不正プログラム検索の設定

不正プログラム検索設定は保存して再利用可能な設定で、ポリシーまたはコンピュータに不正プログラム対策を設定する場合に適用できます。この設定には、Deep Securityで実行する不正プログラム検索の種類と検索対象のファイルを指定します。一部のポリシーのプロパティも、不正プログラム検索の動作に影響を与えます。

Deep Security のベストプラクティスガイドにも、不正プログラム検索の推奨設定が記載されています。

不正プログラム対策の設定によって、CPUとRAMの使用率は変化します。Deep Security Agentでの不正プログラム対策のパフォーマンスを最適化するには、不正プログラム対策のパフォーマンスのヒントを参照してください。

不正プログラム検索設定を作成または編集する

リアルタイム、手動、または予約検索の動作を制御するために、不正プログラム検索設定を作成または編集します (詳細については、不正プログラム検索設定を参照してください)。必要に応じて、複数の不正プログラム検索設定を作成できます。

  • 作成した不正プログラム検索設定は、ポリシーまたはコンピュータの検索と関連付けることができます (実行する検索の種類を選択するを参照してください)。
  • ポリシーまたはコンピュータが使用している不正プログラム検索設定を編集すると、この変更は設定に関連付けられている検索に影響します。

既存の設定に類似する不正プログラム検索設定を作成するには、既存の設定を複製して編集します。

制御する検索の種類に応じて、2種類の不正プログラム検索設定を作成できます (不正プログラム検索の種類を参照してください)。

  • リアルタイム検索の設定: リアルタイム検索を制御します。[アクセス拒否] などの一部の処理は、リアルタイム検索の設定でのみ使用可能です。
  • 手動/予約検索の設定: 手動検索または予約検索を制御します。[CPU使用率] などの一部のオプションは、手動/予約検索の設定でのみ使用可能です。

Deep Securityは、検索の種類ごとに不正プログラム検索の初期設定を提供します。

  1. [ポリシー]→[共通オブジェクト]→[その他]→[不正プログラム検索設定] に移動します。
  2. 検索設定を作成するには、[新規][新規の不正プログラムのリアルタイム検索設定] または [新規の不正プログラムの手動/予約検索設定] をクリックします。
    1. 検索設定を識別する名前を入力します。この名前は、ポリシーで不正プログラム検索を設定するときにリストに表示されます。
    2. (オプション) この設定の使用例の説明を入力します。
  3. 既存の検索設定を表示して編集するには、その検索設定を選択して [プロパティ] をクリックします。
  4. 検索設定を複製するには、その検索設定を選択して [複製] をクリックします。

不正プログラム検索設定を使用するポリシーとコンピュータを確認するには、プロパティの [割り当て対象] タブをご覧ください。

特定の種類の不正プログラムを検索する

関連項目:

スパイウェア/グレーウェアを検索する

スパイウェアおよびグレーウェア対策を有効にすると、不審なファイルの検出時に、スパイウェア検索エンジンによってこれらのファイルが隔離されます。

  1. 不正プログラム検索設定のプロパティを開きます。
  2. [一般] タブで、[スパイウェア/グレーウェア対策を有効にする] を選択します。
  3. [OK] をクリックします。

スパイウェア検索エンジンで無視する特定のファイルを指定する方法については、不正プログラム対策の例外の作成を参照してください。

圧縮済み実行可能ファイルを検索する (リアルタイム検索のみ)

ウイルスは、リアルタイム圧縮アルゴリズムを使用して、ウイルスフィルタを回避しようとすることがあります。IntelliTrap機能は、リアルタイムの圧縮済み実行可能ファイルを遮断し、他の不正プログラムの特性とファイルを組み合わせます。

IntelliTrapはそのようなファイルをセキュリティ上の危険として特定するため、IntelliTrapを有効にすると、安全なファイルを (削除や駆除ではなく) 隔離したり、間違ってブロックする場合があります (不正プログラムの処理方法を設定するを参照してください)。ユーザがリアルタイムで圧縮した実行可能ファイルを頻繁にやり取りする場合は、IntelliTrapを無効にしてください。IntelliTrapは、ウイルス検索エンジン、IntelliTrapパターンファイル、およびIntelliTrap除外パターンファイルを使用します。
  1. 不正プログラム検索設定のプロパティを開きます。
  2. [一般] タブで、[IntelliTrapの有効化] を選択します。
  3. [OK] をクリックします。

