不正プログラムと同じ特徴があると、不正ではないファイルが不正プログラムに誤って識別される場合があります。安全なことがわかっていて、不正プログラムに識別されてしまう場合は、そのファイルの例外を作成できます。例外が作成されると、ファイルはDeep
Securityがファイルを検索する際にイベントをトリガしません。
不正プログラム対策モジュールの概要については、不正プログラムの防止を参照してください。
リアルタイム、手動、およびスケジュールされたスキャンからファイルを除外することもできます。詳細については、スキャンするファイルの指定を参照してください。
次の不正プログラムおよび不正プログラム検索の種類について、例外を作成できます。
-
機械学習型検索。詳細については、機械学習型検索を使用した新たな脅威の検出を参照してください。
-
スパイウェアとグレーウェアをスキャンします。詳細については、スパイウェアとグレーウェアのスキャンを参照してください。
-
挙動監視保護。詳細については、強化された不正プログラム対策およびランサムウェア検索と動作監視を参照してください。
信頼された証明書で署名されているファイルは、不正プログラム対策から除外することもできます。この機能は、WindowsのDeep Security Agent 20.0.0-3445以降でサポートされています。詳細については、信頼された証明書によって署名されたファイルを除外するを参照してください。
Deep Securityは、ポリシーおよびコンピュータの各プロパティで検索される不正プログラムの種類ごとに除外リストを保持します。
-
例外のリストを表示するには、ポリシーまたはコンピュータのエディタを開きます。
-
[不正プログラム対策]→[詳細] をクリックします。例外は[許可するスパイウェア/グレーウェア]、[ドキュメントの脆弱性対策ルールの例外]、[機械学習型検索の検出除外対象]、[挙動監視保護の例外]、および[信頼済み証明書の検出除外対象]セクションに一覧表示されます。
検索除外の推奨設定も参照してください。
不正プログラム対策イベントから例外を作成する
ファイルが不正プログラムとして識別されると、Deep Securityは不正プログラム対策イベントを生成します。ファイルが無害であることがわかっている場合は、次の手順でイベントレポートからそのファイルの除外を作成できます。
-
[イベントとレポート]→[イベント]→[不正プログラム対策イベント]をクリックして、不正プログラム検出イベントを見つけてください。
-
該当するイベントを右クリックします。
-
[許可]を選択します。
不正プログラム対策の例外を手動で作成する
スパイウェア/グレーウェア、ドキュメントの脆弱性対策ルール、機械学習型検索、および挙動監視の例外について、不正プログラム対策の例外を手動で作成できます。例外を追加するには、検索によって生成された不正プログラム対策イベントの特定の情報が必要です。不正プログラムまたは検索の種類によって、次の情報が必要になります。
-
スパイウェアまたはグレーウェア: [MALWARE] フィールドの値 (例:
SPY_CCFR_CPP_TEST.A
) -
文書悪用対策ルール: MALWAREフィールドの値、例えばHEUR_OLEP.EXE
-
機械学習型検索: FILE SHA-1フィールドのファイルのSHA1ダイジェスト (例:
3395856CE81F2B7382DEE72602F798B642F14140
) -
挙動監視: プロセスイメージパス、例えば C:\test.exe
-
[イベントとレポート]→[イベント]→[不正プログラム対策イベント]をクリックし、不正プログラムを識別するために必要なフィールド値をコピーします。
-
例外を作成するポリシーまたはコンピュータのエディタを開きます。
-
[不正プログラム対策]→[詳細] をクリックします。
-
[許可するスパイウェア/グレーウェア]、[ドキュメントの脆弱性対策ルールの例外]、[機械学習型検索の検出除外対象]、または[挙動監視保護の例外]セクションで、イベントの情報をテキストボックスに入力してください。
-
[追加] をクリックします。
除外リストでのワイルドカードのサポート
[挙動監視保護の例外] リストでは、ファイルパス、ファイル名、およびファイル拡張子の除外の種類を定義するときに、ワイルドカード文字を使用できます。次の表を使用して除外リストを適切にフォーマットし、正しいファイルとフォルダが検索から除外されるようにします。
サポートされるワイルドカード文字は次のとおりです。
-
アスタリスク (*): 任意の文字または文字列を表します
挙動監視保護の除外リストでは、ワイルドカード文字を使用してシステムドライブの指定を置き換えたり、UNC (Universal Naming Convention)
アドレス内でワイルドカード文字を使用することはできません。
除外の種類
|
ワイルドカードの使用法
|
一致する
|
一致しない
|
||
ディレクトリ
|
C:\*
指定したドライブにあるすべてのファイルとフォルダを除外します
|
|
|
||
特定のフォルダレベルにある特定のファイル
|
C:\*\Sample.exe
Sample.exe ファイルが C:\ ディレクトリの任意のサブフォルダにある場合のみ除外します |
|
|
||
UNC(Universal Naming Convention)パス
|
\\<UNC path>\*\Sample.exe
