ビュー:
ランサムウェア、脆弱性攻撃、および新たに出現した脅威からエンドポイントを保護するように挙動監視ポリシーを設定します。不正プログラムの脅威に共通する挙動を診断またはブロックするには、イベント監視機能を使用します。
注意
注意
Windows Serverコンピュータでは、いずれのバージョンでも初期設定で挙動監視が無効になっています。

手順

  1. [ルール] タブをクリックします。
  2. [挙動監視を有効にする] をオンにします。
  3. [検出] および [対策] 用の [監視レベル] 設定を行います。
    重要
    重要
    • 監視レベルが高いほど検出感度が高くなりますが、重要ではないログが大量に生成されてエンドポイントのパフォーマンスに影響する可能性があります。トレンドマイクロでは、[2 - 中程度] を選択し、エンドポイントへの影響を最小限に抑えながら関連性が高いデータを取得することをお勧めします。
    • [対策] レベルは [検出] レベル以下に設定する必要があります。
    • [ブロックする脅威] の設定では、選択した対策レベルに対して実行される対策の処理に影響する可能性があります。
  4. [ブロックする脅威] を選択します。
    • 既知の脅威: 既知の不正プログラムの脅威に関連する挙動をブロックします。
    • 既知の脅威と潜在的な脅威: 既知の脅威に関連付けられた挙動をブロックし、潜在的に不正な挙動に対して処理を実行します。
  5. 有効にするランサムウェア対策オプションを選択します。
    • 不正な暗号化や変更から文書を保護: 潜在的なランサムウェアによる文書の暗号化や変更を防止します。
      • 不審なプログラムによって変更されたファイルを自動的にバックアップして復元: ランサムウェアの脅威が検出された場合に、暗号化されたファイルのバックアップコピーをエンドポイントに作成してデータの損失を防止します。
        注意
        注意
        自動ファイルバックアップを実行するには、エージェントエンドポイントに100MB以上のディスク容量が必要です。また、バックアップされるのは10MB未満のファイルだけです。
    • ランサムウェアに関連付けられていることの多いプロセスをブロック: 既知のランサムウェアに関連付けられているプロセスをブロックして、文書の暗号化や変更を防止します。
    • プログラム検査を有効にして不正な実行可能ファイルを検出およびブロック: プログラム検査は、プロセスを監視してAPIフックを行うことで、予期しない挙動を示すプログラムを特定します。これにより、不正な実行可能ファイルの全体的な検出率が高くなりますが、システムのパフォーマンスが下がる場合があります。
      注意
      注意
      [ブロックする脅威] リストから [既知の脅威と潜在的な脅威] を選択すると、プログラム検査によるセキュリティが向上します。
  6. [脆弱性対策][脆弱性攻撃に関連する異常な挙動を示すプログラムを終了] を有効にし、プログラムの潜在的な脆弱性を悪用した攻撃を防止します。
    重要
    重要
    脆弱性対策を使用するには、[プログラム検査を有効にして不正な実行可能ファイルを検出およびブロック] を選択する必要があります。詳細については、脆弱性対策を参照してください。
    脆弱性対策はリアルタイム検索 (メモリで検出された不正プログラムの変種/亜種を隔離する) と連携して、ファイルレス攻撃からの保護を強化します。詳細については、リアルタイム検索: [対象] タブを参照してください。
  7. [イベント監視] セクションで、次の手順を実行します。
    1. [イベント監視を有効にする] を選択します。
    2. [詳細な設定を指定] をクリックして、監視するイベントの種類を選択します。
    3. 監視するシステムイベントを選択し、選択したイベントごとに処理を選択します。
      監視対象のシステムイベントの詳細については、イベント監視を参照してください。
  8. [除外] タブをクリックし、除外リストを設定します。
    1. 親ポリシーを設定する場合は、他のユーザによる子ポリシーの設定方法を指定します。
      • 親ポリシーから継承: 子ポリシーには、親ポリシーの設定をそのまま使用する必要があります。
      • 親ポリシーを拡張: 子ポリシーでは、親ポリシーから継承した設定に新たな設定を追加できます。
        注意
        注意
        子ポリシーが [親ポリシーから拡張] に設定されている場合、[子ポリシーの制限] を設定して、子ポリシーが特定のルールをルール例外リストに追加するのを防止できます。
    2. 表示されるテキストフィールドに、プログラムのフルパスを入力します。
      注意
      注意
      • 複数のエントリを区切るには、セミコロン (;) を使用します。
      • リストを別のポリシーと共有するには、[インポート] ボタンと [エクスポート] ボタンを使用します。
      • [承認済みリスト] にはワイルドカード文字を使用できます。
        詳細については、除外リストでのワイルドカードのサポートを参照してください。
    3. [追加] をクリックします。
    4. ブロックするプログラムまたは承認済みプログラムをリストから削除するには、プログラムの横にあるごみ箱アイコン (icon_trash_bin=GUID-66C31AA2-6B0F-4D40-9477-CFD321AE3A83=1=ja-jp=Low.jpg) をクリックします。
      注意
      注意
      Apex Oneでは、承認済みプログラムとブロックするプログラムを合計1,024個まで指定できます。