プロセスメモリを検索する (リアルタイム検索のみ)

リアルタイムでプロセスメモリを監視し、Trend Micro Smart Protection Networkと連携した追加のチェックを実行することにより、不審なプロセスが既知の不正なプロセスであるかどうかを判別します。プロセスが不正である場合、プロセスは強制終了されます。詳細については、Deep SecurityのSmart Protectionを参照してください。

  1. 不正プログラム検索設定のプロパティを開きます。
  2. [一般] タブで、[プロセスメモリ内の不正プログラムを検索する] を選択します。
  3. [OK] をクリックします。

圧縮ファイルを検索する

圧縮ファイルを解凍し、コンテンツに不正プログラムが含まれていないか検索します。検索を有効にするときに、解凍するファイルの最大サイズと最大数を指定します (大きなファイルはパフォーマンスに影響を及ぼすことがあります)。また、圧縮ファイル内に存在する圧縮ファイルを検索できるように、検査する圧縮レベルも指定します。圧縮レベル1は、単一の圧縮ファイルです。レベル2は、ファイル内の圧縮ファイルです。最大6の圧縮レベルを検索できますが、レベルが高くなるとパフォーマンスに影響を及ぼす可能性があります。

  1. 不正プログラム検索設定のプロパティを開きます。
  2. [詳細] タブで、[圧縮ファイルの検索] を選択します。
  3. 解凍するコンテンツファイルの最大サイズ (MB)、検索する圧縮レベル、解凍する最大ファイル数を指定します。
  4. [OK] をクリックします。

埋め込みのMicrosoft Officeオブジェクトを検索する

Microsoft Officeの特定のバージョンでは、Object Linking and Embedding (OLE) を使用してOfficeファイルにファイルやその他のオブジェクトを挿入します。これらの埋め込みオブジェクトには、不正なコードが含まれている場合があります。

他のオブジェクトに埋め込まれているオブジェクトを検出するために、検索するOLE層の数を指定します。パフォーマンスへの影響を軽減するため、各ファイル内の埋め込みオブジェクトの層をいくつかだけ検索できます。

  1. 不正プログラム検索設定のプロパティを開きます。
  2. [詳細] タブで、[埋め込みのMicrosoft Officeオブジェクトを検索する] を選択します。
  3. 検索するOLE層の数を指定します。
  4. [OK] をクリックします。

検索対象ファイルを指定する

不正プログラムを検索するファイルを指定するには、検索に含めるファイルとディレクトリを指定してから、これらのファイルとディレクトリのうち、検索から除外するものを指定します。ネットワークディレクトリも検索できます。

検索対象

検索するディレクトリと、ディレクトリ内の検索するファイルも指定します。

検索するディレクトリを指定するには、すべてのディレクトリまたはディレクトリのリストを指定できます。ディレクトリリストでは、特定の構文に含まれるパターンを使用して、検索するディレクトリを指定します (ディレクトリリストの構文を参照してください)。

検索するファイルを指定するには、次のいずれかのオプションを使用します。

  • すべてのファイル
  • IntelliScanによって識別されるファイルタイプ。IntelliScanでは、感染しやすいファイルの種類 (.zipや.exeなど) のみを検索します。IntelliScanでは、ファイルの種類はファイル拡張子から判断するのではなく、ファイルのヘッダや内容を読み取ってそのファイルが検索対象かどうかを決定します。すべてのファイルを検索する場合と比較して、IntelliScanでは検索するファイル数が減少しパフォーマンスが向上します。
  • 指定したリストに含まれているファイル名の拡張子を持つファイル: ファイル拡張子リストでは、特定の構文に含まれるパターンを使用します (ファイル拡張子リストの構文を参照してください)。
  1. 不正プログラム検索設定のプロパティを開きます。
  2. [検索対象] タブをクリックします。
  3. 検索するディレクトリを指定するには、[すべてのディレクトリ] または [ディレクトリリスト] を選択します。
  4. [ディレクトリリスト] を選択した場合は、ドロップダウンメニューから既存のリストを選択するか、[新規] を選択して新しいリストを作成します。
  5. 検索するファイルを指定するには、[すべてのファイル][トレンドマイクロの推奨設定で検索されるファイルタイプ]、または [ファイル拡張子リスト] のいずれかを選択します。
  6. [ファイル拡張子リスト] を選択した場合は、ドロップダウンメニューから既存のリストを選択するか、[新規] を選択して新しいリストを作成します。
  7. [OK] をクリックします。

