Server & Workload Protection には、エージェントによって保護されているWindowsおよびLinuxコンピュータに適用できるセキュリティ設定があり、不正プログラムとランサムウェアの検出率と駆除率を向上させることができます。これらの設定を使用すると、不正プログラムのパターンマッチングだけでなく、不正プログラム対策パターンにまだ追加されていない新しい不正プログラムを含む可能性のある不審ファイルを特定できます
( a zero-day攻撃とも呼ばれます)。
不正プログラム対策モジュールの概要については、次を参照してください。不正プログラムからの保護。
重要macOSエージェントでは挙動監視はサポートされていません。
|
強化された検索で実現される保護
[脅威の検出]: 一部の種類の不正プログラムは、検出を回避するために、システムファイルまたはインストールされている既知のソフトウェアに関連するファイルの変更を試みます。不正プログラムは正規のファイルに取って代わるため、この種の変更に気付かないことがよくあります。
Server & Workload Protection 、システムファイルやインストールされているソフトウェアに不正な変更がないかどうかを監視し、これらの変更を検出して未然に防ぐことができます。
[エクスプロイト対策]: 不正プログラムの作成者は、不正コードを使用してユーザモードプロセスに侵入し、信頼できるプロセスへの特権アクセスを取得し、不正なアクティビティを隠蔽することができます。不正プログラムの作成者は、昇格された権限でAPIを呼び出すDLLインジェクションを介してユーザプロセスにコードを挿入します。また、不正なペイロードを送信してメモリ内でコードを実行することで、ソフトウェアのエクスプロイトに対する攻撃をトリガすることもできます。
Server & Workload Protectionのエクスプロイト対策機能は、特定のプロセスでは通常実行されない処理を実行している可能性のあるプロセスを監視します。 Server & Workload Protection は、データ実行防止 (DEP) 、構造化除外処理の上書き防止 (SEHOP) 、ヒープスプレー防止などのさまざまなメカニズムを使用して、プロセスが侵害されているかどうかを判断し、プロセスを終了してそれ以上の感染を防ぐことができます。
[ランサムウェア対策の強化]: 最近、ランサムウェアは巧妙化し、標的を絞っています。ほとんどの組織では、エンドポイントでの不正プログラム対策を含むセキュリティポリシーを設定しており、既知のランサムウェアの亜種に対して一定レベルの保護を提供します。ただし、新しい亜種の検出と大規模感染の防止だけでは不十分な場合があります。
Server & Workload Protection が提供するランサムウェア対策は、不正な暗号化や改ざんからドキュメントを保護します。 Server & Workload Protection には、暗号化されているファイルのコピーをオプションで作成できるデータ回復エンジンも組み込まれており、ランサムウェアプロセスによって暗号化された可能性のあるファイルを回復する機会をユーザに提供します。
強化された検索を有効にする方法
拡張検索は、ポリシーまたは個々のコンピュータに適用される不正プログラム対策設定の一部として設定されます。不正プログラム対策保護の設定に関する一般的な情報については、を参照してください。不正プログラム対策を有効にして設定する。
重要これらの設定は、 エージェントによって保護されているWindowsおよびLinuxコンピュータにのみ適用できます。
|
ヒント拡張検索は、負荷の高いアプリケーションを実行しているエージェントコンピュータのパフォーマンスに影響を与える可能性があります。を確認することをお勧めします。不正プログラム対策のパフォーマンスに関するヒント拡張検索を有効にしてエージェントを配信する前に、
|
最初に、不正プログラムのリアルタイム検索設定で、強化された検索を有効にします。
手順
- Server & Workload Protection コンソールで、次の場所に移動します。 。
- 既存のリアルタイム検索設定をダブルクリックして編集します (不正プログラム検索設定の詳細については、不正プログラム検索の設定)。
- [一般]タブで、[挙動監視]の下にある[Enable Behavior Monitoring]を選択します。
- [Detection level]と[Prevention level]の設定を構成します。
重要
-
検出および防止レベルの調整は、バージョン20.0.1.25770以降のエージェントバージョンのみサポートされています。サポートされていないバージョンは[2 - 中程度]のデフォルトレベルを使用し、変更することはできません。
-
高いレベルは感度が高くなりますが、多くの不要なログが生成され、エンドポイントのパフォーマンスに影響を与える可能性があります。トレンドマイクロは、エンドポイントへの影響を最小限に抑えつつ、より関連性の高いデータを得るために[2 - 中程度]を選択することを推奨します。
