ビュー:
不正プログラム検索設定は、ポリシーまたはコンピュータの不正プログラム対策を設定するときに適用できる、再利用可能な保存済み設定です。不正プログラム検索の設定では、 Server & Workload Protection で実行する不正プログラム検索の種類と検索するファイルを指定します。一部のポリシープロパティは、不正プログラム検索の動作にも影響します。
ヒント
ヒント
CPU使用率とRAM使用率は、不正プログラム対策の設定によって異なります。 エージェントの不正プログラム対策のパフォーマンスを最適化するには、を参照してください。不正プログラム対策のパフォーマンスに関するヒント

不正プログラム検索設定を作成または編集する

不正プログラム検索設定を作成または編集して、リアルタイム検索、手動検索、または予約検索の動作を制御します。 (詳細については、不正プログラム検索の設定.) 必要に応じて、複数の不正プログラム検索設定を作成できます。
  • 不正プログラム検索設定を作成したら、ポリシーまたはコンピュータの検索に関連付けることができます (「実行する検索の種類を選択します)
  • ポリシーまたはコンピュータが使用している不正プログラム検索設定を編集すると、この変更は設定に関連付けられている検索に影響します。
ヒント
ヒント
既存の設定に類似する不正プログラム検索設定を作成するには、既存の設定を複製して編集します。
制御する検索の種類に応じて、2種類の不正プログラム検索設定を作成できます。不正プログラム検索の種類):
  • [リアルタイム検索の設定:] リアルタイム検索を制御します。 [アクセス拒否] などの一部の処理は、リアルタイム検索設定でのみ使用できます。
  • [手動/予約検索の設定:] 手動検索または予約検索を制御します。 [CPU使用率] などの一部のオプションは、手動検索/予約検索の設定でのみ使用できます。
Server & Workload Protection には、検索の種類ごとに初期設定の不正プログラム検索設定が用意されています。
  1. に移動[Policies] [共通オブジェクト] [その他] [不正プログラム検索設定]
  2. 検索設定を作成するには、 [新規] をクリックし、 [新しいリアルタイム検索設定] または [新しい手動検索/予約検索の設定]をクリックします。
    1. 検索設定を識別するための名前を入力します。ポリシーで不正プログラム検索を設定するときに、この名前がリストに表示されます。
    2. (オプション) この設定の使用例の説明を入力します。
  3. 既存の検索設定を表示および編集するには、検索設定を選択して [プロパティ]をクリックします。
  4. 検索設定を複製するには、検索設定を選択して [複製]をクリックします。
ヒント
ヒント
不正プログラム検索設定を使用するポリシーとコンピュータを確認するには、プロパティの [割り当て対象] タブをご覧ください。

不正プログラム検索をテストする

以降の不正プログラム対策の設定手順に進む前に、リアルタイム検索および手動/予約検索をテストし、それらが正しく動作することを確認します。
[リアルタイム検索のテスト:]
  1. リアルタイム検索が有効で、設定が選択されていることを確認します。
  2. に移動します。 EICARサイト不正プログラム対策テストファイルをダウンロードします。この標準化されたファイルは、リアルタイム検索のウイルス対策機能をテストします。ファイルを隔離する必要があります。
  3. Server & Workload Protection コンソールで、次の場所に移動します。[イベントとレポート] [不正プログラム対策イベント] EICARファイル検出の記録を確認します。検出が記録されている場合、不正プログラム対策リアルタイム検索は正常に動作しています。
[手動/予約検索のテスト:]
注意
注意
手動/予約検索のテストを開始する前に、リアルタイム検索が無効になっていることを確認します。
  1. [管理]に移動します。
  2. クリック[予約タスク] [新規]
  3. ドロップダウンメニューから [コンピュータの不正プログラムを検索] を選択し、頻度を選択します。必要な仕様で検索設定を完了します。
  4. に移動します。 EICARサイト不正プログラム対策テストファイルをダウンロードします。この標準化されたファイルは、手動検索/予約検索のウイルス対策機能をテストします。
  5. 予約検索を選択し、 [今すぐタスクを実行]をクリックします。テストファイルは隔離する必要があります。
  6. Server & Workload Protection コンソールで、次の場所に移動します。[イベントとレポート] [不正プログラム対策イベント] EICARファイル検出の記録を確認します。検出が記録されている場合、不正プログラム対策の手動検索/予約検索は正常に動作しています。

