不正プログラム検索設定は保存して再利用可能な設定で、ポリシーまたはコンピュータに不正プログラム対策を設定する場合に適用できます。不正プログラム検索設定では、 Deep
Securityが検索する不正プログラムの種類と、検索するファイルの種類を指定します。一部のポリシーのプロパティも、不正プログラム検索の動作に影響を与えます。次の操作を実行できます。
Deep Security ベストプラクティスガイド では、不正プログラム検索の設定に関する推奨事項もいくつか提供しています。
CPU 使用率と RAM 使用率は、不正プログラム対策の設定によって異なります。Deep Security エージェントで不正プログラム対策のパフォーマンスを最適化する方法については、不正プログラム対策のパフォーマンス向上のヒントを参照してください。
不正プログラム検索設定を作成または変更する
1つ以上の不正プログラム検索設定を作成または変更して、リアルタイム検索、手動検索、または予約検索の動作を制御できます。詳細については、不正プログラム検索設定を参照してください。
-
不正プログラム検索の設定を作成した後、ポリシーやコンピュータの検索に関連付けることができます。詳細については、実行する検索の種類を選択するを参照してください。
-
ポリシーまたはコンピュータが使用している不正プログラム検索設定を編集すると、この変更は設定に関連付けられている検索に影響します。
既存の設定に類似する不正プログラム検索設定を作成するには、既存の設定を複製して編集します。
制御する検索の種類に応じて、2種類の不正プログラム検索設定を作成できます (不正プログラム検索の種類を参照してください)。
-
リアルタイム検索の設定: リアルタイム検索を制御します。[アクセス拒否]などの一部の操作は、リアルタイム検索の設定でのみ利用可能です
-
手動/予約検索の設定: 手動検索と予約検索を制御します。[CPU使用率]などのオプションは、手動検索と予約検索の設定でのみ利用可能です。
Deep Securityは、検索の種類ごとに初期設定の不正プログラム検索の設定を提供します。この設定は次のように使用できます。
-
[ポリシー]→[共通オブジェクト]→[その他]→[不正プログラム検索設定]に移動します。
-
スキャン構成を作成するには、[新規]をクリックし、[新規のリアルタイム検索設定]または[新規の不正プログラムの手動/予約検索設定]をクリックして、次の手順に従います。
-
検索設定を識別する名前を入力します。この名前は、ポリシーで不正プログラム検索を設定するときにリストに表示されます。
-
オプションで、設定の使用例を説明する説明を入力します。
-
-
既存の検索設定を表示して編集するには、その検索設定を選択して [プロパティ] をクリックします。
-
検索設定を複製するには、その検索設定を選択して [複製] をクリックします。
不正プログラム検索の設定を使用しているポリシーとコンピュータを確認するには、プロパティの[割り当て対象]タブを参照してください。
不正プログラム検索をテストする
以降の不正プログラム対策設定手順に進む前に、スキャンをテストし、それらが正しく動作することを確認します。
リアルタイム検索をテストするには:
-
リアルタイム検索が有効で、設定が選択されていることを確認します。
-
EICARサイトにアクセスして、不正プログラム対策テストファイルをダウンロードしてください。この標準化されたファイルは、リアルタイム検索のウイルス対策機能をテストします。ファイルは隔離されるべきです。
-
Deep Security Managerで、[イベントとレポート]→[不正プログラム対策イベント] に移動し、EICARファイルの検出が記録されていることを確認します。検出が記録されていれば、不正プログラム対策のリアルタイム検索は正常に機能しています。
手動検索または予約検索をテストするには:
-
リアルタイム検索が無効になっていることを確認してください。
-
[管理]に移動してください。
-
[予約タスク]→[新規]をクリックしてください。
-
メニューから[コンピュータの不正プログラムを検索]を選択し、頻度を選択します。希望する仕様でスキャン設定を完了してください。
-
EICARサイトにアクセスして、不正プログラム対策テストファイルをダウンロードしてください。この標準化されたファイルは、手動または予約検索のウイルス対策機能をテストします。
-
予約検索を選択して、[今すぐタスクを実行] をクリックします。このテストファイルが隔離されればテストは成功です。
-
Deep Security Managerで、[イベントとレポート]→[不正プログラム対策イベント] の順に選択し、EICARファイルの検出が記録されていることを確認します。検出が記録されていれば、不正プログラム対策の手動および予約検索は正常に機能しています。
特定の種類の不正プログラムを検索する
関連項目:
Windows AMSI保護を有効にする(リアルタイム検索のみ)
