不正プログラム検索の設定 · Customer Self-Service

不正プログラム検索の設定

不正プログラム検索設定は、ポリシーまたはコンピュータの不正プログラム対策を設定するときに適用できる、再利用可能な保存済み設定です。不正プログラム検索の設定では、 Workload Securityが実行する不正プログラム検索の種類と検索するファイルを指定します。一部のポリシープロパティは、不正プログラム検索の動作にも影響します。

CPU使用率とRAM使用率は、不正プログラム対策の設定によって異なります。不正プログラム対策のパフォーマンスをエージェントで最適化するには、不正プログラム対策のパフォーマンス向上のヒントを参照してください。

不正プログラム検索設定を作成または編集する

リアルタイム、手動、または予約検索の動作を制御するために、不正プログラム検索の設定を作成または編集します (不正プログラム検索の設定を参照)。必要に応じて、複数の不正プログラム検索の設定を作成できます。

不正プログラム検索の設定を作成した後、ポリシーまたはコンピュータの検索に関連付けることができます (実行する検索の種類を選択を参照)。
ポリシーまたはコンピュータが使用している不正プログラム検索設定を編集すると、この変更は設定に関連付けられている検索に影響します。

既存の設定に類似する不正プログラム検索設定を作成するには、既存の設定を複製して編集します。

不正プログラム検索の種類に応じて2種類の不正プログラム検索構成を作成できます (不正プログラム検索の種類を参照)。

リアルタイム検索の設定: リアルタイム検索を制御します。[アクセス拒否] などの一部の処理は、リアルタイム検索の設定でのみ使用可能です。
手動検索/予約検索の設定: 手動検索または予約検索を制御します。 [CPU使用率] などの一部のオプションは、手動検索または予約検索の設定でのみ使用できます。

Workload Security には、検索の種類ごとに初期設定の不正プログラム検索設定が用意されています。

[ポリシー] → [共通オブジェクト] → [その他] → [不正プログラム検索の設定]に移動します。
検索設定を作成するには、[新規]をクリックし、[新規の不正プログラムのリアルタイム検索設定]または[新規の不正プログラムの手動/予約検索設定]の順にクリックします。
1. 検索設定を識別する名前を入力します。この名前は、ポリシーで不正プログラム検索を設定するときにリストに表示されます。
2. オプションで、設定の使用例を説明する説明を入力します。
既存の検索設定を表示して編集するには、その検索設定を選択して [プロパティ] をクリックします。
検索設定を複製するには、その検索設定を選択して [複製] をクリックします。

不正プログラム検索設定を使用しているポリシーとコンピュータは、プロパティの [割り当て先] タブに表示されます。

不正プログラム検索をテストする

不正プログラム対策の設定手順を続行する前に、リアルタイム検索、手動検索、または予約検索をテストして、正常に動作することを確認します。

リアルタイム検索は、次の方法でテストできます。

リアルタイム検索が有効で、設定が選択されていることを確認します。
EICARサイトにアクセスして、不正プログラム対策テストファイルをダウンロードしてください。この標準化されたファイルは、リアルタイム検索のウイルス対策機能をテストします。ファイルは隔離されるべきです。
Workload Security コンソールで、[イベントとレポート] → [不正プログラム対策イベント]の順に選択して、EICARファイル検出のレコードを確認します。検出が記録されていれば、不正プログラム対策のリアルタイム検索は正常に機能しています。

手動検索または予約検索のテストを開始する前に、リアルタイム検索が無効になっていることを確認してください。

手動検索または予約検索は、次の手順でテストできます。

[管理]に移動します。
[スケジュールされたタスク] → [新規]をクリックします。
ダウンロードメニューから [コンピュータの不正プログラムを検索] を選択し、実行間隔を選択します。必要な指定を行い、検索の設定を完了します。
EICARサイトにアクセスして、不正プログラム対策テストファイルをダウンロードしてください。この標準化されたファイルは、手動/予約検索のウイルス対策機能をテストします。
予約検索を選択して、[今すぐタスクを実行] をクリックします。このテストファイルが隔離されればテストは成功です。
Workload Security コンソールで、[イベントとレポート] → [不正プログラム対策イベント]の順に選択して、EICARファイル検出のレコードを確認します。検出が記録されていれば、不正プログラム対策の手動/予約検索は正常に機能しています。

ドキュメントの脆弱性を突いた攻撃コードを検索する

現代のデータセンターでは、フィッシングやスピアフィッシングなどの手法を使用した標的型攻撃によるセキュリティ侵害が増加しています。これらの場合、不正プログラム作成者は、特定の環境を狙った不正プログラムを作成することで、従来の不正プログラムスキャナーを回避することができます。Workload Securityは、ドキュメントの脆弱性対策を通じて、新たな脅威や新興の脅威に対する強化された不正プログラム保護を提供します。

