ビュー:
不正プログラムではないファイルが、不正プログラムと特定の特徴を共有している場合、不正プログラムとして誤って識別されることがあります。ファイルが無害であることが判明しており、不正プログラムとして識別された場合、そのファイルまたはファイルを検出したルールに対して除外を作成できます。除外が作成されると、Workload Securityは除外されたファイルまたはルールに対してイベントをトリガーしません。
不正プログラム対策モジュールの概要については、不正プログラムからの保護を参照してください。
リアルタイムスキャン、手動スキャン、およびスケジュールスキャンからファイルを除外することもできます。スキャンするファイルを指定するを参照してください。
次の不正プログラムおよび不正プログラム検索の種類について、例外を作成できます。
信頼できる証明書で署名されたファイルを不正プログラム対策スキャンから除外することもできます。この機能は、バージョン20.0.0-3445以降のWindowsエージェントでサポートされています。詳細については、信頼できる証明書で署名されたファイルを除外するを参照してください。
Workload Securityは、ポリシーおよびコンピュータプロパティ内の各種不正プログラム検索に対する例外のリストを保持します。例外のリストを表示するには、[ポリシー]または[コンピュータ]エディタを開き、[不正プログラム検索][詳細]をクリックしてください。
以下の除外リストを表示および編集できます:
  • 許可するスパイウェア/グレーウェア: スパイウェアまたはグレーウェアとして識別されたアプリケーションを一部のシステムに残すことを許可します。不正プログラム対策のスパイウェア検出イベントを使用して例外を追加します。
  • ルールの除外: ルールIDに基づいて検出例外を作成します。[イベントとレポート]でイベントを表示してルールIDを見つけます。ルール例外は不正プログラム対策スキャンと挙動監視の両方に適用されます。
  • 挙動監視保護の例外: 挙動監視保護の検出からファイルを除外します。
  • 機械学習型検索の検出除外対象: SHA1ハッシュに基づいてファイルを除外します。
  • 信頼済み証明書の検出除外対象: 信頼された証明書を持つファイルを検出から除外するかどうかを選択します。
関連項目 検索除外の推奨設定

不正プログラム対策 イベントから除外設定を作成する

ファイルが不正プログラムとして識別されると、 Workload Securityは不正プログラム対策イベントを生成します。ファイルが無害であることがわかっている場合は、イベントレポートからファイルの除外を作成できます。
  1. [イベントとレポート][イベント][不正プログラム対策イベント]をクリックし、不正プログラム検出イベントを見つけます。
  2. 該当するイベントを右クリックします。
  3. [許可]を選択します。

手動で不正プログラム対策の除外を作成する

除外リストを使用して、不正プログラム対策の除外を手動で作成できます。除外を手動で追加するには、スキャンによって生成された不正プログラム対策イベントから特定の情報が必要です。不正プログラムの種類やスキャンによって、必要な情報が異なります。
  • [許可するスパイウェア/グレーウェア:] 不正プログラムフィールドの値、例えば SPY_CCFR_CPP_TEST.A
  • Rule Exceptions: 不正プログラム対策イベントビューアの脅威情報セクションで見つかったルールIDです。例えば、RAN4685T
    ルールIDは大文字と小文字を区別します。機械学習関連のTRX不正プログラム (Ransom.Win32.TRXなど) やVSAPIX不正プログラム (Trojan.Win32.VSX.PE04C93など) のルールIDを使用してルール例外を作成することは現在サポートされていません。
  • [挙動監視保護の例外:] プロセスイメージパス、例えば C:\test.exe
  • [機械学習型検索の検出除外対象:] ファイルのSHA1ダイジェストは、FILE SHA-1フィールドから取得されます。例えば、3395856CE81F2B7382DEE72602F798B642F14140です。
除外を手動で追加するには:
  1. [イベントとレポート][イベント][不正プログラム対策イベント] の順にクリックして、不正プログラムの識別に必要なフィールド値をコピーします。
  2. 例外を作成するポリシーまたはコンピュータのエディタを開きます。
  3. [不正プログラム対策][詳細]をクリックします。
  4. [許可するスパイウェア/グレーウェア][Rule Exceptions][挙動監視保護の例外]、または[機械学習型検索の検出除外対象:]セクションで、イベントの情報をテキストボックスに入力してください。
  5. [追加] をクリックします。
  6. [保存] をクリックします。
512を超える不正プログラム対策の除外エントリを作成すると、除外が機能しなくなります。

