本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。
本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。
高度な攻撃コードの除外を設定する
不正プログラムと同じ特徴があると、不正ではないファイルが不正プログラムに誤って識別される場合があります。安全なことがわかっていて、不正プログラムに識別されてしまう場合は、そのファイルの例外を作成できます。例外が作成されると、ファイルはDeep Securityがファイルを検索する際にイベントをトリガしません。
不正プログラム対策モジュールの概要については、不正プログラム対策について を参照してください。
リアルタイム検索、手動検索、および予約検索からファイルを除外することもできます。詳細については、「 検索対象ファイルを指定する」を参照してください。
次の不正プログラムおよび不正プログラム検索の種類について、例外を作成できます。
- 機械学習型検索。詳細については、「 機械学習型検索を使用した脅威の検出」を参照してください。
- ドキュメントの攻撃コード対策検索。詳細については、「 脅威インテリジェンスを使用した新たな脅威の検出」を参照してください。
- スパイウェアとグレーウェアを検索します。詳細については、「 スパイウェア/グレーウェアを検索する」を参照してください。
- 挙動監視保護。詳細については、「挙動監視による不正プログラム/ランサムウェア検索の強化」を参照してください。
信頼された証明書で署名されているファイルは、不正プログラム対策から除外することもできます。この機能は、WindowsのDeep Security Agent 20.0.0-3445以降でサポートされています。詳細については、「 信頼された証明書で署名されたファイルを除外する」を参照してください。
Deep Securityは、ポリシーおよびコンピュータの各プロパティで検索される不正プログラムの種類ごとに除外リストを保持します。
- 例外のリストを表示するには、ポリシーまたはコンピュータのエディタを開きます。
- [不正プログラム対策]→[詳細] の順にクリックします。
例外は、[許可するスパイウェア/グレーウェア]、[ドキュメントの脆弱性対策ルールの例外]、[機械学習型検索の検出除外対象]、[挙動監視保護の例外]、と[信頼された証明書の検出の除外]セクション。
検索除外の推奨設定も参照してください。
不正プログラム対策イベントから例外を作成する
ファイルが不正プログラムとして識別されると、不正プログラムDeep Securityイベントが生成されます。ファイルが無害であることがわかっている場合は、次の手順に従って、イベントレポートからファイルの除外を作成できます。
- [イベントとレポート]→[イベント]→[不正プログラム対策イベント] の順にクリックして、不正プログラム検出イベントを特定します。
- 該当するイベントを右クリックします。
- [許可] を選択します。
不正プログラム対策の例外を手動で作成する
スパイウェア/グレーウェア、ドキュメントの脆弱性対策ルール、機械学習型検索、および挙動監視の例外について、不正プログラム対策の例外を手動で作成できます。例外を追加するには、検索によって生成された不正プログラム対策イベントの特定の情報が必要です。不正プログラムまたは検索の種類によって、次の情報が必要になります。
- スパイウェアまたはグレーウェア: [MALWARE] フィールドの値 (例: SPY_CCFR_CPP_TEST.A)
- ドキュメントの脆弱性対策ルール: [MALWARE] フィールドの値 (HEUR_OLEP.EXEなど)
- 機械学習型検索: FILE SHA-1フィールドのファイルのSHA1ダイジェスト (例: 3395856CE81F2B7382DEE72602F798B642F14140)
- 挙動監視: プロセスイメージパス (C:\test.exeなど)
- [イベントとレポート]→[イベント]→[不正プログラム対策イベント] の順にクリックして、不正プログラムの識別に必要なフィールド値をコピーします。
- 例外を作成するポリシーまたはコンピュータのエディタを開きます。
- [不正プログラム対策]→[詳細] の順にクリックします。
- [許可するスパイウェア/グレーウェア]、[ドキュメントの脆弱性対策ルールの例外]、[機械学習型検索の検出除外対象]、または [挙動監視保護の例外] セクションのテキストボックスにイベントの情報を入力します。
- [追加] をクリックします。
除外リストのワイルドカードのサポート
挙動監視保護の除外 リストでは、ファイルパス、ファイル名、およびファイル拡張子の除外の種類を定義するときに、ワイルドカード文字を使用できます。次の表を使用して除外リストを適切にフォーマットし、正しいファイルとフォルダが検索から除外されるようにします。
サポートされるワイルドカード文字:
- アスタリスク(*):任意の文字または文字列を表します。
挙動監視保護の除外リストでは、ワイルドカード文字を使用してシステムドライブの指定を置き換えたり、UNC (Universal Naming Convention) アドレス内でワイルドカード文字を使用することはできません。
