不正プログラム検索

Cloud App Securityは、メールメッセージ、Teamsチャットメッセージ、ファイル、およびSalesforceオブジェクトレコードを検索します。不正プログラム検索では、トレンドマイクロのウイルス検索エンジンを使用して、新たに発生する脅威を検出します。

不正プログラム検索を設定する

  1. [ルール] を設定します。
    オプション 説明

    適用

    (Exchange OnlineおよびGmailのみ) 不正プログラム検索を適用するメールメッセージの範囲を選択します。

    • [すべてのメッセージ]: このポリシーが受信、送信、および内部メールメッセージに適用されることを意味します。受信/送信メールメッセージは、内部以外のドメインとの間で送信されます。

    • [受信メッセージ]: このポリシーが内部ドメイン以外から送信された受信メールメッセージにのみ適用されることを意味します。

    注:

    内部ドメインの詳細については、内部ドメインを設定するを参照してください。

    Exchange Online (インラインモード) では、受信保護については [受信メッセージ] に、送信保護については [送信メッセージ] にそれぞれ範囲が固定されています。受信メッセージは組織外から組織内のアドレスに送信されるメッセージで、送信メッセージは組織から外部のアドレスに送信されるメッセージです。

    不正プログラム検索

    • 不正プログラムについて、すべてのファイル、実際のファイルタイプ、または特定のファイルタイプを検索します。

    • 機械学習型検索エンジンを利用して未知のセキュリティリスクを検出するかどうかを選択します。詳細については、機械学習型検索についてを参照してください。

      新しいポリシーの場合は、このチェックボックスが初期設定でオンになっています。

    • (Exchange OnlineおよびGmailのみ) メッセージ本文を検索するかどうかを選択します。

    • IntelliTrapを有効にするかどうかを選択します。

      IntelliTrapは、実行可能なリアルタイム圧縮ファイルをブロックし、それらを他の不正プログラムの特性と組み合わせることによって、リアルタイム圧縮アルゴリズムを使用してネットワークセキュリティを回避しようとするウイルスのリスクを低減します。IntelliTrapは、そのようなファイルをセキュリティリスクとして識別し、安全なファイルを誤ってブロックすることがあるため、IntelliTrapを有効にする場合はファイルを削除せずに隔離することを検討してください。

    • 高度な脅威検索エンジンおよび機械学習型検索エンジンの検出機能向上のため不審ファイルの情報をトレンドマイクロに送信するかどうかを選択します。

      注:

      このオプションを有効にした場合、トレンドマイクロは危険性の高いファイルのみを確認し、すべてのコンテンツを暗号化して転送します。

      新しいポリシーの場合は、このチェックボックスが初期設定でオンになっています。

    アクティブコンテンツのサニタイズ

    (Exchange Onlineのみ) アクティブコンテンツ (添付されたMicrosoft Officeファイルのマクロなど) を含むメールメッセージに対する処理を有効にして設定するかどうかを選択します。

    サポート対象のアクティブコンテンツの存在を検出する場合は、それが不正なコンテンツであるかどうかに関係なく、Cloud App Securityは設定した処理を実行します。

    このオプションは、外部および内部の送信者から受信したメールメッセージ内の非圧縮ファイルに適用されます。

    [処理] セクションで、添付されたファイルをサニタイズするか、アクティブコンテンツが検出されたメールメッセージ全体を放置、隔離、または削除するように設定できます。[ファイルのサニタイズ] を選択した場合は、Cloud App Securityによってファイルからアクティブコンテンツが削除され、サニタイズされたファイルが添付されたメールメッセージが配信されます。

    注:

    メールメッセージは、引き続き、同じポリシー内の他のセキュリティフィルタの対象になります。

    Cloud App Securityによるアクティブコンテンツの削除が失敗した場合は、[放置] 処理になります。つまり、元のファイルが添付されたメールメッセージが対象の受信者に配信されます。

  2. [処理] を設定します。

    Cloud App Securityは、検索条件に一致するファイルを検出し、指定された処理を実行することでクラウドアプリケーションおよびサービスを保護します。この処理は、各アプリケーションまたはサービス、およびその検索に設定された処理によって異なります。

    • Exchange Online、Exchange Online (インラインモード) - 受信保護、Exchange Online (インラインモード) - 送信保護ポリシー