不正プログラムスキャンの機能と特徴を設定する

関連項目:

不正プログラム対策の監視レベルを設定

重要
重要
監視レベルはエージェントバージョン20.0.1.25770以降のみサポートされています。サポートされていないバージョンはデフォルトレベルの[2 - 中程度]を使用し、変更することはできません。
Linuxエージェントのサポートは64ビット (x86-64) および32ビット (x86) システムに限定されています。他のLinuxアーキテクチャに展開されたエージェントは、デフォルトの[2 - 中程度]レベルを使用し、変更することはできません。
[Anti-Malware Monitoring Level]設定では、不正プログラム対策スキャンの感度と潜在的な脅威に対応する際の厳格さを設定できます。高いレベルでは、進行中の脅威調査などの状況に役立つより厳格な監視が可能ですが、多数の不要なログが生成され、エンドポイントのパフォーマンスに影響を与える可能性があります。
エンドポイントのパフォーマンスへの影響や追加の検出ログの生成の可能性があるため、トレンドマイクロは[2 - 中程度]のデフォルト設定を使用することを推奨します。進行中の脅威を調査している場合や、サポートプロバイダから指示があった場合のみ、より高いレベルを使用してください。
  1. 不正プログラム検索設定のプロパティを開きます。
  2. [一般]タブで、[Anti-Malware Monitoring Level]の下にある[Detection level][Prevention level]の設定を構成します。
    重要
    重要
    • [Prevention level][Detection level]と同じかそれ以下でなければなりません。
  3. [OK] をクリックします。
ヒント
ヒント
不正プログラム対策スキャンと挙動監視で特定の検出ルールを除外したい場合は、[Anti-Malware ][ Advanced]タブのコンピュータまたはポリシーエディタでルールIDをルール例外リストに追加できます。ルールIDは、イベントとReportsでイベントを表示することで確認できます。詳細については、不正プログラム対策の除外の作成を参照してください。

Windows AMSIによる保護を有効にする (リアルタイム検索のみ)

Windows Antimalware Scan Interface (AMSI) は、Windows 10以降でMicrosoftによって提供されるインターフェイスです。Server & Workload ProtectionはAMSIを活用して不正なスクリプトを検出します。デフォルトでは、このオプションはServer & Workload Protectionの不正プログラムスキャン構成で有効になっています。
  1. 不正プログラム検索設定のプロパティを開きます。
  2. [一般]タブで、[Enable AMSI protection]を選択します。
  3. [Detection level][Prevention level]の設定を構成します。
    重要
    重要
    • 検出および防止レベルの調整は、バージョン20.0.1.25770以降のエージェントバージョンのみサポートされています。サポートされていないバージョンは[2 - 中程度]のデフォルトレベルを使用し、変更することはできません。
    • 高いレベルは感度が高くなりますが、多くの不要なログが生成され、エンドポイントのパフォーマンスに影響を与える可能性があります。トレンドマイクロは、エンドポイントへの影響を最小限に抑えつつ、より関連性の高いデータを得るために[2 - 中程度]を選択することを推奨します。
    • [Prevention level][Detection level]と同じかそれ以下でなければなりません。
    • [Action to take]の選択は、選択された防止レベルに対して実行される防止アクションに影響を与える可能性があります。
  4. [Action to take]について、Server & Workload Protectionが不正プログラムを検出したときに実行する修復アクションを選択してください
    • [Terminate (recommended)]: 検出されたプロセスの実行を停止します。
    • [放置]: Server & Workload Protectionはプロセスに対してアクションを実行せずに不正プログラム対策イベントを記録します。
  5. [OK]をクリックします。

スパイウェア/グレーウェアを検索する

スパイウェアおよびグレーウェア対策を有効にすると、不審なファイルの検出時に、スパイウェア検索エンジンによってこれらのファイルが隔離されます。
  1. 不正プログラム検索設定のプロパティを開きます。
  2. General tabEnable spyware/grayware protectionを選択します。
  3. [OK]をクリックします。
スパイウェア検索エンジンで無視するファイルを特定するには、を参照してください。不正プログラム対策の除外の作成

圧縮済み実行可能ファイルを検索する (リアルタイム検索のみ)