文書脆弱性対策では、ヒューリスティック検出と高度な脅威検索エンジン（ATSE）を使用して、保護対象のコンピュータ上のファイルを分析し、不審ファイルかどうかを判断します。

現在、Linux AMD64およびx86エージェントの不正プログラム対策監視レベルを次のように定義できます。

不正プログラム検索設定のプロパティを開きます。
[一般] タブの [不正プログラム対策監視レベル] で、[検出レベル] と [保護レベル] フィールドを使用して、潜在的な脅威に対応する際に機械学習型検索が適用する警戒と厳格さの度合いを割り当てることにより、検出と保護のレベルを構成します。
- 1 - 慎重: Workload Securityがアクティビティが悪意のあるものであると高い確信を持っている場合にのみ、検出または防止が実行されます。
- 2 - 中: Workload Securityがアクティビティが悪意のあるものであると中程度の確信を持っている場合に、検出または防止が実行されます。トレンドマイクロは、ほとんどの場合にこのレベルを使用することを推奨します。中レベルは、慎重レベルで検出または防止されるアクティビティも検出および防止します。
- 3 - アグレッシブ: Workload Securityが活動が悪意のあるものであるという確信が低い場合に、検出または防止が実行されます。アグレッシブレベルは、モデレートおよびカウシャスレベルで検出または防止される活動も検出および防止します。
- 4 - 超攻撃的: Workload Securityがアクティビティが悪意のあるものであるという確信が最も低い場合に、検出または防止が実行されます。超攻撃的レベルは、攻撃的、中程度、および慎重なレベルで検出または防止されるアクティビティも検出および防止します。

防御レベルは検出レベルと同じかそれ以下でなければなりません。

予防レベルは、予防レベルがスキャン結果の検出レベルと同じくらい積極的であるか、より積極的である場合にアクションを実行するかどうかを決定します。

ファイルが[イベントとレポート] → [イベント] → [不正プログラム対策イベント] → [識別されたファイル]ページで不正プログラムとして識別されたが、それが不正プログラムでないことがわかっている場合は、[不正プログラム対策] → [詳細]タブの[コンピュータ]または[ポリシー]エディタで[ドキュメントの脆弱性対策ルールの例外]リストに追加できます。ファイルを許可するには、ファイルを右クリックし、[許可]を選択し、一連のダイアログに従って手順を進めます。

macOSエージェントでは、エクスプロイトのドキュメントスキャンはサポートされていません。Linux AMD64およびx86以外のOSの予防および検出レベルを設定しても効果はなく、常にレベル2 - 中程度で実行されます。

Windows AMSI保護を有効にする（リアルタイム検索のみ）

Windows Antimalware Scan Interface (AMSI) は、MicrosoftがWindows 10以降で提供するインタフェースです。 Workload Securityでは、AMSIを使用して不正なスクリプトを検出します。 Workload Securityの不正プログラム検索設定では、このオプションは初期設定で有効になっています。

不正プログラム検索設定のプロパティを開きます。
[一般] タブで、[Windows Antimalware Scan Interface (AMSI)] の下にある [AMSI保護を有効にする] を選択します。
[検出レベル]および[保護レベル]フィールドを使用して、潜在的な脅威に対応する際に機械学習型検索が適用する警戒度と厳格さの度合いを割り当てることにより、検出および保護のレベルを構成します。
- 1 - 慎重: 検出または防止は、機械学習型検索がアクティビティが悪意のあるものであると高い確信を持っている場合にのみ実行されます。
- 2 - 中: 機械学習型検索がアクティビティが悪意のあるものであると中程度の確信を持っている場合に、検出または防止が実行されます。トレンドマイクロは、ほとんどのケースでこのレベルを使用することを推奨します。中レベルは、慎重レベルで検出または防止されるアクティビティも検出および防止します。
- 3 - アグレッシブ: 機械学習型検索がアクティビティが悪意のあるものであるという事実に対して低い信頼度を持つ場合に、検出または防止が実行されます。アグレッシブレベルは、モデレートおよびカウシャスレベルによって検出または防止されるアクティビティも検出および防止します。
- 4 - 超攻撃的: 機械学習型検索がアクティビティが悪意のあるものであるという確信が最も低い場合に、検出または防止が実行されます。超攻撃的レベルは、攻撃的、中程度、および慎重なレベルで検出または防止されるアクティビティも検出および防止します。
防御レベルは検出レベルと同じかそれ以下でなければなりません。