除外リストのワイルドカードサポート

[挙動監視保護の例外]リストは、ファイルパス、ファイル名、およびファイル拡張子の除外タイプを定義する際にワイルドカード文字の使用をサポートしています。以下の表を使用して除外リストを適切にフォーマットし、Workload Securityが正しいファイルとフォルダをスキャンから除外するようにしてください。
サポートされるワイルドカード文字:
  • アスタリスク(*):任意の文字または文字列を表します。
挙動監視保護の除外リストでは、ワイルドカード文字を使用してシステムドライブの指定を置き換えたり、UNC (Universal Naming Convention) アドレス内でワイルドカード文字を使用することはできません。
除外の種類
ワイルドカードの使用
一致
一致しません
ディレクトリ
C:\*
指定したドライブ上のすべてのファイルとフォルダを除外します。
  • C:\sample.exe
  • C:\フォルダ\test.doc
  • D:\sample.exe
  • E:\フォルダ\test.doc
特定のフォルダレベルにある特定のファイル
C:\*\Sample.exe
C:\ディレクトリ内の任意のサブフォルダーにファイルがある場合にのみ、Sample.exeファイルを除外します
  • C:\files\Sample.exe
  • C:\temp\files\Sample.exe
  • C:\sample.exe
UNC(Universal Naming Convention)パス
\\<UNC path>\*\Sample.exe
指定されたUNCパスの任意のサブフォルダーにファイルがある場合にのみ、Sample.exeファイルを除外します
  • \\<UNC path>\files\Sample.exe
  • \\<UNC path>\temp\files\Sample.exe
  • R:\files\Sample.exe
    理由:マップされたドライブはサポートされていません。
  • \\<UNC path>\Sample.exe
    理由:ファイルがUNCパスのサブフォルダ内に存在しません。
ファイル名と拡張子
C:\*.*
C:\ディレクトリ内のすべてのフォルダーとサブフォルダーで、拡張子を持つすべてのファイルを除外します
  • C:\Sample.exe
  • C:\temp\Sample.exe
  • C:\test.doc
  • D:\sample.exe
  • C:\Sample
    注意
    注意
    C:\Sampleにはファイル拡張子がないため、除外に一致しません。
ファイル名
C:\*.exe
C:\ディレクトリ内のすべてのフォルダーとサブフォルダーで.exe拡張子のすべてのファイルを除外します
  • C:\Sample.exe
  • C:\temp\test.exe
  • C:\Sample.doc
  • C:\temp\test.bat
  • C:\Sample
    注意
    注意
    C:\Sampleにはファイル拡張子がないため、除外に一致しません。
ファイル拡張子
C:\Sample.*
C:\ディレクトリ内のSampleという名前のすべてのファイルと任意の拡張子を除外します
  • C:\Sample.exe
  • C:\Sample1.doc
  • C:\temp\Sample.bat
  • C:\Sample
    注意
    注意
    C:\Sampleにはファイル拡張子がないため、除外に一致しません。
特定のディレクトリ構造内のファイル
C:\*\*\Sample.exe
C:\ディレクトリの第2サブフォルダー階層またはそれ以降のサブフォルダー内にあるファイル名と拡張子がSample.exeのすべてのファイルを除外します
  • C:\files\temp\Sample.exe
  • C:\files\temp\test\Sample.exe
  • C:\Sample.exe
  • C:\temp\Sample.exe
  • C:\files\temp\Sample.doc