検索除外

特定のディレクトリ、ファイル、およびファイル拡張子を、検索から除外します。リアルタイム検索では (Deep Security Virtual Applianceによって実行される場合を除く)、特定のプロセスイメージファイルも検索対象から除外できます。たとえば、Microsoft Exchange Serverの不正プログラム検索設定を作成する場合は、不正プログラムであることがすでに確認されているファイルが再検索されないように、InterScan for Microsoft Exchangeの隔離フォルダを除外します。

ディレクトリ、ファイル、プロセスイメージファイルを除外するには、除外する項目を特定するためにパターンを使用するリストを作成します。

  1. 不正プログラム検索設定のプロパティを開きます。
  2. [検索除外] タブをクリックします。
  3. 検索から除外するディレクトリを指定します。
    1. [ディレクトリリスト] を選択します。
    2. ディレクトリリストを選択するか、[新規] を選択して新しいリストを作成します (ディレクトリリストの構文を参照してください)。
    3. ディレクトリリストを作成した場合は、ディレクトリリストで選択します。
  4. 同様に、検索から除外するファイルリスト、ファイル拡張子リスト、プロセスイメージファイルを指定します (ファイルリストの構文ファイル拡張子リストの構文、およびプロセスイメージファイルリストの構文 (リアルタイム検索のみ):を参照してください)。
  5. [OK] をクリックします。

ディレクトリリストの構文

ディレクトリリスト項目では、WindowsとLinuxの両方の命名規則をサポートするため、スラッシュ (/) とバックスラッシュ (\) の区別はありません。
検索除外 形式 説明
ディレクトリ DIRECTORY\ 指定したディレクトリとそのすべてのサブディレクトリにあるファイルをすべて除外します。 C:\Program Files\
「Program Files」ディレクトリとそのすべてのサブディレクトリにあるファイルをすべて除外します。
ワイルドカード (*) を使用したディレクトリ DIRECTORY\*\ 指定されたサブディレクトリと、そこに含まれるファイルを除き、すべてのサブディレクトリを除外します。 C:\abc\*\
「abc」のすべてのサブディレクトリにあるファイルをすべて除外します。ただし、「abc」ディレクトリにあるファイルは除外しません。

C:\abc\wx*z\
対象:
C:\abc\wxz\
C:\abc\wx123z\
対象外:
C:\abc\wxz
C:\abc\wx123z

C:\abc\*wx\
対象:
C:\abc\wx\
C:\abc\123wx\
対象外:
C:\abc\wx
C:\abc\123wx
ワイルドカード (*) を使用したディレクトリ DIRECTORY\* 一致する名前を持つ任意のサブディレクトリを除外します。ただし、そのディレクトリにあるファイルおよび任意のサブディレクトリは除外しません。 C:\abc\*
対象:
C:\abc\
C:\abc\1
C:\abc\123
対象外:
C:\abc
C:\abc\123\
C:\abc\123\456
C:\abx\
C:\xyz\

