本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。

不正プログラム検索と除外の設定

不正プログラム対策機能の紹介や推奨設定方法についての情報は、次のWebサイトでまとめて確認できます。環境の構築を始める前に参照すると、動作不調のリスク軽減および安定性の向上に役立てることができます。
https://success.trendmicro.com/dcx/s/solution/000286756?language=ja

不正プログラム検索設定は保存して再利用可能な設定で、ポリシーまたはコンピュータに不正プログラム対策を設定する場合に適用できます。不正プログラム検索設定では、 Deep Securityが検索する不正プログラムの種類と、検索するファイルの種類を指定します。一部のポリシーのプロパティも、不正プログラム検索の動作に影響を与えます。次の操作を実行できます。

Deep Security ベストプラクティスガイド では、不正プログラム検索の設定に関する推奨事項もいくつか提供しています。

CPU使用率とRAM使用率は不正プログラム対策の設定によって異なります。Deep Securityエージェントで不正プログラム対策のパフォーマンスを最適化する方法については、不正プログラム対策のパフォーマンスのヒントをご覧ください。

不正プログラム検索設定を作成または変更する

1つ以上の不正プログラム検索設定を作成または変更して、リアルタイム検索、手動検索、または予約検索の動作を制御できます。詳細については、不正プログラム検索設定を参照してください。

  • 作成した不正プログラム検索設定は、ポリシーまたはコンピュータの検索と関連付けることができます。詳細については、実行する検索の種類を選択するを参照してください。
  • ポリシーまたはコンピュータが使用している不正プログラム検索設定を編集すると、この変更は設定に関連付けられている検索に影響します。

既存の設定に類似する不正プログラム検索設定を作成するには、既存の設定を複製して編集します。

制御する検索の種類に応じて、2種類の不正プログラム検索設定を作成できます (不正プログラム検索の種類を参照してください)。

  • リアルタイム検索の設定: リアルタイム検索を制御します。[アクセス拒否] などの一部の処理は、リアルタイム検索の設定でのみ使用可能です
  • 手動/予約検索の設定: 手動検索と予約検索を制御します。[CPU使用率] などの一部のオプションは、手動および予約検索の設定でのみ使用可能です。

Deep Securityは、検索の種類ごとに初期設定の不正プログラム検索の設定を提供します。この設定は次のように使用できます。

  1. [ポリシー]→[共通オブジェクト]→[その他]→[不正プログラム検索設定] に移動します。
  2. 検索設定を作成するには、[新規][新規の不正プログラムのリアルタイム検索設定] または [新規の不正プログラムの手動/予約検索設定] をクリックし、次の手順に従います
    1. 検索設定を識別する名前を入力します。この名前は、ポリシーで不正プログラム検索を設定するときにリストに表示されます。
    2. オプションで、この設定の使用例の説明を入力します。
  3. 既存の検索設定を表示して編集するには、その検索設定を選択して [プロパティ] をクリックします。
  4. 検索設定を複製するには、その検索設定を選択して [複製] をクリックします。

不正プログラム検索設定を使用するポリシーとコンピュータを確認するには、プロパティの 割り当て対象 タブをご覧ください。

不正プログラム検索をテストする

不正プログラム対策の設定手順に進む前に、スキャンをテストし、それらが正しく動作することを確認します。

リアルタイム検索をテストするには:

  1. リアルタイム検索が有効で、設定が選択されていることを確認します。
  2. EICARサイトに移動し、不正プログラム対策のテストファイルをダウンロードします。この標準化されたファイルはリアルタイム検索のアンチウイルス機能をテストします。ファイルは隔離される必要があります。
  3. Deep Security Managerで、[イベントとレポート]→[不正プログラム対策イベント] の順に選択し、EICARファイルの検出が記録されていることを確認します。検出が記録されていれば、不正プログラム対策のリアルタイム検索は正常に機能しています。

手動検索または予約検索をテストするには:

