Deep Securityは、Deep Security Agentによって保護されたWindowsおよびLinuxマシンに適用できるセキュリティ設定を提供し、不正プログラムおよびランサムウェアの検出とクリーン率を向上させます。これらの設定により、不正プログラムのパターンマッチングを超えて、まだ不正プログラム対策パターンに追加されていない新たな不正プログラムを含む可能性のある疑わしいファイルを特定することができます
(ゼロデイ攻撃として知られています)。
このページについて:
不正プログラム対策モジュールの概要については、不正プログラムの防止を参照してください。
強化された検索保護
[Threat detection]: 検出を回避するために、一部の不正プログラムはシステムファイルや既知のインストール済みソフトウェアに関連するファイルを変更しようとします。このような変更は、不正プログラムが正当なファイルの代わりをするため、見逃されることがよくあります。Deep
Securityは、システムファイルやインストール済みソフトウェアの不正な変更をモニタして、これらの変更が発生するのを検出および防止することができます。
[Anti-exploit]: 不正プログラムの作成者は、悪意のあるコードを使用してユーザモードプロセスにフックし、信頼されたプロセスへの特権アクセスを取得し、悪意のある活動を隠すことができます。不正プログラムの作成者は、DLLインジェクションを通じてユーザプロセスにコードを注入し、特権を昇格させたAPIを呼び出します。また、悪意のあるペイロードを供給してメモリ内でコード実行を引き起こすことにより、ソフトウェア攻撃コードへの攻撃を引き起こすこともできます。Deep
Securityでは、アンチ攻撃コード機能が、特定のプロセスによって通常は実行されないアクションを実行している可能性のあるプロセスを監視します。データ実行防止 (DEP)、構造化例外処理オーバーライト保護
(SEHOP)、ヒープスプレー防止などの複数のメカニズムを使用して、Deep Securityはプロセスが侵害されたかどうかを判断し、さらなる感染を防ぐためにプロセスを終了させることができます。
拡張されたランサムウェア対策: ランサムウェアはより高度で標的型になっています。ほとんどの組織は、エンドポイントに不正プログラム対策を含むセキュリティポリシーを持っており、既知のランサムウェアの亜種に対する一定の保護を提供します。しかし、新しい亜種の発生を検出して防ぐには不十分な場合があります。Deep
Securityが提供するランサムウェア対策は、文書の無許可の暗号化や変更を防ぐことができます。Deep Securityには、暗号化されているファイルのコピーを作成するオプションのデータ復旧エンジンも組み込まれており、ランサムウェアプロセスによって暗号化されたファイルを復旧するための追加の機会をユーザに提供します。
拡張検索を有効にする
強化スキャンは、ポリシーまたは個々のコンピュータに適用される不正プログラム対策設定の一部として構成されます。不正プログラム対策の構成に関する情報については、不正プログラム対策の有効化と構成を参照してください。
これらの設定は、 Deep Security Agentで保護されているWindowsコンピュータおよびLinuxコンピュータにのみ適用できます。
 |
注意強化スキャンは、負荷の高いアプリケーションを実行しているエージェントコンピュータのパフォーマンスに影響を与える可能性があります。強化スキャンを有効にしてDeep Security
Agentを展開する前に、不正プログラム対策のパフォーマンスのヒントを確認してください。
|
最初に、不正プログラムのリアルタイム検索設定で、強化された検索を有効にします。
-
Deep Security Managerで、[ポリシー]→[共通オブジェクト]→[その他]→[不正プログラム検索設定]に移動します。
-
既存のリアルタイム検索設定をダブルクリックして編集します。不正プログラム検索設定の詳細については、不正プログラム検索の設定を参照してください。
-
[一般]タブの[挙動監視]の下で、[挙動監視を有効にする]を選択します。
-
[Action to take]を使用して、Deep Securityが不正プログラムを検出したときに実行する修復アクションを選択します。
-
