本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。

不正プログラム対策の例外の作成

不正プログラムと同じ特徴があると、不正ではないファイルが不正プログラムに誤って識別される場合があります。安全なことがわかっていて、不正プログラムに識別されてしまう場合は、そのファイルの例外を作成できます。例外が作成されると、ファイルはDeep Securityがファイルを検索する際にイベントをトリガしません。

不正プログラム対策モジュールの概要については、不正プログラム対策について を参照してください。

リアルタイム、手動、および予約検索でファイルを除外することもできます。検索対象ファイルを指定するを参照してください。

次の不正プログラムおよび不正プログラム検索の種類について、例外を作成できます。

信頼された証明書で署名されているファイルは、不正プログラム対策から除外することもできます。この機能は、WindowsのDeep Security Agent 20.0.0-3445以降でサポートされています。詳細については、「 信頼された証明書で署名されたファイルを除外する」を参照してください。

Deep Securityは、ポリシーおよびコンピュータの各プロパティで検索される不正プログラムの種類ごとに除外リストを保持します。

  1. 例外のリストを表示するには、ポリシーまたはコンピュータのエディタを開きます。
  2. [不正プログラム対策]→[詳細] の順にクリックします。
    例外は、[許可するスパイウェア/グレーウェア][ドキュメントの脆弱性対策ルールの例外][機械学習型検索の検出除外対象][挙動監視保護の例外]、と[信頼された証明書の検出の除外]セクション。

検索除外の推奨設定も参照してください。

不正プログラム対策イベントから例外を作成する

ファイルが不正プログラムであると識別されると、 Deep Securityは不正プログラム対策イベントを生成します。ファイルが安全だとわかっている場合は、イベントレポートからそのファイルの例外を作成できます。

  1. [イベントとレポート]→[イベント]→[不正プログラム対策イベント] の順にクリックして、不正プログラム検出イベントを特定します。
  2. 該当するイベントを右クリックします。
  3. [許可] を選択します。

不正プログラム対策の例外を手動で作成する

スパイウェア/グレーウェア、ドキュメントの脆弱性対策ルール、機械学習型検索、および挙動監視の例外について、不正プログラム対策の例外を手動で作成できます。例外を追加するには、検索によって生成された不正プログラム対策イベントの特定の情報が必要です。不正プログラムまたは検索の種類によって、次の情報が必要になります。

  • スパイウェア/グレーウェア: [不正プログラム] フィールドの値 (SPY_CCFR_CPP_TEST.Aなど)
  • ドキュメントの脆弱性対策ルール: [不正プログラム] フィールドの値 (HEUR_OLEP.EXEなど)
  • 機械学習型検索: [ファイルのSHA-1] フィールドのファイルのSHA1ダイジェスト (3395856CE81F2B7382DEE72602F798B642F14140など)
  • 挙動監視: プロセスイメージパス (C:\test.exeなど)
  1. [イベントとレポート]→[イベント]→[不正プログラム対策イベント] の順にクリックして、不正プログラムの識別に必要なフィールド値をコピーします。
  2. 例外を作成するポリシーまたはコンピュータのエディタを開きます。
  3. [不正プログラム対策]→[詳細] の順にクリックします。
  4. [許可するスパイウェア/グレーウェア][ドキュメントの脆弱性対策ルールの例外][機械学習型検索の検出除外対象]、または [挙動監視保護の例外] セクションのテキストボックスにイベントの情報を入力します。
  5. [追加] をクリックします。

除外リストのワイルドカードのサポート

挙動監視保護の除外 リストでは、ファイルパス、ファイル名、およびファイル拡張子の除外の種類を定義するときに、ワイルドカード文字を使用できます。次の表を使用して除外リストを適切にフォーマットし、正しいファイルとフォルダが検索から除外されるようにします。

サポートされるワイルドカード文字:

  • アスタリスク(*):任意の文字または文字列を表します。

挙動監視保護の除外リストでは、ワイルドカード文字を使用したシステムドライブの指定やUNC(Universal Naming Convention)アドレスの置換はサポートされていません。

除外の種類 ワイルドカードの使用 一致 一致しません
ディレクトリ

C:\*

指定したドライブ上のすべてのファイルとフォルダを除外します。

  • C:\sample.exe
  • C:\folder\test.doc
  • D:\sample.exe
  • E:\folder\test.doc
特定のフォルダレベルにある特定のファイル

C:\*\Sample.exe

Sample.exe ファイルが C:\ ディレクトリの任意のサブフォルダにある場合のみ除外します。

  • C:\files\Sample.exe
  • C:\temp\files\Sample.exe
  • C:\sample.exe
UNC(Universal Naming Convention)パス

\\<UNC path>\*\Sample.exe

Sample.exe ファイルが、指定されたUNCパスのサブフォルダにある場合にのみ除外します。

  • \\<UNC path>\files\Sample.exe
  • \\<UNC path>\temp\files\Sample.exe
  • R:\files\Sample.exe

    理由:マップされたドライブはサポートされていません。

  • \\<UNC path>\Sample.exe

    理由:ファイルがUNCパスのサブフォルダ内に存在しません。

ファイル名と拡張子

C:\*.*

C:\ ディレクトリのすべてのフォルダおよびサブフォルダにある拡張子のあるすべてのファイルを除外します。

  • C:\Sample.exe
  • C:\temp\Sample.exe
  • C:\test.doc
  • D:\sample.exe
  • C:\Sample

