2023年8月23日より、「Trend Vision One Endpoint Security」がご利用いただけるようになりました。
本製品Q&Aにて、Apex Oneのセキュリティエージェントとして記載のあるものは、 基本的には Trend Vision One Endpoint Security の Standard Endpoint Protectionで管理されるエージェントでも同様となります。
参照: [Trend Vision One]Trend Vision One Endpoint Securityのガイドライン
挙動監視機能とは
挙動監視機能では、挙動監視の設定に違反していても特定のプログラムについては起動できるようにしたり、特定のプログラムを完全にブロックすることができます。
また、有効なデジタル署名が含まれているプログラムや認証済みのプログラムは、常に起動が許可されます。
挙動監視とイベント監視を有効 / 無効にする手順
- Apex One : Web管理コンソールにて、[エージェント] - [エージェント管理] をクリックして、挙動監視またはイベント監視の設定を変更したいドメインまたはコンピュータを選択します。
Apex One as a Service: Web管理コンソールにて、Apex One セキュリティエージェントのポリシーの作成 や編集 を「挙動監視」セクションで設定が可能です。 - [設定] - [挙動監視設定] メニューをクリックします。
挙動監視設定画面内の「ルール」タブを表示します。 - 挙動監視を有効にする場合は、下記項目にチェックを入れて、ブロックする脅威を選択します。
※無効にする場合はチェックをはずします。
□不正プログラム挙動ブロックを有効にする
- イベント監視を有効にする場合は、下記項目にチェックを入れます。
※無効にする場合はチェックをはずします。
□イベント監視を有効にする
- ポリシーごとにイベント監視の処理を設定することが可能です。
設定を変更する場合は、「詳細な設定を指定」をクリックし該当の処理を変更します。
- [保存] をクリックし、設定を保存します。
※手順1.でルートドメイン(Apex One サーバ)を選択した場合は [すべてのエージェントに適用] もしくは [今後追加されるドメインにのみ適用] をクリックし、設定を保存します。
除外設定(承認済みプログラム / ブロックするプログラム)を追加する手順
- Apex One : Web管理コンソールにて、[エージェント] - [エージェント管理] をクリックして、挙動監視またはイベント監視の設定を変更したいドメインまたはコンピュータを選択します。
Apex One as a Service: Web管理コンソールにて、Apex One セキュリティエージェントのポリシーの作成 や編集 を「挙動監視」セクションで設定が可能です。
- [設定] - [挙動監視設定] メニューをクリックします。
[除外」タブをクリックします。 - 除外の設定をしたいプログラムの実行ファイルをフルパスで入力します。
- 入力したプログラムを挙動監視の対象から外したい場合は [承認済みリストに追加] ボタン、監視の対象にする場合は [ブロックリストに追加] ボタンをクリックします。
- [承認済みプログラム] または [ブロックするプログラム] へ入力した内容が登録されたことを確認します。
※例では C:¥Program Files (x86)¥test.exe を [ブロックするプログラム] に追加しています。
- [保存] をクリックし、設定を保存します。
※手順1.でルートドメインを選択した場合は [すべてのエージェントに適用] もしくは [今後追加されるドメインにのみ適用] をクリックし、設定を保存します。
ワイルドカードおよび環境変数のサポート
■ワイルドカード挙動監視の承認済みリストでは、ファイルパス、ファイル名、およびファイル拡張子の除外の種類の定義時にワイルドカード文字を使用できます。
サポートされるワイルドカード文字は次のとおりです。
・アスタリスク (*): 任意の文字または文字列を表します。
・疑問符 (?): 任意の 1 文字を表します。
詳細は以下のオンラインヘルプをご参照ください。
◆除外リストでのワイルドカードのサポート
■環境変数
挙動監視の除外リストでファイルまたはフォルダパスを追加するときに環境変数を使用できます。
詳細は以下のオンラインヘルプをご参照ください。
◆除外リストの環境変数のサポート