    オプション 説明

    処理

    • トレンドマイクロの推奨処理: トレンドマイクロが推奨する検索処理を実行し、通知を送信するかどうかを選択します。この推奨処理は、[検出された脅威に対するカスタマイズ処理] を選択した場合に表示される初期設定の処理です。

    • 検出された脅威に対するカスタマイズ処理: 各脅威に対する処理を指定し、通知を送信するかどうかを選択します。

    処理の詳細については、サービスごとに実行可能な処理を参照してください。

    詳細設定オプション

    検索不能なメッセージを受け取った場合にCloud App Securityで使用する [置換ファイル名] と[置換テキスト] を指定します。Cloud App Securityはファイル/テキストを設定された情報で置換します。

    検索不能なファイルのオプション

    パスワード保護されたファイルに対する処理を選択します。検索不能なメッセージに対してファイル/テキストを置換するテキストを指定します。

    パスワード保護された添付ファイルを含むメールメッセージが届いた場合に添付ファイルのパスワード推測が有効であると、Cloud App Securityでは最初に、添付ファイルを復号して検索するために、メッセージにパスワードが含まれていないか探します。パスワードが見つからない、または添付ファイルのパスワード推測が有効でない場合、Cloud App Securityは、その添付ファイルを検索不能なファイルとして扱い、圧縮されているかどうかに応じて、パスワード保護された圧縮ファイルまたはその他のパスワード保護されたファイルに対する処理を実行します。

    • SharePoint Online、OneDrive、Microsoft Teams (チームおよびチャット)、Box、Dropbox、およびGoogleドライブのポリシー

    オプション 説明

    処理

    • トレンドマイクロの推奨処理: トレンドマイクロが推奨する検索処理を実行し、通知を送信するかどうかを選択します。この推奨処理は、[検出された脅威に対するカスタマイズ処理] を選択した場合に表示される初期設定の処理です。

    • 検出された脅威に対するカスタマイズ処理: 各脅威に対する処理を指定し、通知を送信するかどうかを選択します。

    処理の詳細については、サービスごとに実行可能な処理を参照してください。

    詳細設定オプション

    隔離または削除された場合に元のファイルのコンテンツを置き換えるテキストを指定します。

    このテキストは [処理] セクションの [隔離] および [削除] 処理に適用されます。

    注:

    これは、Teamsチャットには利用できません。

    検索不能なファイルのオプション

    パスワード保護されたファイルに対する処理を選択します。

    • Gmailのポリシー

    オプション 説明

    処理

    • トレンドマイクロの推奨処理: トレンドマイクロが推奨する検索処理を実行し、通知を送信するかどうかを選択します。この推奨処理は、[検出された脅威に対するカスタマイズ処理] を選択した場合に表示される初期設定の処理です。

    • 検出された脅威に対するカスタマイズ処理: 各脅威に対する処理を指定し、通知を送信するかどうかを選択します。

    処理の詳細については、サービスごとに実行可能な処理を参照してください。

    検索不能なファイルのオプション

    パスワード保護されたファイルに対する処理を選択します。

    パスワード保護された添付ファイルを含むメールメッセージが届いた場合に添付ファイルのパスワード推測が有効であると、Cloud App Securityでは最初に、添付ファイルを復号して検索するために、メッセージにパスワードが含まれていないか探します。パスワードが見つからない、または添付ファイルのパスワード推測が有効でない場合、Cloud App Securityは、その添付ファイルを検索不能なファイルとして扱い、圧縮されているかどうかに応じて、パスワード保護された圧縮ファイルまたはその他のパスワード保護されたファイルに対する処理を実行します。

    • Salesforceのポリシー

    オプション 説明

    処理

    • トレンドマイクロの推奨処理: トレンドマイクロが推奨する検索処理を実行し、通知を送信するかどうかを選択します。この推奨処理は、[検出された脅威に対するカスタマイズ処理] を選択した場合に表示される初期設定の処理です。

    • 検出された脅威に対するカスタマイズ処理: 各脅威に対する処理を指定し、通知を送信するかどうかを選択します。

    処理の詳細については、サービスごとに実行可能な処理を参照してください。

    ファイルの詳細設定

    • ファイルの隔離処理が失敗したときにバックアップ処理を実行する場合は、[ファイルの隔離に失敗した場合に2次処理を適用する] を選択して2次処理を指定します。このオプションは [隔離] 処理が選択されている場合のみ設定できます。