  1. リアルタイム検索が無効になっていることを確認してください。
  2. [管理] を選択します。
  3. [予定タスク]→[新規] の順にクリックします。
  4. メニューからコンピュータの不正プログラムをスキャンを選択し、頻度を選択します。希望する仕様でスキャン設定を完了してください。
  5. EICARサイトにアクセスして、不正プログラム対策テストファイルをダウンロードしてください。この標準化されたファイルは、手動または予約検索のウイルス対策機能をテストします。
  6. 予約検索を選択して、[今すぐタスクを実行] をクリックします。このテストファイルが隔離されればテストは成功です。
  7. Deep Security Managerで、[イベントとレポート]→[不正プログラム対策イベント] の順に選択し、EICARファイルの検出が記録されていることを確認します。検出が記録されていれば、不正プログラム対策の手動および予約検索は正常に機能しています。

特定の種類の不正プログラムを検索する

関連項目:

Windows AMSI保護を有効にする(リアルタイム検索のみ)

Windows Antimalware Scan Interface (AMSI)は、MicrosoftがWindows 10以降で提供しているインタフェースです。Deep Securityは、AMSIを利用して不正なスクリプトを検出します。初期設定では、 Deep Securityの不正プログラム検索設定でこのオプションが有効になっています。

  1. 不正プログラム検索設定のプロパティを開きます。
  2. [一般]タブで、[AMSI保護を有効にする]を選択します。
  3. [OK] をクリックします。

スパイウェア/グレーウェアを検索する

スパイウェアおよびグレーウェア対策を有効にすると、不審なファイルの検出時に、スパイウェア検索エンジンによってこれらのファイルが隔離されます。

  1. 不正プログラム検索設定のプロパティを開きます。
  2. [一般] タブで、[スパイウェア/グレーウェア対策を有効にする] を選択します。
  3. [OK] をクリックします。

スパイウェア検索エンジンで無視する必要があるファイルを特定するには、高度な攻撃コードの除外を設定するを参照してください。

圧縮済み実行可能ファイルを検索する (リアルタイム検索のみ)

ウイルスは、リアルタイム圧縮アルゴリズムを使用して、ウイルスフィルタを回避しようとすることがあります。IntelliTrap機能は、リアルタイムの圧縮済み実行可能ファイルを遮断し、他の不正プログラムの特性とファイルを組み合わせます。

IntelliTrapはそのようなファイルをセキュリティリスクとして識別し、安全なファイルを誤ってブロックする可能性があるため、IntelliTrapを有効にする場合はファイルを削除やクリーンではなく隔離することを検討してください。詳細については、不正プログラムの処理を設定するを参照してください。リアルタイムで圧縮された実行可能ファイルの交換が定期的に行われる場合は、IntelliTrapを無効にしてください。IntelliTrapはウイルス検索エンジン、IntelliTrapパターンファイル、およびIntelliTrap除外パターンファイルを使用します。

  1. 不正プログラム検索設定のプロパティを開きます。
  2. [一般] タブで、[IntelliTrapを有効にする] を選択します。
  3. [OK] をクリックします。

プロセスメモリを検索する

プロセスメモリをモニタし、トレンドマイクロSmart Protection Networkを使用して、疑わしいプロセスが悪意のあるものであるかどうかを確認するための追加チェックを実行します。プロセスが悪意のあるものである場合、Deep Securityはプロセスを終了します。詳細については、Deep SecurityのSmart Protectionを参照してください

  1. 不正プログラム検索設定のプロパティを開きます。
  2. [一般] タブで、[プロセスメモリ内の不正プログラムを検索する] を選択します。
  3. [OK] をクリックします。

Deep Security Agentバージョン20.0.1-12510以降では、実行するアクションを使用して、Deep Securityが不正プログラムを検出したときに実行する修復アクションを選択できます。推奨値はActiveActionです。または、Passを選択することもできます。詳細については、トレンドマイクロの推奨処理および不正プログラム修復処理をカスタマイズするを参照してください

