Apex One での挙動監視設定における、ランサムウェア対策の機能は以下のとおりです。

不正な暗号化や変更から文書を保護

特定の拡張子ファイルの変更を監視することによって、一定の条件を満たす場合にファイル変更のプロセス群をチェックし、不正な暗号化や変更をブロックすることができます。

本設定はデフォルトで無効です。
設定方法は以下となります。

1.Apex One サーバの Web 管理コンソールにログオンし、[エージェント] → [エージェント管理] に移動します。

　

2.エージェントツリーで設定を有効にするドメインやエージェントを選択し、[設定] → [挙動監視設定] を選択します。

　

3. 挙動監視設定の画面で「不正プログラム挙動ブロックを有効にする」にチェックを入れ、有効にします。

4. ランサムウェア対策の「不正な暗号化や変更から文書を保護」にチェックを入れ、「保存」ボタンをクリックします（ 参考：自動ファイルバックアップ ）。

　

5. Apex One エージェントに以下のレジストリキーが配信されている事を確認します。

■ 32 bit 環境
HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\CurrentVersion\AEGIS
"EnableAdc"=dword:00000001"

■ 64 bit 環境
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\TrendMicro\PC-cillinNTCorp\CurrentVersion\AEGIS
"EnableAdc"=dword:00000001"

自動ファイルバックアップ

ランサムウェアによって暗号化の対象とされやすいファイルのコピーが事前にエンドポイントに作成されます。
ランサムウェアによる 暗号化プロセスの完了後に Apex One でランサムウェアの脅威が検出されると、影響を受けたファイルの復元を求めるメッセージが表示され、事前にバックアップされていたファイルを 復元する事で、データを失うリスクを低減できます。

以下についてご留意ください。

■ 自動ファイルバックアップを有効にするには、[挙動監視設定] → [ランサムウェア対策] で下記の両項目にチェックを入れ、有効にしてください。

　□ 不正な暗号化や変更から文書を保護
　□ 不審なプログラムによって変更されたファイルを自動的にバックアップして復元

　

　※自動ファイルバックアップを実行するには、エージェントに 100MB 以上のディスク容量が必要です。
　※バックアップされるのは 10MB 未満のファイルだけです。
　※バックアップされたファイルは下記に保存されます。
　　＜エージェントインストールフォルダ＞\CCSF\module\DRE\data

ランサムウェアに関連付けられていることの多いプロセスをブロック

挙動監視機能を利用し、ランサムウェアが追加しようとするシステムサービスの作成をブロックすることができます。

本設定はデフォルトで無効です。
設定方法は以下となります。

1.Apex One サーバのWeb 管理コンソールにログオンし、[エージェント] → [エージェント管理]に移動します。

　

2.エージェントツリーで設定を有効にするドメインやエージェントを選択し、[設定] → [挙動監視設定] を選択します。

　

3.挙動監視設定の画面で「不正プログラム挙動ブロックを有効にする」にチェックを入れ、有効にします。

4.ランサムウェア対策の「ランサムウェアに関連付けられていることの多いプロセスをブロック」にチェックを入れ、「保存」ボタンをクリックします。

　

5. Apex One エージェントに以下のレジストリキーが配信されている事を確認します。

■ 32 bit 環境
HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\CurrentVersion\AEGIS
"EnableSRP"=dword:00000001"

■ 64 bit 環境
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\TrendMicro\PC-cillinNTCorp\CurrentVersion\AEGIS
"EnableSRP"=dword:00000001"