[トレンドマイクロの推奨処理 (推奨): ActiveActionが決定するアクションを使用します。ActiveActionは、各不正プログラムカテゴリに最適化された事前定義のクリーンアップアクションのグループです。トレンドマイクロは、個々の検出が適切に処理されるように、ActiveActionのアクションを継続的に調整しています。詳細については、ActiveActionのアクションを参照してください。
-
[放置: 感染ファイルに対して何もせずに完全なアクセスを許可します。不正プログラム対策イベントは引き続き記録されます。
-
-
必要に応じて[ランサムウェアによって暗号化されたファイルをバックアップおよび復元する]を選択します。このオプションを選択すると、Deep Securityはランサムウェアプロセスによって暗号化されている場合に備えて、暗号化されているファイルのバックアップコピーを作成します。このオプションは、Windowsを実行しているコンピュータにのみ適用されます。
-
[OK] をクリックします。
デフォルトでは、リアルタイムスキャンはすべてのディレクトリをスキャンするように設定されています。スキャン設定を変更してディレクトリリストをスキャンするように設定すると、強化されたスキャンが期待通りに機能しない場合があります。例えば、[Directories to scan]をFolder1をスキャンするように設定し、Folder1でランサムウェアが発生した場合、ランサムウェアに関連する暗号化がFolder1の外のファイルに発生すると検出されない可能性があります。
次に、不正プログラム検索設定をポリシーまたは個々のコンピュータに適用します。
-
[コンピュータエディタとポリシーエディタ]で、[不正プログラム対策]→[一般]に移動します。
-
[不正プログラム対策のステータス]が[オン]または[継承 (オン)]に設定されていることを確認してください。
-
[一般]タブには、[リアルタイム検索]、[手動検索]、[予約検索]のセクションが含まれています。該当するセクションで、[不正プログラム検索設定]を使用して作成したスキャン構成を選択します。
-
[保存] をクリックします。
強化スキャンで検出された問題に対処する
Deep Securityが有効にした強化スキャン設定に一致するアクティビティやファイルを検出すると、イベントが記録され、[イベントとレポート]→[イベント]→[不正プログラム対策イベント]に移動してイベントのリストを表示できます。イベントは[主要なウイルスの種類]列で疑わしいアクティビティまたは不正な変更として識別され、詳細は[対象]および[対象の種類]列に表示されます。
Deep Securityは、強化スキャン設定に関連する多くの種類のチェックを実行し、問題を発見したチェックの種類に応じてアクションを実行します。Deep Securityは、不審オブジェクトに対してアクセス拒否、終了、またはクリーンを行う場合があります。これらのアクションはDeep
Securityによって決定され、構成することはできませんが、クリーンアクションは除外されます。
-
[アクセス拒否]: 不審なファイルをオープンまたは実行しようとする挙動を検知すると、ただちにその操作をブロックして不正プログラム対策イベントを記録します。
-
[終了]: Deep Securityは、不審な操作を実行したプロセスを終了し、不正プログラム対策イベントを記録します。
-
[駆除]: Deep Securityは不正プログラム検索の設定を確認し、[処理]タブでトロイの木馬に対して指定されたアクションを実行します。トロイの木馬ファイルに対して実行されたアクションに関連する1つ以上の追加イベントが生成されます。
イベントをダブルクリックすると詳細が表示されます。
ランサムウェアに関連するイベントの場合は、[対象ファイル] タブが追加で表示されます。
特定されたファイルを調べて無害であることが判明した場合は、イベントを右クリックして[許可] をクリックし、コンピュータまたはポリシーの検索除外リストにそのファイルを追加します。検索除外リストは、ポリシーエディタまたはコンピュータエディタで [不正プログラム対策]→[詳細]→[挙動監視保護の例外] の順に選択して確認できます。
Agentをインターネットに直接接続できない場合の対処
このトピックで説明した強化された検索機能は、Global Census ServerとGood File Reputation Serviceでファイルをチェックするため、インターネットへのアクセスを必要とします。Deep
Security Agentがインターネットに直接アクセスできない場合は、インターネットにアクセスできないAgentの設定で回避策について参照してください。