Management Center for Cisco Security Agents 6.0.2 ユーザ ガイド
アンチウイルスによる保護
アンチウイルスによる保護
発行日;2012/01/15 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 9MB) | フィードバック

目次

アンチウイルスによる保護

概要

アンチウイルスの基礎

シグニチャベースのアンチウイルス

動作ベースのアンチウイルス

アンチウイルス保護のイネーブル化

アンチウイルス シグニチャの更新方法

ウイルスに対するシグニチャベースのスキャン

バックグラウンド スキャン

アクセス時のファイルのスキャン

オンデマンド スキャン

最適化されたスキャン

アンチウイルスのタグ付け

シグニチャベースのアンチウイルスのタグ付け

動作ベースのアンチウイルスのタグ付け

@virusscan トークン

隔離されたファイル

シグニチャベースのアンチウイルスと自動シグニチャ生成の違い

シグニチャベースのアンチウイルスの管理タスク

バックグラウンド スキャンのスケジューリング

オンデマンド AV スキャンの実行

ホストのアンチウイルス スキャン スケジュールの確認

グループに対するシグニチャ更新の強制的実行

ホストに対するシグニチャ更新の強制的実行

アンチウイルス タグの免除の作成

Event Management Wizard を使用したアンチウイルス免除の作成

[Global AntiVirus Exemptions] ページを使用したアンチウイルス免除の作成

シスコへの ClamAV の false positive ウイルスのレポート

アンチウイルスのレポート

シグニチャベースのアンチウイルス規則およびコンポーネントの作成

ウイルス スキャン規則の作成

ファイルをスキャンするファイル アクセス制御規則の作成

ファイルのスキャンに対するアプリケーション制御規則の作成

感染したファイルを参照するファイル セットの作成

動作ベースのアンチウイルス ポリシーの設定

エンドユーザのアンチウイルス タスク

アンチウイルスによる保護

概要

アンチウイルス機能は、シグニチャによって識別されたコンピュータ ウイルスと、不審な動作または危険な動作によって識別されたマルウェアから、エンドポイントを保護します。シグニチャベースのアンチウイルス機能と動作ベースのアンチウイルス機能は、相互に補完的な保護を提供します。

この章は、次の内容で構成されています。

「アンチウイルスの基礎」

「シグニチャベースのアンチウイルス」

「動作ベースのアンチウイルス」

「アンチウイルス保護のイネーブル化」

「アンチウイルス シグニチャの更新方法」

「ウイルスに対するシグニチャベースのスキャン」

「@virusscan トークン」

「隔離されたファイル」

「シグニチャベースのアンチウイルスと自動シグニチャ生成の違い」

「シグニチャベースのアンチウイルスの管理タスク」

「バックグラウンド スキャンのスケジューリング」

「オンデマンド AV スキャンの実行」

「ホストのアンチウイルス スキャン スケジュールの確認」

「グループに対するシグニチャ更新の強制的実行」

「ホストに対するシグニチャ更新の強制的実行」

「アンチウイルス タグの免除の作成」

「エンドユーザのアンチウイルス タスク」

「アンチウイルスのレポート」

「シグニチャベースのアンチウイルス規則およびコンポーネントの作成」

「動作ベースのアンチウイルス ポリシーの設定」

「エンドユーザのアンチウイルス タスク」

アンチウイルスの基礎

ここでは、アンチウイルス機能の概要を示します。

シグニチャベースのアンチウイルス

シグニチャベースのアンチウイルス機能は、感染したファイルを識別し、隔離することによって、エンドポイントを保護します。CSA は、ファイルが開かれたとき、または閉じられたときにそのファイルをスキャンし、既知のウイルス シグニチャのローカル データベースとその内容を比較します。ファイルが感染している場合、CSA はそのファイルにアンチウイルス タグを付けます。ファイルにタグが付けられると、CSA はそのファイルを隔離し、セキュリティ ポリシーにより、そのファイルの動作またはそのファイルへのアクセスが制限されます。