C:\abc\*wx
対象:
C:\abc\wx
C:\abc\123wx
対象外:
C:\abc\wx\
C:\abc\123wx\

C:\abc\wx*z
対象:
C:\abc\wxz
C:\abc\wx123z
対象外:
C:\abc\wxz\
C:\abc\wx123z\

C:\abc\wx*
対象:
C:\abc\wx
C:\abc\wx\
C:\abc\wx12
C:\abc\wx12\345\
C:\abc\wxz\
対象外:
C:\abc\wx123z\
環境変数 ${ENV VAR} 環境変数によって定義されているすべてのファイルとサブディレクトリを除外します。Virtual Applianceの場合は、環境変数の値のペアをポリシーエディタまたはコンピュータエディタの [設定]→[一般]→[環境変数のオーバーライド] で定義する必要があります。 ${windir}
変数が「c:\windows」に変換された場合、「c:\windows」とそのすべてのサブディレクトリにあるファイルをすべて除外します。
コメント DIRECTORY #コメント 除外の定義にコメントを追加します。 c:\abc #abcディレクトリを除外します

ファイルリストの構文

検索除外 形式 説明
ファイル FILE 場所やディレクトリに関係なく、指定したファイル名を持つすべてのファイルを除外します。 abc.doc
すべてのディレクトリで「abc.doc」という名前のファイルをすべて除外します。「abc.exe」は除外しません。
ファイルパス FILEPATH ファイルパスで指定した特定のファイルを除外します。 C:\Documents\abc.doc
「Documents」ディレクトリの「abc.doc」という名前のファイルのみ除外します。
ワイルドカード (*) を使用したファイルパス FILEPATH ファイルパスで指定した特定のファイルをすべて除外します。 C:\Documents\abc.co* (Windows Agentプラットフォームのみ) 「Documents」ディレクトリにある、ファイル名が「abc」で拡張子が「.co」で始まるファイルを除外します。
ワイルドカード (*) を使用したファイル FILE* ファイル名のパターンに一致するすべてのファイルを除外します。 abc*.exe
接頭語が「abc」で拡張子が「.exe」のファイルを除外します。

*.db
対象:
123.db
abc.db
対象外:
123db
123.abd
cbc.dba

*db
対象:
123.db
123db
ac.db
acdb
db
対象外:
db123

wxy*.db
対象:
wxy.db
wxy123.db
対象外:
wxydb
ワイルドカード (*) を使用したファイル FILE.EXT* ファイルの拡張子のパターンに一致するすべてのファイルを除外します。 abc.v*
ファイル名が「abc」で拡張子が「.v」で始まるファイルを除外します。

abc.*pp
対象:
abc.pp
abc.app
対象外:
wxy.app

abc.a*p
対象:
abc.ap
abc.a123p
対象外:
abc.pp

abc.*
対象:
abc.123
abc.xyz
対象外:
wxy.123
ワイルドカード (*) を使用したファイル FILE*.EXT* ファイル名と拡張子のパターンに一致するすべてのファイルを除外します。 a*c.a*p
対象:
ac.ap
a123c.ap
ac.a456p
a123c.a456p
対象外:
ad.aa
環境変数 ${ENV VAR} ${ENV VAR} の形式を使用した環境変数で指定されるファイルを除外します。環境変数は、ポリシーエディタまたはコンピュータエディタの [設定]→[一般]→[環境変数のオーバーライド] で定義またはオーバーライドできます。 ${myDBFile}
「myDBFile」ファイルを除外します。
コメント FILEPATH #コメント 除外の定義にコメントを追加します。 C:\Documents\abc.doc #これはコメントです

ファイル拡張子リストの構文

検索除外 形式 説明
ファイル拡張子 EXT 一致する拡張子を持つすべてのファイルと一致します。 doc
すべてのディレクトリの「.doc」という拡張子を持つすべてのファイルと一致します。
コメント EXT #コメント 除外の定義にコメントを追加します。 doc #これはコメントです

プロセスイメージファイルリストの構文 (リアルタイム検索のみ):

検索除外 形式 説明
ファイルパス FILEPATH ファイルパスで指定した特定のプロセスイメージファイルを除外します。 C:\abc\file.exe
「abc」ディレクトリの「file.exe」という名前のファイルのみ除外します。

ネットワークディレクトリを検索する (リアルタイム検索のみ)

Network File System (NFS)、Server Message Block (SMB)、またはCommon Internet File System (CIFS) に存在するネットワーク共有内およびマッピングされているネットワークドライブ内のファイルやフォルダを検索する場合は、[ネットワークディレクトリ検索を有効にする] を選択します。このオプションはリアルタイム検索でのみ使用できます。