圧縮ファイルを検索する

圧縮ファイルを解凍し、コンテンツに不正プログラムが含まれていないか検索します。検索を有効にするときに、解凍するファイルの最大サイズと最大数を指定します (大きなファイルはパフォーマンスに影響を及ぼすことがあります)。また、圧縮ファイル内に存在する圧縮ファイルを検索できるように、検査する圧縮レベルも指定します。圧縮レベル1は、単一の圧縮ファイルです。レベル2は、ファイル内の圧縮ファイルです。最大6の圧縮レベルを検索できますが、レベルが高くなるとパフォーマンスに影響を及ぼす可能性があります。

  1. 不正プログラム検索設定のプロパティを開きます。
  2. [詳細] タブで、[圧縮ファイルの検索] を選択します。
  3. 解凍するコンテンツファイルの最大サイズ (MB)、検索する圧縮レベル、解凍する最大ファイル数を指定します。
  4. [OK] をクリックします。

埋め込みのMicrosoft Officeオブジェクトを検索する

Microsoft Officeの特定のバージョンでは、Object Linking and Embedding (OLE) を使用してOfficeファイルにファイルやその他のオブジェクトを挿入します。これらの埋め込みオブジェクトには、不正なコードが含まれている場合があります。

他のオブジェクトに埋め込まれているオブジェクトを検出するために、検索するOLE層の数を指定します。パフォーマンスへの影響を軽減するため、各ファイル内の埋め込みオブジェクトの層をいくつかだけ検索できます。

  1. 不正プログラム検索設定のプロパティを開きます。
  2. [詳細] タブで、[埋め込みのMicrosoft Officeオブジェクトを検索する] を選択します。
  3. 検索するOLE層の数を指定します。
  4. [OK] をクリックします。

Windows OSでNotifierの手動検索を有効にする

Notifierを使用した手動検索の有効化は、 Deep Security Agent 20.0.0-7476以降でサポートされています。

この検索は初期設定では無効になっています。次の手順で有効化およびトリガできます:

  1. [コンピュータ] エディタまたは [ポリシー] エディタで、[不正プログラム対策]→[一般] の順に選択します。
  2. [手動検索] で、[Agentによる手動検索の実行またはキャンセルを許可する] を選択します。

Agentレスによる検索はサポートされないことに注意してください。

Linux OSでの手動検索の有効化

手動検索の有効化は、Deep Security Agent 20.0.0-7476以降でサポートされています。

この検索は初期設定では無効になっています。次の方法で有効にできます。

  1. コンピュータエディタまたはポリシーエディタで、[不正プログラム対策]→[一般] の順に選択します。
  2. [手動検索] で、[Agentによる手動検索の実行またはキャンセルを許可する] を選択します。

Agentレスによる検索はサポートされないことに注意してください。

検索対象ファイルを指定する

検索に含めるファイルとディレクトリを特定し、それらのファイルとディレクトリからの除外を特定します。ネットワークディレクトリを検索することもできます。

検索対象

検索するディレクトリと、ディレクトリ内の検索するファイルも指定します。

ディレクトリをスキャンするために、すべてのディレクトリまたはディレクトリのリストを指定できます。ディレクトリリストは、特定の構文を使用してスキャンするディレクトリを識別します。詳細については、ディレクトリリストの構文を参照してください。

