ビジネスサポートポータルアカウントでログイン
機械学習型検索について教えてください  

機械学習型検索について教えてください

    • 更新日:
    • 30 Jul 2019
    • 製品/バージョン:
    • Apex One All.All
    • ウイルスバスター コーポレートエディション XG.0
    • OS:
    • Windows すべて
概要

ウイルスバスター コーポレートエディション(以下、ウイルスバスター Corp. )XG の新機能である、機械学習型検索について教えてください。

詳細
Public

目次

機械学習型検索とは

ウイルスバスター Corp. クライアント端末で既存の機能(ファイルレピュテーション、Webレピュテーションや挙動監視など)で検出されない不審なファイルやプロセスが見つかった場合に、そのファイルやプロセスの特徴情報をウイルスバスター Corp. クライアントから、Trend Micro Smart Protection Networkに送信します。

Trend Micro Smart Protection Networkでは収集した脅威情報、安全なプログラム情報を学習し、その結果をもとに統計的に、該当のファイルやプロセスが、安全であるのか、脅威であるのかの判断を行います。
この一連の動作が機械学習型検索になります。

※ Apex One 2019 以降、インターネット経由で弊社の Trend Micro Smart Protection Networkに通信できない環境の端末のため、専用のパターンファイルを用いて端末内で処理を完結することでオフライン環境対応しています。

 

Trend Micro Smart Protection Networkとは?

トレンドマイクロによって管理されている、クラウド型セキュリティインフラです。脅威に関連するデータを日々世界中から収集し、分析を続けています。

機械学習型検索のメリットとは

Trend Micro Smart Protection Networkで収集した脅威情報、安全なプログラム情報を学習し、その結果をもとに統計的に判断を行うため、機械学習型検索は短期間に数多く発生するランサムウェアの亜種など、未知の脅威に対して即座に判断を行う事ができる迅速性を持った対策です。
基本的に、従来型パターンの更新は1日ごとであり、スマートスキャンのパターン更新は1時間ごとですが、機械学習検索では学習内容をもとに、その場で判断、検知が可能です。

ただし、あくまで機械学習型検索は学習したものに対する対応であり、全く新しい脅威については判別することが困難です。

機械学習型検索を有効にするには

機械学習型検索を有効にする際には、以下導入をお勧めします。

  • 検出時の処理を「ログのみ」に設定して運用を開始し、必要に応じて除外の設定を行う事で、業務で利用するアプリケーション等を過検出しないか事前に確認し、徐々に検出時の処理を「隔離」や「ブロック」に切り替えてゆく事。
  • ドメイン毎やクライアント毎など、まずは狭い範囲で有効にして様子を確認し、必要に応じて、除外の設定をした後、徐々に広い範囲で機械学習型検索を有効にしてゆく事。
  1. [クライアント]>[クライアント管理]に移動し、対象のドメイン、クライアントを選択します。
    ※ Apex One 2019 以降、クライアントは "エージェント" と表示されます
  2. [設定]>[追加サービス]を開き以下サービスにチェックを入れて[保存]します。
    • 不正変更防止サービス
    • 高度な保護サービス
  3. ファイルの検出に必要な以下設定が有効になっている事を確認します。
    • [設定]>[検索設定]>[リアルタイム検索設定]>[ウイルス/不正プログラム検索を有効にする]
  4. [設定]>[挙動監視設定]を開き[不正プログラム挙動ブロックを有効にする]を有効にします。
  5. プロセスの検出率を上げるために以下設定が有効になっている事を確認します。
    (必須設定ではありません。)
    • [設定]>[Webレピュテーション設定]>[次のOSでWebレピュテーションサービスを有効にする]
    • [設定]>[挙動監視設定]>[プログラム検査を有効にして不正な実行可能ファイルを検出およびブロック]
  6. [設定]>[機械学習型検索設定]を開きます。
  7. [機械学習型検索設定]画面で、[機械学習型検索を有効にする]にチェックを入れます。
  8. [検出設定]で、機械学習型検索で実行する検出の種類とそれに対する処理を選択します。
    検出の種類処理
    ファイル隔離: 不正プログラムに似た特性を示すと判定されたファイルを自動的に隔離します。
    ログのみ: ログに記録する場合に選択します。
    プロセス中止: 不正プログラムに似た挙動を示すと判定されたプロセスを自動的に中止します。
    (※不正なプロセスを実行したファイルについては駆除されます。駆除に失敗した場合、該当ファイルは隔離されます。)
    ログのみ: ログに記録する場合に選択します。
  9. [保存]をクリックします。