ウイルスは多くの場合、リアルタイム圧縮アルゴリズムを使用してウイルスフィルタを回避しようとします。 IntelliTrap機能は、リアルタイムで圧縮された実行可能ファイルをブロックし、他の不正プログラムの特性と組み合わせます。
注意
注意
IntelliTrapはこのようなファイルをセキュリティリスクとして識別し、安全なファイルを誤ってブロックする可能性があるため、IntelliTrapを有効にするときは、ファイルの隔離 (削除や駆除ではなく) を検討してください。 (「不正プログラムの処理方法の設定.) ユーザがリアルタイムで圧縮された実行可能ファイルを定期的に交換する場合は、IntelliTrapを無効にします。 IntelliTrapは、ウイルス検索エンジン、 IntelliTrapパターンファイル、およびIntelliTrap除外パターンファイルファイルを使用します。
注意
注意
macOSエージェントの場合、IntelliTrapはサポートされません。
  1. 不正プログラム検索設定のプロパティを開きます。
  2. [一般] タブで、 Enable IntelliTrapを選択します。
  3. [OK]をクリックします。

プロセスメモリを検索する (リアルタイム検索のみ)

重要
重要
スキャンプロセスメモリはLinuxおよびmacOSエージェントをサポートしていません。
プロセスメモリをリアルタイムで監視し、 トレンドマイクロ Smart Protectionネットワークを使用して追加のチェックを実行して、不審なプロセスが悪意があるかどうかを判断します。プロセスが不正である場合、 Server & Workload Protection はプロセスを終了します。詳細については、 Server & Workload ProtectionのSmart Protection
  1. 不正プログラム検索設定のプロパティを開きます。
  2. [一般]タブで、[Scan process memory for malware]を選択します。
  3. [Detection level][Prevention level]の設定を構成します。
    重要
    重要
    • 検出および防止レベルの調整は、バージョン20.0.1.25770以降のエージェントバージョンのみサポートされています。サポートされていないバージョンは[2 - 中程度]のデフォルトレベルを使用し、変更することはできません。
    • 高いレベルは感度が高くなりますが、多くの不要なログが生成され、エンドポイントのパフォーマンスに影響を与える可能性があります。トレンドマイクロは、エンドポイントへの影響を最小限に抑えつつ、より関連性の高いデータを得るために[2 - 中程度]を選択することを推奨します。
    • [Prevention level][Detection level]と同じかそれ以下でなければなりません。
    • [Action to take]の選択は、選択された防止レベルに対して実行される防止アクションに影響を与える可能性があります。
  4. [OK] をクリックします。

圧縮ファイルを検索する

圧縮ファイルを解凍し、不正プログラムがないかコンテンツを検索します。検索を有効にする場合は、抽出するファイルの最大サイズと最大数を指定します (サイズの大きいファイルはパフォーマンスに影響する可能性があります)。また、圧縮ファイル内にある圧縮ファイルを検索できるように、検査する圧縮レベルを指定します。レベル1圧縮は、単一の圧縮ファイルです。そのファイル内の圧縮ファイルはレベル2です。最大6つの圧縮レベルを検索できますが、それを超えるとパフォーマンスに影響する可能性があります。
  1. 不正プログラム検索設定のプロパティを開きます。
  2. Advanced タブで、 Scan compressed filesを選択します。
  3. 解凍するコンテンツファイルの最大サイズ (MB)、検索する圧縮レベル、解凍する最大ファイル数を指定します。
  4. [OK]をクリックします。

埋め込みのMicrosoft Officeオブジェクトを検索する

注意
注意
macOSエージェントの場合、埋め込まれたMicrosoft Officeオブジェクトの検索はサポートされていません。
Microsoft Officeの特定のバージョンでは、オブジェクトのリンクと埋め込み (OLE) を使用して、ファイルやその他のオブジェクトをOfficeファイルに挿入します。これらの埋め込みオブジェクトには、不正なコードが含まれている可能性があります。
他のオブジェクトに埋め込まれているオブジェクトを検出するために検索するOLEレイヤの数を指定します。パフォーマンスへの影響を軽減するために、各ファイル内の埋め込みオブジェクトの数レイヤのみを検索できます。
  1. 不正プログラム検索設定のプロパティを開きます。
  2. Advanced tabScan Embedded Microsoft Office Objectsを選択します。
  3. 検索するOLE層の数を指定します。
  4. [OK]をクリックします。