Windows Antimalware Scan Interface (AMSI) は、MicrosoftがWindows 10以降で提供しているインタフェースです。Deep Securityは、AMSIを利用して不正なスクリプトを検出します。初期設定では、Deep
Securityの不正プログラム検索設定でこのオプションが有効になっています。
-
不正プログラム検索設定のプロパティを開きます。
-
[一般]タブで[AMSI保護を有効にする]を選択します。
-
[OK]をクリックしてください。
スパイウェア/グレーウェアを検索する
スパイウェアおよびグレーウェア対策を有効にすると、不審なファイルの検出時に、スパイウェア検索エンジンによってこれらのファイルが隔離されます。
-
不正プログラム検索設定のプロパティを開きます。
-
[一般]タブで、[スパイウェア/グレーウェア対策を有効にする]を選択します。
-
[OK]をクリックしてください。
スパイウェア検索エンジンで無視する必要があるファイルを特定するには、不正プログラム対策の例外の作成を参照してください。
圧縮済み実行可能ファイルを検索する (リアルタイム検索のみ)
ウイルスは、リアルタイム圧縮アルゴリズムを使用して、ウイルスフィルタを回避しようとすることがあります。IntelliTrap機能は、リアルタイムの圧縮済み実行可能ファイルを遮断し、他の不正プログラムの特性とファイルを組み合わせます。
IntelliTrapはそのようなファイルをセキュリティリスクとして識別し、安全なファイルを誤ってブロックする可能性があるため、IntelliTrapを有効にする場合はファイルを削除またはクリーンアップするのではなく、隔離することを検討してください。詳細については、不正プログラムの処理を構成するを参照してください。リアルタイムで圧縮された実行ファイルの交換が定期的に行われる場合は、IntelliTrapを無効にしてください。IntelliTrapはウイルス検索エンジン、IntelliTrapパターンファイル、およびIntelliTrap除外パターンファイルを使用します。
-
不正プログラム検索設定のプロパティを開きます。
-
[一般]タブで、[IntelliTrapの有効化]を選択します。
-
[OK]をクリックしてください。
プロセスメモリを検索する
プロセスメモリをモニタし、トレンドマイクロSmart Protection Networkを使用して疑わしいプロセスが悪意のあるものかどうかを確認します。プロセスが悪意のあるものである場合、Deep
Securityはプロセスを終了します。詳細については、Deep SecurityのSmart Protectionを参照してください
-
不正プログラム検索設定のプロパティを開きます。
-
[一般] タブで、[プロセスメモリ内の不正プログラムを検索する] を選択します。
-
[OK]をクリックしてください。
Deep Security Agentバージョン20.0.1-12510以降では、[実行する処理]を使用して、Deep Securityが不正プログラムを検出したときに実行する修復アクションを選択できます。推奨値は[トレンドマイクロの推奨処理]です。または[放置]を選択することもできます。詳細については、ActiveActionアクションおよび不正プログラム修復アクションのカスタマイズを参照してください
圧縮ファイルを検索する
圧縮ファイルを解凍し、コンテンツに不正プログラムが含まれていないか検索します。検索を有効にするときに、解凍するファイルの最大サイズと最大数を指定します (大きなファイルはパフォーマンスに影響を及ぼすことがあります)。また、圧縮ファイル内に存在する圧縮ファイルを検索できるように、検査する圧縮レベルも指定します。圧縮レベル1は、単一の圧縮ファイルです。レベル2は、ファイル内の圧縮ファイルです。最大6の圧縮レベルを検索できますが、レベルが高くなるとパフォーマンスに影響を及ぼす可能性があります。
-
不正プログラム検索設定のプロパティを開きます。
-
[詳細]タブで、[圧縮ファイルの検索]を選択します。
-
解凍するコンテンツファイルの最大サイズ (MB)、検索する圧縮レベル、解凍する最大ファイル数を指定します。
-
[OK]をクリックしてください。
埋め込みのMicrosoft Officeオブジェクトを検索する
Microsoft Officeの特定のバージョンでは、Object Linking and Embedding (OLE) を使用してOfficeファイルにファイルやその他のオブジェクトを挿入します。これらの埋め込みオブジェクトには、不正なコードが含まれている場合があります。
他のオブジェクトに埋め込まれているオブジェクトを検出するために、検索するOLE層の数を指定します。パフォーマンスへの影響を軽減するため、各ファイル内の埋め込みオブジェクトの層をいくつかだけ検索できます。
-
不正プログラム検索設定のプロパティを開きます。
