概要
Trend Micro Apex One (以下、Apex One) の挙動監視設定について教えてください。
詳細
挙動監視機能を使用するには、Web管理コンソールから設定を行う必要があります。
挙動監視機能とは
挙動監視機能は、OSまたはインストールされたプログラムに対して不審な変更が行われていないか監視する機能です。
挙動監視機能では、挙動監視の設定に違反していても特定のプログラムについては起動できるようにしたり、特定のプログラムを完全にブロックすることができます。
また、有効なデジタル署名が含まれているプログラムや認証済みのプログラムは、常に起動が許可されます。
挙動監視機能では、挙動監視の設定に違反していても特定のプログラムについては起動できるようにしたり、特定のプログラムを完全にブロックすることができます。
また、有効なデジタル署名が含まれているプログラムや認証済みのプログラムは、常に起動が許可されます。
挙動監視とイベント監視を有効 / 無効にする手順
- Apex One : Web管理コンソールにて、[エージェント] - [エージェント管理] をクリックして、挙動監視またはイベント監視の設定を変更したいドメインまたはコンピュータを選択します。
Apex One as a Service: Web管理コンソールにて、Apex One セキュリティエージェントのポリシーの作成 や編集 の 挙動監視 セクションで設定が可能です。 - [設定] - [挙動監視設定] メニューをクリックします。
挙動監視設定画面内の「ルール」タブを表示します。 - 挙動監視を有効にする場合は、下記項目にチェックを入れて、ブロックする脅威を選択します。
※無効にする場合はチェックをはずします。
□不正プログラム挙動ブロックを有効にする
- イベント監視を有効にする場合は、下記項目にチェックを入れます。
※無効にする場合はチェックをはずします。
□イベント監視を有効にする
- ポリシーごとにイベント監視の処理を設定することが可能です。
設定を変更する場合は、「詳細な設定を指定」をクリックし該当の処理を変更します。
- [保存] をクリックし、設定を保存します。
※手順1.でルートドメイン(Apex One サーバ)を選択した場合は [すべてのエージェントに適用] もしくは [今後追加されるドメインにのみ適用] をクリックし、設定を保存します。
除外設定(承認済みプログラム / ブロックするプログラム)を追加する手順
- Apex One : Web管理コンソールにて、[エージェント] - [エージェント管理] をクリックして、挙動監視またはイベント監視の設定を変更したいドメインまたはコンピュータを選択します。
Apex One as a Service: Web管理コンソールにて、Apex One セキュリティエージェントのポリシーの作成 や編集 の 挙動監視 セクションで設定が可能です。
- [設定] - [挙動監視設定] メニューをクリックします。
[除外」タブをクリックします。 - 除外の設定をしたいプログラムの実行ファイルをフルパスで入力します。
- 入力したプログラムを挙動監視の対象から外したい場合は [承認済みリストに追加] ボタン、監視の対象にする場合は [ブロックリストに追加] ボタンをクリックします。
- [承認済みプログラム] または [ブロックするプログラム] へ入力した内容が登録されたことを確認します。
※例では C:¥Program Files (x86)¥test.exe を [ブロックするプログラム] に追加しています。
- [保存] をクリックし、設定を保存します。
※手順1.でルートドメインを選択した場合は [すべてのエージェントに適用] もしくは [今後追加されるドメインにのみ適用] をクリックし、設定を保存します。
ワイルドカードのサポート
挙動監視の承認済みリストでは、ファイルパス、ファイル名、およびファイル拡張子の除外の種類の定義時にワイルドカード文字を使用できます。
サポートされるワイルドカード文字は次のとおりです。
• アスタリスク (*): 任意の文字または文字列を表します
• 疑問符 (?): 任意の1 文字を表します
例:「C:\*\Sample.exe」と指定した場合、「C:¥files¥Sample.exe」のようなファイルが除外対象になります。
ソフトウェア安全性評価サービスを有効 / 無効にする手順
ソフトウェア安全性評価サービスを有効にすると、挙動監視における誤検出の可能性を減らすことができます。
ソフトウェア安全性評価サービスを有効にすると、プログラムにアクセスする前に弊社のサーバにクエリを行い、挙動監視パターンによって検出されたプログラムが既知の安全なプログラムかどうか確認します。
ソフトウェア安全性評価サービスを有効にすると、断続的なインターネット接続または誤ったプロキシ設定が原因で、プログラムが応答しないように見えます。これは、挙動監視がソフトウェア安全性評価サービスを使用して検出を照合する際に、弊社のサーバからすぐに応答がない場合に起こります。
ソフトウェア安全性評価サービスを有効にする前に、エージェントのプロキシ設定が正しく設定され、インターネットへ接続できることを確認してください。
ソフトウェア安全性評価サービスを有効にすると、プログラムにアクセスする前に弊社のサーバにクエリを行い、挙動監視パターンによって検出されたプログラムが既知の安全なプログラムかどうか確認します。
ソフトウェア安全性評価サービスを有効にすると、断続的なインターネット接続または誤ったプロキシ設定が原因で、プログラムが応答しないように見えます。これは、挙動監視がソフトウェア安全性評価サービスを使用して検出を照合する際に、弊社のサーバからすぐに応答がない場合に起こります。
ソフトウェア安全性評価サービスを有効にする前に、エージェントのプロキシ設定が正しく設定され、インターネットへ接続できることを確認してください。
- Apex One : Web管理コンソールにて、[エージェント] - [グローバルエージェント設定] をクリックします。
Apex One as a Service: Web管理コンソールにてサーバの登録 から Apex One サーバの管理コンソールにアクセスし [エージェント] - [グローバルエージェント設定] をクリックします。
- [システム]タブをクリックします。
- ソフトウェア安全性評価サービスを有効にする場合は、下記項目にチェックを入れます。
※無効にする場合はチェックをはずします。
□挙動監視、ファイアウォール、ウイルス対策検索に対してソフトウェア安全性評価サービスを有効にする
- [保存] をクリックし、設定を保存します。
挙動監視でのプログラムブロック時にポップアップ通知を表示させるには
挙動監視機能でのプログラムブロック時にエージェント側へポップアップを出力させるには、以下の設定を実施してください。
- Webコンソールにログインし、[エージェント]>[エージェント管理] を開きます。
- ルートドメイン/グループまたは、該当の端末を選択します。
- [設定]>[権限とその他の設定] を開きます。
- [その他の設定] タブから、[挙動監視設定] 内の以下の項目にチェックを入れます。
[プログラムをブロックした場合、通知を表示]
- エージェントツリーでドメインまたはエージェントを選択した場合は、[保存] をクリックします。
ルートドメインアイコンをクリックした場合は、次のオプションのいずれかを選択します。
- すべてのエージェントに適用: すべての既存のエージェント、および既存または今後追加されるドメインに加えられる新しいエージェントに、設定を適用します。
- 今後追加されるドメインにのみ適用: 今後追加されるドメインに加えられるエージェントにのみ設定を適用します。