予防レベルは、予防レベルがスキャン結果の検出レベルと同じくらい積極的であるか、より積極的である場合にアクションを実行するかどうかを決定します。
[OK]をクリックします。

スパイウェア/グレーウェアを検索する

スパイウェアおよびグレーウェア対策を有効にすると、不審なファイルの検出時に、スパイウェア検索エンジンによってこれらのファイルが隔離されます。

不正プログラム検索設定のプロパティを開きます。
[一般タブ]で、[スパイウェア/グレーウェア保護を有効にする]を選択します。
[OK]をクリックします。

スパイウェア検索エンジンが無視するファイルを特定するには、不正プログラム対策の例外を作成するを参照してください。

圧縮済み実行可能ファイルを検索する (リアルタイム検索のみ)

ウイルスは、リアルタイム圧縮アルゴリズムを使用して、ウイルスフィルタを回避しようとすることがあります。IntelliTrap機能は、リアルタイムの圧縮済み実行可能ファイルを遮断し、他の不正プログラムの特性とファイルを組み合わせます。

IntelliTrapはそのようなファイルをセキュリティリスクとして識別し、安全なファイルを誤ってブロックする可能性があるため、IntelliTrapを有効にする場合はファイルを削除またはクリーンアップするのではなく、隔離することを検討してください。(不正プログラムの処理方法を設定するを参照してください。) ユーザがリアルタイムで圧縮された実行ファイルを定期的に交換する場合は、IntelliTrapを無効にしてください。IntelliTrapはウイルス検索エンジン、IntelliTrapパターンファイル、およびIntelliTrap除外パターンファイルを使用します。

不正プログラム検索設定のプロパティを開きます。
[一般] タブで、[IntelliTrapを有効にする] を選択します。
[OK]をクリックします。

IntelliTrapはmacOSエージェントではサポートされないことに注意してください。

プロセスメモリを検索する

プロセスメモリをリアルタイムでモニタし、トレンドマイクロSmart Protection Networkを使用して追加のチェックを行い、疑わしいプロセスが悪意のあるものであるかどうかを判断します。プロセスが悪意のあるものである場合、Workload Securityはプロセスを終了します。詳細については、Workload SecurityのSmart Protectionを参照してください

不正プログラム検索設定のプロパティを開きます。
[一般] タブの [プロセスメモリ検索] で、[プロセスメモリ内の不正プログラムを検索する] を選択します。

[検出レベル]および[保護レベル]フィールドを使用して、潜在的な脅威に対応する際に機械学習型検索が適用する警戒度と厳格さの度合いを割り当てることにより、検出および保護のレベルを構成します。
- 1 - 慎重: 検出または防止は、機械学習型検索がアクティビティが悪意のあるものであると高い確信を持っている場合にのみ実行されます。
- 2 - 中: 機械学習型検索がアクティビティが悪意のあるものであると中程度の確信を持っている場合に、検出または防止が実行されます。トレンドマイクロは、ほとんどのケースでこのレベルを使用することを推奨します。中レベルは、慎重レベルで検出または防止されるアクティビティも検出および防止します。
- 3 - アグレッシブ: 機械学習型検索がアクティビティが悪意のあるものであるという事実に対して低い信頼度を持つ場合に、検出または防止が実行されます。アグレッシブレベルは、モデレートおよびカウシャスレベルによって検出または防止されるアクティビティも検出および防止します。
- 4 - 超攻撃的: 機械学習型検索がアクティビティが悪意のあるものであるという確信が最も低い場合に、検出または防止が実行されます。超攻撃的レベルは、攻撃的、中程度、および慎重なレベルで検出または防止されるアクティビティも検出および防止します。
防御レベルは検出レベルと同じかそれ以下でなければなりません。

予防レベルは、予防レベルがスキャン結果の検出レベルと同じくらい積極的であるか、より積極的である場合にアクションを実行するかどうかを決定します。
[OK]をクリックします。

Deep Security エージェントバージョン20.0.1-12510以降では、[実行するアクション]を使用して、Deep Securityが不正プログラムを検出したときに実行する修復アクションを選択できます。推奨値は[トレンドマイクロの推奨処理]です。または、[放置]を選択することもできます。詳細については、ActiveActionアクションおよび不正プログラムの修復アクションのカスタマイズを参照してください。

macOSエージェントではプロセスメモリのスキャンはサポートされていませんのでご注意ください。

圧縮ファイルを検索する

圧縮ファイルを解凍し、コンテンツに不正プログラムが含まれていないか検索します。検索を有効にするときに、解凍するファイルの最大サイズと最大数を指定します (大きなファイルはパフォーマンスに影響を及ぼすことがあります)。また、圧縮ファイル内に存在する圧縮ファイルを検索できるように、検査する圧縮レベルも指定します。圧縮レベル1は、単一の圧縮ファイルです。レベル2は、ファイル内の圧縮ファイルです。最大6の圧縮レベルを検索できますが、レベルが高くなるとパフォーマンスに影響を及ぼす可能性があります。