-
[詳細]タブで、[埋め込みのMicrosoft Officeオブジェクトを検索する]を選択します。
-
検索するOLE層の数を指定します。
-
[OK]をクリックしてください。
Windows OSでNotifierの手動検索を有効にする
Notifierを使用した手動検索の有効化は、 Deep Security Agent 20.0.0-7476以降でサポートされています。
この検索は初期設定では無効になっています。次の手順で有効化およびトリガできます:
-
[コンピュータ]または[ポリシー]エディターから、[不正プログラム対策]→[一般]を選択します。
-
[手動検索]の下で、[Agentによる手動検索の実行またはキャンセルを許可する]を選択します。
Agentレスによる検索はサポートされないことに注意してください。
Linux OSでの手動検索の有効化
手動検索の有効化は、Deep Security Agent 20.0.0-7476以降でサポートされています。
この検索は初期設定では無効になっています。次の方法で有効にできます。
-
[コンピュータ]または[ポリシー]エディターから、[不正プログラム対策]→[一般]を選択します。
-
[手動検索]の下で、[Agentによる手動検索の実行またはキャンセルを許可する]を選択します。
Agentレスによる検索はサポートされないことに注意してください。
検索対象ファイルを指定する
検索に含めるファイルとディレクトリを特定し、それらのファイルとディレクトリからの除外を特定します。ネットワークディレクトリを検索することもできます。
検索対象
検索するディレクトリと、ディレクトリ内の検索するファイルも指定します。
スキャンするディレクトリを特定するには、すべてのディレクトリまたはディレクトリのリストを指定できます。ディレクトリリストは、特定の構文を使用してスキャンするディレクトリを特定します。詳細については、ディレクトリリストの構文を参照してください。
検索するファイルを指定するには、次のいずれかのオプションを使用します。
-
すべてのファイル
-
IntelliScanで判別されるファイルタイプ。IntelliScanは、
.zip
や.exe
など、感染しやすいファイルタイプのみを検索します。IntelliScanはファイル拡張子に依存せず、ファイルのヘッダや内容を読み取ってファイルタイプを判別し、検索対象かどうかを判断します。すべてのファイルを検索する場合に比べて、IntelliScanを使用すると検索するファイルの数が減り、パフォーマンスが向上します。 -
指定されたリストに含まれるファイル名拡張子を持つファイル: ファイル拡張子リストは特定の構文を使用したパターンを使用します。詳細については、ファイル拡張子リストの構文を参照してください。
-
不正プログラム検索設定のプロパティを開きます。
-
[検索対象]タブをクリックしてください。
-
スキャンするディレクトリを指定するには、[すべてのディレクトリ]または[ディレクトリリスト]を選択します。
-
[ディレクトリリスト] を選択した場合は、ドロップダウンメニューから既存のリストを選択するか、[新規] を選択して新しいリストを作成します。
-
スキャンするファイルを指定するには、[すべてのファイル]、[トレンドマイクロの推奨設定で検索されるファイルタイプ]、または[ファイル拡張子リスト]を選択します。
-
[ファイル拡張子リスト] を選択した場合は、メニューから既存のリストを選択するか、[新規] を選択して新しいリストを作成します。
-
[OK]をクリックしてください。
検索除外
検索対象からディレクトリ、ファイル、およびファイル拡張子を除外します。リアルタイム検索の場合(Deep Security Virtual Applianceによって実行される場合を除く)、プロセスイメージファイルも検索から除外できます。
以下は除外するファイルとフォルダーの例です:
-
Microsoft Exchangeサーバの不正プログラム検索設定を作成する場合は、SMEX隔離フォルダを除外して、不正プログラムであることがすでに確認されているファイルの再検索を回避する必要があります。
-
Deep Security Managerで使用されているデータベースサーバ上で不正プログラム検索を実行する場合は、データディレクトリを除外します。Deep Security Managerでウイルスが含まれている可能性のある侵入防御データを取り込み、格納する際に、Deep Security Agentによる隔離が実行され、データベースの破損を引き起こす場合があります。
-
サイズの大きいVMwareイメージがある場合は、パフォーマンスの問題が発生した場合は、これらのイメージが格納されているディレクトリを除外します。
不正プログラム対策スキャンから信頼できるデジタル証明書で署名されたファイルを除外することもできます。この種類の除外はポリシーまたはコンピュータ設定で定義されます。詳細については、信頼できる証明書で署名されたファイルを除外するを参照してください。
