不正プログラム対策設定

不正プログラム対策機能の紹介や推奨設定方法についての情報は、次のWebサイトでまとめて確認できます。環境の構築を始める前に参照すると、動作不調のリスク軽減および安定性の向上に役立てることができます。
https://success.trendmicro.com/jp/solution/000286756

コンピュータエディタとポリシーエディタClosed これらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。の [不正プログラム対策] セクションには、タブで区切られた次のセクションがあります。

Deep Security AgentおよびDeep Security Virtual Applianceの不正プログラム対策モジュールには、不正プログラム、ウイルス、トロイの木馬、スパイウェアなどの脅威からリアルタイムに保護する機能と、管理者の要求に応じて保護する機能があります。このモジュールでは、脅威を特定するために、サーバにホストされている、またはアップデート可能なパターンファイルとしてローカルに保管されている包括的な脅威データベースに照らしてファイル署名を照合し、プロセスの動作を監視します。また、圧縮や既知の攻撃コードなど、特定の特性がないかについても確認します。

特定された脅威に対しては、脅威を阻止して取り除く処理を個別に選択することによって、システムへの影響を最小限に抑えます。不正なファイルは、駆除、削除、または隔離できます。特定した脅威に関連付けられているプロセスを終了したり、他のシステムオブジェクトを削除することもできます。

不正プログラム対策の設定によって、CPUとRAMの使用率は変化します。Deep Security Agentでの不正プログラム対策のパフォーマンスを最適化するには、不正プログラム対策のパフォーマンスのヒントを参照してください。
Deep Security Agentを新規にインストールした場合、アップデートサーバに接続して不正プログラム対策パターンファイルとアップデートをダウンロードするまで、不正プログラム対策保護は有効になりません。Deep Security Agentのインストール後に、Deep Security Relayまたはトレンドマイクロのアップデートサーバと通信できることを確認してください。

一般

不正プログラム対策のステータス

不正プログラム対策をオンまたはオフにします。不正プログラム対策のオン/オフ状態を親ポリシーから継承するか、または設定をローカルでオーバーライドするように現在のポリシーまたはコンピュータを設定できます。

リアルタイム検索

リアルタイム検索は不正プログラムを継続的に監視し、受信、開く、ダウンロード、コピー、編集などの処理が行われるたびに検索が実行されます(手動検索および予約検索では、指定の日時または手動で実行したときにのみ不正プログラムが検出されます)。セキュリティ上のリスクが検出されなかった場合、ファイルは現在の場所にそのまま残され、ユーザはファイルにアクセスできます。セキュリティ上のリスクが検出された場合、感染ファイルの名前と具体的なセキュリティ上のリスクの内容を示す通知メッセージが表示されます。

リアルタイム検索を実行するには、検索設定を選択する必要があります。また、必要に応じて、リアルタイム検索を有効にする期間も選択します。不正プログラム検索設定では、検索対象のディレクトリやファイルの種類、検索する不正プログラムの種類、不正プログラムが検出された場合の処理などを指定します。検索設定のプロパティは、メニューから検索設定を選択し、[編集] をクリックして確認できます。不正プログラム検索を設定するには、[ポリシー]→[共通オブジェクト]→[その他]→[不正プログラム検索設定] の順に選択します。

手動検索

手動検索は、ユーザからの要求で実行される検索であり、ユーザがコンピュータ上で検索を実行するとただちに開始されます。検索に要する時間は、検索するファイル数と、コンピュータのハードウェアリソースに応じて異なります。

不正プログラムの手動検索を実行するには、検索設定を選択する必要があります。不正プログラム検索を設定するには、[ポリシー]→[共通オブジェクト]→[その他]→[不正プログラム検索設定] の順に選択します。

予約検索

予約検索は、指定した日時に自動的に実行されます。予約検索を使用して日々の検索を自動化することで、検索をより効率的に管理できます。

不正プログラムの予約検索を実行するには、検索設定を選択する必要があります。不正プログラム検索を設定するには、[ポリシー]→[共通オブジェクト]→[その他]→[不正プログラム検索設定] の順に選択します。

不正プログラム検索 (コンピュータエディタのみ)