不正プログラム検索設定のプロパティを開きます。
[詳細] タブで、[圧縮ファイルの検索] を選択します。
解凍するコンテンツファイルの最大サイズ (MB)、検索する圧縮レベル、解凍する最大ファイル数を指定します。
[OK]をクリックします。

埋め込みのMicrosoft Officeオブジェクトを検索する

Microsoft Officeの特定のバージョンでは、Object Linking and Embedding (OLE) を使用してOfficeファイルにファイルやその他のオブジェクトを挿入します。これらの埋め込みオブジェクトには、不正なコードが含まれている場合があります。

他のオブジェクトに埋め込まれているオブジェクトを検出するために、検索するOLE層の数を指定します。パフォーマンスへの影響を軽減するため、各ファイル内の埋め込みオブジェクトの層をいくつかだけ検索できます。

不正プログラム検索設定のプロパティを開きます。
[詳細設定タブ]で、[埋め込みMicrosoft Officeオブジェクト]を選択します。
検索するOLE層の数を指定します。
[OK]をクリックします。

macOSエージェントでは、埋め込まれたMicrosoft Officeオブジェクトの検索はサポートされないことに注意してください。

Notifierアプリケーションの手動検索を有効にする

トレンドマイクロ通知アプリケーションを通じて手動検索を有効にすることは、Windowsの場合はDeep Security Agent 20.0.0-5512以降、macOSの場合は20.0.0-180以降でサポートされています。

有効にすると、通知アプリケーションを介して検索を開始できます。

コンピュータエディタまたはポリシーエディタで、[不正プログラム対策] タブを選択します。
[一般] 水平タブをクリックします。
[手動検索]セクションで、[Agentによるトレンドマイクロの通知アプリケーションからの手動検索のトリガまたはキャンセルを許可します]を選択します。

検索対象ファイルを指定する

検索に含めるファイルとディレクトリを特定し、それらのファイルとディレクトリから除外するファイルを特定します。ネットワークディレクトリも検索できます。

除外対象
除外
ネットワークディレクトリを検索する (リアルタイム検索のみ)

検索対象

検索するディレクトリと、ディレクトリ内の検索するファイルも指定します。

検索するファイルを指定するには、次のいずれかのオプションを使用します。

すべてのファイル。
IntelliScanで判別されるファイルタイプ。IntelliScanは、.zipや.exeなど、感染しやすいファイルタイプのみを検索します。IntelliScanはファイル拡張子に依存せず、ファイルのヘッダや内容を読み取ってファイルタイプを判別し、検索対象かどうかを判断します。すべてのファイルを検索する場合と比べて、IntelliScanを使用すると検索するファイルの数が減り、パフォーマンスが向上します。
特定の構文を使用するパターンを含む指定されたリストに含まれるファイル名拡張子を持つファイル (ファイル拡張子リストの構文を参照)。

検索するディレクトリを指定するには、次のように、すべてのディレクトリまたはディレクトリのリストを指定します。

不正プログラム検索設定のプロパティを開きます。
[Inclusions] タブをクリックします。
検索するディレクトリを指定するには、[すべてのディレクトリ]または[ディレクトリリスト]を選択します。
[ディレクトリリスト] を選択した場合は、メニューから既存のリストを選択するか、[新規] を選択してリストを作成します。
検索するファイルを指定するには、[すべてのファイル]、[トレンドマイクロの推奨設定で検索されるファイルタイプ]、または [ファイル拡張子リスト] のいずれかを選択します。
[ファイル拡張子リスト] を選択した場合は、メニューから既存のリストを選択するか、[新規] を選択してリストを作成します。
[OK]をクリックします。

ディレクトリリストは特定の構文を使用してスキャンするディレクトリを識別します (ディレクトリリストの構文を参照)。

検索除外

検索対象からディレクトリ、ファイル、およびファイル拡張子を除外します。リアルタイム検索の場合は、プロセスイメージファイルを検索から除外することもできます。

除外するファイルとフォルダの例：

Microsoft Exchangeサーバの不正プログラム検索設定を作成する場合は、不正プログラムと確認されたファイルが再検索されないように、SMEX隔離フォルダを除外します。
サイズの大きいVMwareイメージがある場合は、パフォーマンスの問題が発生した場合は、これらのイメージが格納されているディレクトリを除外します。

