悪意のないファイルが、不正プログラムと特定の特徴を共有している場合、不正プログラムとして誤って識別されることがあります。ファイルが無害であることが判明し、不正プログラムとして識別された場合、そのファイルまたはファイルを検出したルールに対して除外を作成できます。除外が作成されると、Server & Workload Protectionは除外されたファイルまたはルールに対してイベントをトリガーしません。
不正プログラム対策モジュールの概要については、次を参照してください。不正プログラムからの保護。
注意リアルタイム検索、手動検索、および予約検索からファイルを除外することもできます。参照検索するファイルの指定。
|
次の不正プログラムおよび不正プログラム検索の種類について、例外を作成できます。
-
不正プログラム対策スキャン
-
機械学習型検索検索 (詳細については、機械学習型検索を使用して新たな脅威を検出.)
-
スパイウェアおよびグレーウェアの検索 (詳細については、スパイウェアおよびグレーウェアの検索)
-
挙動監視による保護 (詳細については、動作監視による不正プログラムおよびランサムウェア検索の強化)
信頼できる証明書で署名されているファイルを不正プログラム検索から除外することもできます。この機能は、Windowsのバージョン20.0.0~3445以降のエージェントでサポートされます。詳細については、信頼できる証明書で署名されたファイルを除外する。
Server & Workload Protection では、ポリシーとコンピュータのプロパティで、不正プログラム検索の種類ごとに除外リストを管理しています。
-
例外のリストを表示するには、ポリシーまたはコンピュータのエディタを開きます。
-
クリック。
次の除外リストを表示および編集できます:
-
[Allowed Spyware/Grayware]: スパイウェアまたはグレーウェアとして識別されたアプリケーションを一部のシステムに残すことを許可します。不正プログラム対策のスパイウェア検出イベントを使用して例外を追加します。
-
[Rule Exceptions]: ルールIDに基づいて検出例外を作成します。ルールIDは[Events & Reports]のイベントを表示して確認できます。ルール例外は不正プログラム対策スキャンと挙動監視の両方に適用されます。
-
[Behavior Monitoring Protection Exceptions]: 挙動監視保護の検出からファイルを除外します。
-
[Predictive Machine Learning Detection Exceptions]: SHA1ハッシュに基づいてファイルを免除します。
-
[Trusted Certificates Detection Exceptions]: 信頼された証明書を持つファイルを検出から除外するかどうかを選択します。
こちらもご覧ください検索除外の推奨設定。
不正プログラム対策イベントからファイルの除外を作成
ファイルがマルウェアとして識別されると、 Server & Workload Protection はマルウェア対策イベントを生成します。ファイルが無害であることがわかっている場合は、イベント レポートからファイルの例外を作成できます。
- クリック 不正プログラム検出イベントを特定します。
- 該当するイベントを右クリックします。
- [許可]を選択します。
不正プログラム対策の除外を手動で作成する
除外リストを使用して、不正プログラム対策の除外を手動で作成できます。除外を手動で追加するには、スキャンが生成した不正プログラム対策イベントから特定の情報が必要です。必要な情報は、不正プログラムの種類やスキャンによって異なります
-
[Spyware or grayware]: 不正プログラム対策イベントの「不正プログラム」フィールドの値。例えば、
SPY_CCFR_CPP_TEST.A
。 -
[Rule exceptions]: [Anti-Malware Event Viewer]の[Threat Information]セクションにあるルールID。例えば、
RAN4685T
-
[機械学習型検索]: 不正プログラム対策イベントの「FILE SHA-1」フィールドからのファイルのSHA1ダイジェストです。例えば、
3395856CE81F2B7382DEE72602F798B642F14140
。 -
[挙動監視]: プロセスイメージパス。例えば、
C:\test.exe
。
重要
|
-
クリック不正プログラムの識別に必要なフィールド値をコピーします。
-
例外を作成するポリシーまたはコンピュータのエディタを開きます。
-
クリック。
-
情報を適切な例外リストに追加してください。
-
[追加] をクリックします。
除外リストでのワイルドカードのサポート
[挙動監視保護の例外] リストは、ファイル パス、ファイル名、およびファイル拡張子の例外タイプを定義するときにワイルドカード文字の使用をサポートします。次の表を使用して例外リストを適切にフォーマットし、
Server & Workload Protection が正しいファイルとフォルダーをスキャンから除外できるようにします。
サポートされるワイルドカード文字は次のとおりです。
- アスタリスク (*): 任意の文字または文字列を表します
注意挙動監視保護の除外リストでは、ワイルドカード文字を使用してシステムドライブの指定を置き換えたり、UNC (Universal Naming Convention)
アドレス内でワイルドカード文字を使用することはできません。
|
除外の種類
|
ワイルドカードの使用法
|
一致する
|
一致しない
|
||
ディレクトリ
|
C:¥* 指定したドライブにあるすべてのファイルとフォルダを除外します