検索するファイルを指定するには、次のいずれかのオプションを使用します。

  • すべてのファイル
  • IntelliScanで判別されるファイルタイプ。IntelliScanは、.zip.exeなど、感染しやすいファイルタイプのみを検索します。検索対象のファイルタイプは、ファイル拡張子からではなく、ファイルのヘッダや内容を読み取って判別されます。すべてのファイルを検索する場合に比べて、IntelliScanを使用すると検索するファイルの数が減り、パフォーマンスが向上します。
  • 指定されたリストに含まれるファイル名拡張子を持つファイル: ファイル拡張子リストは特定の構文を使用したパターンを使用します。詳細については、ファイル拡張子リストの構文を参照してください。
  1. 不正プログラム検索設定のプロパティを開きます。
  2. [検索対象] タブをクリックします。
  3. 検索するディレクトリを指定するには、[すべてのディレクトリ] または [ディレクトリリスト] を選択します。
  4. [ディレクトリリスト] を選択した場合は、ドロップダウンメニューから既存のリストを選択するか、[新規] を選択して新しいリストを作成します。
  5. 検索するファイルを指定するには、[すべてのファイル][トレンドマイクロの推奨設定で検索されるファイルタイプ]、または [ファイル拡張子リスト] のいずれかを選択します。
  6. [ファイル拡張子リスト] を選択した場合は、メニューから既存のリストを選択するか、[新規] を選択して新しいリストを作成します。
  7. [OK] をクリックします。

検索除外

検索対象からディレクトリ、ファイル、およびファイル拡張子を除外します。リアルタイム検索の場合(Deep Security Virtual Applianceによって実行される場合を除く)、プロセスイメージファイルも検索から除外できます。

以下は除外するファイルとフォルダーの例です:

  • Microsoft Exchangeサーバの不正プログラム検索設定を作成する場合は、SMEX隔離フォルダを除外して、不正プログラムであることがすでに確認されているファイルの再検索を回避する必要があります。
  • Deep Security Managerで使用されているデータベースサーバ上で不正プログラム検索を実行する場合は、データディレクトリを除外します。Deep Security Managerでウイルスが含まれている可能性のある侵入防御データを取り込み、格納する際に、Deep Security Agentによる隔離が実行され、データベースの破損を引き起こす場合があります。
  • サイズの大きいVMwareイメージがある場合は、パフォーマンスの問題が発生した場合は、これらのイメージが格納されているディレクトリを除外します。

信頼できるデジタル証明書で署名されたファイルは、不正プログラム対策のスキャンから除外することもできます。この種の除外は、ポリシーまたはコンピュータの設定で定義されます。詳細については、信頼された証明書で署名されたファイルを除外するを参照してください。

除外するパターンのリストを作成して、ディレクトリ、ファイル、およびプロセスイメージファイルを除外する

  1. 不正プログラム検索設定のプロパティを開きます。
  2. [検索除外] タブをクリックします。
  3. 検索から除外するディレクトリを指定します。
    1. [ディレクトリリスト] を選択します。
    2. ディレクトリリストを選択するか、新規を選択して作成してください。詳細については、ディレクトリリストの構文を参照してください。
    3. ディレクトリリストを作成した場合は、ディレクトリリストで選択します。
  4. 同様に、除外するファイルリスト、ファイル拡張子リスト、およびプロセスイメージファイルリストを指定します。詳細については、ファイルリストの構文ファイル拡張子リストの構文、およびプロセスイメージファイルリストの構文を参照してください
  5. [OK] をクリックします。

Deep Security Agentが対象ファイルの種類を特定できない場合、 不正プログラム対策 エンジンはそのファイルをメモリにロードし、自己解凍型ファイルであるかどうかを識別します。多数の大きなファイルがメモリにロードされると、検索エンジンのパフォーマンスに影響する可能性があります。特定のサイズを超えるファイルを除外するには、次のDeep Security Managerコマンドを使用します。

dsm_c -action changesetting -name com.trendmicro.ds.antimalware:settings.configuration.maxSelfExtractRTScanSizeMB -value 512

この例では、ターゲットファイルの読み込みに対するファイルサイズの制限が512 MBに設定されています。検索エンジンは、設定された値より大きいファイルをメモリに追加せず、直接スキャンします。この設定を展開するには、Deep Security Managerでコマンドを実行した後、ポリシーをターゲットのDeep Securityエージェントに送信する必要があることに注意してください。

