinuxまたはSolaris)です。この動作には例外があります:型「テストウイルス」のウイルスが発見された場合にLinuxまたはSolarisエージェントでは、 のアクセスは、感染したファイルに を拒否されます。

トロイの木馬 隔離
パッカー 隔離
スパイウェア 隔離
Cookie 削除
(リアルタイム検索には適用されません)
その他の脅威

駆除

脅威を駆除できない場合は、次のように処理されます。

また、LinuxまたはSolarisのエージェントでは、「Joke」タイプのウイルスが検出された場合、ウイルスはただちに隔離されます。駆除は行われません。
潜在的な不正プログラム トレンドマイクロの推奨処理

AgentでアップデートサーバまたはRelayからウイルスパターンファイルのアップデートをダウンロードすると、それに応じてトレンドマイクロの推奨処理が変わることがあります。

不正プログラム検出のアラートを生成する

Workload Security が不正プログラムを検出した場合、アラートを生成できます。

  1. 不正プログラム検索設定のプロパティを開きます。
  2. [一般] タブで、[アラート] に対して [この不正プログラム検索設定でイベントが記録されたときにアラートを発令する] を選択します。
  3. [OK] をクリックします。

ファイルのハッシュダイジェストにより不正プログラムファイルを特定する

Workload Security では、不正プログラムファイルのハッシュ値を計算し、 イベント&レポート/イベント/ 不正プログラム対策 イベント ページに表示できます。一部の不正プログラムには複数の異なる名前が使用されていることがあるため、不正プログラムを一意に識別するハッシュ値が役立ちます。ハッシュ値は、他のソースでその不正プログラムに関する情報を確認する場合に使用できます。

  1. 設定するポリシーエディタまたはコンピュータエディタを開きます。

  2. [不正プログラム対策]→[詳細] の順にクリックします。

  3. [ファイルハッシュ計算] で、[初期設定] または [継承] チェックボックスをオフにします(ルートポリシーの初期設定の が表示され、下位ポリシーの 継承 が表示されます)。

    [継承] チェックボックスがオンになっている場合、ファイルハッシュ設定は現在のポリシーの親ポリシーから継承されます。

    初期設定の が選択されている場合、 Workload Security はハッシュ値を計算しません。

  4. [すべての不正プログラム対策イベントのハッシュ値を計算する (SHA1は初期設定で計算)] を選択します。

  5. 初期設定では、 Workload Security はSHA-1ハッシュ値を生成します。追加のハッシュ値を生成するには、[MD5]または [SHA256]、あるいはその両方を選択します。

  6. ハッシュ値を計算する不正プログラムファイルの最大サイズを変更することもできます。初期設定では128MBを超えるファイルはスキップされますが、この値を64~512MBの任意の値に変更できます。

コンピュータで通知を設定する

Windowsベースのクライアントでは、不正プログラム対策およびWebレピュテーションモジュールに関連する Workload Security 処理を警告する警告メッセージが画面上に表示されることがあります。たとえば、「 A reboot is required for Anti-Malware cleanup task」というメッセージが表示されます。ダイアログボックスで [OK] をクリックしてメッセージを消去する必要があります。

このような通知を表示しないようにするには、次のように設定します。

  1. [コンピュータ]または[ポリシーエディタ]に移動します。
  2. 左側にある [設定] をクリックします。
  3. [ホストのすべてのポップアップ通知を抑制][はい] に設定します。メッセージは引き続き Workload Securityでアラートまたはイベントとして表示されます。Notifierの詳細については、「Deep Security Notifier」を参照してください。