ビュー:

2023年8月23日より、「Trend Vision One Endpoint Security」がご利用いただけるようになりました。
本製品Q&Aにて、Apex Oneのセキュリティエージェントとして記載のあるものは、 基本的には Trend Vision One Endpoint Security の Standard Endpoint Protectionで管理されるエージェントでも同様となります。

参照: [Trend Vision One]Trend Vision One Endpoint Securityのガイドライン

機械学習型検索とは

Apex One セキュリティエージェント(以下エージェント) 端末で既存の機能(ファイルレピュテーション、Webレピュテーションや挙動監視など)で検出されない不審なファイルやプロセスが見つかった場合に、そのファイルやプロセスの特徴情報をエージェントから、Trend Micro Smart Protection Networkに送信します。

Trend Micro Smart Protection Networkでは収集した脅威情報、安全なプログラム情報を学習し、その結果をもとに統計的に、該当のファイルやプロセスが、安全であるのか、脅威であるのかの判断を行います。

この一連の動作が機械学習型検索になります。

Trend Micro Smart Protection Networkとは:
トレンドマイクロによって管理されている、クラウド型セキュリティインフラです。脅威に関連するデータを日々世界中から収集し、分析を続けています。

※ Apex One 2019 以降、インターネット経由で弊社の Trend Micro Smart Protection Networkに通信できない環境の端末のため、専用のパターンファイルを用いて端末内で処理を完結することでオフライン環境対応しています。

 

機械学習型検索のメリットとは

Trend Micro Smart Protection Networkで収集した脅威情報、安全なプログラム情報を学習し、その結果をもとに統計的に判断を行うため、機械学習型検索は短期間に数多く発生するランサムウェアの亜種など、未知の脅威に対して即座に判断を行う事ができる迅速性を持った対策です。
基本的に、従来型パターンの更新は1日ごと、スマートスキャンのパターン更新は1時間ごとですが、機械学習検索では学習内容をもとに、その場で判断、検知が可能です。

※ただし、あくまで機械学習型検索は学習したものに対する対応であり、全く新しい脅威については判別することが困難です。

 

機械学習型検索を有効にするには

機械学習型検索を有効にする際には、以下の方法で導入することをお勧めします。

業務影響を抑えるながら小さく始める方法

機械学習型検索を有効にする際には、以下の方法で導入することをお勧めします。

  • 検出時の処理を「ログのみ」に設定して運用を開始し、必要に応じて除外の設定を行う事で、業務で利用するアプリケーション等を過検出しないか事前に確認し、徐々に検出時の処理を「隔離」や「ブロック」に切り替えていく方法。
  • ドメイン毎やエージェント毎など、まずは狭い範囲で有効にして様子を確認し、必要に応じて、除外の設定をした後、徐々に広い範囲で機械学習型検索を有効にして行く方法。
  1. [エージェント] - [エージェント管理]に移動し、対象のドメイン、エージェントを選択します。
    ※1 以降の操作について、Apex One as a Service では、Apex One セキュリティエージェントのポリシーの作成編集 によって設定が可能です。
  2. [設定] - [追加サービス]を開き以下サービスにチェックを入れて[保存]します。
    • 不正変更防止サービス
    • 高度な保護サービス
  3. ファイルの検出に必要な以下設定が有効になっている事を確認します。
    • [設定] - [検索設定] - [リアルタイム検索設定] - [ウイルス/不正プログラム検索を有効にする]
  4. [設定] - [挙動監視設定]を開き[不正プログラム挙動ブロックを有効にする]を有効にします。
  5. プロセスの検出率を上げるために以下設定が有効になっている事を確認します。(必須設定ではありません。)
    • [設定] - [Webレピュテーション設定] - [次のOSでWebレピュテーションサービスを有効にする]
    • [設定] - [挙動監視設定] - [プログラム検査を有効にして不正な実行可能ファイルを検出およびブロック]
  6. [設定] - [機械学習型検索設定]を開き、下記の設定を行い、[保存]をクリックします。
    • [機械学習型検索を有効にする]にチェックを入れます。
    • [検出設定]で、機械学習型検索で実行する検出の種類とそれに対する処理を選択します。
    検出の種類処理
    ファイル
    • 隔離: 不正プログラムに似た特性を示すと判定されたファイルを自動的に隔離します。
    • ログのみ: ログに記録する場合に選択します。
    プロセス
    • 中止: 不正プログラムに似た挙動を示すと判定されたプロセスを自動的に中止します。
      ※不正なプロセスを実行したファイルについては駆除されます。駆除に失敗した場合、該当ファイルは隔離されます。
    • ログのみ: ログに記録する場合に選択します。
 