GVFS (GNOMEデスクトップで利用できる仮想ファイルシステム) を通じて「~/.gvfs」でアクセスされるリソースは、ネットワークドライブではなくローカルリソースとして扱われます。

リアルタイム検索を実行するタイミングを指定する

ファイルの読み取り時、書き込み時、またはそのどちらでもファイルを検索するかを選択します。

  1. 不正プログラム検索設定のプロパティを開きます。
  2. [詳細] タブで、[リアルタイム検索] プロパティのオプションを1つ選択します。
  3. [OK] をクリックします。

不正プログラムの処理方法を設定する

不正プログラムが検出されたときのDeep Securityの動作を設定します。

不正プログラム修復処理をカスタマイズする

Deep Securityで不正プログラムが検出されると、修復処理が実行されファイルが処理されます。不正プログラムが見つかった場合、Deep Securityが実行できる処理には次の5つがあります。

  • 放置: 感染ファイルに何も行わず、そのファイルへのフルアクセスを許可する(不正プログラム対策イベントはログに記録されます)。
  • 駆除: ファイルへのフルアクセスを許可する前に、駆除可能なファイルを駆除する(潜在的な不正プログラムには使用できません)。
  • 削除: 感染ファイルを削除する。
  • アクセス拒否: この検索処理はリアルタイム検索中にのみ実行されます。Deep Securityは、感染ファイルを開いたり実行しようとしたりする動きを検出すると、すぐにその処理をブロックします。手動/予約検索で「アクセス拒否」オプションが選択された不正プロクラム検索設定が使用されている場合、「放置」処理が適用され、不正プログラム対策イベントがログに記録されます。
  • 隔離: コンピュータまたはVirtual Appliance上の隔離ディレクトリにファイルを移動する (隔離後は、任意の場所にファイルをダウンロードできます。詳細については、検出した不正プログラムの確認と復元を参照してください)。

不正プログラム検索設定の修復処理は、ほとんどの状況に対応できるように初期設定されています。ただし、Deep Securityで不正プログラムが検出された際に実行する処理はカスタマイズ可能です。トレンドマイクロの推奨処理を使用することも、脆弱性の種類ごとに処理を指定することもできます。

トレンドマイクロの推奨処理は、不正プログラムの各カテゴリ用に最適化された一連の定義済みのクリーンナップ処理です。個々の検出を適切に処理するため、トレンドマイクロの推奨処理内のアクションは随時調整されます (トレンドマイクロの推奨処理を参照してください)。

  1. 不正プログラム検索設定のプロパティを開きます。
  2. [詳細] タブで、[修復処理] に対して [カスタム] を選択します。
  3. 実行する処理を指定します。
    1. トレンドマイクロ推奨の修復処理から実行する処理を決定するには、[トレンドマイクロの推奨処理を使用] を選択します。
    2. 脆弱性の種類ごとに処理を指定するには、[カスタム処理を使用] を選択してから、使用する処理を選択します。
  4. 潜在的な不正プログラムに対して実行する処理を指定します。
  5. [OK] をクリックします。

トレンドマイクロの推奨処理

次の表は、トレンドマイクロの推奨処理を選択した場合に実行される処理の一覧です。

不正プログラムの種類 処理
ウイルス 駆除
トロイの木馬 隔離
パッカー 隔離
スパイウェア/グレーウェア 隔離
CVE攻撃コード 隔離
アグレッシブ検出ルール 放置
(この設定では、より多くの問題が検出されますが、誤判定も増えるため、初期設定の処理はイベントの発生です)。
Cookie 削除
(リアルタイム検索には適用されません)。
その他の脅威 駆除
潜在的な不正プログラム トレンドマイクロの推奨処理
AgentでアップデートサーバまたはRelayからウイルスパターンファイルのアップデートをダウンロードすると、それに応じてトレンドマイクロの推奨処理が変わることがあります。

CVE攻撃コードおよびアグレッシブ検出ルールの詳細については、Connected Threat Defenseで使用する不正プログラム検索設定を作成するを参照してください。