|
|
|
||
特定のフォルダレベルの特定のファイル
|
C:¥*¥¥Sample.exe 除外
Sample.exeファイルが次のサブフォルダにある場合のみ C:\ディレクトリ |
|
|
||
Universal Naming Convention (UNC) パス
|
¥¥<UNC パス>¥*¥Sample.exe 除外
Sample.exe ファイルが指定されたUNCパスのサブフォルダにある場合のみ
|
|
|
||
ファイル名と拡張子
|
C:¥*.¥* のすべてのフォルダとサブフォルダにある拡張子を持つすべてのファイルを除外します。
C:\ディレクトリ |
|
|
||
ファイル名
|
C:¥*.exe を含むすべてのファイルを除外します。
.exeのすべてのフォルダおよびサブフォルダ内の拡張子 C:\ディレクトリ |
|
|
||
ファイル拡張子
|
C:¥¥Sample.* 次の名前のファイルをすべて除外します
Sampleおよび C:\ディレクトリ |
|
|
||
特定のディレクトリ構造にあるファイル
|
C:¥*¥*¥¥Sample.exe レベル2以降のサブフォルダ内にあるすべてのファイルを除外します。
C:\ファイル名と拡張子を持つディレクトリ Sample.exe |
|
|
スパイウェア/グレーウェアの例外の処理方法
スパイウェアが検出されると、検索を制御する不正プログラム検索設定に応じて、不正プログラムの駆除、隔離、または削除をすぐに実行できます。スパイウェアイベントまたはグレーウェアイベントの除外を作成した後で、ファイルの復元が必要になる場合があります。
(「特定されたファイルを復元する.)
または、処理を [パス] に設定してスパイウェアおよびグレーウェアを一時的に検索することもできます。これにより、すべてのスパイウェアおよびグレーウェアの検出が [不正プログラム対策イベント]
画面に記録されますが、駆除、隔離、または削除は行われません。その後、検出されたスパイウェアおよびグレーウェアの除外を作成できます。除外リストが堅牢な場合は、処理を「駆除」、「隔離」、または「削除」モードに設定できます。
処理の設定については、を参照してください。不正プログラムの処理方法の設定。
検索除外の推奨設定
検索除外の最適かつ包括的なソースは、ソフトウェアベンダーから提供されます。検索除外の推奨設定の概要を次に示します。
- 不正プログラムであることがすでに確認されているファイルが再検索されないように、隔離フォルダ (Microsoft Windows Exchange ServerのSMEXなど) を除外します。
- 検索がデータベースのパフォーマンスに影響を与える可能性があるため、大容量のデータベースおよびデータベースファイル (dsm.mdfやdsm.ldfなど) は除外する必要があります。データベースファイルの検索が必要な場合は、予約タスクを作成して、オフピーク時にデータベースを検索できます。 Microsoft SQL Serverデータベースは動的であるため、ディレクトリとバックアップフォルダを検索リストから除外します。
Windowsの場合:
${ProgramFiles}\Microsoft SQL Server\MSSQL\Data\
${Windir}\WINNT\Cluster\ # if using SQL Clustering
Q:\ # if using SQL Clustering
Linuxの場合:
/var/lib/mysql/ # if path is set to this Data Location of MySQL in the machine.
/mnt/volume-mysql/ # if path is set to this Data Location of MySQL in the machine.
推奨される検索除外のリストについては、トレンドマイクロの推奨検索除外リスト。マイクロソフトは、ウイルス対策除外リストこれは、Windowsサーバでファイルを検索対象から除外するためのリファレンスとして使用できます。
信頼できる証明書で署名されたファイルを除外する
署名付きアプリケーションがあり、それらのプロセスのすべてのアクティビティをリアルタイムの不正プログラム検索 (ファイル検索、動作監視、予測型機械学習など) から除外する場合は、
Server & Workload Protectionの信頼できる証明書リストにデジタル証明書を追加できます。
注意この種類の除外は、Windowsのバージョン20.0.0~3549以降のエージェントでサポートされます。
|
- ポリシーエディタまたはコンピュータエディタで、 。
- [信頼できる証明書の検出の除外] セクションで、 [信頼済み証明書を含むファイルを除外する] を [Yes] または [Inherited (Yes)] に設定します。
- [証明書リストの管理]を選択します。
- [信頼された証明書] ウィンドウに、インポートした証明書が表示されます。検索除外に別のキーワードを追加するには、 [ファイルからインポート] を選択します。
- 証明書ファイルを選択し、 [次へ]を選択します。
- 表示される証明書の概要を確認し、 [この証明書を信頼する] を [検索除外]に設定します。 [次へ]を選択します。
- [概要] 画面に、インポートが成功したかどうかが表示されます。 [閉じる]を選択します。
インポートされた証明書が [信頼できる証明書] のリストに表示され、 [目的] が [除外]として表示されます。
ヒントServer & Workload Protection は、プロセスの開始時に除外リストを確認します。除外を設定する前にプロセスが実行されている場合、そのプロセスは再起動されるまで除外リストに追加されません。
|