CSA シグニチャベースのアンチウイルス(AV)は、ユーザへの影響が最小限になるように設計されています。スキャンは、ファイルを開いたときではなく、主にファイルを変更し、ディスクに書き込むときに実行されるように最適化されています。開くときにスキャンされるファイルは、CSA が「信頼されないコンテンツ」として定義したファイルだけです。「信頼されないコンテンツ」は、多数の規則によって定義されています。信頼されないコンテンツの例には、ネットワークからダウンロードしたファイル、一時ディレクトリから起動したファイル、リムーバブル ディスクおよび USB キーなどの外部ドライブ上のファイル、ネットワーク共有上にあるファイルなどがあります。これらのファイルは、開いたときに常にスキャンされます。一般的に、固定ディスク上にあり、信頼されないコンテンツ カテゴリのいずれにも含まれないファイルは、開いたときにスキャンされません。

この方式は効率的で、ユーザへの影響を最小限にすることができますが、短所もあります。エージェントのインストール前に、ウイルスがホスト上の固定ディスクにある場合、バックグラウンド スキャンで発見されるまで、ウイルスは検出されません。エージェントのインストール前に既存のウイルスが検出されない間隔を最小限にするために、CSA のシグニチャベースのアンチウイルスは、エージェントがインストールされた直後にバックグラウンド スキャンを開始します。

CSA は、アクセス スキャン、オンデマンド スキャン、バックグラウンド スキャンの 3 種類のウイルス スキャンを使用します。詳細については、 「ウイルスに対するシグニチャベースのスキャン」 を参照してください。

ウイルスのシグニチャとシグニチャ照合インフラストラクチャは、Clam AntiVirus( http://www.clamav.org )によってサポートされています。Clam AntiVirus(ClamAV)は、オープンソースのアンチウイルス ツールキットです。ユーザのコミュニティがウイルスに感染したファイルを ClamAV に提出すると、ClamAV はそのウイルスのシグニチャを作成し、ユーザ コミュニティにシグニチャの更新を配布します。

CSA に従来のアンチウイルス スキャナを組み込むことにより、既知のウイルスから高速かつ効率的に保護され、false positives の発生率が低下します。この機能は、悪意のある動作の識別に基づいて、未知の初めての攻撃を防御する CSA の機能を補完します。

ClamAV によってサポートされるシグニチャ照合インフラストラクチャおよび感染したファイルを制限するための CSA ポリシーは、Windows プラットフォームだけで利用できます。


) アンチウイルス - シグニチャベースのセキュリティ ポリシーは、エンドポイントを保護するために設計されたセキュリティ ポリシーの相互依存性セットに含まれるコンポーネントの 1 つです。CSA のシグニチャベース アンチウイルス機能は、デフォルトのデスクトップ ポリシーまたはサーバ ポリシーとともに導入し、テストする必要があります。


動作ベースのアンチウイルス

動作ベースのアンチウイルス機能は、信頼されないアプリケーションの動作を検査することにより、エンドポイントを保護します。アプリケーションが不審な、悪意のある、または危険な方法で動作する場合、そのアプリケーションは動作ベースのアンチウイルス タグを受け取り、その動作を反映したアプリケーション クラスに配置されます。

アプリケーションの動作が継続しているときに、エンドユーザは、エージェント GUI のポップアップ通知およびイベントを通じて、アプリケーションの動作に気付きます。ユーザは、アプリケーションの動作を許可するか、または禁止することができます。ユーザがアプリケーションの動作を禁止したときに、そのアプリケーションは、より制限的な規則の対象となるアプリケーション クラスに配置されるか、または問い合わせに対するユーザの応答に基づいて終了されます。

アプリケーションが特定の数の各種ポリシーに違反すると、デフォルトの規則ではその動作が厳しく制限されるか、またはそのアプリケーションが自動的に終了されます。

アプリケーションが実行することがある一部の動作は自動的に拒否され、ユーザの入力を要求せずに、そのアプリケーションが自動的に終了されることもあります。

動作ベースのアンチウイルス ポリシーは、Linux、UNIX、および Windows アプリケーションで利用できます。

アンチウイルス保護のイネーブル化

シグニチャベースのアンチウイルス保護は、アンチウイルス - シグニチャベースのポリシーがグループに対して導入されたときにイネーブルになります。グループの詳細ページと各ホストの詳細ページには、この機能がイネーブルになっていることが示されます。シグニチャベースのアンチウイルス保護が導入された場合、エンドユーザは、オンデマンド スキャンを実行し、隔離されたファイルを管理し、復元されたファイルを管理することができます。