ハッシュ値のサポート
Apex One ビルド 12902以降にて挙動監視機能がアップデートされ、ファイルハッシュ除外がサポートされるようになりました。
ファイルハッシュによる除外機能を有効にする方法は以下をご参照ください。
■事前準備
Apex One ビルド 12902 未満をご利用の場合は、以下の製品Q&Aを参照し Apex One ビルド 12902以降にアップデートください。
Apex One 2019 の最新版へバージョンアップしてご使用いただくまでの流れ
■ファイルハッシュによる除外機能を有効にするにする設定
(1) Apex One サーバのインストールフォルダ内の「PCCSRV」フォルダにある「ofcscan.ini」ファイルをテキストエディタで開きます。
※編集前にファイルのバックアップを取得いただくことを推奨いたします。
<Apex One サーバインストールフォルダ>\PCCSRV\ofcscan.ini
<Apex One サーバインストールフォルダ>は初期設定では以下のとおりです。
Apex One サーバ新規インストール時のパスのため、ウイルスバスターコーポレートエディションからのバージョンアップ時は”ApexOne”を ”OfficeScan”と読み替えてください。
C:\Program Files(x86)\Trend Micro\ApexOne
(2) 「ofcscan.ini」ファイルの [Global Setting] セクションに次のキーを追加して、値を「1」に設定します。
ENABLE_APPROVEDLIST_HASH_WITH_IMP_EXP =1
(3) 変更内容を保存して、ファイルを閉じます。
設定は以上です。
Web 管理コンソールを開き[挙動監視設定]の[除外]タブに ファイルハッシュ の項目が追加されたことを確認ください。
ソフトウェア安全性評価サービスを有効 / 無効にする手順
ソフトウェア安全性評価サービスを有効にすると、プログラムにアクセスする前に弊社のサーバにクエリを行い、挙動監視パターンによって検出されたプログラムが既知の安全なプログラムかどうか確認します。
ソフトウェア安全性評価サービスを有効にすると、断続的なインターネット接続または誤ったプロキシ設定が原因で、プログラムが応答しないように見えます。これは、挙動監視がソフトウェア安全性評価サービスを使用して検出を照合する際に、弊社のサーバからすぐに応答がない場合に起こります。
ソフトウェア安全性評価サービスを有効にする前に、エージェントのプロキシ設定が正しく設定され、インターネットへ接続できることを確認してください。
- Apex One : Web管理コンソールにて、[エージェント] - [グローバルエージェント設定] をクリックします。
Apex One as a Service: Web管理コンソールにてサーバの登録 から Apex One サーバの管理コンソールにアクセスし [エージェント] - [グローバルエージェント設定] をクリックします。
- [システム]タブをクリックします。
- ソフトウェア安全性評価サービスを有効にする場合は、下記項目にチェックを入れます。
※無効にする場合はチェックをはずします。
□挙動監視、ファイアウォール、ウイルス対策検索に対してソフトウェア安全性評価サービスを有効にする
- [保存] をクリックし、設定を保存します。
挙動監視でのプログラムブロック時にポップアップ通知を表示させるには
挙動監視機能でのプログラムブロック時にエージェント側へポップアップを出力させるには、以下の設定を実施してください。
- Webコンソールにログインし、[エージェント]>[エージェント管理] を開きます。
- ルートドメイン/グループまたは、該当の端末を選択します。
- [設定]>[権限とその他の設定] を開きます。
- [その他の設定] タブから、[挙動監視設定] 内の以下の項目にチェックを入れます。
[プログラムをブロックした場合、通知を表示]
- エージェントツリーでドメインまたはエージェントを選択した場合は、[保存] をクリックします。
ルートドメインアイコンをクリックした場合は、次のオプションのいずれかを選択します。
- すべてのエージェントに適用: すべての既存のエージェント、および既存または今後追加されるドメインに加えられる新しいエージェントに、設定を適用します。
- 今後追加されるドメインにのみ適用: 今後追加されるドメインに加えられるエージェントにのみ設定を適用します。