ビュー:

対象のエンドポイントでアグレッシブモードを有効にして、より敏感な検出と対応を提供します。

重要
重要
  • 検出モードとアグレッシブモードは、正式なリリースとして扱われない「プレリリース」サブ機能です。プレリリースサブ機能の免責を確認のうえ、サブ機能を使用してください。
  • アグレッシブモードを有効にすると、アンチマルウェアスキャンと動作監視の感度レベルが上がり、システムのパフォーマンスに影響を与え、Workbenchアラートの数が増加する可能性があります。
  • アグレッシブモードは、最大20のアクティブエンドポイントをサポートしています。
  • アグレッシブモードは現在、Endpoint Inventoryからダウンロードされたエージェントインストーラーパッケージを使用して64ビット(x86-64)オペレーティングシステムに展開されたエージェントのみをサポートしています。
  • ソフトウェア画面からダウンロードされたパッケージを使用して展開されたサーバーおよびWorkload Protectionエージェントはサポートされていません。
Endpoint Inventoryの[Detection Mode]オプションを使用すると、エンドポイントを通常のスキャン動作に設定するか、[aggressive mode]を有効にすることができます。アグレッシブモードでは、継続的な脅威調査、侵入テスト、または重要なアセットの監視を優先するなど、より厳格な監視と対応が可能です。
アグレッシブモードは現在、Server&Workload ProtectionおよびStandard Endpoint Protection Managersによって管理されるエンドポイントにのみ適用されます。アグレッシブモードを有効にする前に、保護マネージャーで設定を構成する必要があります。以下の手順を使用して環境を準備し、アグレッシブモードを有効にしてください。

手順

  1. Standard Endpoint Protection Managerを設定してください。
    1. Trend Vision One コンソールで、[Endpoint Security][Standard Endpoint Protection] に移動します。
      Standard Endpoint Protectionのインスタンスが1つ以上プロビジョニングされている場合は、構成するインスタンスに移動してください。
    2. [ポリシー][Policy Management]に移動し、アグレッシブモードを有効にするために使用するエンドポイントに割り当てられたポリシーを編集してください。
      ヒント
      ヒント
      このタスクのために新しいポリシーを作成することもできます。アグレッシブモードを有効にする前に、ターゲットエンドポイントをタスクに割り当てることを確認してください。
    3. ポリシー詳細画面で、[不正プログラム検索][リアルタイム検索]に移動します。
    4. [対象] タブで、[Quarantine malware variants detected in memory] を選択します。
    5. [処理] タブの [Virus/Malware] の下で、[Use ActiveAction] を選択します。
      重要
      重要
      [Customize action for probably virus/malware]を選択しないでください。
    6. [高度な脅威対策][Suspicious Connection]に移動してください。
    7. アグレッシブモードに設定するアクションに基づいてアクションを構成してください。
      • [Detect network connections made to addresses in the Global C&C IP list]
      • [Detect connections using malware network fingerprinting]
      次のいずれかのアクションを設定します
      • 予防措置を使用するために積極的なモードを設定したい場合は、[ブロック]を両方に選択してください。
      • ログのみアクションを使用するためにアグレッシブモードを設定したい場合は、[Log only]を両方に選択してください。
      重要
      重要
      トレンドマイクロのアグレッシブモードでは、次の設定を有効にしておくことを強くお勧めします:
      • [Clean suspicious connections when a C&C callback is detected]
    8. 設定を保存するには[配信]をクリックしてください。
  2. サーバーとWorkload Protectionマネージャーを設定してください。
    1. Trend Vision One コンソールで、[Endpoint Security][Server & Workload Protection] に移動します。
      複数のServer & Workload Protectionインスタンスがプロビジョニングされている場合は、構成するインスタンスに移動してください。
    2. [ポリシー]に移動し、編集したいポリシーを選択して[Details...]をクリックしてください
      ヒント
      ヒント
      このタスクのために新しいポリシーを作成することもできます。アグレッシブモードを有効にする前に、ターゲットエンドポイントをタスクに割り当てることを確認してください。
    3. ポリシーの詳細画面で、[不正プログラム検索]に移動してください。
    4. [Real-Time Scan]の下に、[Malware Scan Configuration]を見つけて、[編集]をクリックしてください。
    5. 表示される画面で、[一般]に移動してください。
    6. [挙動監視] から [Enable Behavior Monitoring] を選択します。
    7. [Action to take]については、[ActiveAction (recommended)]を選択してください。
    8. [Windows Antimalware Scan Interface (AMSI)] の下で、[Enable AMSI protection] を選択します。
    9. [Action to take] のために、[Terminate (recommended)] を選択します。
    10. [Process Memory Scan] の下で、[Scan process memory for malware] を選択
    11. [Action to take] のために、[ActiveAction (recommended)] を選択します。
    12. [詳細]に移動してください。
    13. [修復処理] から [Use recommended defaults] を選択します。
    14. [OK] をクリックします。
    15. ポリシーの詳細画面で、[保存]をクリックしてください。
  3. Trend Vision One コンソールで、[Endpoint Security][Endpoint Inventory] に移動します。
  4. 設定したいエンドポイントを見つけて選択してください。
  5. [Detection Mode]をクリックしてください。
  6. [Aggressive mode]を選択してください。
  7. 実行するアクションを選択してください。
    • [Prevention]: エージェントは検出されたマルウェアタイプのデフォルトのActiveActionを実行します。
      ActiveActionsに関する詳細については、ActiveActions デフォルトアクションを参照してください。
    • [Log only]: エージェントは検出のみを記録し、何のアクションも取りません。
  8. [次へ] をクリックします。
  9. [選択したエンドポイント]を確認してください。
    リストから選択したエンドポイントを削除するには、削除アイコン(xmark-icon.png)をクリックしてください。
  10. [適用] をクリックします。
    選択されたエンドポイントは、次回Trend Vision Oneに接続する際に監視レベルが適用されます。
関連情報