) CSA は、感染したファイルの識別に使用される、シグニチャ データベースをホストにインストールします。他のアンチウイルス アプリケーションがホストにインストールされている場合、そのアプリケーションによってシグニチャ データベース ファイルが感染していると解釈され、隔離される可能性があります。競合を防ぐため、CSA のアンチウイルス機能を使用する場合は、他のアンチウイルス アプリケーションを必ずアンインストールしてください。


動作ベースのアンチウイルス保護は、動作 - シグニチャベースのポリシーがグループに対して導入されたときにイネーブルになります。グループの詳細ページと各ホストの詳細ページには、この機能がイネーブルになっていることが示されます。動作ベースのアンチウイルス保護を導入した場合、Cisco Security Agent に [AntiVirus] ペインが表示されます ユーザはアンチウイルス画面を使用して、動作ベースのアンチウイルス タグが付いたファイルを復元および隔離することができますが、オンデマンド スキャンは実行できません。

アンチウイルス シグニチャの更新方法

シグニチャベースのアンチウイルス保護のために、CSA MC は、キャッシュ バージョンの Clam AntiVirus シグニチャ ファイルを維持し、エージェントによってシグニチャの更新が要求されたときに、プロキシ サーバとしての役割を果たします。

シグニチャ ファイルの更新に対するエージェントの要求に応じて、CSA MC は、ウイルス定義を取得し、提供します。エージェントが CSA MC から更新されたウイルス シグニチャ ファイルを要求した場合、CSA MC は、Clam AntiVirus サーバ上のシグニチャ ファイルのタイム スタンプと、キャッシュ バージョンのシグニチャ ファイルを比較します。Clam AntiVirus サーバ上のファイルのタイムスタンプが、CSA MC でキャッシュされたシグニチャ ファイルのコピーと一致する場合、CSA MC は、そのキャッシュからシグニチャの更新をエージェントに提供します。CSA MC にキャッシュされたバージョンが最新ではない場合、CSA MC は、エージェントの要求を Clam AntiVirus サーバに直接渡し、返された最新バージョンのシグニチャ ファイルをキャッシュに格納します。


) CSA MC が ClamAV サーバ(db.local.clamav.net)からシグニチャの更新を取得するには、直接、またはプロキシ サーバを通じて、このサーバに HTTP で到達可能である必要があります。


これらのファイルは、CSA MC にあるウイルス シグニチャ データベースを構成し、次のディレクトリに格納されます。
¥Program Files¥Cisco¥CSA MC¥CSAMC60¥bin¥WebServer¥htdocs¥clamav

メイン シグニチャ ファイル(main.cvd)。CSA MC に格納され、すべてのエージェントにダウンロードされるメイン シグニチャ ファイルです。このファイルは、ClamAV の新しいリリースごとに更新されます。

日次更新ファイル(daily.cvd)。更新されたシグニチャのデータベースです。これは CSA MC に格納され、すべてのエージェントにダウンロードされます。このファイルは、1 日に数回更新され、最新のウイルス定義が格納されています。

これらのファイルは、エージェントを実行している Windows ホスト上にあるウイルス シグニチャ データベースを構成し、ディレクトリ ¥Program Files¥Cisco¥CSAgent¥dclass¥csa-av に格納されます。

メイン シグニチャ ファイル(main.cld)。エージェントに格納されるメイン シグニチャ ファイルです。これは、最初の main.cvd ファイルに加えて、ClamAV により main.cvd に提供された更新を含む詳細なシグニチャ ファイルです。

日次更新ファイル(daily.cld)。エージェントに格納される更新シグニチャのデータベースです。これには、元の daily.cvd ファイルと、それ以降のウイルス定義の更新すべてが含まれます。

エージェントは、次のいずれかのイベントの結果として、シグニチャの更新のために CSA MC に接続します。

アンチウイルス更新の定期要求。エージェントは、更新されたウイルス定義のために、24 ~ 25 時間ごとに CSA MC に接続します。

ホストからのアンチウイルスの強制更新。ユーザは、Cisco Security Agent インターフェイスのアンチウイルス画面からアンチウイルスの更新を強制的に実行できます。

グループに対するアンチウイルスの強制更新。CSA MC 管理者は、グループの [properties] ページから、グループに対してアンチウイルスの更新を強制的に実行できます。

Cisco Security Agent がスタンドアロンであるか、またはエージェントが 2 日間にわたって CSA MC に到達できない場合、エージェントはインターネット サーバ、http://db.local.clamav.net to get signature updates directly from ClamAV と直接通信を試みます。

ウイルスに対するシグニチャベースのスキャン

シグニチャベースのアンチウイルス保護では、ウイルス スキャンの目的は、ファイルが感染しているかどうかを判断することです。感染しているファイルには、感染したウイルスの名前を持つタグが付けられます。クリーンなファイルは、空のタグを受け取ります。ファイルにタグが付けられた後に、アンチウイルス ポリシーの規則によって、感染したファイルからホストが保護されます。

CSA は、次の方法を使用してウイルスをスキャンします。

「バックグラウンド スキャン」

「アクセス時のファイルのスキャン」

「オンデマンド スキャン」


) これらのスキャンでは、ファイルの更新日が変化しません。


バックグラウンド スキャン

バックグラウンド スキャンは、このリリースで提供されるデフォルトのアンチウイルス - シグニチャベースのサーバ ポリシーまたはデスクトップ ポリシーを使用しているすべてのホストで実行されます。アンチウイルス - シグニチャベースのサーバ ポリシーとデスクトップ ポリシーには、バックグラウンド スキャン中にスキャンされるファイルを指定する規則が含まれています。デフォルトでは、固定ローカル ドライブ上のファイルは、アンチウイルス バックグラウンド スキャン中にスキャンされます。

バックグラウンド スキャンでは、既知のウイルス シグニチャのローカル データベースに対してファイルの内容が比較されます。このスキャンは、エージェントをホストに初めてインストールしたときと、CSA 管理者がスケジュールしたときに実行されます。バックグラウンド スキャンは、システムの動作を妨害せず、主にシステムが使用されていないときに低い優先度で実行されます。詳細については、「バックグラウンド スキャンのスケジューリング」を参照してください。


) すべてのホストに対して、定期的にバックグラウンド スキャンを実行することを推奨します。


アクセス時のファイルのスキャン

ウイルス シグニチャのスキャンは、ファイルが開かれ、閉じられ、または実行されたときにも行われます。アンチウイルス - シグニチャベースのサーバ ポリシーまたはデスクトップ ポリシーの規則によって、どのファイルをどのような状況でスキャンするかが決定されます。

オンデマンド スキャン

ホストがデスクトップまたはサーバに対するアンチウイルス - シグニチャベースのポリシーによって保護されている場合は、エージェント ユーザ インターフェイスに [AntiVirus] ペインが表示されます。ユーザは、この画面から、オンデマンド スキャンを開始します。

オンデマンド スキャンでは、固定ローカル ドライブ上のすべてのファイルが検査されます。これには .zip ファイルなどのアーカイブ ファイルと .pst などのメール ファイルが含まれます。オンデマンド スキャンは、ポリシー内の規則に基づいてファイルをスキャンしません。

オンデマンド スキャンを実行する手順については、「アンチウイルスによる保護」を参照してください。[AntiVirus] タスクをクリックし、その画面に関連するヘルプ アイコンをクリックすると、エージェント ユーザ インターフェイスのヘルプに手順が表示されます。

最適化されたスキャン

スキャンのパフォーマンスを最適化するため、CSA はサイズが 2GB を超えるファイルをスキャンしません。アクセス スキャンまたはバックグラウンド スキャン中に、2GB よりも小さいファイルは、CSA のスキャン アルゴリズムに基づいて部分的にスキャンされます。オンデマンド スキャン中には、2GB よりも小さいすべてのファイルは全体がスキャンされます。

アンチウイルスのタグ付け

コンテンツ ファイルは、ウイルス シグニチャがそのファイル内に見つかったときに、アンチウイルス タグを受け取ります。アプリケーションは、不審、危険、または悪意があると見なされる動作を実行した場合に、アンチウイルス タグを受け取ります。

シグニチャベースのアンチウイルスのタグ付け

ファイルは、スキャンされたときにタグを取得します。ファイルにタグが付けられると、規則は、そのファイルのタグに基づいてファイルからホストを保護します。ファイルが感染している場合、そのファイルには感染したウイルスの名前を持つタグが付けられます。たとえば、スキャンされたファイルが CodeRed ワームに感染している場合、そのファイルには <Virus:Worm.CodeRed> というタグが付けられます。スキャンされたファイルが感染していない場合、そのファイルは空のタグを受け取ります。