ファイル除外のテスト

以降の不正プログラム対策の設定手順に進む前に、ファイル除外をテストし、それらが正しく動作していることを確認します

  1. リアルタイム検索が有効で、設定が選択されていることを確認してください。
  2. [ポリシー]→[共通オブジェクト]→[その他]→[不正プログラム検索設定] に移動します。
  3. [新規]→[新規の不正プログラムのリアルタイム検索設定] の順にクリックします。
  4. [検索除外] タブに移動し、ディレクトリリストから [新規] を選択します。
  5. ディレクトリリストに名前を付けます。
  6. ディレクトリの下でスキャンから除外したいディレクトリのパスを指定します。例えば、c:\Test Folder\
  7. [OK] をクリックします。
  8. [一般] タブで、手動検索に名前を付け、[OK] をクリックします。
  9. EICARサイトに移動し、不正プログラム対策のテストファイルをダウンロードします。前の手順で指定したフォルダにファイルを保存します。このファイルが不正プログラム対策モジュールによって検出されずにそのまま保存されればテストは成功です。

ディレクトリリストの構文

ディレクトリリスト項目では、WindowsとLinuxの両方の命名規則をサポートするため、スラッシュとバックスラッシュの区別はありません。

検索除外 形式 説明
ディレクトリ DIRECTORY\ 指定したディレクトリとそのすべてのサブディレクトリにあるファイルをすべて除外します。 C:\Program Files\
Program Filesディレクトリとそのすべてのサブディレクトリにあるファイルをすべて除外します。
ワイルドカード (*) を使用したディレクトリ DIRECTORY\*\ 指定されたサブディレクトリと、そこに含まれるファイルを除き、すべてのサブディレクトリを除外します。 C:\abc\*\
abcのすべてのサブディレクトリ内のすべてのファイルを除外しますが、abcディレクトリ内のファイルは除外しません。

C:\abc\wx*z\
一致する:
C:\abc\wxz\
C:\abc\wx123z\
一致しない:
C:\abc\wxz
C:\abc\wx123z

C:\abc\*wx\
一致する:
C:\abc\wx\
C:\abc\123wx\
一致しない:
C:\abc\wx
C:\abc\123wx
ワイルドカード (*) を使用したディレクトリ DIRECTORY*\ 一致する名前を持つ任意のサブディレクトリを除外します。ただし、そのディレクトリにあるファイルおよび任意のサブディレクトリは除外しません。 C:\Program Files\SubDirName*\

SubDirNameで始まるフォルダ名を持つサブディレクトリを除外します。C:\Program Files\以下のすべてのファイルや他のサブディレクトリは除外しません。

 
環境変数 ${ENV VAR} 環境変数によって定義されているすべてのファイルとサブディレクトリを除外します。Virtual Applianceの場合は、環境変数の値のペアをポリシーエディタまたはコンピュータエディタの [設定]→[一般]→[環境変数のオーバーライド] で定義する必要があります。 ${windir}
変数がc:\windowsに変換された場合、c:\windowsとそのすべてのサブディレクトリにあるファイルをすべて除外します。
コメント DIRECTORY #コメント 除外の定義にコメントを追加します。 c:\abc #Exclude the abc directory

ファイルリストの構文

検索除外 形式 説明
ファイル FILE 場所やディレクトリに関係なく、指定したファイル名を持つすべてのファイルを除外します。 abc.doc
すべてのディレクトリでabc.docという名前のファイルをすべて除外します。abc.exeは除外しません。
ファイルパス FILEPATH ファイルパスで指定された単一のファイルを除外します。 C:\Documents\abc.doc
Documentsディレクトリのabc.docという名前のファイルのみ除外します。
ワイルドカード (*) を使用したファイルパス FILEPATH ファイルパスで指定されたすべてのファイルを除外します。 C:\Documents\abc.co* (Windows Agentプラットフォームのみ) Documentsディレクトリにある、ファイル名がabcで拡張子が.coで始まるファイルを除外します。
ファイル名はワイルドカード(*)です FILEPATH\* パス内のすべてのファイルを除外しますが、指定されていないサブディレクトリ内のファイルは除外します C:\Documents\*
ディレクトリC:\Documents\にあるすべてのファイルを除外します。