通知アプリケーションの手動検索を有効にする

から手動検索を有効にします。トレンドマイクロの通知アプリケーションは、macOS用Deep Security Agent 20.0.0~179以降でのみサポートされます。
この機能を使用すると、macOSユーザは通知アプリケーションを介して検索を開始できます。初期設定では無効になっています。
  • コンピュータエディタまたはポリシーエディタで、 Anti-Malware タブをクリックします。
  • General 水平タブをクリックします。
  • Manual Scan セクションで、 Allow agent to trigger or cancel a manual scan from Trend Micro's notifier applicationのチェックボックスをクリックしてオンにします。

検索対象ファイルを指定する

検索に含めるファイルとディレクトリを特定し、それらのファイルとディレクトリから除外するファイルを特定します。 。ネットワークディレクトリも検索できます。

検索対象

検索するディレクトリと、ディレクトリ内の検索するファイルも指定します。
検索するファイルを指定するには、次のいずれかのオプションを使用します。
  • すべてのファイル
  • IntelliScanによって識別されるファイルの種類。 IntelliScanは、.zipや.exeなど、感染に対して脆弱なファイルタイプのみを検索します。 IntelliScanは、ファイル拡張子に基づいてファイルの種類を判断するのではなく、ファイルのヘッダと内容を読み取って、検索する必要があるかどうかを判断します。すべてのファイルを検索する場合と比較して、Intelliscanでは検索するファイルの数が減り、パフォーマンスが向上します。
  • 指定されたリストに含まれるファイル名拡張子を持つファイル: ファイル拡張子リストでは、特定の構文のパターンが使用されます。 (「ファイル拡張子リストの構文.)
検索するディレクトリを指定するには、すべてのディレクトリを指定することも、ディレクトリのリストを指定することもできます。ディレクトリリストでは、特定の構文を持つパターンを使用して、検索するディレクトリを識別します。 (「ディレクトリリストの構文.)
  1. 不正プログラム検索設定のプロパティを開きます。
  2. Inclusions タブをクリックします。
  3. 検索するディレクトリを指定するには、 All directories または Directory Listを選択します。
  4. Directory Listを選択した場合は、ドロップダウンメニューから既存のリストを選択するか、 New を選択してリストを作成します。
  5. 検索するファイルを指定するには、 All filesFile types scanned by IntelliScan、または File Extension Listのいずれかを選択します。
  6. [ファイル拡張子リスト]を選択した場合は、ドロップダウンメニューから既存のリストを選択するか、 New を選択してリストを作成します。
  7. [OK]をクリックします。

検索除外

ディレクトリ、ファイル、およびファイル拡張子を検索対象から除外します。リアルタイム検索では、プロセスイメージファイルを検索から除外することもできます。
除外するファイルとフォルダの例:
  • Microsoft Exchangeサーバの不正プログラム検索設定を作成する場合は、不正プログラムであることがすでに確認されているファイルの再検索を回避するために、SMEX隔離フォルダを除外します。
  • 大容量のVMwareイメージがある場合、パフォーマンスの問題が発生した場合は、これらのイメージを含むディレクトリを除外します。
ヒント
ヒント
信頼できるデジタル証明書で署名されているファイルを不正プログラム検索から除外することもできます。この種類の除外は、ポリシー設定またはコンピュータ設定で定義されます。 (「信頼できる証明書で署名されたファイルを除外する.)
ディレクトリ、ファイル、およびプロセスイメージファイルを除外するには、パターンを使用して除外する項目を特定するリストを作成します。
  1. 不正プログラム検索設定のプロパティを開きます。
  2. Exclusions タブをクリックします。
  3. 検索から除外するディレクトリを指定します。
    1. Directory Listを選択します。
    2. ディレクトリリストを選択するか、 [新規] を選択して作成してください。 (「ディレクトリリストの構文.)
    3. ディレクトリリストを作成した場合は、ディレクトリリストで選択します。
  4. 同様に、除外するファイルリスト、ファイル拡張子リスト、およびプロセスイメージファイルリストを指定します。 (「ファイルリストの構文,ファイル拡張子リストの構文、およびプロセスイメージファイルリストの構文 (リアルタイム検索のみ): .)
  5. [OK]をクリックします。