除外するパターンのリストを作成して、ディレクトリ、ファイル、およびプロセスイメージファイルを除外する
-
不正プログラム検索設定のプロパティを開きます。
-
[検索除外]タブをクリックします。
-
検索から除外するディレクトリを指定します。
-
[ディレクトリリスト]を選択してください。
-
ディレクトリリストを選択するか、新規を選択して作成してください。詳細については、ディレクトリリストの構文を参照してください。
-
ディレクトリリストを作成した場合は、ディレクトリリストで選択します。
-
-
同様に、除外するファイルリスト、ファイル拡張子リスト、およびプロセスイメージファイルリストを指定します。詳細については、ファイルリストの構文、ファイル拡張子リストの構文、およびプロセスイメージファイルリストの構文を参照してください
-
[OK]をクリックしてください。
Deep Security Agentが対象ファイルの種類を特定できない場合、 不正プログラム対策 エンジンはそのファイルをメモリにロードし、自己解凍型ファイルであるかどうかを識別します。多数の大きなファイルがメモリにロードされると、検索エンジンのパフォーマンスに影響する可能性があります。特定のサイズを超えるファイルを除外するには、次のDeep
Security Managerコマンドを使用します。
dsm_c -action changesetting -name com.trendmicro.ds.antimalware:settings.configuration.maxSelfExtractRTScanSizeMB
-value 512
この例では、ターゲットファイルを読み込むためのファイルサイズ制限が512 MBに設定されています。検索エンジンは、設定された値より大きいファイルをメモリに追加せず、直接スキャンします。この設定を展開するには、Deep
Security Managerでコマンドを実行した後、ポリシーをターゲットのDeep Security Agentに送信する必要があることに注意してください。
ファイル除外のテスト
以降の不正プログラム対策設定手順に進む前に、ファイル除外をテストし、それらが正しく動作することを確認します。
-
リアルタイム検索が有効で、設定が選択されていることを確認してください。
-
[ポリシー]→[共通オブジェクト]→[その他]→[不正プログラム検索設定]に移動します。
-
[新規]→[新規のリアルタイム検索設定]をクリックします。
-
[検索除外] タブに移動し、ディレクトリリストから [新規] を選択します。
-
ディレクトリリストに名前を付けます。
-
[ディレクトリ]の下でスキャンから除外したいディレクトリのパスを指定します。例えば、
c:\Test Folder\
。 -
[OK] をクリックしてください。
-
[一般] タブで、手動検索に名前を付け、[OK] をクリックします。
-
EICARサイトに移動し、不正プログラム対策のテストファイルをダウンロードします。前の手順で指定したフォルダにファイルを保存します。このファイルが不正プログラム対策モジュールによって検出されずにそのまま保存されればテストは成功です。
ディレクトリリストの構文
ディレクトリリスト項目では、WindowsとLinuxの両方の命名規則をサポートするため、スラッシュ (/) とバックスラッシュ (\) の区別はありません。
除外
|
形式
|
説明
|
例
|
ディレクトリ
|
DIRECTORY\
|
指定したディレクトリとそのすべてのサブディレクトリにあるファイルをすべて除外します。
|
C:\Program Files\
Program Files ディレクトリとそのすべてのサブディレクトリにあるファイルをすべて除外します。 |
Directory with wildcard (*)
|
DIRECTORY\*\
|
指定されたサブディレクトリと、そこに含まれるファイルを除き、すべてのサブディレクトリを除外します。
|
C:\abc\*\
abc ディレクトリ内のファイルは除外せず、abc のすべてのサブディレクトリ内のファイルを除外します。[C:\abc\wx*z\]一致: C:\abc\wxz\ C:\abc\wx123z\
一致しません: C:\abc\wxz C:\abc\wx123z
C:\abc\*wx\
Matches: C:\abc\wx\ C:\abc\123wx\
一致しません: C:\abc\wx C:\abc\123wx
|
Directory with wildcard (*)
|
ディレクトリ*\
|
一致する名前を持つ任意のサブディレクトリを除外します。ただし、そのディレクトリにあるファイルおよび任意のサブディレクトリは除外しません。
|
C:\Program Files\サブディレクトリ名*\
フォルダ名が
