Deep Security 11のサポートは終了しています。バージョンセレクタ(上記)を使用して、より新しいバージョンのヘルプセンターを表示します。
本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。
本ヘルプセンターの一部の記事には外部リンクが含まれています。リンク切れなどお気づきの点がございましたら、トレンドマイクロサポート窓口までご連絡ください。
不正プログラム対策の例外の作成
不正プログラムと同じ特徴があると、不正ではないファイルが不正プログラムに誤って識別される場合があります。安全なことがわかっていて、不正プログラムに識別されてしまう場合は、そのファイルの例外を作成できます。例外を作成すると、Deep Securityでこのファイルが検索されても、イベントはトリガされません。
不正プログラム対策モジュールの概要については、不正プログラムの防止を参照してください。
リアルタイム、手動、および予約検索でファイルを除外することもできます。検索対象ファイルを指定するを参照してください。
次の不正プログラムおよび不正プログラム検索の種類について、例外を作成できます。
- 機械学習型検索 (詳細については、機械学習型検索を使用した脅威の検出を参照)。
- スパイウェア/グレーウェアの検索 (詳細については、スパイウェア/グレーウェアを検索するを参照)。
- 挙動監視保護 (詳細については、挙動監視による不正プログラム/ランサムウェア検索の強化を参照)。
Deep Securityでは、ポリシーおよびコンピュータプロパティに不正プログラム検索のそれぞれの種類について、例外のリストを保持しています。
- 例外のリストを表示するには、ポリシーまたはコンピュータのエディタを開きます。
- [不正プログラム対策]→[詳細] の順にクリックします。
例外は、[許可するスパイウェア/グレーウェア]、[ドキュメントの脆弱性対策ルールの例外]、[機械学習型検索の検出除外対象]、および [挙動監視保護の例外] セクションに一覧表示されます。
検索除外の推奨設定も参照してください。
不正プログラム対策イベントから例外を作成する
ファイルが不正プログラムとして識別されると、Deep Securityでは不正プログラム対策イベントが生成されます。ファイルが安全だとわかっている場合は、イベントレポートからそのファイルの例外を作成できます。
- [イベントとレポート]→[イベント]→[不正プログラム対策イベント] の順にクリックして、不正プログラム検出イベントを特定します。
- 該当するイベントを右クリックします。
- [許可] を選択します。
不正プログラム対策の例外を手動で作成する
スパイウェア/グレーウェア、ドキュメントの脆弱性対策ルール、機械学習型検索、および挙動監視の例外について、不正プログラム対策の例外を手動で作成できます。例外を追加するには、検索によって生成された不正プログラム対策イベントの特定の情報が必要です。不正プログラムまたは検索の種類によって、次の情報が必要になります。
- スパイウェア/グレーウェア: [不正プログラム] フィールドの値 (SPY_CCFR_CPP_TEST.Aなど)
- ドキュメントの脆弱性対策ルール: [不正プログラム] フィールドの値 (HEUR_OLEP.EXEなど)
- 機械学習型検索: [ファイルのSHA-1] フィールドのファイルのSHA1ダイジェスト (3395856CE81F2B7382DEE72602F798B642F14140など)
- 挙動監視: プロセスイメージパス (C:\test.exeなど)
- [イベントとレポート]→[イベント]→[不正プログラム対策イベント] の順にクリックして、不正プログラムの識別に必要なフィールド値をコピーします。
- 例外を作成するポリシーまたはコンピュータのエディタを開きます。
- [不正プログラム対策]→[詳細] の順にクリックします。
- [許可するスパイウェア/グレーウェア]、[ドキュメントの脆弱性対策ルールの例外]、[機械学習型検索の検出除外対象]、または [挙動監視保護の例外] セクションのテキストボックスにイベントの情報を入力します。
- [追加] をクリックします。
スパイウェア/グレーウェアの例外の処理方法
スパイウェアが検出された場合、検索を制御する不正プログラム検索設定に基づいて、不正プログラムは即座に駆除、隔離、または削除されます。スパイウェア/グレーウェアイベントの例外を作成後、ファイルの復元が必要な場合があります(検出ファイルを復元するを参照してください)。
または、一時的に処理を [放置] に設定した上でスパイウェア/グレーウェアを検索すると、スパイウェア/グレーウェア検出がすべて [不正プログラム対策イベント] 画面に記録されても、駆除、隔離、または削除は実行されません。これにより、検出されたスパイウェア/グレーウェアの例外を作成できます。例外リストの安全性が高くなったら、処理を [駆除]、[隔離]、または [削除] モードに設定できます。
処理の設定の詳細については、不正プログラムの処理方法を設定するを参照してください。
検索除外の推奨設定
検索除外については、トレンドマイクロやその他のベンダが包括的な詳しい情報を提供しています。ここでは、検索除外の推奨設定の一部について、その概要を紹介します。
- 不正プログラムであることがすでに確認されているファイルが再検索されないように、隔離フォルダ (Microsoft Windows Exchange ServerのSMEXなど) を除外します。
- 検索を実行するとデータベースのパフォーマンスに影響することがあるため、大規模なデータベースやデータベースファイル (dsm.mdfやdsm.ldfなど) を除外します。データベースファイルを検索する必要がある場合は、ピーク時を避けてデータベースを検索する予約タスクを作成します。Microsoft SQL Serverデータベースは動的であるため、ディレクトリおよびバックアップフォルダを検索リストから除外します。
Windowsの場合:
${ProgramFiles}\Microsoft SQL Server\MSSQL\Data\
${Windir}\WINNT\Cluster\ # (SQLクラスタリングを使用している場合)
Q:\ # (SQLクラスタリングを使用している場合)
Linuxの場合:
/var/lib/mysql/ # (マシンでこのパスがMySQLのデータの保存先として設定されている場合)
/mnt/volume-mysql/ # (マシンでこのパスがMySQLのデータの保存先として設定されている場合)
推奨される検索除外の一覧については、トレンドマイクロの推奨される検索除外リストを参照してください。Windowsサーバでの検索ファイルの除外については、Microsoftが公開しているウイルス対策除外リストを参考にしてください。