    C:\Sample にはファイル拡張子がないため、例外とは一致しません。

ファイル名

C:\*.exe

C:\ ディレクトリのすべてのフォルダおよびサブフォルダにある、 .exe 拡張子を持つすべてのファイルを除外します。

  • C:\Sample.exe
  • C:\temp\test.exe
  • C:\Sample.doc
  • C:\temp\test.bat
  • C:\Sample

    C:\Sample にはファイル拡張子がないため、例外とは一致しません。

ファイル拡張子

C:\Sample.*

Sample という名前と C:\ ディレクトリ内の任意の拡張子を持つすべてのファイルを除外します。

  • C:\Sample.exe
  • C:\Sample1.doc
  • C:\temp\Sample.bat
  • C:\Sample

    C:\Sample にはファイル拡張子がないため、例外とは一致しません。

特定のディレクトリ構造内のファイル

C:\*\*\Sample.exe

C:\ ディレクトリの2番目のサブフォルダレベル以降のサブフォルダ内にあり、ファイル名と拡張子が Sample.exeであるすべてのファイルを除外します。

  • C:\files\temp\Sample.exe
  • C:\files\temp\test\Sample.exe
  • C:\Sample.exe
  • C:\temp\Sample.exe
  • C:\files\temp\Sample.doc

スパイウェア/グレーウェアの例外の処理方法

スパイウェアが検出された場合、検索を制御する不正プログラム検索設定に基づいて、不正プログラムは即座に駆除、隔離、または削除されます。スパイウェア/グレーウェアイベントの例外を作成後、ファイルの復元が必要な場合があります(検出ファイルを復元するを参照してください)。

または、一時的に処理を [放置] に設定した上でスパイウェア/グレーウェアを検索すると、スパイウェア/グレーウェア検出がすべて [不正プログラム対策イベント] 画面に記録されても、駆除、隔離、または削除は実行されません。これにより、検出されたスパイウェア/グレーウェアの例外を作成できます。例外リストの安全性が高くなったら、処理を [駆除]、[隔離]、または [削除] モードに設定できます。

処理の設定の詳細については、不正プログラムの処理方法を設定するを参照してください。

検索除外の推奨設定

検索除外については、トレンドマイクロやその他のベンダが包括的な詳しい情報を提供しています。ここでは、検索除外の推奨設定の一部について、その概要を紹介します。

  • 不正プログラムであることがすでに確認されているファイルが再検索されないように、隔離フォルダ (Microsoft Windows Exchange ServerのSMEXなど) を除外します。
  • 検索を実行するとデータベースのパフォーマンスに影響することがあるため、大規模なデータベースやデータベースファイル (dsm.mdfやdsm.ldfなど) を除外します。データベースファイルを検索する必要がある場合は、ピーク時を避けてデータベースを検索する予約タスクを作成します。Microsoft SQL Serverデータベースは動的であるため、ディレクトリおよびバックアップフォルダを検索リストから除外します。
  • Windowsの場合:

    ${ProgramFiles}\Microsoft SQL Server\MSSQL\Data\

    ${Windir}\WINNT\Cluster\ # if using SQL Clustering

    Q:\ # if using SQL Clustering

    Linuxの場合:

    /var/lib/mysql/ # if path is set to this Data Location of MySQL in the machine.

    /mnt/volume-mysql/ # if path is set to this Data Location of MySQL in the machine.

Windowsサーバでの検索ファイルの除外については、Microsoftが公開しているウイルス対策除外リストを参考にしてください。トレンドマイクロのウイルスバスター Corp.エンドポイント製品向けの推奨検索除外リストMicrosoftのウイルス対策除外リスト

信頼された証明書で署名されたファイルを除外する

アプリケーションに署名していて、そのプロセスのすべてのアクティビティをリアルタイムの不正プログラム対策から除外する場合は(ファイル検索、挙動監視、機械学習型検索を含む)、デジタル証明書をDeep Security Managerの信頼済み証明書リストに追加します。

この種類の除外は、WindowsのDeep Security Agent 20.0.0-3445以降でサポートされています。

  1. ポリシーエディタまたはコンピュータエディタで、[不正プログラム対策] →[Advanced]に移動します。
  2. [Trusted Certificates Detection Exemptions]セクションで、[Exclude files with trusted certificate]を[Yes]または[Inherited(Yes)]に設定します。
  3. [Manage Certificate List]を選択します。
  4. [信頼された証明書]画面には、インポートした証明書が表示されます。[Import From File]を選択して、検索除外に別の項目を追加します。
  5. 証明書ファイルを選択し、[Next]を選択します。
  6. 表示された証明書の概要を確認し、[に対してこの証明書を信頼する]を[Scan Exclusions]に設定します。[Next]を選択します。
  7. [概要]画面に、インポートが成功したかどうかが表示されます。[Close]を選択します。

インポートされた証明書が[信頼された証明書]リストに表示され、[目的][例外]と表示されます。

Deep Securityは、プロセスの開始時に除外リストを確認します。除外を設定する前にプロセスが実行されている場合、そのプロセスは再起動されるまで除外リストに追加されません。