ファイル除外のテスト

以降の不正プログラム対策の設定手順に進む前に、ファイル除外をテストし、それらが正しく動作することを確認します。
注意
注意
開始する前に、リアルタイム検索が有効で、設定が選択されていることを確認します。
  1. に移動[Policies] [共通オブジェクト] [その他] [不正プログラム検索設定]
  2. クリックNew New Real-time Scan Configuration
  3. Exclusions タブに移動し、ディレクトリリストから New を選択します。
  4. ディレクトリリストに名前を付けます。
  5. [ディレクトリ] で、検索から除外するディレクトリのパスを指定します。たとえば、\c:\Test Folder\[OK] をクリックします。
  6. General tabに移動し、手動検索に名前を付けて、 OKをクリックします。
  7. に移動します。 EICARサイト不正プログラム対策テストファイルをダウンロードします。前の手順で指定したフォルダにファイルを保存します。ファイルが保存され、不正プログラム対策モジュールによって検出されないようにする必要があります。

ディレクトリリストの構文

注意
注意
ディレクトリリストの項目では、WindowsとLinuxの両方の規則をサポートするために、スラッシュ「/」またはバックスラッシュ「」を使用できます。
除外
形式
説明
ディレクトリ
DIRECTORY\
指定したディレクトリとそのすべてのサブディレクトリにあるファイルをすべて除外します。
[C:\\Program Files\\] "Program Files"ディレクトリおよびすべてのサブディレクトリ内のすべてのファイルを除外します。
ワイルドカード (*) を使用したディレクトリ
ディレクトリ\*\
指定されたサブディレクトリと、そこに含まれるファイルを除き、すべてのサブディレクトリを除外します。
\[C:\\abc\*\\] \ "abc"のすべてのサブディレクトリ内のすべてのファイルを除外しますが、"abc"ディレクトリ内のファイルは除外しません。\ [C:\\abc\\wx\*z\\] 一致:\ C:\\abc\\wx123z\ 一致:\ C:\\abc\\wxz\ C:\\abc\\wx123z\ [C:\\abc\*wx\\] 一致:\ C:\\abc\\wx\ C:\\abc\\123wx\ 一致:\ C:\\abc\\wx\ C:\\abc\\123wx
ワイルドカード (*) を使用したディレクトリ
ディレクトリ*\
一致する名前を持つ任意のサブディレクトリを除外します。ただし、そのディレクトリにあるファイルおよび任意のサブディレクトリは除外しません。
[C:\Program Files\サブディレクトリ名*\]
フォルダ名が「SubDirName」で始まるサブディレクトリを除外します。\ C:\\Program\ Filesまたはその他のサブディレクトリにあるすべてのファイルを除外するわけではありません。
環境変数
${ENV VAR}
環境変数で定義されたすべてのファイルとサブディレクトリを除外します。仮想アプライアンスの場合、環境変数の値のペアを Policy or Computer Editor > Settings > General > Environment Variable Overrides.で定義する必要があります。
${windir} 変数が「c:\\windows」に解決される場合、「c:\\windows」とそのすべてのサブディレクトリ内のすべてのファイルを除外します。
コメント
ディレクトリ #コメント
除外の定義にコメントを追加します。
c:\abc #Exclude the abc directory