除外の種類 | ワイルドカードの使用 | 一致 | 一致しません |
---|---|---|---|
ディレクトリ |
C:\* 指定したドライブ上のすべてのファイルとフォルダを除外します。 |
|
|
特定のフォルダレベルにある特定のファイル |
C:\*\Sample.exe
|
|
|
UNC(Universal Naming Convention)パス |
\\<UNC path>\*\Sample.exe
|
|
|
ファイル名と拡張子 |
C:\*.*
|
|
|
ファイル名 |
C:\*.exe
|
|
|
ファイル拡張子 |
C:\Sample.*
|
|
|
特定のディレクトリ構造内のファイル |
C:\*\*\Sample.exe
|
|
|
スパイウェア/グレーウェアの例外の処理方法
スパイウェアが検出されると、検索を制御する不正プログラム検索設定に応じて、不正プログラムの駆除、隔離、または削除をすぐに実行できます。スパイウェアイベントまたはグレーウェアイベントの除外を作成した後で、ファイルの復元が必要になる場合があります。詳細については、「検出ファイルを復元する」を参照してください。
または、処理を [パス] に設定して一時的にスパイウェアおよびグレーウェアを検索し、すべてのスパイウェアおよびグレーウェアの検出を [不正プログラム対策イベント] 画面に記録しますが、駆除、隔離、または削除は行いません。その後、検出されたスパイウェアおよびグレーウェアの除外を作成できます。除外リストが堅牢な場合は、処理を [駆除]、[隔離]、または [削除] のいずれかのモードに設定できます。
処理の設定の詳細については、不正プログラムの処理を設定するを参照してください。
検索除外の推奨設定
検索除外については、トレンドマイクロやその他のベンダが包括的な詳しい情報を提供しています。ここでは、検索除外の推奨設定の一部について、その概要を紹介します。
- 不正プログラムであることがすでに確認されているファイルが再検索されないように、隔離フォルダ (Microsoft Windows Exchange ServerのSMEXなど) を除外します。
- 検索を実行するとデータベースのパフォーマンスに影響することがあるため、大規模なデータベースやデータベースファイル (dsm.mdfやdsm.ldfなど) を除外します。データベースファイルを検索する必要がある場合は、ピーク時を避けてデータベースを検索する予約タスクを作成します。Microsoft SQL Serverデータベースは動的であるため、ディレクトリおよびバックアップフォルダを検索リストから除外します。
Windowsの場合:
${ProgramFiles}\Microsoft SQL Server\MSSQL\Data\
${Windir}\WINNT\Cluster\ # if using SQL Clustering
Q:\ # if using SQL Clustering
Linuxの場合:
/var/lib/mysql/ # if path is set to this Data Location of MySQL in the machine.
/mnt/volume-mysql/ # if path is set to this Data Location of MySQL in the machine.
推奨される検索除外のリストについては、トレンドマイクロ推奨検索除外リストを参照してください。Microsoft も アンチウイルス除外リスト を維持しており、Windows サーバー上のファイルを検索から除外するためのレファレンス/参照情報として使用できます。
信頼された証明書で署名されたファイルを除外する
署名付きアプリケーションがあり、それらのプロセスのすべてのアクティビティをリアルタイム不正プログラム対策検索 (ファイル検索、動作監視、予測型機械学習など) から除外する場合は、次のように、Deep Security Managerの信頼できる証明書リストにそのデジタル証明書を追加します。
- ポリシーエディタまたはコンピュータエディタで、[不正プログラム対策] →[Advanced]に移動します。
- 信頼された証明書の検出除外セクションで、信頼された証明書を持つファイルを除外を「はい」または「継承(はい)」に設定してください。
- [Manage Certificate List]を選択します。
- [信頼された証明書]画面には、インポートした証明書が表示されます。[Import From File]を選択して、検索除外に別の項目を追加します。
- 証明書ファイルを選択し、[Next]を選択します。
- 表示される証明書の概要を確認し、この証明書を信頼するをスキャン除外に設定します。 次へを選択します。
- サマリーページには、インポートが成功したかどうかが表示されます。 閉じる を選択してください。
この種類の除外は、WindowsのDeep Security Agent 20.0.0-3445以降でサポートされています。
インポートされた証明書が[信頼された証明書]リストに表示され、[目的]が[例外]と表示されます。
Deep Securityは、プロセスの開始時に除外リストを確認します。除外を設定する前にプロセスが実行されていた場合、そのプロセスは再起動されるまで除外リストに追加されません。