機械学習型検索を使用した脅威の検出

機械学習型検索 はDeep Security Agent 11.0以降でサポートされています。この機能をサポートするプラットフォームの詳細については、 各プラットフォームでサポートされている機能を参照してください。

機械学習型検索を使用して、不明または感染率の低い不正プログラムを検出します(詳細については、機械学習型検索参照してください)。

機械学習型検索では、高度な脅威検索エンジン (ATSE) を使用して、ファイルの特徴を抽出し、Trend Micro Smart Protection Network上の機械学習型検索エンジンにレポートを送信します。機械学習型検索を有効にするには、次の手順を実行します。

  1. インターネットに接続されていることを確認する
  2. 機械学習型検索を有効にする

すべての不正プログラム検出と同様に、機械学習型検索では不正プログラムが検出されると、イベントがログに記録されます(Deep Securityイベントログについてを参照してください)。誤検出の場合の例外も作成できます(高度な攻撃コードの除外を設定するを参照してください)。

インターネットに接続されていることを確認する

機械学習型検索では、Global Censusサービス、Good File Reputationサービス、および機械学習型検索サービスにアクセスする必要があります。これらのサービスは、Trend Micro Smart Protection Networkでホストされています。Deep Security AgentまたはVirtual Applianceが直接インターネットにアクセスできない場合は、回避策として インターネットにアクセスできないAgentを設定する )を参照してください。

機械学習型検索を有効にする

機械学習型検索は、ポリシーまたは個々のコンピュータに適用されるリアルタイム検索設定の一環として設定されます(不正プログラム検索と除外の設定を参照してください)。検索設定を行ったら、ポリシーまたはコンピュータに適用します。

機械学習型検索では、リアルタイム検索で検索対象に設定されたファイルおよびディレクトリのみが保護されます。検索対象ファイルを指定するを参照してください。

これらの設定は、リアルタイム検索の設定にのみ適用できます。

  1. [ポリシー]→[共通オブジェクト]→[その他]→[不正プログラム検索設定] に移動します。
  2. 設定するリアルタイム検索設定を選択して、[詳細] をクリックします。

    必要に応じて、新しいリアルタイム検索設定も作成できます。

  3. [ 一般 ]タブの[ 機械学習型検索]で、[ 機械学習型検索を有効にするを選択します。[ Action to take ]リストで、不正プログラムを検出した場合にDeep Securityで実行する修復処理を選択します。
    • 隔離(推奨): )感染ファイルを保護されたコンピュータの隔離ディレクトリに移動します。隔離されたファイルは、[イベントとレポート]→[イベント]→[不正プログラム対策イベント]→[識別されたファイル]で表示および復元できます。
    • 放置: 感染ファイルに何も行わず、そのファイルへのフルアクセスを許可する(不正プログラム対策イベントは依然として記録されます。)
    • 削除: Linuxでは、感染ファイルはバックアップせずに削除されます。Windowsでは、感染ファイルがバックアップされてから削除されます。Windowsのバックアップファイルは、[イベントとレポート]→[イベント]→[不正プログラム対策イベント]→[識別されたファイル]で表示および復元できます。
  4. [OK] をクリックします。
  5. 検索設定を適用するポリシーまたはコンピュータのエディタを開いて、[不正プログラム対策]→[一般] の順に選択します。
  6. [不正プログラム対策のステータス][オン] または [継承 (オン)] になっていることを確認します。
  7. [リアルタイム検索] セクションで、不正プログラム検索設定を選択します。
  8. [保存] をクリックします。