C:\Documents\SubDirName*\*
フォルダ名がSubDirNameで始まるサブディレクトリ内のすべてのファイルを除外します。 C:\Documents\またはその他のサブディレクトリにあるすべてのファイルを除外しません。

C:\Documents\*\*
C:\Documents下のすべての直接サブディレクトリ内のすべてのファイルを除外します。以降のサブディレクトリにあるファイルは除外しません。
ワイルドカード (*) を使用したファイル FILE* ファイル名のパターンに一致するすべてのファイルを除外します。 abc*.exe
abcという接頭辞と.exeという拡張子を持つファイルを除外します。

*.db
一致する:
123.db
abc.db
一致しない:
123db
123.abd
cbc.dba

*db
一致する:
123.db
123db
ac.db
acdb
db
一致しない:
db123

wxy*.db
一致する:
wxy.db
wxy123.db
一致しない:
wxydb
ワイルドカード (*) を使用したファイル FILE.EXT* ファイルの拡張子のパターンに一致するすべてのファイルを除外します。 abc.v*
ファイル名がabcで拡張子が.vで始まるファイルを除外します。

abc.*pp
対象:
abc.pp
abc.app
対象外:
wxy.app

abc.a*p
対象:
abc.ap
abc.a123p
対象外:
abc.pp

abc.*
対象:
abc.123
abc.xyz
対象外:
wxy.123
ワイルドカード (*) を使用したファイル FILE*.EXT* ファイル名と拡張子のパターンに一致するすべてのファイルを除外します。 a*c.a*p
対象:
ac.ap
a123c.ap
ac.a456p
a123c.a456p
対象外:
ad.aa
環境変数 ${ENV VAR} ${ENV VAR} の形式を使用した環境変数で指定されるファイルを除外します。環境変数は、ポリシーエディタまたはコンピュータエディタの [設定]→[一般]→[環境変数のオーバーライド] で定義またはオーバーライドできます。 ${myDBFile}
myDBFileファイルを除外します。
コメント FILEPATH #コメント 除外の定義にコメントを追加します。 C:\Documents\abc.doc #This is a comment

ファイル拡張子リストの構文

検索除外 形式 説明
ファイル拡張子 EXT 一致する拡張子を持つすべてのファイルと一致します。 doc
すべてのディレクトリの.docという拡張子を持つすべてのファイルと一致します。
コメント EXT #コメント 除外の定義にコメントを追加します。 doc #This a comment

プロセスイメージファイルリストの構文

検索除外 形式 説明
ファイルパス FILEPATH ファイルパスで指定されたプロセスイメージファイルを除外します。 C:\abc\file.exe
abcディレクトリのfile.exeという名前のファイルのみ除外します。

ネットワークディレクトリを検索する (リアルタイム検索のみ)

Network File System (NFS)、Server Message Block (SMB)、またはCommon Internet File System (CIFS) に存在するネットワーク共有内およびマッピングされているネットワークドライブ内のファイルやフォルダを検索する場合は、[ネットワークディレクトリ検索を有効にする] を選択します。このオプションはリアルタイム検索でのみ使用できます。

GVFS (GNOMEデスクトップで利用できる仮想ファイルシステム) を通じて「~/.gvfs」でアクセスされるリソースは、ネットワークドライブではなくローカルリソースとして扱われます。

ネットワークフォルダをWindowsでスキャン中にウイルスが検出された場合、エージェントは一部のクリーン失敗 (削除失敗)イベントを表示することがあります。

リアルタイム検索を実行するタイミングを指定する

ファイルの読み取り時、書き込み時、またはそのどちらでもファイルを検索するかを選択します。

  1. 不正プログラム検索設定のプロパティを開きます。
  2. [詳細] タブで、[リアルタイム検索] プロパティのオプションを1つ選択します。
  3. [OK] をクリックします。