信頼できるデジタル証明書で署名されたファイルを不正プログラム対策スキャンから除外することもできます。この種の除外は、ポリシーまたはコンピュータの設定で定義されます (信頼できる証明書で署名されたファイルを除外するを参照)。

ディレクトリ、ファイル、およびプロセスイメージファイルを除外するには、パターンを使用して除外する項目を特定するリストを作成します。

不正プログラム検索設定のプロパティを開きます。
[検索除外] タブをクリックします。
検索から除外するディレクトリを指定します。
1. ディレクトリリストの選択]
2. ディレクトリリストを選択するか、[新規]を選択して作成してください (ディレクトリリストの構文を参照)。
3. ディレクトリリストを作成した場合は、ディレクトリリストで選択します。
同様に、除外するファイルリスト、ファイル拡張子リスト、およびプロセスイメージファイルリストを指定します (ファイルリストの構文、ファイル拡張子リストの構文、およびプロセスイメージファイルリストの構文を参照)。
[OK]をクリックします。

ファイル除外のテスト

開始する前に、リアルタイム検索が有効で、設定が選択されていることを確認します。

以降の不正プログラム対策の設定手順に進む前に、ファイル除外をテストし、それらが正しく動作することを確認します。

[ポリシー] → [共通オブジェクト] → [その他] → [不正プログラム検索の設定]に移動します。
[新規] → [新規リアルタイム検索構成]をクリックします。
[ 検索除外]タブに移動し、ディレクトリリストから[ 新規]を選択します。
ディレクトリリストに名前を付けます。
[ディレクトリ] で、検索から除外するディレクトリのパスを指定します。例: c:\テストフォルダ\。[OK] をクリックします。
[一般タブ]に移動し、手動検索に名前を付けて[OK]をクリックします。
EICARサイトにアクセスして、不正プログラム対策テストファイルをダウンロードしてください。ファイルを前のステップで指定されたフォルダに保存します。ファイルは保存され、不正プログラム対策モジュールによって検出されないようにしてください。

ディレクトリリストの構文

除外	形式	説明	例
ディレクトリ	DIRECTORY\	指定したディレクトリとそのすべてのサブディレクトリにあるファイルをすべて除外します。	[C:\プログラムFiles \] 内のすべてのファイルを除外 Program Files ディレクトリとすべてのサブディレクトリ。
Directory with wildcard (*)	DIRECTORY\*\	指定されたサブディレクトリと、そこに含まれるファイルを除き、すべてのサブディレクトリを除外します。	[C:\abc\\] はすべてのサブディレクトリ内のすべてのファイルを除外します abc ただし、ファイルを除外しません abc ディレクトリ。 [C:\abc\wxz\]一致: C:\abc\wxz\ C:\abc\wx123z\ 一致しない: C:\abc\wxz C:\abc\wx123z [C:\abc\*wx\] 一致: C:\abc\wx\ C:\abc\123wx\ 一致しない: C:\abc\wx C:\abc\123wx
Directory with wildcard (*)	ディレクトリ*\	一致する名前を持つ任意のサブディレクトリを除外します。ただし、そのディレクトリにあるファイルおよび任意のサブディレクトリは除外しません。	C:\Program Files\SubDirName*\] フォルダ名が次で始まるサブディレクトリを除外します SubDirName . すべてのファイルを除外しません C:\Program Files\ または他のサブディレクトリ。
環境変数	${ENV VAR}	${ENV VAR} の形式を使用した環境変数で定義されるすべてのファイルおよびサブディレクトリを除外します。Windows の一般的な環境変数、例えば windir , programfiles , などがサポートされています。Linuxの場合、環境変数の値のペアはポリシーまたはコンピュータエディタ > 設定 > 一般 > 環境変数のオーバーライドで定義する必要があります。macOSではサポートされていません。	[${windir}] 変数が解決されると c:\windows , は、内のすべてのファイルを除外します c:\windows ディレクトリとそのすべてのサブディレクトリ。
コメント	DIRECTORY #コメント	除外の定義にコメントを追加します。	c:\abc #Exclude the abc directory