SubDirName で始まるサブディレクトリを除外します。C:\Program Files\ または他のサブディレクトリのすべてのファイルは除外しません。 |
環境変数
|
${ENV VAR}
|
環境変数${ENV VAR}の形式で定義されたすべてのファイルとサブディレクトリを除外します。
windir 、programfiles などのWindowsの一般的な環境変数がサポートされています。Virtual ApplianceおよびLinuxの場合、環境変数の値ペアは[ポリシーまたはコンピュータエディタ]→[設定]→[一般]→[環境変数オーバーライド]で定義する必要があります |
${windir}
変数が
c:\windows に変換された場合、c:\windows とそのすべてのサブディレクトリにあるファイルをすべて除外します。 |
コメント
|
DIRECTORY #コメント
|
除外の定義にコメントを追加します。
|
c:\abc #Exclude the abc directory |
ファイルリストの構文
除外
|
形式
|
説明
|
例
|
ファイル
|
FILE
|
場所やディレクトリに関係なく、指定したファイル名を持つすべてのファイルを除外します。
|
abc.doc
すべてのディレクトリ内の
abc.doc という名前のすべてのファイルを除外します。abc.exe は除外しません。 |
ファイルパス
|
FILEPATH
|
ファイルパスで指定された単一のファイルを除外します。
|
C:\Documents\abc.doc
Documents ディレクトリ内のabc.doc という名前のファイルのみを除外します。 |
ワイルドカード (*) を使用したファイルパス
|
FILEPATH
|
ファイルパスで指定されたすべてのファイルを除外します。
|
C:\Documents\abc.co* (Windowsエージェントプラットフォームのみ)Documents ディレクトリ内でファイル名がabc で、拡張子が.co で始まるファイルを除外します。 |
ファイル名がワイルドカード(*)
|
FILEPATH\*
|
パス内のすべてのファイルを除外しますが、指定されていないサブディレクトリ内のファイルは除外します
|
C:\Documents\*
ディレクトリ
C:\Documents\ 以下のすべてのファイルを除外C:\Documents\SubDirName*\*
SubDirName で始まるフォルダ名を持つサブディレクトリ内のすべてのファイルを除外します。 C:\Documents\ または他のサブディレクトリのすべてのファイルを除外しません。C:\Documents\*\*
C:\Documents 配下のすべての直接のサブディレクトリ内のすべてのファイルを除外します。後続のサブディレクトリ内のファイルを除外しません。
|
ワイルドカード (*) を使用したファイル
|
FILE*
|
ファイル名のパターンに一致するすべてのファイルを除外します。
|
abc*.exe
abc という接頭辞を持ち、.exe という拡張子を持つファイルを除外します。*.db
一致: 123.db abc.db
一致しません: 123db 123.abd cbc.dba
*db
一致: 123.db 123db ac.db acdb db
一致しません: db123
wxy*.db
一致: wxy.db wxy123.db
一致しません: wxydb
|
ワイルドカード (*) を使用したファイル
|
FILE.EXT*
|
ファイルの拡張子のパターンに一致するすべてのファイルを除外します。
|
abc.v*
ファイル名が
abc で拡張子が.v で始まるファイルを除外します。abc.*pp
一致: abc.pp abc.app
一致しません: wxy.app
abc.a*p
一致: abc.ap abc.a123p
一致しません: abc.pp
abc.*
一致: abc.123 abc.xyz
一致しません: wxy.123
|
ワイルドカード (*) を使用したファイル
|
FILE*.EXT*
|
ファイル名と拡張子のパターンに一致するすべてのファイルを除外します。
|
a*c.a*p
一致: ac.ap a123c.ap ac.a456p a123c.a456p
一致しません: ad.aa
|
環境変数
|
${ENV VAR}
|
環境変数 ${ENV VAR} の形式で指定されたファイルを除外します。
windir 、programfiles などの Windows の一般的な環境変数がサポートされています。Virtual Appliance および Linux の場合、環境変数の値のペアは [ポリシーまたはコンピュータエディタ]→[設定]→[一般]→[環境変数オーバーライド] に定義する必要があります |
[${myDBFile}] ファイル
myDBFile を除外します。 |
コメント
|
FILEPATH #コメント
|
除外の定義にコメントを追加します。
|