不正プログラムの処理を設定する

不正プログラムが検出された場合のDeep Securityの動作を設定します。

不正プログラム修復処理をカスタマイズする

Deep Securityは不正プログラムを検出すると、ファイルを処理する修復処理を実行します。Deep Securityが不正プログラムに遭遇した場合に実行できる処理には、次の5つがあります。

  • [放置]: ファイルに対して何もせずに感染したファイルへの完全なアクセスを許可します。不正プログラム対策イベントは引き続き記録されます。修復処理の [放置] は、潜在的なウイルスに対しては絶対に使用しないでください。
  • クリーン: 感染したファイルを完全にアクセスできるようにする前にクリーンします。ファイルをクリーンできない場合は、隔離されます。
  • 削除: Linuxでは、感染したファイルはバックアップなしで削除されます。Windowsでは、感染したファイルはバックアップされてから削除されます。Windowsのバックアップファイルはイベントとレポート > イベント > 不正プログラム対策イベント > 検出されたファイル表示および復元できます。
  • アクセス拒否: この検索アクションはリアルタイム検索中にのみ実行できます。Deep Securityが感染ファイルを開いたり実行しようとする試みを検出すると、直ちに操作をブロックします。感染ファイルは変更されません。アクセス拒否アクションがトリガーされると、感染ファイルは元の場所に留まります。リアルタイム検索書き込み時に設定されている場合は、修復アクションアクセス拒否を使用しないでください。書き込み時が選択されている場合、ファイルは書き込み時に検索され、アクション[アクセス拒否]は効果がありません。
  • 隔離: 感染したファイルをコンピュータまたはVirtual Applianceの隔離ディレクトリに移動します。隔離されたファイルはイベント & レポート > イベント > 不正プログラム対策イベント > 検出されたファイル表示および復元できます。

    同じ不正プログラムであっても、Linuxでは「隔離」とマークされ、Windowsでは「削除」とマークされる場合があります。どちらの場合でも、[イベントとレポート]→[イベント]→[不正プログラム対策イベント]→[検出ファイル] でファイルを表示および復元できます。

    Windowsでは、感染した非圧縮ファイル (例えば、.txtファイル) は隔離され、感染した圧縮ファイル (例えば、.zipファイル) は削除されます。Windowsでは、隔離ファイルと削除ファイル両方のバックアップがあり、[イベントとレポート]→[イベント]→[不正プログラム対策イベント]→[検出ファイル] でそれらを表示および復元できます。Linuxでは、圧縮ファイルであれ非圧縮ファイルであれ、すべての感染ファイルは隔離され、[イベントとレポート]→[イベント]→[不正プログラム対策イベント]→[検出ファイル]表示および復元できます。

不正プログラム検索設定の修復処理は、ほとんどの状況に対応できるように初期設定されています。ただし、 Deep Securityが不正プログラムを検出したときに実行する処理をカスタマイズできます。トレンドマイクロの推奨処理を使用することも、脆弱性の種類ごとに処理を指定することもできます。

トレンドマイクロの推奨処理は、不正プログラムの各カテゴリ用に最適化された一連の定義済みのクリーンナップ処理です。個々の検出を適切に処理するため、トレンドマイクロの推奨処理での処理は随時調整されます。トレンドマイクロの推奨処理を参照してください。

  1. 不正プログラム検索設定のプロパティを開きます。
  2. [詳細] タブで、[修復処理] に対して [カスタム] を選択します。
  3. 実行する処理を指定します。
    1. トレンドマイクロ推奨の修復処理から実行する処理を決定するには、[トレンドマイクロの推奨処理を使用] を選択します。
    2. 脆弱性の種類ごとに処理を指定するには、[カスタム処理を使用] を選択してから、使用する処理を選択します。
  4. 潜在的な不正プログラムに対して実行する処理を指定します。
  5. [OK] をクリックします。