機械学習型検索で除外を設定するには

  1. [エージェント] - [エージェント管理]に移動し、対象のドメイン、エージェントを選択します。
    ※1 以降の操作について、Apex One as a Service では、Apex One セキュリティエージェントのポリシーの作成編集 によって設定が可能です。
  2. [設定] - [機械学習型検索設定]を開きます。
  3. [除外]セクションで[ファイルハッシュを追加]ボタンをクリックし、[ファイルを除外リストに追加]画面を開きます。
  4. [ファイルハッシュ:(SHA-1)]に、除外するファイルのSHA-1ハッシュ値を指定します
  5. [備考:]に、必要に応じて、除外する理由やハッシュ値に関連付けられているファイル名を入力します
  6. [追加]をクリックします
  7. [機械学習型検索設定]に戻ったら、[保存]をクリックします。

機械学習型検索ログから、除外リストへの追加を行う事も可能です。

  1. [ログ] - [エージェント] - [セキュリティリスク]でセキュリティリスクログを開きます。
  2. [ログの表示]から[機械学習型検索ログ]を開きます。
  3. [機械学習型検索ログ]の一覧で除外リストへの追加対象の項目の[詳細]をクリックします。
  4. [機械学習型検索ログ]の詳細が開きますので、[除外リストに追加]ボタンをクリックします。
 

Smart Protection Server 経由で問い合わせを行うには

機械学習型検索実行時の、Apex One セキュリティエージェントからのTrend Micro Smart Protection Networkへの問い合わせを、Smart Protection Server経由で行うことが可能です。

Smart Protection Serverを経由させる場合は、以下の設定を行います。

  1. [エージェント] - [グローバルエージェント設定]で、[システム]タブを開きます。
  2. [Smart Protectionサービスプロキシ] セクションの[設定したSmart Protectionソースをサービスプロキシクエリに使用する]にチェックを入れます。
  • エージェントからのTrend Micro Smart Protection Networkへの問い合わせをSmart Protection Server経由で行うには、Smart Protection Server3.1以上が必要です。
  • 事前に[管理] - [Smart Protection] - [Smart Protectionソース]でSmart Protection Serverの設定が行われている必要があります。
  • 統合Smart Protection Serverを使用している場合、上記手順に合わせて[管理] - [Smart Protection] - ;[システム] - [統合サーバ]内の[ファイルレピュテーションサービスを有効にする]を有効にし、「検索クエリにHTTPSを使用する」を選択する必要があります。
  • Smart Protectionソースの設定に従い、内部エージェントとして認識している場合は統合Smart Protection Server/スタンドアロンSmart Protection Server経由でTrend Micro Smart Protection Networkに問合せを行い、外部エージェントとして認識している場合はエージェント端末から直接Trend Micro Smart Protection Networkに問合せを行います。
  • スマートスキャンのファイルレピュテーション機能にてhttpsのクエリを使用するため、Smart Protection Serverのトラフィック量が増加し、ある程度負荷がかかる点にご留意ください。
  • Trend Micro Apex One as a Service の場合は、Trend Micro Smart Protection Network に問合せが行われます。
 

