不正プログラム対策の除外の作成

ビュー:

ファイルが不正プログラムと特定の特性を共有している場合、不正プログラムではないファイルでも不正プログラムと誤認される可能性があります。ファイルが安全であることがわかっていて、不正プログラムとして識別された場合は、そのファイルの除外を作成できます。例外が作成された場合、 Server & Workload Protection がファイルを検索してもイベントは発生しません。

不正プログラム対策モジュールの概要については、次を参照してください。不正プログラムからの保護。

注意

リアルタイム検索、手動検索、および予約検索からファイルを除外することもできます。参照検索するファイルの指定。

次の不正プログラムおよび不正プログラム検索の種類について、例外を作成できます。

機械学習型検索検索 (詳細については、機械学習型検索を使用して新たな脅威を検出.)
スパイウェアおよびグレーウェアの検索 (詳細については、スパイウェアおよびグレーウェアの検索)
挙動監視による保護 (詳細については、動作監視による不正プログラムおよびランサムウェア検索の強化)

信頼できる証明書で署名されているファイルを不正プログラム検索から除外することもできます。この機能は、Windowsのバージョン20.0.0～3445以降のエージェントでサポートされます。詳細については、信頼できる証明書で署名されたファイルを除外する。

Server & Workload Protection では、ポリシーとコンピュータのプロパティで、不正プログラム検索の種類ごとに除外リストを管理しています。

例外のリストを表示するには、ポリシーまたはコンピュータのエディタを開きます。
クリック[不正プログラム検索] → [詳細] 。

例外については、 [許可するスパイウェア/グレーウェア]、 [ドキュメントの脆弱性対策ルールの例外]、 [機械学習型検索の検出除外対象]、 [挙動監視保護の例外]、および [信頼済み証明書の検出除外対象] の各セクションを参照してください。

こちらもご覧ください検索除外の推奨設定。

不正プログラム対策イベントからの除外を作成する

ファイルがマルウェアとして識別されると、 Server & Workload Protection はマルウェア対策イベントを生成します。ファイルが無害であることがわかっている場合は、イベントレポートからファイルの例外を作成できます。

クリック[イベントとレポート] → [イベント] → [不正プログラム対策イベント]不正プログラム検出イベントを特定します。
該当するイベントを右クリックします。
[許可]を選択します。

不正プログラム対策の除外を手動で作成する

スパイウェアまたはグレーウェアに対する不正プログラム対策の除外、悪用保護ルールの文書化、機械学習の予測、および動作監視の除外を手動で作成できます。除外を追加するには、検索で生成された不正プログラム対策イベントの特定の情報が必要です。不正プログラムまたは検索の種類によって、必要な情報が決まります。

[スパイウェア/グレーウェア:]MALWARE フィールドの値。SPY_CCFR_CPP_TEST.A
[ドキュメントの脆弱性対策ルール:]MALWARE フィールドの値。HEUR_OLEP.EXE
[機械学習型検索:][FILE SHA-1] フィールドのファイルのSHA1ダイジェスト。3395856CE81F2B7382DEE72602F798B642F14140
Behavior monitoring: The process image path, for example C:\test.exe

クリック[イベントとレポート] → [イベント] → [不正プログラム対策イベント]不正プログラムの識別に必要なフィールド値をコピーします。
例外を作成するポリシーまたはコンピュータのエディタを開きます。
クリック[不正プログラム検索] → [詳細] 。
[許可するスパイウェア/グレーウェア]、 [ドキュメントの脆弱性対策ルールの例外]、 [機械学習型検索の検出除外対象]、または [挙動監視保護の例外] セクションで、イベントの情報をテキストボックスに入力します。
[追加]をクリックします。

除外リストでのワイルドカードのサポート

[挙動監視保護の例外] リストは、ファイルパス、ファイル名、およびファイル拡張子の例外タイプを定義するときにワイルドカード文字の使用をサポートします。次の表を使用して例外リストを適切にフォーマットし、 Server & Workload Protection が正しいファイルとフォルダーをスキャンから除外できるようにします。

サポートされるワイルドカード文字は次のとおりです。

アスタリスク (*): 任意の文字または文字列を表します

注意

挙動監視保護の除外リストでは、ワイルドカード文字を使用してシステムドライブの指定を置き換えたり、UNC (Universal Naming Convention) アドレス内でワイルドカード文字を使用することはできません。

除外の種類

ワイルドカードの使用法

一致する

一致しない

ディレクトリ

C:¥*

指定したドライブにあるすべてのファイルとフォルダを除外します

```
C:\sample.exe
```
```
C:\folder\test.doc
```

```
D:\sample.exe
```
```
E:\folder\test.doc
```

特定のフォルダレベルの特定のファイル

C:¥*¥¥Sample.exe

除外

Sample.exe

ファイルが次のサブフォルダにある場合のみ

C:\

ディレクトリ

```
C:\files\Sample.exe
```
```
C:\temp\files\Sample.exe
```

```
C:\sample.exe
```

Universal Naming Convention (UNC) パス

¥¥<UNC パス>¥*¥Sample.exe

除外

Sample.exe

ファイルが指定されたUNCパスのサブフォルダにある場合のみ

```
\\<UNC path>\files\Sample.exe
```
```
\\<UNC path>\temp\files\Sample.exe
```

```
R:\files\Sample.exe
```
理由: ネットワークドライブはサポートされていません。
```
\\<UNC path>\Sample.exe
```
理由: ファイルがUNCパスのサブフォルダ内にありません。