スパイウェア/グレーウェアの例外の処理方法

スパイウェアが検出されると、不正プログラム検索の設定に応じて、不正プログラムを即座にクリーン、隔離、または削除することができます。スパイウェアイベントまたはグレーウェアイベントの除外を作成した後、ファイルを復元する必要があるかもしれません。特定されたファイルを復元するを参照してください。
または、処理を [パス] に設定して一時的にスパイウェアおよびグレーウェアを検索し、すべてのスパイウェアおよびグレーウェアの検出を [不正プログラム対策イベント] 画面に記録しますが、駆除、隔離、または削除は行いません。その後、検出されたスパイウェアおよびグレーウェアの除外を作成できます。除外リストが堅牢な場合は、処理を [駆除]、[隔離]、または [削除] のいずれかのモードに設定できます。
詳細については、不正プログラムの処理方法を設定するを参照してください。

検索除外の推奨設定

検索除外については、トレンドマイクロやその他のベンダが包括的な詳しい情報を提供しています。ここでは、検索除外の推奨設定の一部について、その概要を紹介します。
  • 隔離フォルダ(Microsoft Windows Exchange ServerのSMEXなど)は除外して、すでに不正プログラムであると確認されたファイルの再スキャンを回避する必要があります。
  • 大規模なデータベースおよびデータベースファイル (例えば、dsm.mdfおよびdsm.ldf) は、スキャンがデータベースのパフォーマンスに影響を与える可能性があるため、除外する必要があります。データベースファイルをスキャンする必要がある場合は、オフピーク時間にデータベースをスキャンする予約タスクを作成できます。Microsoft SQL Serverデータベースは動的であるため、ディレクトリおよびバックアップフォルダーをスキャンリストから除外してください。
Windowsの場合:
${ProgramFiles}\Microsoft SQL Server\MSSQL\Data\
${Windir}\WINNT\Cluster\ # if using SQL Clustering
Q:\ # if using SQL Clustering
Linuxの場合:
/var/lib/mysql/ # if path is set to this Data Location of MySQL in the machine.
/mnt/volume-mysql/ # if path is set to this Data Location of MySQL in the machine.
推奨される検索除外のリストについては、トレンドマイクロエンドポイント製品の推奨検索除外リストを参照してください。Microsoftも、Windowsサーバーでファイルを検索から除外するためのアンチウイルス除外リストを維持していますので、レファレンス/参照情報として使用できます。

信頼された証明書で署名されたファイルを除外する

アプリケーションに署名していて、そのプロセスのすべてのアクティビティをリアルタイムの 不正プログラム対策 から除外する場合は(ファイル検索、挙動監視、機械学習型検索を含む)、のデジタル証明書をの信頼済み証明書リストに追加します。 Workload Security。
この種類の除外は、Windowsのエージェントバージョン20.0.0-3549以降でサポートされます。
  1. ポリシーまたはコンピュータエディタで、[不正プログラム対策][詳細]に移動します。
  2. [信頼済み証明書の検出除外対象]セクションで、[信頼済み証明書を含むファイルを除外する][はい]または[継承 (はい)]に設定します。
  3. [証明書リストの管理]を選択します。
  4. 信頼された証明書ウィンドウには、インポートした証明書が表示されます。検索除外に追加するには[ファイルからインポート]を選択してください。
  5. 証明書ファイルを選択し、次に[次へ]を選択してください。
  6. 表示された証明書の要約を確認し、[次の処理でこの証明書を信頼][検索除外]に設定します。[次へ]を選択します。
  7. 要約ページはインポートが成功したかどうかを示します。[閉じる]を選択してください。
インポートされた証明書は、[除外]として[目的]にリストされている信頼された証明書リストに表示されます。
Workload Securityは、プロセスの開始時に除外リストを確認します。除外を設定する前にプロセスが実行中の場合、そのプロセスは再起動されるまで除外リストに追加されません。