ディレクトリリストの項目では、WindowsとLinuxの両方の規則をサポートするために、スラッシュまたはバックスラッシュを使用できます。

ファイルリストの構文

除外	形式	説明	例
ファイル	FILE	場所やディレクトリに関係なく、指定したファイル名を持つすべてのファイルを除外します。macOSではサポートされていません。	[abc.doc] という名前のすべてのファイルを除外 abc.doc すべてのディレクトリで。除外しません abc.exe を参照してください。
ファイルパス	FILEPATH	ファイルパスで指定された単一のファイルを除外します。	[C:\Documents\abc.doc] という名前のファイルのみを除外 abc.doc の Documents ディレクトリ。
ワイルドカード (*) を使用したファイルパス	FILEPATH	ファイルパスで指定されたすべてのファイルを除外します。	[C:\Documents\abc.co*] (Windowsエージェントプラットフォームのみ) ファイル名が abc および拡張子の先頭 .co の Documents ディレクトリ。
ファイル名がワイルドカード（*）	FILEPATH\*	パス内のすべてのファイルを除外しますが、指定されていないサブディレクトリ内のファイルは除外します	[C:\Documents\] ディレクトリ内のすべてのファイルを除外 C:\Documents\ [C:\Documents\SubDirName\]フォルダ名がで始まるサブディレクトリ内のすべてのファイルを除外 SubDirName . すべてのファイルを除外しません C:\Documents\ または他のサブディレクトリ。[C:\Documents\\*] すべての[直接]サブディレクトリ内のすべてのファイルを除外 C:\Documents . 後続のサブディレクトリ内のファイルは除外されません。
ワイルドカード (*) を使用したファイル	FILE*	ファイル名のパターンに一致するすべてのファイルを除外します。 macOSではサポートされていません。	[abc.exe] はプレフィックスを持つファイルを除外します abc および拡張 .exe . [.db] 一致: 123.db abc.db 一致しない: 123db 123.abd cbc.dba [db] 一致: 123.db 123db ac.db acdb db 一致しない: db123 [wxy.db] 一致: wxy.db wxy123.db 一致しない: wxydb
ワイルドカード (*) を使用したファイル	FILE.EXT*	ファイルの拡張子のパターンに一致するすべてのファイルを除外します。 macOSではサポートされていません。	[abc.v] ファイル名が abc および拡張子の先頭 .v . [abc.pp] 一致: abc.pp abc.app 一致しない: wxy.app [abc.ap] 一致: abc.ap abc.a123p 一致しない: abc.pp [abc.] 一致: abc.123 abc.xyz 一致しない: wxy.123
ワイルドカード (*) を使用したファイル	FILE.EXT	ファイル名と拡張子のパターンに一致するすべてのファイルを除外します。 macOSではサポートされていません。	ac.ap 一致： ac.ap a123c.ap ac.a456p a123c.a456p 一致しない: ad.aa
環境変数	${ENV VAR}	環境変数 ${ENV VAR} の形式で指定されたファイルを除外します。`windir`、`programfiles` などの Windows の一般的な環境変数がサポートされています。 Linuxの場合、環境変数の値ペアはポリシーまたはコンピュータエディタ > 設定 > 一般 > オーバーライドで定義する必要があります。 macOSではサポートされていません。	${myDBFile} ファイル`myDBFile`を除外します。
コメント	FILEPATH #コメント	除外の定義にコメントを追加します。	`C:\Documents\abc.doc #これはコメントです`

ファイル拡張子リストの構文

除外	形式	説明	例
ファイル拡張子	EXT	一致する拡張子を持つすべてのファイルと一致します。	[doc] すべてのファイルに一致します .doc すべてのディレクトリの拡張子。
コメント	EXT #コメント	除外の定義にコメントを追加します。	doc #This is a comment

プロセスイメージファイルリストの構文

除外	形式	説明	例
ファイルパス	FILEPATH	ファイルパスで指定されたプロセスイメージファイルを除外します。	[C:\abc\file.exe] `abc` ディレクトリ内の `file.exe` という名前のファイルのみを除外します。

ネットワークディレクトリを検索する (リアルタイム検索のみ)

Network File System (NFS), Server Message Block (SMB) またはCommon Internet File System (CIFS) にあるネットワーク共有およびマップされたネットワークドライブ内のファイルとフォルダを検索する場合は、[ネットワークディレクトリ検索を有効にする]を選択します。このオプションはリアルタイム検索でのみ使用できます。

GVFS (GNOMEデスクトップで利用できる仮想ファイルシステム) を通じて~/.gvfsでアクセスされるリソースは、ネットワークドライブではなくローカルリソースとして扱われます。

Windowsでネットワークフォルダの検索中にウイルスが検出された場合、エージェントに駆除失敗 (削除失敗) イベントが表示されることがあります。

リアルタイム検索を実行するタイミングを指定する

ファイルを読み取り用に開くとき、ファイルに書き込むとき、またはその両方で検索するかどうかを次のいずれかで選択します。

不正プログラム検索設定のプロパティを開きます。
[詳細] タブで、[リアルタイム検索] プロパティのオプションを1つ選択します。
[OK]をクリックします。

不正プログラム処理の設定

不正プログラムが検出された場合のWorkload Securityの動作を設定します。

不正プログラムの修復アクションをカスタマイズ
不正プログラム検出のアラートを生成する

不正プログラム修復処理をカスタマイズする

Workload Securityは不正プログラムを検出すると、修復処理を実行してファイルを処理します。不正プログラムが検出された場合、 Workload Securityは次の処理を実行できます。