C:\Documents\abc.doc #This is a comment |
ファイル拡張子リストの構文
除外
|
形式
|
説明
|
例
|
ファイル拡張子
|
EXT
|
一致する拡張子を持つすべてのファイルと一致します。
|
ドキュメント
すべてのディレクトリ内の
.doc 拡張子を持つすべてのファイルに一致します。 |
コメント
|
EXT #コメント
|
除外の定義にコメントを追加します。
|
doc #This a comment |
プロセスイメージファイルリストの構文
除外
|
形式
|
説明
|
例
|
ファイルパス
|
FILEPATH
|
ファイルパスで指定されたプロセスイメージファイルを除外します。
|
C:\abc\file.exe
abc ディレクトリ内のfile.exe という名前のファイルのみを除外します。 |
ネットワークディレクトリを検索する (リアルタイム検索のみ)
Network File System (NFS)、Server Message Block (SMB)、またはCommon Internet File System
(CIFS) に存在するネットワーク共有内およびマッピングされているネットワークドライブ内のファイルやフォルダを検索する場合は、[ネットワークディレクトリ検索を有効にする] を選択します。このオプションはリアルタイム検索でのみ使用できます。
GVFS (GNOMEデスクトップで利用できる仮想ファイルシステム) を通じて「
~/.gvfs
」でアクセスされるリソースは、ネットワークドライブではなくローカルリソースとして扱われます。ネットワークフォルダをWindowsでスキャンしている際にウイルスが検出された場合、エージェントはクリーン失敗 (削除失敗) イベントを表示することがあります。
リアルタイム検索を実行するタイミングを指定する
ファイルの読み取り時、書き込み時、またはそのどちらでもファイルを検索するかを選択します。
-
不正プログラム検索設定のプロパティを開きます。
-
[詳細] タブで、[リアルタイム検索] プロパティのオプションを1つ選択します。
-
[OK]をクリックしてください。
不正プログラム処理の設定
不正プログラムが検出された場合のDeep Securityの動作を設定します。
不正プログラム修復処理をカスタマイズする
Deep Securityは不正プログラムを検出すると、ファイルを処理する修復処理を実行します。Deep Securityが不正プログラムに遭遇した場合に実行できる処理には、次の5つがあります。
-
許可: ファイルに対して何も行わずに感染したファイルへの完全なアクセスを許可します。不正プログラム対策イベントは引き続き記録されます。この修復アクション[放置]は、ウイルスの可能性がある場合には決して使用しないでください。
-
クリーン: 感染したファイルを完全にアクセスできるようにする前にクリーンします。ファイルをクリーンできない場合は、隔離されます。
-
削除: Linuxでは、感染したファイルはバックアップなしで削除されます。Windowsでは、感染したファイルはバックアップされてから削除されます。Windowsのバックアップファイルは表示および復元できます [イベントとレポート]→[イベント]→[不正プログラム対策イベント]→[検出されたファイル]で。
-
アクセス拒否: このスキャンアクションはリアルタイムスキャン中にのみ実行できます。Deep Securityが感染ファイルを開いたり実行しようとする試みを検出すると、直ちに操作をブロックします。感染ファイルは変更されません。アクセス拒否アクションがトリガーされると、感染ファイルは元の場所に残ります。[リアルタイム検索]が[書き込み時]に設定されている場合、修復アクション[アクセス拒否]を使用しないでください。[書き込み時]が選択されている場合、ファイルは書き込まれるときにスキャンされ、アクション[アクセス拒否]は効果がありません。
-
隔離: 感染したファイルをコンピュータまたはVirtual Applianceの隔離ディレクトリに移動します。隔離されたファイルは表示および復元できます[イベントとレポート]→[イベント]→[不正プログラム対策イベント]→[検出されたファイル]。同じ不正プログラムであっても、Linuxでは[隔離]とマークされ、Windowsでは[削除]とマークされる場合があります。どちらの場合でも、[イベントとレポート]→[イベント]→[不正プログラム対策イベント]→[検出されたファイル] でファイルを表示および復元できます。
不正プログラム検索設定の修復処理は、ほとんどの状況に対応できるように初期設定されています。ただし、 Deep Securityが不正プログラムを検出したときに実行する処理をカスタマイズできます。トレンドマイクロの推奨処理を使用することも、脆弱性の種類ごとに処理を指定することもできます。