よくある質問

オンプレミス版のよくある質問は以下の通りです。

A: Apex One 2019 以降、インターネット経由で弊社の Trend Micro Smart Protection Networkに通信できない環境の端末のため、専用のパターンファイルを用いて端末内で処理を完結することでオフライン環境対応しています。

A:Apex One セキュリティエージェントは専用のパターンファイルを用いて端末内で処理を完結することでオフライン環境対応しています。

A: [機械学習型検索]が有効になっており、Trend Micro Smart Protection Networkへの接続が可能であれば、外部エージェントであっても「機械学習型検索機能」を使用可能です。
Trend Micro Smart Protection Network に接続ができない場合でも、?Apex One セキュリティエージェントの場合は専用のパターンファイルを用いて端末内で処理を完結することでオフライン環境にも対応しています。

A: 違います。Trend Micro Smart Protection Network 上で行われています。詳細については、上記[機械学習型検索とは]をご確認ください。

可能です。
上記、[機械学習型検索を有効にするには]に記載の手順のみを実施し[Smart Protection Server 経由で問い合わせを行うには]に記載の手順を実施しなかった場合、Smart Protection Serverを経由せず、Apex Oneエージェントから直接Smart Protection Networkへ問い合わせを行います。
また Apex One 2019 以降、インターネット経由で弊社の Trend Micro Smart Protection Networkに通信できない環境の端末のため、専用のパターンファイルを用いて端末内で処理を完結することでオフライン環境対応しています。

A: できません。検出の詳細については[機械学習型検索ログ]でご確認ください。
[エージェント管理]の[設定]>[権限とその他の設定]>[その他の設定]タブ>[機械学習型検索設定]セクションで[脅威の検出時に通知を表示]を有効にする事で、エージェント側に通知メッセージを表示させる事は可能です。

A: 不審なファイルかどうか特定するためのファイルの特徴などを取得し、学習しています。

A: 脅威に関連する大量のデータを使用した、学習結果をもとに、ランサムウェアの亜種など未知の対象に対し即座に判断できるため、従来のパターンファイルの作成にかかっていたような時間は必要なく、迅速な防御が可能です。

A: できません。ハッシュ(SHA-1)を用いた除外のみです。

A: 隔離ファイルは以下をご確認ください。

...\サーバインストールパス\PCCSRV\Virus
...\エージェントインストールパス\Backup

A: はい。クエリの結果はエージェントに保存されます。
そのため、機械学習型検索機能での確認対象となったファイル/プロセスの情報が、キャッシュに保存されている情報と同じだった場合、エージェントはTrend Micro Smart Protection Networkへの問い合わせを行わず、保存されたキャッシュの情報を利用して処理を行います。

A: まず、本当に誤検知である事を確認した後、「機械学習型検索で除外を設定するには」に記載の手順で除外設定を行ってください。
その次に、以下製品Q&Aの手順に沿って隔離されたファイルを元に戻してください。

A: 脅威の検出時にエージェント側でポップアップを出力させるには、以下の設定を実施してください。

  1. Webコンソールにログインし、[エージェント]>[エージェント管理] を開きます。
  2. ルートドメイン/グループまたは、該当の端末を選択します。
  3. [設定]>[権限とその他の設定] を開きます。
  4. [その他の設定] タブから、[機械学習型検索設定] 内の以下の項目にチェックを入れます。

    [脅威の検出時に通知を表示]
  5. エージェントツリーでドメインまたはエージェントを選択した場合は、[保存] をクリックします。

    ルートドメインアイコンをクリックした場合は、次のオプションのいずれかを選択します。

    - すべてのエージェントに適用: すべての既存のエージェント、および既存または今後追加されるドメインに加えられる新しいエージェントに、設定を適用します。
    - 今後追加されるドメインにのみ適用: 今後追加されるドメインに加えられるエージェントにのみ設定を適用します。