放置: 感染ファイルに何もせずに、そのファイルへのフルアクセスを許可します (不正プログラム対策イベントは引き続き記録されます)。

修復処理 [放置] は、ウイルスの可能性がある場合には使用しないでください。
駆除: 完全なアクセスを許可する前に感染ファイルを駆除します。駆除できないファイルは、隔離されます。
削除: ]Linuxでは、感染ファイルはバックアップせずに削除されます。

Windowsでは、感染したファイルはバックアップされてから削除されます。Windowsのバックアップファイルは[イベントとレポート] → [イベント] → [不正プログラム対策イベント] → [検出されたファイル]で表示および復元できます。
アクセスを拒否:

このスキャンアクションはリアルタイムスキャン中にのみ実行できます。Workload Securityが感染ファイルを開いたり実行しようとする試みを検出すると、直ちに操作をブロックします。感染ファイルは変更されません。アクセス拒否アクションがトリガーされると、感染ファイルは元の場所に留まります。

[リアルタイム検索] が [書き込み時]に設定されているときに是正処置 [アクセス拒否] を使用しないでください。[書き込み時]が選択されている場合、ファイルが書き込まれるとファイルが検索され、[アクセス拒否]の処理は無効になります。
隔離:感染したファイルをコンピュータの隔離ディレクトリに移動します。隔離されたファイルは[イベントとレポート] → [イベント] → [不正プログラム対策イベント] → [識別されたファイル]で表示および復元できます。

Linuxで[隔離]としてマークされた不正プログラムは、Windowsでは[削除]としてマークされることがありますが、両方のオペレーティングシステムで不正プログラムは同一です。いずれの場合も、ファイルは[イベント & レポート] → [イベント] → [不正プログラム対策イベント] → [検出されたファイル]で表示および復元できます。

Windowsでは、感染した非圧縮ファイル (例えば、.txtファイル) は隔離され、感染した圧縮ファイル (例えば、.zipファイル) は削除されます。Windowsでは、隔離または削除されたファイルのバックアップがあり、[イベントとレポート] → [イベント] → [不正プログラム対策イベント] → [識別されたファイル]で表示および復元できます。Linuxでは、すべての感染ファイル (圧縮ファイルおよび非圧縮ファイル) は隔離され、[イベントとレポート] → [イベント] → [不正プログラム対策イベント] → [識別されたファイル]で表示および復元できます。

不正プログラム検索設定の初期設定の修復処理は、ほとんどの状況に適しています。ただし、 Workload Securityが不正プログラムを検出したときに実行する処理はカスタマイズできます。次のように、ActiveActionによって決定された処理を使用するか、脆弱性の種類ごとに処理を指定できます。

不正プログラム検索設定のプロパティを開きます。
[詳細]タブで、[修復アクション]に[カスタム]を選択します。
実行する処理を指定します。
- トレンドマイクロ推奨の修復処理から実行する処理を決定するには、[トレンドマイクロの推奨処理を使用] を選択します。
- 脆弱性の種類ごとに処理を指定するには、[カスタム処理を使用] を選択してから、使用する処理を選択します。
潜在的な不正プログラムに対して実行する処理を指定します。
[OK]をクリックします。

ActiveActionは、各不正プログラムカテゴリに最適化されたクリーンアップアクションの定義済みグループです。トレンドマイクロは、個々の検出が適切に処理されるように、ActiveActionのアクションを継続的に調整しています (ActiveActionアクションを参照)。

macOSエージェントの場合、サポートされるカスタム処理は、ウイルス、トロイの木馬、およびスパイウェアです。

トレンドマイクロの推奨処理

次の表は、トレンドマイクロの推奨処理を選択した場合に実行される処理の一覧です。

不正プログラムの種類	処理
ウイルス	クリーン。ウイルスをクリーンできない場合、(Windowsでは) 削除され、(LinuxまたはSolarisでは) 隔離されます。この動作には除外があります。LinuxまたはSolarisエージェントでTest Virusタイプのウイルスが見つかった場合、感染ファイルへのアクセスは拒否されます。
トロイの木馬	検疫
パッカー	隔離
スパイウェア	隔離
CVE攻撃コード	隔離
アグレッシブ検出ルール	この設定はより多くの問題を検出しますが、誤検知も増える可能性があるため、デフォルトのアクションはイベントを発生させることです。
クッキー	削除リアルタイムスキャンには適用されません。
その他の脅威	駆除脅威を駆除できない場合は、次のように処理されます。 Windowsでは、感染したファイルは削除されますが、必要に応じて表示および復元できます LinuxまたはSolarisでは、感染ファイルへのアクセスが拒否されますまた、LinuxまたはSolarisのエージェントでは、「Joke」タイプのウイルスが検出された場合、ウイルスはただちに隔離されます。駆除は行われません。
不正プログラムの可能性	トレンドマイクロの推奨処理

