ビュー:

手順

  1. [デバイス] に移動します。
  2. デスクトップまたはサーバグループを選択します。
  3. [ポリシーの設定] をクリックします。
    [ポリシーの設定: <グループ名>] 画面が表示されます。
  4. [挙動監視] をクリックします。
  5. 必要に応じて次の項目を設定します。
    • 挙動監視の有効化
      注意
      注意
      ユーザが自分の挙動監視設定をカスタマイズできるようにするには、[デバイス]{グループ名}[ポリシーの設定][エージェントの権限][挙動監視] の順に進んで、[ユーザに挙動監視設定の変更を許可する] にチェックを入れます。
    • [不正プログラムの挙動ブロックを有効にする]: 不正プログラム挙動ブロックは、パターンファイルに定義されている一連の内部ルールを使用して実行されます。これらのルールは、不正プログラムに共通する既知の不審な脅威の挙動を識別します。不審な挙動の例として、突然説明できない動作をするサービスの追加、ファイアウォールの変更、システムファイルの改ざんなどが挙げられます。
      不正プログラム挙動監視は次の脅威レベルの検索オプションを提供します。
      • [既知の脅威]: 既知の脅威に関連付けられた挙動をブロックします。
      • [既知および潜在的な脅威]: 既知の脅威に関連付けられた挙動をブロックし、潜在的に不正な挙動に対して処理を実行します。
    • HTTPまたはメールアプリケーションを介してダウンロードされた新しいプログラムを実行する前にユーザに確認する (サーバプラットフォームは除く):挙動監視では、Webレピュテーションサービスと連携し、HTTPチャネル経由でダウンロードされたファイルの利用状況を検証します。新しいファイルが検出された場合、管理者は、ユーザがファイルを実行する前にその旨を通知するかどうかを選択できるます。トレンドマイクロのSmart Protection Networkでは、ファイルの検出数またはファイル作成からの存続期間などから、検出数の少ない特定のプログラムを「新しく検出されたプログラム」として分類します。
      注意
      注意
      HTTPチャネルの場合は、実行可能ファイル (.exe) が検索されます。メールアプリケーション (OutlookおよびWindows Live Mailのみ) の場合は、パスワード保護されていないアーカイブファイル (zip/rar) 内の実行可能ファイル (.exe) が検索されます。
    • ランサムウェア対策: ランサムウェアの脅威によるコンピュータ上のファイルの不正な変更または暗号化を防止します。ランサムウェアは不正プログラムの一種で、ファイルへのアクセスを制限し、ファイルの復元と引き換えに金銭を要求してきます。
      • [不正な暗号化や変更から文書を保護]: 不正な変更から文書を保護します。
        • 不審なプログラムによって変更されたファイルを自動的にバックアップして復元:文書の保護が有効に設定されている場合に、不審なプログラムによって変更されたファイルのバックアップを自動的に作成します。
      • [ランサムウェアに関連付けられていることの多いプロセスをブロック]: ハイジャックに関連していることが多いプロセスをブロックすることで、ランサムウェアの攻撃からエンドポイントを保護します。
      • (デスクトップグループのみ) [プログラム検査を有効にして不正な実行可能ファイルを検出およびブロック]: ランサムウェアに似た挙動をするプロセスがないかを監視することで、検出を強化します。
      • 脆弱性攻撃に関連する異常な挙動を示すプログラムを終了: 脆弱性対策とプログラム検査が連携してプログラムの挙動を監視し、プログラムの脆弱性を利用した攻撃が疑われる異常な挙動を検出します。検出されると、挙動監視によってプログラムのプロセスが終了されます。
        注意
        注意
        脆弱性対策を使用するには、[プログラム検査を有効にして不正な実行可能ファイルを検出およびブロック] を選択する必要があります。
      注意
      注意
      ビジネスセキュリティによって安全なプロセスが不正なプロセスとして検出される率を下げるには、コンピュータをインターネットに接続し、トレンドマイクロサーバによる追加の確認プロセスを実行できるようにする必要があります。
    • [除外設定]: 除外設定には、承認済みプログラムリストとブロックするプログラムリストが含まれます。承認済みプログラムリスト内のプログラムは、監視対象の変更に違反する場合でも起動できます。一方、ブロックするプログラムリスト内のプログラムはいかなる場合でも起動することはできません。
      • [プログラムのフルパスを入力]: プログラムのWindowsまたはUNCのフルパスを入力します。複数のエントリはセミコロン (;) で区切ります。[承認済みリストに追加する] または [ブロックリストに追加する] をクリックします。必要に応じて、環境変数を使用してパスを指定します。
      • [承認済みプログラムリスト]: このリスト内のプログラムは起動できます。エントリを削除するには、削除アイコンをクリックします。
        承認済みプログラムリストでは、ワイルドカードと環境変数がサポートされます。
        サポートされる環境変数については、サポートされている環境変数を参照してください。
      • [ブロックするプログラムリスト]: このリスト内のプログラムは起動できません。エントリを削除するには、削除アイコンをクリックします。
        ブロックするプログラムリストでは、ワイルドカードのみがサポートされます。
  6. [保存] をクリックします。
関連情報