ファイルリストの構文

除外
形式
説明
ファイル
ファイル
場所やディレクトリに関係なく、指定したファイル名を持つすべてのファイルを除外します。
abc.doc すべてのディレクトリにある「abc.doc」という名前のファイルをすべて除外します。 「abc.exe」は除外しません。
ファイルパス
FILEPATH
ファイルパスで指定された単一ファイルを除外します。
C:\Documents\abc.doc "Documents"ディレクトリ内の"abc.doc"という名前のファイルのみを除外します。
ワイルドカード (*) を使用したファイルパス
FILEPATH
ファイルパスで指定されたすべてのファイルを除外します。
C:\Documents\abc.co* (Windowsエージェントプラットフォームのみ) [Documents]ディレクトリ内で、ファイル名が「abc」で拡張子が「.co」で始まるファイルを除外します。
ファイル名がワイルドカード (*) です
ファイルパス\*
パスの下にあるすべてのファイルを除外しますが、指定されていないサブディレクトリにあるファイルは除外します
\[C:\\Documents\*] ディレクトリC:\\Documents以下のすべてのファイルを除外します。\ [C:\\Documents\\SubDirName\*\*] \ C:\\Documentsまたはその他のサブディレクトリにあるすべてのファイルを除外するわけではありません。\ [C:\\Documents\*\*] \ C:\\Documentsの下のすべての [直接] サブディレクトリ内のすべてのファイルを除外します。後続のサブディレクトリ内のファイルは除外しません。
ワイルドカード (*) を使用したファイル
ファイル*
ファイル名のパターンに一致するすべてのファイルを除外します。
abc*.exe プレフィックスが「abc」で拡張子が「.exe」のファイルを除外します。 *.db 一致: 123.db abc.db 一致しない: 123db 123.abd cbc.dba *db 一致: 123.db 123db ac.db acdb db 一致しない: db123 wxy*.db 一致: wxy.db wxy123.db wxydb
ワイルドカード (*) を使用したファイル
ファイル.拡張子*
ファイルの拡張子のパターンに一致するすべてのファイルを除外します。
abc.v* ファイル名が「abc」で拡張子が「.v」で始まるファイルを除外します。 abc.*pp 一致: abc.pp abc.app 一致: wxy.app abc.a*p 一致: abc.ap abc.a123p 一致: abc.pp abc.* 一致: abc.123 abc.xyz
ワイルドカード (*) を使用したファイル
FILE*.EXT*
ファイル名と拡張子のパターンに一致するすべてのファイルを除外します。
a*c.a*p
        Matches:
         ac.ap  a123c.ap  ac.a456p  a123c.a456p Does not match: ad.aa</td>
</tr>
<tr>
    <td>Environment variable</td>
    <td>${ENV VAR}</td>
    <td>Excludes files specified by an environment variable with the format ${ENV VAR}. These can be defined or overridden using <term>Policy or Computer Editor &gt; Settings &gt; General &gt; Environment Variable Overrides.</term></td>
    <td>
        <term>
            ${myDBFile}
        </term>
         Excludes the file "myDBFile".</td>
</tr>
<tr>
    <td>Comments</td>
    <td>FILEPATH #Comment</td>
    <td>Adds a comment to your exclusion definitions.</td>
    <td>
        <codeblock>C:\Documents\abc.doc #This is a comment
    </codeblock>
    </td>
</tr>

ファイル拡張子リストの構文

除外
形式
説明
ファイル拡張子
EXT
一致する拡張子を持つすべてのファイルと一致します。
doc すべてのディレクトリ内の「.doc」拡張子を持つすべてのファイルに一致します。
コメント
EXT #コメント
除外の定義にコメントを追加します。
doc #This a comment

プロセスイメージファイルリストの構文 (リアルタイム検索のみ)

除外
形式
説明
ファイルパス
FILEPATH
ファイルパスで指定されたプロセスイメージファイルを除外します。
C:\abc\file.exe "abc"ディレクトリ内の"file.exe"という名前のファイルのみを除外します。

ネットワークディレクトリを検索する (リアルタイム検索のみ)

ネットワークファイルシステム (NFS)、サーバメッセージブロック (SMB)、または共通インターネットファイルシステム (CIFS) に存在するネットワーク共有およびマップされたネットワークドライブ内のファイルとフォルダを検索する場合は、 Enable Network Directory Scanを選択します。このオプションは、リアルタイム検索でのみ使用できます。
注意
注意
GNOMEデスクトップで使用可能な仮想ファイルシステムであるGVFSを介して「~/.gvfs」でアクセスされるリソースは、ネットワークドライブではなくローカルリソースとして扱われます。
注意
注意
Windowsでネットワークフォルダの検索中にウイルスが検出された場合、 エージェントに「駆除失敗」 (削除失敗) イベントが表示されることがあります。

リアルタイム検索を実行するタイミングを指定する

ファイルの読み取り時、書き込み時、またはそのどちらでもファイルを検索するかを選択します。
  1. 不正プログラム検索設定のプロパティを開きます。
  2. Advanced タブで、 Real-Time Scan プロパティのオプションのいずれかを選択します。
  3. [OK]をクリックします。