機械学習型検索で除外を設定するには

  1. [クライアント]>[クライアント管理]に移動し、対象のドメイン、クライアントを選択します。
    ※ Apex One 2019 以降、クライアントは "エージェント" と表示されます
  2. [設定]>[機械学習型検索設定]を開きます。
  3. [除外]セクションで[ファイルハッシュを追加]ボタンをクリックし、[ファイルを除外リストに追加]画面を開きます。
  4. [ファイルハッシュ:(SHA-1)]に、除外するファイルのSHA-1ハッシュ値を指定します。
  5. [備考:]に、必要に応じて、除外する理由やハッシュ値に関連付けられているファイル名を入力します。
  6. [追加]をクリックします。
  7. [保存]をクリックします。

信頼済みプログラムリスト、リアルタイム検索の検索除外リストや挙動監視の除外・許可リストに登録されているファイルやプロセスは、「機械学習型検索」の対象から除外されており、機械学習型検索」は行われません。

機械学習型検索ログから、除外リストへの追加を行う事も可能です。
手順は以下の通りです。

  1. [ログ]>[クライアント]>[セキュリティリスク]でセキュリティリスクログを開きます。
    ※ Apex One 2019 以降、クライアントは "エージェント" と表示されます
  2. [ログの表示]から[機械学習型検索ログ]を開きます。
  3. [機械学習型検索ログ]の一覧で除外リストへの追加対象の項目の[詳細]をクリックします。
  4. [機械学習型検索ログ]の詳細が開きますので、[除外リストに追加]ボタンをクリックします。
475pix

Smart Protection Server 経由で問い合わせを行うには

機械学習型検索実行時の、Apex One セキュリティエージェントおよびウイルスバスター Corp. クライアントからのTrend Micro Smart Protection Networkへの問い合わせを、Smart Protection Server経由で行うことが可能です。
Smart Protection Serverを経由させる場合は、以下の設定を行います。

  1. [クライアント]>[グローバルクライアント設定]で、[システム]タブを開きます。
    ※ Apex One 2019 以降、クライアントは "エージェント" と表示されます
  2. [Smart Protectionサービスプロキシ] セクションの[設定したSmart Protectionソースをサービスプロキシクエリに使用する]にチェックを入れます。
  • ウイルスバスター Corp. クライアントからのTrend Micro Smart Protection Networkへの問い合わせをSmart Protection Server経由で行うには、"Webレピュテーションおよびスパイウェア対策" ライセンスが必要です。
  • ウイルスバスター Corp. クライアントからのTrend Micro Smart Protection Networkへの問い合わせをSmart Protection Server経由で行うには、Smart Protection Server3.1以上が必要です。
  • 事前に[管理]>[Smart Protection]>[Smart Protectionソース]でSmart Protection Serverの設定が行われている必要があります。
  • 統合Smart Protection Serverを使用している場合、上記手順に合わせて[管理]>[Smart Protection]>[システム]>[統合サーバ]内の[ファイルレピュテーションサービスを有効にする]を有効にし、「検索クエリにHTTPSを使用する」を選択する必要があります。
  • Smart Protectionソースの設定に従い、内部クライアントとして認識している場合は統合Smart Protection Server/スタンドアロンSmart Protection Server経由でTrend Micro Smart Protection Networkに問合せを行い、外部クライアントとして認識している場合はクライアント端末から直接Trend Micro Smart Protection Networkに問合せを行います。
  • スマートスキャンのファイルレピュテーション機能にてhttpsのクエリを使用するため、Smart Protection Serverのトラフィック量が増加し、ある程度負荷がかかる点にご留意ください。

よくある質問

Q:Corp. クライアントがインターネットに接続できない環境では「機械学習型検索機能」を使用できますか?