ファイルがまだスキャンされていない場合、そのファイルにはタグが付いていません。ファイルのスキャン中に、ファイルは一時タグ、<CSA_SCAN_IN_PROGRESS> を取得します。ファイルをスキャンできない場合、そのファイルには <CSA_UNSCANNABLE> というタグが付けられます。スキャンできないファイルとしては、暗号化されたファイルなどがあります。

<CSA_SCAN_NOT_ATTEMPTED> というタグもあります。たとえば、ファイル スキャナがファイルをスキャンする準備ができていない場合、またはファイル スキャナにファイルを開くアクセス権がない場合、ファイルはこのタグを受け取ることがあります。ファイルに <CSA_SCAN_NOT_ATTEMPTED> というタグが付いている場合、ファイル スキャナは、そのファイルのスキャンを再試行します。スキャン トランザクション中に、ファイルには <CSA_SCAN_NOT_ATTEMPTED> タグだけが付いています。スキャンが試行された後に、<CSA_SCAN_NOT_ATTEMPTED> タグはファイルから削除されます。

CSA がファイルをスキャンする場合、ファイル スキャナは、ファイルに既存のタグがあるかどうかをチェックします。ファイルに既存のタグがあり、以前のスキャン以降に変更されていない場合、既存のタグは引き続き有効と見なされ、ファイルは再びスキャンされません。

空のタグが付いているクリーン ファイルは、ファイル スキャナの終了時にタグを失います。これは、たとえばホストを再起動した場合に発生します。ファイルがそのクリーン タグを失った場合、そのファイルは後に再びスキャンの対象となります。

ファイルがウイルスに感染していることが判明した場合、そのファイルは、エージェント ユーザ インターフェイスで、アンチウイルス画面の [Quarantined files] タブに一覧表示されます。ユーザはオプションとして、隔離されたファイルへのアクセスを「復元」することができます。

動作ベースのアンチウイルスのタグ付け

アプリケーションが別なアプリケーションと対話して、特定の動作を試みた場合、さまざまな規則によって、動作ベースのアンチウイルス タグがそのアプリケーションに割り当てられることがあります。動作ベースのアンチウイルス タグは「スタティック」です。このタグは、アプリケーションに割り当てることができ、管理者はこのタグを設定できますが、その名前は変更できません。

対話の種類に基づいて、アプリケーションは次のいずれかのタグを受け取ることがあります。

<Virus:Behavior.Excessive Policy Violations>

<Virus:Behavior.Malicious Activity>

<Virus:Behavior.Dangerous Activity>

<Virus:Behavior.Suspicious Activity>

<Virus:Behavior.Potential Unwanted Application>

アプリケーションには、「非スタティック タグ」が明示的に割り当てられることもあります。同じタグ付け要件の 2 つの規則があり、一方の規則が「非スタティック タグ」を適用し、他方の規則が動作ベースのスタティック タグの 1 つを適用する場合、「非スタティック タグ」分類の規則が優先され、アプリケーションはスタティック タグを受け取りません。

アンチウイルス タグが付いているアプリケーションは、アプリケーション クラスにグループ化できます。これにより、他の規則は、1 つのクラス内のすべてのアプリケーションの動作を同じ方法で許可および制限できます。

アプリケーションが動作ベースのアンチウイルス タグを受け取った場合、そのアプリケーションは、エージェント ユーザ インターフェイスで、アンチウイルス画面の [Quarantined files] タブに一覧表示されます。ユーザはオプションとして、隔離されたファイルへのアクセスを「復元」することができます。

@virusscan トークン

@virusscan トークンは、ファイル セットのコンテンツ照合フィールドで使用されます。アンチウイルス スキャンによってファイルに付けられるすべてのタグは、@virusscan トークンのアトリビュートです。@virusscan トークンによって、規則は、すべてのファイルを明示的に指定する代わりに、ファイルのグループを参照できます。

たとえば、動作ベースのアンチウイルス タグと @virusscan トークンを関連付ける場合、構文は、@virusscan=<behavior_based_tag_name> となります。