ファイル名と拡張子

C:¥*.¥*

のすべてのフォルダとサブフォルダにある拡張子を持つすべてのファイルを除外します。

C:\

ディレクトリ

```
C:\Sample.exe
```
```
C:\temp\Sample.exe
```
```
C:\test.doc
```

```
D:\sample.exe
```
```
C:\Sample
```
注意

なぜなら
C:\Sample
にはファイル拡張子がないため、例外に一致しません。

ファイル名

C:¥*.exe

を含むすべてのファイルを除外します。

.exe

のすべてのフォルダおよびサブフォルダ内の拡張子

C:\

ディレクトリ

```
C:\Sample.exe
```
```
C:\temp\test.exe
```

```
C:\Sample.doc
```
```
C:\temp\test.bat
```
```
C:\Sample
```
注意

なぜなら
C:\Sample
にはファイル拡張子がないため、例外に一致しません。

ファイル拡張子

C:¥¥Sample.*

次の名前のファイルをすべて除外します

Sample

および

C:\

ディレクトリ

```
C:\Sample.exe
```

```
C:\Sample1.doc
```
```
C:\temp\Sample.bat
```
```
C:\Sample
```
注意

なぜなら
C:\Sample
にはファイル拡張子がないため、例外に一致しません。

特定のディレクトリ構造にあるファイル

C:¥*¥*¥¥Sample.exe

レベル2以降のサブフォルダ内にあるすべてのファイルを除外します。

C:\

ファイル名と拡張子を持つディレクトリ

Sample.exe

```
C:\files\temp\Sample.exe
```
```
C:\files\temp\test\Sample.exe
```

```
C:\Sample.exe
```
```
C:\temp\Sample.exe
```
```
C:\files\temp\Sample.doc
```

スパイウェア/グレーウェアの例外の処理方法

スパイウェアが検出されると、検索を制御する不正プログラム検索設定に応じて、不正プログラムの駆除、隔離、または削除をすぐに実行できます。スパイウェアイベントまたはグレーウェアイベントの除外を作成した後で、ファイルの復元が必要になる場合があります。 (「特定されたファイルを復元する.)

または、処理を [パス] に設定してスパイウェアおよびグレーウェアを一時的に検索することもできます。これにより、すべてのスパイウェアおよびグレーウェアの検出が [不正プログラム対策イベント] 画面に記録されますが、駆除、隔離、または削除は行われません。その後、検出されたスパイウェアおよびグレーウェアの除外を作成できます。除外リストが堅牢な場合は、処理を「駆除」、「隔離」、または「削除」モードに設定できます。

処理の設定については、を参照してください。不正プログラムの処理方法の設定。

検索除外の推奨設定

検索除外の最適かつ包括的なソースは、ソフトウェアベンダーから提供されます。検索除外の推奨設定の概要を次に示します。

不正プログラムであることがすでに確認されているファイルが再検索されないように、隔離フォルダ (Microsoft Windows Exchange ServerのSMEXなど) を除外します。
検索がデータベースのパフォーマンスに影響を与える可能性があるため、大容量のデータベースおよびデータベースファイル (dsm.mdfやdsm.ldfなど) は除外する必要があります。データベースファイルの検索が必要な場合は、予約タスクを作成して、オフピーク時にデータベースを検索できます。 Microsoft SQL Serverデータベースは動的であるため、ディレクトリとバックアップフォルダを検索リストから除外します。

Windowsの場合:

${ProgramFiles}\Microsoft SQL Server\MSSQL\Data\

${Windir}\WINNT\Cluster\ # if using SQL Clustering

Q:\ # if using SQL Clustering

Linuxの場合:

/var/lib/mysql/ # if path is set to this Data Location of MySQL in the machine.

/mnt/volume-mysql/ # if path is set to this Data Location of MySQL in the machine.

推奨される検索除外のリストについては、トレンドマイクロの推奨検索除外リスト。マイクロソフトは、ウイルス対策除外リストこれは、Windowsサーバでファイルを検索対象から除外するためのリファレンスとして使用できます。

信頼できる証明書で署名されたファイルを除外する

署名付きアプリケーションがあり、それらのプロセスのすべてのアクティビティをリアルタイムの不正プログラム検索 (ファイル検索、動作監視、予測型機械学習など) から除外する場合は、 Server & Workload Protectionの信頼できる証明書リストにデジタル証明書を追加できます。

注意

この種類の除外は、Windowsのバージョン20.0.0～3549以降のエージェントでサポートされます。

ポリシーエディタまたはコンピュータエディタで、[不正プログラム検索] → [詳細] 。
[信頼できる証明書の検出の除外] セクションで、 [信頼済み証明書を含むファイルを除外する] を [Yes] または [Inherited (Yes)] に設定します。
[証明書リストの管理]を選択します。
[信頼された証明書] ウィンドウに、インポートした証明書が表示されます。検索除外に別のキーワードを追加するには、 [ファイルからインポート] を選択します。
証明書ファイルを選択し、 [次へ]を選択します。
表示される証明書の概要を確認し、 [この証明書を信頼する] を [検索除外]に設定します。 [次へ]を選択します。
[概要] 画面に、インポートが成功したかどうかが表示されます。 [閉じる]を選択します。

インポートされた証明書が [信頼できる証明書] のリストに表示され、 [目的] が [除外]として表示されます。

ヒント

Server & Workload Protection は、プロセスの開始時に除外リストを確認します。除外を設定する前にプロセスが実行されている場合、そのプロセスは再起動されるまで除外リストに追加されません。