    • [処理] セクションで [ファイル名にタグを挿入] 処理が選択されている場合に、ファイル名に付加するテキストを指定します。

      注:
      • [ファイル名にタグを挿入] 処理では、アップロードしたファイルで検出された脅威について関係者に警告するために、ファイル名にタグを追加します。Webレピュテーションと情報漏えい対策のセキュリティフィルタでは、Salesforceの管理者がファイルに対して [放置][隔離][削除][ファイル名のタグ付け] などの処理を個別に設定できます。

      • タグの長さの上限は20文字で、サポート対象外の文字 (/ \ : * ? < > " |) を含めることはできません。

    • 隔離または削除された場合に元のファイルのコンテンツを置き換えるテキストを指定します。このテキストは [処理] セクションの [隔離] および [削除] 処理に適用されます。

    検索不能なファイルのオプション

    パスワード保護されたファイルに対する処理を選択します。

  3. [通知] を設定します。
    オプション 説明

    管理者に通知する

    1. 受信者グループを選択するか受信者を個別に指定して、通知する管理者を指定します。[受信者グループを管理する] をクリックして、グループのメンバーを編集したり、グループをさらに追加したりできます。詳細については、受信者グループを設定するを参照してください。

    2. セキュリティリスクが検出され、メールメッセージ、添付ファイル、またはファイルに対して処理が実行されたことを管理者に通知するメッセージの詳細を指定します。

    3. 通知のしきい値を設定し、送信する通知メッセージの数を制限します。しきい値の設定には次のものがあります。

      • 一括通知を次の間隔で送信する: 特定期間のすべての通知をまとめたメールメッセージを送信します。ボックスに数字を入力して期間を指定し、時間または日を選択します。

      • 一括通知を次の件数ごとに送信する: 設定したフィルタ処理数の通知をまとめたメールメッセージを送信します。ボックスに数字を入力して、ウイルス/不正プログラムの出現頻度を指定します。

      • 個別通知を送信する: フィルタ処理を実行するたびにメールメッセージ通知を送信します。

    ユーザに通知する

    Exchange OnlineおよびGmail: セキュリティリスクが検出され、メールメッセージまたは添付ファイルに対して処理が実行されたことを受信者に通知するメッセージの詳細を指定します。

    SharePoint Online、OneDrive、Microsoft Teams (チーム)、Box、Dropbox、およびGoogleドライブ: セキュリティリスクが検出され、ファイルに対して処理が実行されたことをファイルを更新したユーザに通知するメッセージの詳細を指定します。

    Salesforce: セキュリティリスクが検出され、更新に対して処理が実行されたことをSalesforceオブジェクトレコードを更新したユーザに通知するメッセージの詳細を指定します。

    Teamsチャット: このオプションはありません。チャットメッセージがブロックされた場合、Microsoftによる「このメッセージはブロックされました」という通知が、送信者のプライベートチャットウィンドウに表示されます。メッセージの送信者は、[操作項目] をクリックすると、ブロックされたメッセージに関する詳細情報を表示できます。

    注:

    通知メッセージは、通知する情報のトークンの要否を含め、目的に応じてカスタマイズできます。トークンの詳細については、トークン変数リストを参照してください。

  4. [保存] をクリックするか、左側のナビゲーションで別のポリシー設定を選択して追加のルールを設定します。

機械学習型検索について

トレンドマイクロの機械学習型検索は、高度な機械学習技術を使用して脅威情報を関連付け、デジタルDNAフィンガープリントやAPIマッピングなどのファイル機能を使用した詳細なファイル分析により未知のセキュリティリスクを検出します。機械学習型検索は、未知の脅威やゼロデイ攻撃から環境を保護するのに役立つ強力なツールです。

不明なファイルやあまり普及していないファイルを検出すると、Cloud App Securityは、高度な脅威検索エンジンでファイルを検索してファイル特性を抽出し、機械学習型検索エンジンにレポートを送信します。機械学習型検索では、不正プログラムモデリングにより、サンプルを不正プログラムモデルと比較し、可能性スコアを割り当て、ファイルに含まれる潜在的な不正プログラムの種類を判別します。