前回の不正プログラムの手動検索および予約検索の日時を表示し、不正プログラムのクイック検索またはフル検索を実行または中止できます。

Smart Protection

スマートスキャン

スマートスキャンは、不正プログラムやスパイウェアの検索機能の大部分をSmart Protection Serverで実行します。不正プログラムのパターンファイル全体をローカルコンピュータにダウンロードする代わりに、サイズが大幅に小さなパターンファイルをダウンロードし、ファイルが「安全を確認済み」か「危険の可能性あり」かを特定します。「危険の可能性あり」とみなされたファイルは、Trend Micro Smart Protection Networkに保管されている大容量の完全なパターンファイルと照合され、危険の有無が確実に判定されます。この方法により、ローカルに保管するパターンファイルのサイズが小さく抑えられ、Agent/Applianceで必要なアップデートのサイズおよび数も削減されます。

スマートスキャンを使用するように設定したコンピュータでは、不正プログラム対策パターンファイル全体がローカルディスクにダウンロードされることはありません。そのため、このコンピュータ上で不正プログラム対策ライセンスの有効期限が切れた場合やスマートスキャンをオフにした場合、ローカルのパターンファイルを使用して不正プログラム検索が実行されることはありません。

ファイルレピュテーションサービス用のSmart Protection Server

ファイルレピュテーション用のSmart Protectionサービスは、スマートスキャンに必要なファイルレピュテーション情報を提供します。トレンドマイクロのSmart Protection Networkサービスに直接接続するか、ローカルにインストールされた1つ以上のSmart Protection Serverに接続するかを選択します。

[ドメインに参加していない場合はGlobal Smart Protectionサービスに接続 (Windowsのみ)] オプションを選択すると、コンピュータがドメインに参加していない場合、Global Smart Protectionサービスを使用します。コンピュータがドメインコントローラに接続できない場合は、ドメインに参加していないとみなされます (このオプションはWindows Agentでのみ使用できます)。

使用可能なプロキシ一覧の表示および編集は、[管理]→[システム設定] 画面の [プロキシ] タブで行えます。

Smart Protection Serverへの接続の警告

このオプションは、コンピュータのSmart Protection Serverへの接続が切断されたときに、エラーイベントを生成してアラートを発令するかどうかを指定します。

Smart Protection Serverをローカルにインストールしている場合、Smart Protection Server自体に問題が発生した場合に通知が表示されるよう、少なくとも1台のコンピュータでこのオプションを [はい] に設定する必要があります。

Connected Threat Defense

Deep Security 10で導入された新機能です。

Connected Threat Defenseは、Deep Securityとトレンドマイクロのサンドボックス技術であるDeep Discovery Analyzerの間の接続を設定することで、新しい脅威にする不正プログラム対策保護を強化します。詳細については、Connected Threat Defenseを使用した脅威の検出を参照してください。

ドキュメントの脆弱性対策の検索で不審ファイルとして検出されたファイルをDeep Discovery Analyzerに送信する: Deep SecurityからDeep Discovery Analyzerに不審なファイルを送信する場合は、このオプションを [はい] または [継承 (はい)] に設定します。

Control Managerの不審オブジェクトリストを使用する: Deep SecurityとControl Manager間の接続がセットアップされており、Control Managerの不審オブジェクトリストを使用して不正なファイルを検出する場合は、このオプションを [はい] または [継承 (はい)] に設定します。

詳細

検出ファイル

検出ファイル用のディスク割り当ては、[検出ファイルの保存に使用される最大ディスク容量] の設定で決まります。この設定はすべてのコンピュータにグローバルに適用されます。物理コンピュータ、仮想マシン、Virtual Applianceを含むすべてのコンピュータにグローバルに適用されます。この設定は、ポリシーレベルおよびコンピュータレベルでオーバーライドできます。Virtual Applianceを使用して仮想マシンを保護している場合は、保護対象の仮想マシンからのすべての検出ファイルがVirtual Applianceに格納されます。そのため、Virtual Appliance上で検出ファイル用のディスク容量を増やす必要があります。

検出ファイルは、次の条件のうちいずれかを満たした場合にVirtual Applianceから自動的に削除されます。

  • 保護対象の仮想マシンがvMotionによって他のESXiホストに移動した場合、その保護対象の仮想マシンに関連付けられている検出ファイルをVirtual Applianceから削除します。
  • 保護対象の仮想マシンがDeep Security Managerから無効化された場合、その保護対象の仮想マシンに関連付けられている検出ファイルをVirtual Applianceから削除します。
  • Virtual ApplianceがDeep Security Managerから無効化された場合に、そのVirtual Applianceに保存されているすべての検出ファイルを削除。
  • Virtual ApplianceがvCenterから削除された場合に、そのVirtual Applianceに保存されているすべての検出ファイルも削除。