A: クライアントから Smart Protection Server への接続が可能で、かつSmart Protection Server がインターネットへの接続が可能な場合のみ、上記[Smart Protection Server 経由で問い合わせを行うには]に記載の手順を実施することで使用可能となります。

Smart Protection Server が存在しない場合や、 Smart Protection Server がインターネットに接続されていない場合は使用できません。

ただし Apex One 2019 以降、インターネット経由で弊社の Trend Micro Smart Protection Networkに通信できない環境の端末のため、専用のパターンファイルを用いて端末内で処理を完結することでオフライン環境対応しています。

Q:ローカルネットワークのみで「機械学習型検索機能」を使用できますか?

A: Corp.クライアントはできません。Apex One セキュリティエージェントは専用のパターンファイルを用いて端末内で処理を完結することでオフライン環境対応しています。

Q:外部クライアントは「機械学習型検索機能」を使用できますか?

A: Corp.クライアントは[機械学習型検索]が有効になっており、Trend Micro Smart Protection Networkへの接続が可能であれば、外部クライアントであっても「機械学習型検索機能」を使用可能です。

さらに Apex One セキュリティエージェントの場合は専用のパターンファイルを用いて端末内で処理を完結することでオフライン環境にも対応しています。

Q: 機械学習はCorp. サーバやクライアント上で行われているのですか?

A: 違います。
Trend Micro Smart Protection Network 上で行われています。詳細については、上記[機械学習型検索とは]をご確認ください。

Q:Smart Protection Server を構築していません。「機械学習型検索機能」を使用できますか?

A: 可能です。
上記、[機械学習型検索を有効にするには]に記載の手順のみを実施し[Smart Protection Server 経由で問い合わせを行うには]に記載の手順を実施しなかった場合、Smart Protection Serverを経由せず、Corp.クライアントから直接Smart Protection Networkへ問い合わせを行います。

また Apex One 2019 以降、インターネット経由で弊社の Trend Micro Smart Protection Networkに通信できない環境の端末のため、専用のパターンファイルを用いて端末内で処理を完結することでオフライン環境対応しています。

Q:「機械学習型検索機能」で検出があった場合、メール等で管理者通知はできますか?

A: できません。検出の詳細については[機械学習型検索ログ]でご確認ください。

[クライアント管理]の[設定]>[権限とその他の設定]>[その他の設定]タブ>[機械学習型検索設定]セクションで[脅威の検出時に通知を表示]を有効にする事で、Corp. クライアント側に通知メッセージを表示させる事は可能です。

Q:「機械学習型検索機能」ではどういう情報を取得して学習していますか?

A:不審なファイルかどうか特定するためのファイルの特徴などを取得し、学習しています。

Q:「機械学習型検索機能」はこれまでの検索機能と比較して何が優れていますか?

A: 脅威に関連する大量のデータを使用した、学習結果をもとに、ランサムウェアの亜種など未知の対象に対し即座に判断できるため、従来のパターンファイルの作成にかかっていたような時間は必要なく、迅速な防御が可能です。

Q:ユーザーが除外設定したハッシュ値は除外対象として学習されてゆくのでしょか?

A: されません。

Q:ファイル名を用いた除外はできますか?

A: できません。ハッシュ(SHA-1)を用いた除外のみです。

Q:隔離ファイルの保存パスを教えてください。

A: 隔離ファイルは以下をご確認ください。

  • ...\サーバインストールパス\PCCSRV\Virus
  • ...\エージェントインストールパス\Backup

Q:機械学習型検索のクエリはクライアント側にキャッシュを持ちますか?

A: はい。クエリの結果はCorp. クライアントに保存されます。
そのため、機械学習型検索機能での確認対象となったファイル/プロセスの情報が、キャッシュに保存されている情報と同じだった場合、Corp. クライアントはTrend Micro Smart Protection Networkへの問い合わせを行わず、保存されたキャッシュの情報を利用して処理を行います。

Q:「機械学習型検索機能」の通信を発生させなくする方法を教えてください。

A: 「機械学習型検索機能」を無効にしてください。

Q:誤検知の場合のアクションを教えてください。

A: まず、本当に誤検知である事を確認した後、「機械学習型検索で除外を設定するには」に記載の手順で除外設定を行ってください。
その次に、以下製品Q&Aの手順に沿って隔離されたファイルを元に戻してください。

Premium
Internal
評価:
カテゴリ:
機能/仕様
Solution Id:
1117519
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド