ビュー:

ポリシーに挙動監視を適用する方法を設定します。

重要
重要
Windows Serverコンピュータでは、いずれのバージョンでも初期設定で挙動監視が無効になっています。
挙動監視を設定する前に、機能を有効にする必要があります。機能を有効にしたら、次の設定を行います。
関連情報

監視レベル

監視レベルは、潜在的な脅威の検出時と応答時に適用される、警戒と厳しさの度合いです。センサの感度レベルを上げるほど、検出数やアラート数が増加します。進行中の脅威を調査する際など、感度レベルを上げることで、厳しく監視可能ですが、重要ではないログが大量に生成されてエンドポイントのパフォーマンスに影響する可能性があります。トレンドマイクロでは、監視レベルを [2 - 中程度] に設定し、エンドポイントへの影響を最小限に抑えながら関連性が高いデータを取得することをお勧めします。監視レベルを高く設定した場合、コンポーネントによっては、使用できないプラットフォームがあります。

不正プログラム挙動ブロック

不正プログラム挙動ブロックにより、不正プログラムの挙動を示すプログラムからの追加の脅威に対する保護に必要な層を提供します。不正プログラム挙動ブロックは長時間にわたり、システムイベントを観察します。プログラムが通常とは異なるシーケンスまたは組み合わせの処理を実行すると、不正プログラム挙動ブロックが既知の不正プログラムの挙動を検出して、関連プログラムをブロックします。この機能を使用すると、新たに出現した脅威に対する保護のレベルを向上できます。
不正プログラム挙動監視は次の脅威レベルの検索オプションを提供します。
  • 既知の脅威:既知の不正プログラムの脅威に関連付けられた挙動をブロックします。
  • 既知および潜在的な脅威: 既知の脅威に関連付けられた挙動をブロックし、潜在的に不正な挙動に対して処理を実行します。
通知が有効になっているプログラムをブロックした後、Trend Vision One Endpoint Securityエージェントはエンドポイントに通知を表示します。

ランサムウェア対策

ランサムウェア対策は、ランサムウェアによるエージェント上のファイルの不正な変更や暗号化を防止します。ランサムウェアは不正プログラムの一種で、ファイルへのアクセスを制限し、ファイルの復元と引き換えに金銭を要求してきます。
Apex Oneには、ランサムウェアの脅威から環境を保護する対策として次のオプションが用意されています。
注意
注意
Trend Vision One Endpoint Securityエージェントで安全なプロセスが不正プロセスとして検出される確率を少なくするには、エージェントがインターネットにアクセスし、トレンドマイクロのサーバを使用してその他の検証プロセスを実行できるようにします。
オプション
説明
不正な暗号化や変更から文書を保護
ランサムウェアの可能性のある特定のイベントシーケンスを検出するように、挙動監視を設定できます。Trend Vision One Endpoint Securityエージェントは、次のすべての条件に該当する場合、不正なプログラムを終了して隔離を試みます。
  1. 一定期間内に3つのファイルを変更、削除、または名前変更しようとする、安全と認識されていないプロセス
  2. 保護されているファイルの拡張子の種類を変更しようとしたプロセス
さらに、[不審なプログラムによって変更されたファイルを自動的にバックアップして復元] を有効にすると、ランサムウェアによって暗号化の対象とされやすいファイルのコピーが事前にエンドポイントに作成されます。暗号化プロセスの完了後にApex Oneでランサムウェアの脅威が検出されると、影響を受けたファイルの復元を求めるメッセージが表示され、事前にバックアップされていたファイルを復元する事で、データを失うリスクを低減できます。
注意
注意
自動ファイルバックアップを実行するには、クライアントエンドポイントに100MB以上のディスク容量が必要です。また、バックアップされるのは10MB未満のファイルだけです。
エージェントエンドポイントのバックアップフォルダの場所は、<エージェントインストールフォルダ>¥CCSF¥module¥DRE¥dataです。
警告
警告
[不審なプログラムによって変更されたファイルを自動的にバックアップして復元] を有効にしないと、Apex Oneで新しいランサムウェアの脅威による攻撃を最初に受けたファイルを回復できません。
ランサムウェアに関連付けられていることの多いプロセスをブロック
多くのランサムウェアは、エンドポイントの特定の場所に実行可能ファイルとして侵入し、ファイルのハイジャックを試みます。該当する場所から開始されるプロセスをブロックすることで、ランサムウェアによるファイルのハイジャックを回避できます。
プログラム検査を有効にして不正な実行可能ファイルを検出およびブロック
プログラム検査は、プロセスを監視してAPIフックを行うことで、予期しない挙動を示すプログラムを特定します。これにより、不正な実行可能ファイルの全体的な検出率が高くなりますが、システムのパフォーマンスが下がる場合があります。
ヒント
ヒント
[ブロックする脅威] リストから [既知の脅威と潜在的な脅威] を選択すると、プログラム検査によるセキュリティが向上します。

脆弱性対策

脆弱性対策は、プログラム検査と連携して機能し、プログラムの挙動を監視して、プログラムの脆弱性を悪用した攻撃の疑いがある異常な動作を検出します。不審な動作が検出されると、挙動監視によってプログラムのプロセスが終了されます。
重要
重要
脆弱性対策を使用するには、[プログラム検査を有効にして不正な実行可能ファイルを検出およびブロック] を選択する必要があります。

新たに検出されたプログラム対策

挙動監視はWebレピュテーションサービスおよびリアルタイム検索と連携して機能し、Webチャネル、メールアプリケーション、またはMicrosoft Officeマクロスクリプト経由でダウンロードされたファイルの普及度を確認します。「新たに検出された」ファイルが検出された後に、管理者は、ユーザがファイルを実行する前にユーザに確認を求めるように設定することができます。トレンドマイクロでは、ファイルの検出数、またはSmart Protection Networkにより特定されたファイルの存続期間に基づいて、新たに検出されたプログラムを分類します。
挙動監視は各チャネルで次のファイルタイプを検索します。
  • Web (HTTP/HTTPS): .exeファイルを検索します。
  • メールアプリケーション: .exeファイル、および暗号化されていない.zipファイルや.rarファイルに含まれる圧縮された.exeファイルを検索します。
注意
注意
  • このプロンプトが表示される前にTrend Vision One Endpoint SecurityエージェントでHTTP/HTTPSトラフィックを検索できるようにするためには、管理者はエージェントのWebレピュテーションサービスを有効にする必要があります。
  • Trend Vision One Endpoint Securityエージェントは、処理実行中にメールアプリケーションを介してダウンロードされたファイル名を一致させます。ファイル名が変更されると、ユーザにプロンプトは表示されません。

イベント監視

イベント監視は、不正なソフトウェアおよび不正なプログラムによる攻撃に対して保護するためのより一般的なアプローチを提供します。イベント監視では、システムエリアで特定のイベントを監視して、管理者がこのようなイベントを実行するプログラムを制御できるようにします。不正プログラム挙動ブロックで提供される保護を超える特別なシステム要件がある場合は、イベント監視を使用してください。
次の表は監視対象のシステムイベントの一覧を示しています。