検索の制限

検索するファイルの最大サイズ: このサイズを超えるファイルは検索されません。0を設定すると、最大サイズがないことを意味し、すべてのファイルが検索されます。

不正プログラム検索用のリソース割り当て

[不正プログラム検索でマルチスレッド処理を使用 (利用可能な場合)] を選択すると、マルチスレッド機能をサポートしているシステムでマルチスレッド処理が有効になります。対象は手動検索と予約検索だけで、リアルタイム検索には適用されません。この設定を適用するには、有効にした後にコンピュータを再起動します。

マルチスレッド処理を有効にすると、コンピュータの他のプロセスに使用できるCPUコアの数が一時的に少なくなることがあります。

許可するスパイウェアおよびグレーウェア

[許可するスパイウェア/グレーウェア] は、Deep Securityでスパイウェアまたはグレーウェアと判定されたアプリケーションのうち、許可するアプリケーションのリストです。

このリストには、2つの方法でソフトウェアを追加できます。1つはアプリケーションが検出された不正プログラム対策イベントを使用して追加する方法、もう1つはスパイウェアまたはグレーウェアの名前を手動で入力する方法です。

  1. [イベントとレポート]→[イベント]→[不正プログラム対策イベント] 画面で検出イベントを検索します。
  2. 該当するイベントを右クリックします。
  3. [許可] をクリックします。

検索エンジンでアプリケーションがすでに検出されている場合は、現在のスパイウェアとグレーウェアの設定に応じて、アプリケーションが隔離または削除されていることがあります。アプリケーションが隔離されている場合は、復元または再インストールする必要があります。検出ファイルの復元方法については、検出ファイルの復元を参照してください。[処理] を [放置] に設定すると、スパイウェアとグレーウェアを検索した場合に、検出されたすべてのスパイウェアおよびグレーウェアを [不正プログラム対策イベント] 画面に記録したまま、隔離も削除も行わないで「放置」することができます。この方法を使用して、選択したスパイウェアおよびグレーウェアを許可リストに追加し、後で [処理] を [隔離] または [削除] モードに設定することができます。

スパイウェアとグレーウェアを許可リストに手動で追加する場合は、不正プログラム対策イベントログに表示されるアプリケーションの名前をメモし、[許可するスパイウェア/グレーウェア] リストに手動で追加します。

このリストのエントリは大文字と小文字が区別されます。イベントログに記載されているとおりに入力する必要があります。

ローカルイベント通知

[不正プログラムの検出時にローカル通知を表示] を使用して、Deep Security Notifier (コンピュータにローカルでインストールされている場合) で不正プログラムが検出されたことを示すポップアップ通知を表示するかどうかを指定できます。

ドキュメントの脆弱性対策ルールの例外

[ドキュメントの脆弱性対策ルールの例外] は、Deep Securityで不審なファイルを特定したルールのうち、そのファイルを許可するルールのリストです。このリストには、次の2つのどちらかの方法で不審なファイルのルールを追加できます。1つはルールが検出された不正プログラム対策イベントを使用して追加する方法、もう1つはルールの名前を手動で入力する方法です。

不正プログラム対策イベントを使用して、ドキュメントの脆弱性対策ルールのリストにルールを追加するには

  1. [イベントとレポート]→[イベント]→[不正プログラム対策イベント] 画面で検出イベントを検索します。
  2. 該当するイベントを右クリックします。
  3. [許可] を選択します。

ドキュメントの脆弱性対策ルールの例外のリストにルールを手動で追加するには、不正プログラム対策イベントログに表示されるルールの名前をメモし、[ドキュメントの脆弱性対策ルールの例外] に手動で追加します。

このリストのエントリは大文字と小文字が区別されます。イベントログに記載されているとおりに入力する必要があります。

仮想マシンの検索キャッシュ

検索キャッシュは、仮想マシンの不正プログラム監視および変更監視の検索を最大限に効率化する目的で、Virtual Applianceによって使用されます。検索キャッシュ設定の詳細については、Virtual Applianceの検索キャッシュを参照してください。