-
[Prevention level]は[Detection level]と同じかそれ以下でなければなりません。
-
[Action to take]の選択は、選択された防止レベルに対して取られる防止アクションに影響を与える可能性があります。
-
- [Action to take]について、Server & Workload Protectionが不正プログラムを検出したときに実行する修復アクションを選択してください
-
[ActiveAction (recommended)]: ActiveActionが決定するアクションを使用します。ActiveActionは、各不正プログラムカテゴリに最適化された事前定義のクリーンアップアクションのグループです。トレンドマイクロは、個々の検出が適切に処理されるように、ActiveActionのアクションを継続的に調整しています。(ActiveActionのアクションを参照してください。)
-
[放置]: Server & Workload Protectionはファイルに対してアクションを実行せずに不正プログラム対策イベントを記録します。
-
- 必要に応じて、 [ランサムウェアによって暗号化されたファイルをバックアップおよび復元する]を選択します。このオプションが選択されている場合、 Server & Workload Protection は、ランサムウェア プロセスによって暗号化されているファイルのバックアップ コピーを作成します。このオプションは、Windows を実行しているコンピュータにのみ適用されます。
- [OK]をクリックします。
注意
初期設定では、リアルタイム検索はすべてのディレクトリを検索するように設定されています。検索設定を変更してディレクトリリストを検索すると、拡張検索が期待どおりに機能しないことがあります。たとえば、「Folder1」を検索するように [検索するディレクトリ] を設定し、Folder1でランサムウェアが発生した場合、そのランサムウェアに関連付けられた暗号化がFolder1外のファイルに対して実行されても、ランサムウェアは検出されない可能性があります。 - 次に、不正プログラム検索設定をポリシーまたは個々のコンピュータに適用します。
- コンピュータエディタまたはポリシーエディタで、 。
- [不正プログラム対策のステータス] が [オン] または [継承 (オン)]であることを確認します。
- [一般] タブには、 [リアルタイム検索]、 [手動検索]、および [予約検索]のセクションがあります。該当するセクションの [不正プログラム検索設定] リストを使用して、上記で作成した検索設定を選択します。
- [保存]をクリックします。
強化された検索で問題が検出された場合の動作
Server & Workload Protection は、有効にした拡張検索設定に一致するアクティビティまたはファイルを検出すると、イベントをログに記録します ( イベントのリストを参照してください)。イベントは、 [主要なウイルスの種類] 列で「不審なアクティビティ」または「不正な変更」として識別され、 [対象] および [TargetType] 列に詳細が表示されます。
Server & Workload Protection は、拡張検索設定に関連するさまざまな種類のチェックを実行します。実行する処理は、問題を検出したチェックの種類によって異なります。 Server & Workload Protection は、不審オブジェクトの「アクセス拒否」、「終了」、または「駆除」を実行できます。次の処理は Server & Workload Protection によって決定され、「クリーンアップ」処理を除いて設定できません。
- [アクセス拒否]: Server & Workload Protection は、不審ファイルのオープンまたは実行の試みを検出すると、その操作を即座にブロックし、不正プログラム対策イベントを記録します。
- [終了]: Server & Workload Protection は、不審な操作を実行したプロセスを終了し、不正プログラム対策イベントを記録します。
- [駆除]: Server & Workload Protection が不正プログラム検索設定を確認し、[処理] タブでトロイの木馬に対して指定された処理を実行します。トロイの木馬ファイルに対して実行された処理に関連して、1つ以上の追加のイベントが生成されます。
イベントをダブルクリックすると詳細が表示されます。
ランサムウェアに関連するイベントには、[対象ファイル] タブが追加されています。
調査の結果、特定されたファイルに有害でないことが判明した場合は、イベントを右クリックして [許可] をクリックし、そのファイルをコンピュータまたはポリシーの検索除外リストに追加します。検索除外リストは、ポリシーエディタまたはコンピュータエディタの
。