ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

ApexOne デフォルトで有効になっている機械学習型検索を無効にする

トレンドマイクロのApexOneにて、デフォルトで有効になっている機械学習型検索を無効にする方法について紹介します。機械学習型検索はその他の製品ではふるまい検知とか言われているものに近いのですが(ApexOneの場合は挙動監視機能が同意かと思います)、誤って正しいアプリケーションを過検知してしまうことがあるので、使い方には注意が必要です。

 

そして、こちら使用したくない場合は、ログだけの出力にするか、もしくはそもそも無効にすることも可能です。使わないなら無効にするのもいいですし、情報だけ欲しい場合は、ログモードでもいいですね。

 

設定方法については公式の情報が参考になります。

 

機械学習型検索を有効にする際には、以下の方法で導入することをお勧めしますとのこと。

 

業務影響を抑えるながら小さく始める方法
機械学習型検索を有効にする際には、以下の方法で導入することをお勧めします。

●検出時の処理を「ログのみ」に設定して運用を開始し、必要に応じて除外の設定を行う事で、業務で利用するアプリケーション等を過検出しないか事前に確認し、徐々に検出時の処理を「隔離」や「ブロック」に切り替えていく方法。
ドメイン毎やクライアント毎など、まずは狭い範囲で有効にして様子を確認し、必要に応じて、除外の設定をした後、徐々に広い範囲で機械学習型検索を有効にして行く方法。

 

ちなみに以下のように有効にする設定がありますが、逆を言えばここの設定で無効にすることが可能です。

 

 

以下は手順の抜粋です。

 

①[クライアント] - [クライアント管理]に移動し、対象のドメイン、クライアントを選択します。
※1 Apex One 2019 以降、「クライアント」は「エージェント」と表示されます
※2 以降の操作について、Apex One as a Service では、Apex One セキュリティエージェントのポリシーの作成 や編集 によって設定が可能です。

②[設定] - [追加サービス]を開き以下サービスにチェックを入れて[保存]します。
不正変更防止サービス
高度な保護サービス

③ファイルの検出に必要な以下設定が有効になっている事を確認します。
[設定] - [検索設定] - [リアルタイム検索設定] - [ウイルス/不正プログラム検索を有効にする]

④[設定] - [挙動監視設定]を開き[不正プログラム挙動ブロックを有効にする]を有効にします。

⑤プロセスの検出率を上げるために以下設定が有効になっている事を確認します。(必須設定ではありません。)
[設定] - [Webレピュテーション設定] - [次のOSでWebレピュテーションサービスを有効にする]
[設定] - [挙動監視設定] - [プログラム検査を有効にして不正な実行可能ファイルを検出およびブロック]

⑥[設定] - [機械学習型検索設定]を開き、下記の設定を行い、[保存]をクリックします。
[機械学習型検索を有効にする]にチェックを入れます。
[検出設定]で、機械学習型検索で実行する検出の種類とそれに対する処理を選択します。

 

オフライン環境で使用すると動作が重くなるという情報もありますが、おそらく外部に接続しにいくのが原因でしょうね。使用しない場合は、無効にしてもいいと思います。