トレンドマイクロの推奨処理

次の表は、トレンドマイクロの推奨処理を選択した場合に実行される処理の一覧です。

不正プログラムの種類 処理
ウイルス

クリーン。ウイルスがクリーンできない場合、(Windowsでは) 削除され、(LinuxまたはSolarisでは) 隔離されます。この動作には除外があります。LinuxまたはSolarisエージェントでTest Virusタイプのウイルスが見つかった場合、感染したファイルへのアクセスが拒否されます
トロイの木馬 隔離
パッカー 隔離
スパイウェア/グレーウェア 隔離
Cookie 削除
リアルタイム検索には適用されません
その他の脅威

駆除

脅威を駆除できない場合は、次のように処理されます。

また、Linux Agentでは、「ジョーク」に分類されるウイルスが検出されると、直ちに隔離されます。駆除は行われません。
潜在的な不正プログラム トレンドマイクロの推奨処理

AgentでアップデートサーバまたはRelayからウイルスパターンファイルのアップデートをダウンロードすると、それに応じてトレンドマイクロの推奨処理が変わることがあります。

不正プログラム検出のアラートを生成する

Deep Securityが不正プログラムを検出すると、アラートを生成できます:

  1. 不正プログラム検索設定のプロパティを開きます。
  2. [一般] タブで、[アラート] に対して [この不正プログラム検索設定でイベントが記録されたときにアラートを発令する] を選択します。
  3. [OK] をクリックします。

ファイルのハッシュダイジェストにより不正プログラムファイルを特定する

Deep Securityは不正プログラムファイルのハッシュ値を計算し、 [イベントとレポート]→[イベント]→[不正プログラム対策イベント ]画面に表示できます。一部の不正プログラムには複数の異なる名前が使用されていることがあるため、不正プログラムを一意に識別するハッシュ値が役立ちます。ハッシュ値は、他のソースでその不正プログラムに関する情報を確認する場合に使用できます。

  1. 設定するポリシーエディタまたはコンピュータエディタを開きます。
  2. [不正プログラム対策]→[詳細] の順にクリックします。
  3. ファイルハッシュ計算の下で、デフォルトまたは継承チェックボックスをクリアします。デフォルトはルートポリシーに表示され、継承は子ポリシーに表示されます。

    [継承] チェックボックスがオンになっている場合、ファイルハッシュ設定は現在のポリシーの親ポリシーから継承されます。

    Defaultが選択されている場合、 Deep Securityはハッシュ値を計算しません。

  4. [すべての不正プログラム対策イベントのハッシュ値を計算する (SHA1は初期設定で計算)] を選択します。
  5. 初期設定では、 Deep SecurityはSHA-1ハッシュ値を生成します。追加のハッシュ値を生成するには、[MD5]または [SHA256]、あるいはその両方を選択します。
  6. ハッシュ値を計算する不正プログラムファイルの最大サイズを変更することもできます。初期設定では128MBを超えるファイルはスキップされますが、この値を64~512MBの任意の値に変更できます。

コンピュータで通知を設定する

Windowsベースのエージェントでは、不正プログラム対策およびWebレピュテーションモジュールに関連するDeep Securityのアクションを実行するために、画面上に通知メッセージが表示されることがあります。例えば、不正プログラム対策のクリーンアップタスクには再起動が必要ですというメッセージが表示されることがあります。このダイアログボックスを閉じるには、OKをクリックする必要があります。

このような通知を表示しないようにするには、次のように設定します。

  1. コンピュータエディタまたはポリシーエディタClosedこれらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。に移動します。
  2. 左側にある [設定] をクリックします。
  3. [一般] タブで、[通知] セクションまでスクロールします。
  4. [ホストのすべてのポップアップ通知を抑制][はい] に設定します。メッセージは引き続きDeep Security Managerでアラートまたはイベントとして表示されます。Notifierの詳細については、Deep Security Notifierを参照してください。