監視対象のシステムイベント

イベント
説明
AIアプリ対策
このポリシーを設定し、AI統合アプリケーションおよび関連ファイルを悪意のある改変から保護してください。
システムファイルの複製
多くの不正プログラムは、Windowsシステムファイルが使用しているファイル名を使って、自分自身または他の不正プログラムのコピーを作成します。これは、通常、システムファイルの上書きまたは置換、検出の回避、またはユーザによる不正ファイルの削除を阻止する目的で実行されます。
Hostsファイルの変更
Hostsファイルは、ドメイン名とIPアドレスを比較し、一致しているかどうかを確認します。不正プログラムの多くは、感染したWebサイト、存在しないWebサイト、または偽のWebサイトにWebブラウザをリダイレクトするようにHostsファイルを変更します。
不審な挙動
不審な挙動とは、正規プログラムではまれにしか実行されない特定の処理または処理グループです。不審な挙動を示すプログラムは、注意して使用する必要があります。
Internet Explorerプラグインの追加
スパイウェア/グレーウェアは、多くの場合、ツールバーやブラウザヘルパーオブジェクトを含む不要なInternet Explorerプラグインをインストールします。
Internet Explorer設定の変更
不正プログラムは、ホームページ、信頼するWebサイト、プロキシサーバの設定、メニュー拡張などのInternet Explorerの設定を変更することがあります。
セキュリティポリシー設定の変更
Windowsセキュリティポリシーを変更して、不要なアプリケーションを実行し、システム設定を変更させる場合があります。
DLL (プログラムライブラリ) インジェクション
不正プログラムの多くは、すべてのアプリケーションがプログラムライブラリ (DLL) を自動的にロードするように、Windowsを設定します。これにより、アプリケーションが起動するたびに、DLL内の不正なルーチンが実行されるようになります。
シェル設定の変更
多くの不正プログラムは、Windowsシェルの設定を変更し、それらを特定のファイルタイプに関連付けます。ユーザがWindowsエクスプローラで関連付けられたファイルを開くと、このルーチンによって不正プログラムが自動的に起動します。不正プログラムは、Windowsシェルの設定を変更することで、使用されているプログラムの追跡を可能にしたり、正規のアプリケーションと一緒に自身を起動できるようにしたりします。
サービスの追加
Windowsサービスは特殊な機能を持ち、通常はフル管理アクセス権でバックグラウンドで継続して実行されるプロセスです。不正プログラムは、自身をサービスとしてインストールし、隠れた状態のままでいることがあります。
システムファイルの変更
特定のWindowsシステムファイルは、スタートアッププログラムやスクリーンセーバの設定を含む、システムの挙動を決定します。多くの不正プログラムは、システムファイルを変更することで、スタートアップ時に自動的に起動し、システムの挙動を制御できるようにします。
ファイアウォールポリシー設定の変更
Windowsファイアウォールポリシーは、ネットワークにアクセス可能なアプリケーション、通信用に開くポート、コンピュータと通信可能なIPアドレスを決定します。多くの不正プログラムは、このポリシーを変更して、自身がネットワークとインターネットへアクセスできるようにします。
システムプロセスの変更
多くの不正プログラムが組み込みWindowsシステムのプロセスでさまざまな処理を実行します。これらの処理には、実行中のプロセスを終了または変更するものがあります。
スタートアッププログラムの追加
不正なアプリケーションは、通常、Windowsレジストリに自動スタートエントリを追加または変更して、コンピュータを起動するたびに自動的に起動します。
イベント監視で監視対象のシステムイベントを検出すると、そのイベントに設定された処理を実行します。
次の表は、管理者が監視対象のシステムイベントで実行できる処理の一覧を示します。

監視対象のシステムイベントでの処理

処理
説明
診断
Trend Vision One Endpoint Securityエージェントは常にイベントに関連したプログラムの実行を許可し、診断用にイベントをログに記録します。
これは、すべての監視対象のシステムイベントのデフォルトの処理です。
注意
注意
このオプションは、64ビットシステムのプログラムライブラリインジェクション (DLLインジェクション) イベントではサポートされていません。
許可
Trend Vision One Endpoint Securityエージェントは常にイベントに関連したプログラムの実行を許可します。
必要に応じて問い合わせ
Trend Vision One Endpoint Securityエージェントはイベントに関連したプログラムの実行を許可または拒否するように求めるメッセージを表示し、プログラムを除外リストに追加します。
特定の期間内にユーザが応答しない場合、Trend Vision One Endpoint Securityエージェントは自動的にプログラムの実行を許可します。デフォルトの期間は30秒です。
注意
注意
このオプションは、64ビットシステムのプログラムライブラリインジェクション (DLLインジェクション) イベントではサポートされていません。
拒否
Trend Vision One Endpoint Securityエージェントは常にイベントに関連したプログラムの実行をブロックし、イベントをログに記録します。
通知が有効になっているプログラムをブロックした後、Trend Vision One Endpoint Securityエージェントはエンドポイントに通知を表示します。
Keywords: 不正プログラム挙動ブロック,監視対象のシステムイベント時の処理,監視対象のシステムイベント,システムイベント時の処理,イベント監視