@virusscan=<Virus:Behavior.Excessive Policy Violations >

@virusscan トークン構文の他の例については、「ファイル セットのコンテンツ マッチング」を参照してください。

隔離されたファイル

ファイルとアプリケーションは、シグニチャベースのアンチウイルス タグまたは動作ベースのアンチウイルス タグを受け取った場合、隔離されます。隔離されたファイルは、元の場所に残り、隔離されたファイルに適用される規則によって無効化されます。特別なディレクトリに移動されるわけではありません。

隔離されたファイルは、エージェント ユーザ インターフェイスで、アンチウイルス画面の [Quarantined files] タブに表示されます。このインターフェイスを通じて、ファイルを「復元」することにより隔離リストからファイルを削除し、一度復元したファイルを再び隔離することができます。隔離されたファイルは、削除することもできます。

次の条件を満たした場合、隔離されたファイルは、60 日後にユーザ システムから自動的に削除されます。

自動削除は、シグニチャベースのウイルスに感染していることが判明したファイルだけに適用される。

動作ベースのウイルスに感染していることが判明したファイルは、自動的に削除されず、隔離状態のまま残ります。

PUA として識別されたアプリケーションは、自動的に削除されず、隔離状態のまま残ります。PUA ラベルとは、Potentially Unwanted Application(望ましくない可能性のあるアプリケーション)の略語です。このようなアプリケーションは、それ自体に悪意はありませんが、悪意のあるまたは望ましくないコンテキストで使用される可能性があります。PUA というラベルが付けられるアプリケーションの詳細については、 http://www.clamav.org/support/faq/ を参照してください。

別のユーザまたはアプリケーションが、60 日間そのファイルにアクセスしていない。

そのファイルが、60 日間にわたって隔離ステータスのままである。たとえば、ファイルが隔離され、復元され、再び隔離された場合、ファイルが隔離状態に戻ったときに、60 日間のタイマーはリセットされます。

隔離されたファイルの削除後に、イベントが CSA MC に送信されます。

警告 隔離されたファイルはアンチウイルス規則によって制限されているため、エージェントのセキュリティをオフにした場合、感染したファイルは制御されなくなります。これらのファイルは、読み取り、変更、または実行できるようになります。


注意 エージェントをリセットした場合、隔離されたファイルと復元されたファイルのリストにあるすべてのファイルは削除されます。

シグニチャベースのアンチウイルスと自動シグニチャ生成の違い

このリリースの CSA におけるシグニチャベースのアンチウイルス保護は、従来型のアンチウイルス セキュリティ機能です。これは、ファイルの内容をスキャンし、既知のウイルス シグニチャのライブラリに対してその内容を比較します。ファイルにウイルスが含まれる場合、そのファイルはファイルの読み取り、書き込み、または実行を禁止する CSA ポリシーによって不活性化されます。

すべてのローカル ファイルは、定期的にスキャンされます。一部のファイルはデスクトップとサーバに対するアンチウイルス - シグニチャベース ポリシーの規則に基づいて、開いたときまたは閉じたときにスキャンされます。アンチウイルスがファイル内に存在する最新の既知のウイルスを適切に識別できるよう、ウイルス シグニチャ ファイルの定期的な更新が必要です。

自動シグニチャ生成機能は、バッファ オーバーフロー攻撃と DoS 攻撃から MSRPC および LPC インターフェイスを保護するために設計されました。いずれかのインターフェイスが攻撃されると、自動シグニチャ生成機能によって、その攻撃を識別するシグニチャが自動的に作成されます。次に、このシグニチャは他の類似した攻撃を防止するために、規則によって使用されます。

自動的に生成されるシグニチャは、リアルタイムに作成されます。この機能は、定期的にダウンロードする必要がある静的シグニチャに依存しません。

シグニチャベースのアンチウイルスの管理タスク

ここでは、CSA MC 管理者が実行するシグニチャベースのアンチウイルス タスクについて説明します。

バックグラウンド スキャンのスケジューリング

管理者は、このリリースで提供されるデフォルトのアンチウイルス - シグニチャベースを使用するすべてのホストのアンチウイルス バックグラウンド スキャンをスケジュールできます。これらのポリシーには、バックグラウンド スキャン中にスキャンするファイルを指定する規則が含まれます。デフォルトでは、固定ローカル ドライブ上のファイルは、AV バックグラウンド スキャン中にスキャンされます。