CVE攻撃コードとアグレッシブ検出ルールの詳細については、攻撃コードのスキャンドキュメントを参照してください。

AgentでアップデートサーバまたはRelayからウイルスパターンファイルのアップデートをダウンロードすると、それに応じてトレンドマイクロの推奨処理が変わることがあります。

不正プログラム検出のアラートを生成する

Workload Securityが不正プログラムを検出した場合は、次のようにアラートを生成できます。

不正プログラム検索設定のプロパティを開きます。
[一般] タブで、[アラート] に対して [この不正プログラム検索設定でイベントが記録されたときにアラートを発令する] を選択します。
[OK]をクリックします。

ファイルのハッシュダイジェストにより不正プログラムファイルを特定する

Workload Security では、不正プログラムファイルのハッシュ値を計算し、[イベント&レポート] → [イベント] → [不正プログラム対策イベント]ページに表示できます。一部の不正プログラムには複数の異なる名前が使用されていることがあるため、不正プログラムを一意に識別するハッシュ値が役立ちます。ハッシュ値は、他のソースでその不正プログラムに関する情報を確認する場合に使用できます。

設定するポリシーエディタまたはコンピュータエディタを開きます。
[不正プログラム対策] → [詳細]をクリックします。
[ファイルハッシュ計算] で、[初期設定] または [継承] チェックボックスをオフにします。ルートポリシーの場合は [初期設定]、子ポリシーの場合は [継承済み] と表示されます。

[継承] チェックボックスがオンになっている場合、ファイルハッシュ設定は現在のポリシーの親ポリシーから継承されます。

[Default] が選択されている場合、 Workload Security はハッシュ値を計算しません。
[すべての不正プログラム対策イベントのハッシュ値を計算する] を選択します。
デフォルトでは、Workload SecurityはSHA-1ハッシュ値を生成します。追加のハッシュ値を生成したい場合は、[MD5]と[SHA256]のいずれかまたは両方を選択できます。
ハッシュ値を計算する不正プログラムファイルの最大サイズを変更することもできます。初期設定では128MBを超えるファイルはスキップされますが、この値を64～512MBの任意の値に変更できます。

コンピュータで通知を設定する

WindowsベースのAgentでは、不正プログラム対策およびWebレピュテーションモジュールに関連して実行する必要があるWorkload Security処理について警告する通知メッセージが画面に表示されることがあります。たとえば、不正プログラムのクリーンナップタスクで再起動が必要ですというメッセージが表示されることがあります。ダイアログを閉じるには、[OK] をクリックする必要があります。

これらの通知が表示されないようにするには、次の手順を実行します。

コンピュータエディタまたはポリシーエディタに移動します。
左側にある [設定] をクリックします。
[ホストのすべてのポップアップ通知を抑制] を [はい] に設定します。メッセージは引き続き Workload Securityでアラートまたはイベントとして表示されます。Notifierの詳細については、Notifierを参照してください。

Workload Security にアクセスできない場合に予約検索を実行する

Windowsでは、この機能はDeep Securityエージェントバージョン20.0.3445以降でサポートされています。

通常、エージェントがオフラインの場合、不正プログラムの予約検索はキューに登録されます。エージェントがWorkload Securityに接続できない場合でも予約検索を実行するには、次の手順を実行します。

[コンピュータ]または[ポリシーエディタ]に移動します。
左側で [不正プログラム対策] をクリックします。
[ 一般]タブで、[予約検索]を選択し、[エージェントでの不正プログラムの予約検索の実行を有効にする]を選択します。

注意

選択時:

[スケジュールされたタスク]ページの[今すぐタスクを実行]ボタンはこのエージェントでは無効になっています。
Workload Securityマネージャは、エージェントがオフラインのときに予約検索タスクを積極的にキューに入れることはありません。

トラブルシューティング

次の特殊なケースでは、エージェントがオフライン予約検索を起動しないことがあります。

コンピュータがシャットダウンしている場合、コンピュータの再起動時にタイムアウトすると、次回の予約検索が実行されないことがあります。
コンピュータが予約検索中にシャットダウンされた場合、中断された予約検索はコンピュータが再起動されても続行されません。