不正プログラムの処理方法を設定する

不正プログラムが検出されたときの Server & Workload Protection の動作を設定します。

不正プログラム修復処理をカスタマイズする

不正プログラムが検出されると、 Server & Workload Protection は修復処理を実行してファイルを処理します。 Server & Workload Protection が不正プログラムに遭遇した場合、次の5つの処理を実行できます。
  • Pass: 感染ファイルには何もせずに、そのファイルへのフルアクセスを許可します。 (不正プログラム対策イベントは引き続き記録されます)。
    注意
    注意
    ウイルスの可能性がある場合は、修復 Pass を使用しないでください。
  • Clean: 感染ファイルへのフルアクセスを許可する前に、感染ファイルを駆除します。駆除できないファイルは隔離されます。
  • Delete: Linuxでは、感染ファイルはバックアップなしで削除されます。
    Windowsでは、感染ファイルはバックアップされてから削除されます。 Windowsバックアップファイルは、表示および復元Events & Reports Events Anti-Malware Events Identified Files
  • Deny Access:この検索処理は、リアルタイム検索中にのみ実行できます。 Server & Workload Protection は、感染ファイルのオープンまたは実行の試みを検出すると、その操作を即座にブロックします。感染ファイルは変更されません。アクセス拒否処理が実行されると、感染ファイルは元の場所に残ります。
    注意
    注意
    During WriteReal-Time Scan に設定されている場合は、是正処理 [アクセス拒否] を使用しないでください。 During Write が選択されている場合、ファイルは書き込み時に検索され、 Deny Access 処理は無効になります。
  • Quarantine:感染ファイルをコンピュータまたはVirtual Applianceの隔離ディレクトリに移動します。隔離されたファイルは、表示および復元Events & Reports Events Anti-Malware Events Identified Files
    注意
    注意
    Linuxで Quarantined としてマークされた不正プログラムが、Windows上で Deleted としてマークされている場合があります。いずれの場合も、ファイルは表示および復元Events & Reports Events Anti-Malware Events Identified Files
    注意
    注意
    Windowsでは、感染した非圧縮ファイル (.txtファイルなど) は隔離され、感染した圧縮ファイル (.zipファイルなど) は削除されます。 Windowsでは、隔離されたファイルまたは削除されたファイルの両方にバックアップが作成されます。表示および復元[イベントとレポート] [イベント] [不正プログラム対策イベント] [検出ファイル] 。 Linuxでは、すべての感染ファイル (圧縮ファイルまたは非圧縮ファイル) が隔離されます。表示および復元Events & Reports Events [不正プログラム対策イベント] [検出ファイル]
不正プログラム検索設定の初期設定の修復処理は、ほとんどの状況に適しています。ただし、 Server & Workload Protection が不正プログラムを検出したときに実行する処理はカスタマイズできます。 ActiveActionが決定する処理を使用するか、脆弱性の種類ごとに処理を指定できます。
ActiveActionは、マルウェアのカテゴリごとに最適化された、事前定義されたクリーンナップ処理のグループです。トレンドマイクロでは、個々の検出が適切に処理されるように、ActiveActionの処理を継続的に調整しています。 (「 ActiveAction処理.)
注意
注意
macOSエージェントの場合、サポートされるカスタム処理は、ウイルス、トロイの木馬、およびスパイウェアです。
  1. 不正プログラム検索設定のプロパティを開きます。
  2. Advanced タブで、 Remediation ActionsCustomを選択します。
  3. 実行する処理を指定します。
    • ActiveActionで実行する処理を決定するには、 Use action recommended by ActiveActionを選択します。
    • 脆弱性の種類ごとに処理を指定するには、 Use custom actionsを選択し、使用する処理を選択します。
  4. 潜在的な不正プログラムに対して実行する処理を指定します。
  5. [OK]をクリックします。

ActiveAction処理

次の表は、トレンドマイクロの推奨処理を選択した場合に実行される処理の一覧です。
不正プログラムの種類
処理
クリーン。駆除できないウイルスは、削除されました(Windows) または隔離された(LinuxまたはSolaris)。この動作には例外があります。LinuxまたはSolarisエージェントで、「Test Virus」タイプのウイルスが検出された場合アクセスが拒否されました感染ファイルにコピーします。
隔離
隔離
CVEセキュリティホール
隔離
アグレッシブ検出ルール
合格 (この設定では、より多くの問題が検出されますが、誤検出が増える可能性があるため、初期設定の処理ではイベントが発生します。)
削除 (リアルタイム検索には適用されません)
Clean (駆除)
脅威を駆除できない場合は、次のように処理されます。
また、LinuxまたはSolarisエージェントでは、「ジョーク」タイプのウイルスが検出されると、ただちに隔離されます。クリーニングは実行されません。
放置
CVEエクスプロイトおよびアグレッシブ検出ルールの詳細については、次を参照してください。ドキュメントのエクスプロイトの検索
注意
注意
AgentでアップデートサーバまたはRelayからウイルスパターンファイルのアップデートをダウンロードすると、それに応じてトレンドマイクロの推奨処理が変わることがあります。