不正プログラム検出のアラートを生成する

Deep Securityによる不正プログラムの検出時に、アラートを生成できます。

  1. 不正プログラム検索設定のプロパティを開きます。
  2. [一般] タブで、[アラート] に対して [この不正プログラム検索設定でイベントが規録されたときにアラートを発令する] を選択します。
  3. [OK] をクリックします。

NSXセキュリティタグを適用する

Deep Securityでは、不正プログラムの脅威が検出された際に、保護対象の仮想マシンにNSXセキュリティタグを適用できます。NSXセキュリティタグをNSX Service Composerで使用することで、感染した仮想マシンの隔離など、特定のタスクを自動化することができます。NSXセキュリティタグとNSXセキュリティグループの割り当ての詳細については、VMware NSXのドキュメントを参照してください。

NSXセキュリティタグはVMware vSphere NSX環境の一部です。Deep Securityのイベントタグと混同しないようにしてください。Deep Securityでのイベントのタグ付けの詳細については、イベントを識別およびグループ化するためのタグの適用を参照してください。

不正プログラム対策エンジンによる修復処理が失敗した場合にのみ、NSXセキュリティタグを適用するように設定できます (実行される修復処理は、有効になっている不正プログラム検索設定によって異なります。どの不正プログラム検索設定が有効になっているかを確認するには、コンピュータエディタまたはポリシーエディタこれらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。で、[不正プログラム対策]→[一般] タブに移動し、[リアルタイム検索][手動検索]、および [予約検索] の各エリアを確認します)。

後続の不正プログラム検索で不正プログラムが検出されない場合にセキュリティタグを削除するように選択することもできます。この設定は、すべての不正プログラム検索の種類が同じ場合にのみ使用してください。

ファイルのハッシュダイジェストにより不正プログラムファイルを特定する

Deep Securityでは、不正プログラムファイルのハッシュ値を計算して、[イベントとレポート]→[イベント]→[不正プログラム対策イベント] 画面に表示できます。一部の不正プログラムには複数の異なる名前が使用されていることがあるため、不正プログラムを一意に識別するハッシュ値が役立ちます。ハッシュ値は、他のソースでその不正プログラムに関する情報を確認する場合に使用できます。

  1. 設定するポリシーエディタまたはコンピュータエディタを開きます。
  2. [不正プログラム対策]→[詳細] の順にクリックします。
  3. [ファイルハッシュ計算] で、[初期設定] または [継承] チェックボックスをオフにします (ルートポリシーの場合は [初期設定] が表示され、子ポリシーの場合は [継承] が表示されます)。

    [継承] チェックボックスがオンになっている場合、ファイルハッシュ設定は現在のポリシーの親ポリシーから継承されます。

    [初期設定] チェックボックスがオンになっている場合、Deep Securityはハッシュ値を計算しません。

  4. [すべての不正プログラム対策イベントのハッシュ値を計算する] を選択します。
  5. 初期設定では、SHA-1ハッシュ値が生成されます。追加のハッシュ値を生成するには、[MD5] または [SHA256]、あるいはその両方を選択します。
  6. ハッシュ値を計算する不正プログラムファイルの最大サイズを変更することもできます。初期設定では128MBを超えるファイルはスキップされますが、この値を64~512MBの任意の値に変更できます。

コンピュータで通知を設定する

WindowsベースのAgentでは、不正プログラム対策モジュールおよびWebレピュテーションモジュールに関連するDeep Securityの実行が必要な処理を警告する通知メッセージが画面に表示されることがあります。たとえば、「不正プログラムのクリーンナップタスクで再起動が必要です」というメッセージが表示されることがあります。ダイアログボックスで [OK] をクリックしてメッセージを消去する必要があります。

このような通知を表示しないようにするには、次のように設定します。

  1. コンピュータエディタまたはポリシーエディタこれらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。に移動します。
  2. 左側にある [設定] をクリックします。
  3. [一般] タブで、[通知] セクションまでスクロールします。
  4. [ホストですべてのポップアップ通知を抑制する][はい] に設定します。オフにしても、メッセージはDeep Security Managerのアラートやイベントとして表示されます。Notifierの詳細については、Deep Security Notifierを参照してください。