ActiveActionは、各不正プログラムカテゴリに最適化された定義済みのクリーンアップアクションのグループです。トレンドマイクロは、個々の検出が適切に処理されるように、ActiveActionのアクションを継続的に調整しています。ActiveActionのアクションを参照してください。
-
不正プログラム検索設定のプロパティを開きます。
-
[詳細]タブで、[修復処理]にカスタムを選択します。
-
実行する処理を指定します。
-
トレンドマイクロ推奨の修復処理から実行する処理を決定するには、[トレンドマイクロの推奨処理を使用] を選択します。
-
脆弱性の種類ごとに処理を指定するには、[カスタム処理を使用] を選択してから、使用する処理を選択します。
-
-
潜在的な不正プログラムに対して実行する処理を指定します。
-
[OK]をクリックしてください。
トレンドマイクロの推奨処理
次の表は、トレンドマイクロの推奨処理を選択した場合に実行される処理の一覧です。
不正プログラムの種類
|
処理
|
クリーン。ウイルスをクリーンできない場合は、削除される (Windows) か、隔離される (LinuxまたはSolaris)。この動作には除外があります: LinuxまたはSolarisエージェントでTest Virusタイプのウイルスが見つかった場合、感染したファイルへのアクセスが拒否されます。
|
|
隔離
|
|
隔離
|
|
削除リアルタイムスキャンには適用されません
|
|
駆除
脅威を駆除できない場合は、次のように処理されます。
また、LinuxまたはSolarisのエージェントでは、「Joke」タイプのウイルスが検出された場合、ウイルスはただちに隔離されます。駆除は行われません。
|
|
トレンドマイクロの推奨処理
|
AgentでアップデートサーバまたはRelayからウイルスパターンファイルのアップデートをダウンロードすると、それに応じてトレンドマイクロの推奨処理が変わることがあります。
不正プログラム検出のアラートを生成する
Deep Securityが不正プログラムを検出すると、アラートを生成できます。
-
不正プログラム検索設定のプロパティを開きます。
-
[一般]タブで、[アラート]に[この不正プログラム検索設定でイベントが規録されたときにアラートを発令する]を選択します。
-
[OK]をクリックしてください。
ファイルのハッシュダイジェストにより不正プログラムファイルを特定する
Deep Securityは不正プログラムファイルのハッシュ値を計算し、[イベントとレポート]→[イベント]→[不正プログラム対策イベント]画面に表示できます。一部の不正プログラムには複数の異なる名前が使用されていることがあるため、不正プログラムを一意に識別するハッシュ値が役立ちます。ハッシュ値は、他のソースでその不正プログラムに関する情報を確認する場合に使用できます。
-
設定するポリシーエディタまたはコンピュータエディタを開きます。
-
[不正プログラム対策]→[詳細]をクリックします。
-
[ファイルハッシュ計算]の下で、[Default]または[継承]チェックボックスをクリアします。[初期設定]はルートポリシーに表示され、[継承]は子ポリシーに表示されます。[継承] チェックボックスがオンになっている場合、ファイルハッシュ設定は現在のポリシーの親ポリシーから継承されます。[初期設定]が選択されている場合、 Deep Securityはハッシュ値を計算しません。
-
[すべての不正プログラム対策イベントのハッシュ値を計算する]を選択してください。
-
初期設定では、Deep SecurityはSHA-1ハッシュ値を生成します。追加のハッシュ値を生成するには、[MD5]または[SHA256]、あるいはその両方を選択します。
-
ハッシュ値を計算する不正プログラムファイルの最大サイズを変更することもできます。初期設定では128MBを超えるファイルはスキップされますが、この値を64~512MBの任意の値に変更できます。
コンピュータで通知を設定する
Windowsベースのエージェントでは、時折、Deep Securityの不正プログラム対策およびWebレピュテーションモジュールに関連するアクションを通知するメッセージが画面に表示されることがあります。例えば、不正プログラム対策のクリーンアップタスクには再起動が必要ですというメッセージが表示されることがあります。このメッセージを閉じるには、ダイアログボックスで[OK]をクリックする必要があります。
このような通知を表示しないようにするには、次のように設定します。
-
[コンピュータエディタとポリシーエディタ]に移動してください。
-
左側の[設定]をクリックします。
-
[一般]タブの下で、[通知]セクションまでスクロールします。
-
[ホストのすべてのポップアップ通知を抑制] を [はい] に設定します。メッセージは引き続きDeep Security Managerでアラートまたはイベントとして表示されます。Notifierの詳細については、Deep Security Notifierを参照してください。