不正プログラム検出のアラートを生成する

Server & Workload Protection で不正プログラムが検出された場合にアラートを生成できます。
  1. 不正プログラム検索設定のプロパティを開きます。
  2. General タブで、 AlertAlert when this Malware Scan Configuration logs an eventを選択します。
  3. [OK]をクリックします。

ファイルのハッシュダイジェストにより不正プログラムファイルを特定する

Server & Workload Protection は不正プログラムファイルのハッシュ値を計算し、Events & Reports Events Anti-Malware Eventsにアクセスします。特定の不正プログラムには複数の異なる名前が付けられている可能性があるため、ハッシュ値は不正プログラムを一意に識別できるため便利です。他のソースから不正プログラムに関する情報を検索するときに、ハッシュ値を使用できます。
  1. 設定するポリシーエディタまたはコンピュータエディタを開きます。
  2. クリックAnti-Malware Advanced
  3. File Hash Calculationで、 Default または Inherited チェックボックスをオフにします。 (ルートポリシーの場合はDefault 、子ポリシーの場合は Inherited と表示されます)。
    注意
    注意
    Inherited を選択すると、ファイルハッシュ設定は現在のポリシーの親ポリシーから継承されます。
    注意
    注意
    Default が選択されている場合、 Server & Workload Protection はハッシュ値を計算しません。
  4. Calculate hash values of all anti-malware eventsを選択します。
  5. 初期設定では、 Server & Workload Protection はSHA-1ハッシュ値を生成します。追加のハッシュ値を生成する場合は、 MD5SHA256の一方または両方を選択できます。
  6. ハッシュ値を計算する不正プログラムファイルの最大サイズを変更することもできます。初期設定では、128MBを超えるファイルはスキップされますが、64~512MBの任意の値に変更できます。

コンピュータで通知を設定する

WindowsベースのAgentでは、不正プログラム対策およびWebレピュテーションモジュールに関連して実行する必要がある Server & Workload Protection 処理を警告する通知メッセージが画面に表示されることがあります。たとえば、次のようなメッセージが表示されます。A reboot is required for Anti-Malware cleanup task。ダイアログボックスを閉じるには、[OK] をクリックする必要があります。
このような通知を表示しないようにするには、次のように設定します。
  1. コンピュータエディタまたはポリシーエディタを開きます。
  2. 左側の Settings をクリックします。
  3. Suppress all pop-up notifications on hostYesに設定します。これらのメッセージは、引き続きアラートまたはイベントとして Server & Workload Protectionに表示されます。通知機能の詳細については、を参照してください。通知機能

Server & Workload Protection にアクセスできないときに予約検索を実行する

注意
注意
この機能は、Windowsのバージョン20.0.3445以降のエージェントでサポートされます。
通常、 エージェントがオフラインの場合、不正プログラムの予約検索はキューに登録されます。 エージェントが Server & Workload Protectionに接続できない場合でも予約検索を実行するには
  1. コンピュータエディタまたはポリシーエディタを開きます。
  2. 左側の Anti-Malwareをクリックします。
  3. General タブの [予約検索] で、 Enable agent to trigger scheduled scan for malwareを選択します。
注意
注意
チェックボックスがオンの場合:
  • Scheduled Tasks ページの Run Task Now ボタンは、このエージェントでは無効になります。
  • エージェントがオフラインの場合、Server & Workload Protection Managerは予約検索タスクを事前にキューに入れません。

トラブルシューティング

特殊なケースでは、 エージェントがオフライン予約検索を開始しないことがあります。
  1. コンピュータがシャットダウンされている場合、コンピュータの再起動時に予約検索がタイムアウトすると、次回の予約検索が開始されないことがあります。
  2. 予約検索の実行中にコンピュータがシャットダウンされた場合、コンピュータを再起動しても、中断された予約検索は続行されません。