NSXセキュリティのタグ付け

Deep Securityでは、不正プログラムの脅威が検出された際に、保護対象の仮想マシンにNSXセキュリティタグを適用できます。NSXセキュリティタグをNSX Service Composerで使用することで、感染した仮想マシンの隔離など、特定のタスクを自動化することができます。NSXセキュリティタグとNSXセキュリティグループの割り当ての詳細については、VMware NSXのドキュメントを参照してください。

NSXセキュリティタグはVMware vSphere NSX環境の一部です。Deep Securityのイベントタグと混同しないようにしてください。Deep Securityでのイベントのタグ付けの詳細については、イベントを識別およびグループ化するためのタグの適用を参照してください。

不正プログラム対策エンジンによる修復処理が失敗した場合にのみ、NSXセキュリティタグを適用するように設定できます (実行される修復処理は、有効になっている不正プログラム検索設定によって異なります。どの不正プログラム検索設定が有効になっているかを確認するには、コンピュータエディタまたはポリシーエディタClosed これらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。で、[不正プログラム対策]→[一般] タブに移動し、[リアルタイム検索][手動検索]、および [予約検索] の各エリアを確認します)。

その後の不正プログラム検索で不正プログラムが検出されなかった場合にセキュリティタグを削除するように設定することもできます。この設定は、すべての不正プログラム検索の種類が同じ場合にのみ使用してください。

挙動監視保護の例外

[挙動監視保護の例外] は、Deep Securityで不正プログラムと判定されたファイルのうち、許可するファイルのリストです。このリストには、次の2つのどちらかの方法でファイルを追加できます。1つはファイルが検出された不正プログラム対策イベントを使用して追加する方法、もう1つはファイルを手動で入力する方法です。

不正プログラム対策イベントを使用して、挙動監視保護の例外のリストにファイルを追加するには

  1. [イベントとレポート]→[イベント]→[不正プログラム対策イベント] 画面で検出イベントを検索します。
  2. 該当するイベントを右クリックします。
  3. [許可] をクリックします。

挙動監視保護の例外のリストにファイルを手動で追加するには、不正プログラム対策イベントログに表示されるファイルをメモし、[挙動監視保護の例外] に手動で追加します。

このリストのエントリは大文字と小文字が区別されます。イベントログに記載されているとおりに入力する必要があります。

ファイルハッシュ計算

Deep Securityでは、不正プログラムファイルのハッシュ値を計算して、[イベントとレポート]→[イベント]→[不正プログラム対策イベント] 画面に表示できます。一部の不正プログラムには複数の異なる名前が使用されていることがあるため、不正プログラムを一意に識別するハッシュ値が役立ちます。ハッシュ値は、他のソースでその不正プログラムに関する情報を確認する場合に使用できます。

対象のポリシーの現在のファイルハッシュ設定を変更するには

  1. [初期設定] または [継承] チェックボックスをオフにします (ルートポリシーの場合は [初期設定] が表示され、子ポリシーの場合は [継承] が表示されます)。

    [継承] チェックボックスがオンになっている場合、ファイルハッシュ設定は現在のポリシーの親ポリシーから継承されます。

    [初期設定] チェックボックスがオンになっている場合、Deep Securityはハッシュ値を計算しません。

  2. [すべての不正プログラム対策イベントのハッシュ値を計算する] を選択します。
  3. 初期設定では、SHA-1ハッシュ値が生成されます。追加のハッシュ値を生成するには、[MD5] または [SHA256]、あるいはその両方を選択します。
  4. ハッシュ値を計算する不正プログラムファイルの最大サイズを変更することもできます。初期設定では128MBを超えるファイルはスキップされますが、この値を64~512MBの任意の値に変更できます。

検出ファイル

検出ファイルは、Deep Security Managerのメイン画面と同じように表示されますが、一覧表示されるのはこのコンピュータで検出されたファイルのみです。詳細については、検出ファイルを参照してください。

イベント

不正プログラム対策イベントは、Deep Security Managerのメイン画面と同じように表示されますが、表示される内容はこのポリシーまたは特定のコンピュータに関するイベントのみです。詳細については、不正プログラム対策イベントを参照してください。