挙動監視を設定する

挙動監視を有効にする

不正プログラムの挙動ブロックを有効にする:不正プログラム挙動ブロックは、パターンファイルに定義されている一連の内部ルールを使用して実行されます。これらのルールは、不正プログラムに共通する既知の疑わしい脅威の挙動を識別します。不審な挙動の例として、突然説明できない動作をするサービスの追加、ファイアウォールの変更、システムファイルの改ざんなどが挙げられます。

• 既知の脅威:既知の脅威に関連付けられた挙動をブロックします。

• 既知および潜在的な脅威:既知の脅威に関連付けられた挙動をブロックし、潜在的に不正な挙動に対して処理を実行します。

HTTPまたはメールアプリケーションを介してダウンロードされた新しいプログラムを実行する前にユーザに確認する (サーバプラットフォームは除く):挙動監視では、Webレピュテーションサービスと連携し、HTTPチャネル経由でダウンロードされたファイルの利用状況を検証します。新しいファイルが検出された場合、管理者は、ユーザがファイルを実行する前にその旨を通知するかどうかを選択できるます。トレンドマイクロのSmart Protection Networkでは、ファイルの検出数またはファイル作成からの存続期間などから、検出数の少ない特定のプログラムを「新しく検出されたプログラム」として分類します。

[ランサムウェア対策]で、必要に応じて以下の設定を更新します。

• [文書の保護を有効にして不正な暗号化や変更を防止する]: 不正な変更から文書を保護します。

  • [疑わしいプログラムによって変更されたファイルの自動バックアップ]: 文書の保護が有効に設定されている場合に、不審プログラムによって変更されたファイルのバックアップを自動的に作成します。

• [プログラム検査を有効にして不正な実行可能ファイルを検出およびブロックする]: ランサムウェアに似た挙動をするプロセスがないかを監視することで、検出を強化します。

• [主にランサムウェアに関連付けられていることの多いプロセスのブロックを有効にする]: ハイジャックに関連していることが多いプロセスをブロックすることで、ランサムウェアの攻撃からエンドポイントを保護します。

除外設定 ―除外設定には、承認済みプログラムリストとブロックするプログラムリストが含まれます。承認済みプログラムリスト内のプログラムは、監視対象の変更に違反する場合でも起動できます。一方、ブロックするプログラムリスト内のプログラムはいかなる場合でも起動することはできません。

• プログラムのフルパスを入力してください:プログラムのWindowsまたはUNCのフルパスを入力します。複数のエントリはセミコロン (;) で区切ります。[承認済みリストに追加] または [ブロックするリストに追加] をクリックします。必要に応じて、環境変数を使用してパスを指定します。

  環境変数	指定されるフォルダ
  $windir$	Windowsフォルダ
  $rootdir$	ルートフォルダ
  $tempdir$	Windows一時フォルダ
  $programdir$	Program Filesフォルダ

• 承認済みプログラムリスト:このリスト内のプログラム (最大100個) は起動できます。エントリを削除するには、対応するアイコンをクリックします。

• ブロックするプログラムリスト:このリスト内のプログラム (最大100個) は起動できません。エントリを削除するには、対応するアイコンをクリックします。