Sample.exe ファイルが、指定されたUNCパスのサブフォルダにある場合にのみ除外します |
|
|
||
ファイル名と拡張子
|
C:\*.*
C:\ ディレクトリのすべてのフォルダおよびサブフォルダにある拡張子のあるすべてのファイルを除外します |
|
|
||
ファイル名
|
C:\*.exe
C:\ ディレクトリのすべてのフォルダおよびサブフォルダにある、 .exe 拡張子を持つすべてのファイルを除外します |
|
|
||
ファイル拡張子
|
C:\Sample.*
Sample という名前と C:\ ディレクトリ内の任意の拡張子を持つすべてのファイルを除外します |
|
|
||
特定のディレクトリ構造にあるファイル
|
C:\*\*\Sample.exe
C:\ ディレクトリの2番目のサブフォルダレベル以降のサブフォルダ内にあり、ファイル名と拡張子が Sample.exe であるすべてのファイルを除外します |
|
|
スパイウェア/グレーウェアの例外の処理方法
スパイウェアが検出されると、検索を制御する不正プログラム検索設定に応じて、不正プログラムの駆除、隔離、または削除をすぐに実行できます。スパイウェアイベントまたはグレーウェアイベントの除外を作成した後で、ファイルの復元が必要になる場合があります。詳細については、識別されたファイルの復元を参照してください。
または、処理を [パス] に設定して一時的にスパイウェアおよびグレーウェアを検索し、すべてのスパイウェアおよびグレーウェアの検出を [不正プログラム対策イベント]
画面に記録しますが、駆除、隔離、または削除は行いません。その後、検出されたスパイウェアおよびグレーウェアの除外を作成できます。除外リストが堅牢な場合は、処理を [駆除]、[隔離]、または
[削除] のいずれかのモードに設定できます。
処理の設定の詳細については、不正プログラムの処理方法を設定するを参照してください。
検索除外の推奨設定
検索除外については、トレンドマイクロやその他のベンダが包括的な詳しい情報を提供しています。ここでは、検索除外の推奨設定の一部について、その概要を紹介します。
-
隔離フォルダ(Microsoft Windows Exchange ServerのSMEXなど)は除外して、すでに不正プログラムであると確認されたファイルの再スキャンを回避する必要があります。
-
検索を実行するとデータベースのパフォーマンスに影響することがあるため、大規模なデータベースやデータベースファイル (dsm.mdfやdsm.ldfなど) を除外します。データベースファイルを検索する必要がある場合は、ピーク時を避けてデータベースを検索する予約タスクを作成します。Microsoft SQL Serverデータベースは動的であるため、ディレクトリおよびバックアップフォルダを検索リストから除外します。Windowsの場合:
${ProgramFiles}\Microsoft SQL Server\MSSQL\Data\
${Windir}\WINNT\Cluster\ # if using SQL Clustering
Q:\ # if using SQL Clustering
Linuxの場合:/var/lib/mysql/ # if path is set to this Data Location of MySQL in the machine.
/mnt/volume-mysql/ # if path is set to this Data Location of MySQL in the machine.
推奨される検索除外のリストについては、トレンドマイクロ推奨検索除外リストを参照してください。Microsoftも、Windowsサーバーでのファイルのスキャン除外に使用できるアンチウイルス除外リストを管理しています。
信頼された証明書で署名されたファイルを除外する
署名付きアプリケーションがあり、それらのプロセスのすべてのアクティビティをリアルタイム不正プログラム対策検索 (ファイル検索、動作監視、予測型機械学習など) から除外する場合は、次のように、Deep
Security Managerの信頼できる証明書リストにそのデジタル証明書を追加します。
-
ポリシーエディタまたはコンピュータエディタで、[不正プログラム対策]→[詳細]に移動します。
-
[T信頼済み証明書の検出除外対象] セクションで、[信頼済み証明書を含むファイルを除外する] を「はい」または「継承 (はい)」に設定します。
-
[証明書リストの管理]を選択してください。
-
[信頼された証明書]画面には、インポートした証明書が表示されます。[ファイルからインポート]を選択して、検索除外に別の項目を追加します。
-
証明書ファイルを選択し、[次へ]を選択します。
-
表示されている証明書の概要を確認し、[次の処理でこの証明書を信頼]を[検索除外]に設定します。[次へ]を選択します。
-
サマリーページはインポートが成功したかどうかを示します。[閉じる]を選択します。
![]() |
注意この種類の除外は、WindowsのDeep Security Agent 20.0.0-3445以降でサポートされています。
|
インポートされた証明書が[信頼された証明書]リストに表示され、[目的]が[除外]と表示されます。
![]() |
ヒントDeep Securityはプロセスが開始されるときに免除リストを確認します。免除が設定される前にプロセスが実行されている場合、そのプロセスは再起動されるまで免除リストに追加されません。
|