ステップ 1 設定特権のある管理者として CSA MC にログインし、拡張モードに切り替えます。

ステップ 2 CSA MC インターフェイスの [Systems] メニューで、[Host Tasks] > [Host Scanning Tasks] に移動します。

ステップ 3 [New] をクリックします。

ステップ 4 タスクの [Name] と [Description] に入力します。

ステップ 5 規則が再生成され、ソフトウェアの更新がホストに配布された直後にこのタスクをイネーブルにする場合は、[Enabled] を選択します。

ステップ 6 [Configuration] 領域で、次のようにタスクを定義します。

[Run this task] フィールドで、毎週、特定の曜日にこのタスクを実行することを選択するか、毎月、特定の日付にこのタスクを実行することを選択します。


) すべてのホストに対して、定期的にバックグラウンド スキャンを実行することを推奨します。



) 毎月 31 日にスキャンをスケジュールした場合、日数が 31 日よりも少ない月にはスキャンが実行されません。


[At] フィールドで、スキャンを実行する時間を指定します。時間は、24 時間形式で表現します。

[Perform background AV search on all hosts in group] をオンにし、ドロップダウン リストからグループを選択します。バックグラウンド スキャン用としては、1 つのグループだけを指定できます。


) アンチウイルス スキャンとデータ消失防止スキャンを組み合わせると、2 つの独立したシステム スキャンが実行されます。


ステップ 7 [Save] をクリックします。

次に、そのグループのすべてのホストに配布するタスクに対して、規則を生成する必要があります。

オンデマンド AV スキャンの実行

オンデマンド AV スキャンでは、ホスト上の固定ドライブで、アンチウイルス タグの付いたファイルが検索されます。オンデマンド AV スキャンが動作するには、シグニチャベースのアンチウイルス保護をイネーブルにする必要があります。詳細については、「アンチウイルス保護のイネーブル化」を参照してください。


ステップ 1 設定特権または導入特権を持つユーザとして CSA MC にログインし、拡張モードに切り替えます。

ステップ 2 [Systems] メニューで [Hosts] をクリックします。

ステップ 3 ただちにスキャンを開始するホストのリンクをクリックします。

ステップ 4 [AV full-scan schedule] 行の末尾で、[View AV Scan Results] をクリックします。

ステップ 5 [Scanning] ダイアログボックスで [AV Scan Results] タブがまだ開いていない場合は、そのタブをクリックします。

ステップ 6 [Scan Now] をクリックします。ポーリング ヒントがホストに送信され、ホストがポーリング ヒントを受信した後に、オンデマンド スキャンが自動的に開始されます。ホストがポーリング ヒントを受信しない場合、スキャンは、次にホストがポーリングを実行する時点で開始されます。

スキャンの進行中に、[Get Results] をクリックして、これまでに収集された情報を受信できます。[Get Results] をクリックした後に、ホスト上のエージェントは、次にエージェントがポーリングを実行する時点で、収集済みの情報を転送します。

オンデマンド スキャンが完了したときに、エージェントは、CSA MC に結果を自動的に送信します。

[AV Scan Results] ページでは、定期的に情報がリフレッシュされます。リフレッシュ時に、エージェントから転送された最新の情報がこのページに表示されます。

ホストのアンチウイルス スキャン スケジュールの確認


ステップ 1 任意のレベルのユーザとして CSA MC にログインし、拡張モードに切り替えます。

ステップ 2 [Systems] メニューで [Hosts] を選択します。

ステップ 3 調査するホストのリンクをクリックします。

ステップ 4 [Host Status] エリアを展開します。

ステップ 5 [AV Full Scan Schedule] フィールドに、ホストのスキャン スケジュールが示されます。

グループに対するシグニチャ更新の強制的実行


ステップ 1 設定特権または導入特権を持つユーザとして CSA MC にログインし、拡張モードに切り替えます。

ステップ 2 [Systems] メニューで [Groups] を選択します。

ステップ 3 ウイルス シグニチャの更新を受信するグループのリンクをクリックします。

ステップ 4 [Features] エリアで、[Force AV Update] のリンクをクリックします。Done という単語と緑のチェックマークが点滅し、更新を開始するためにエージェントが通知を受けたことが示されます。

ホストに対するシグニチャ更新の強制的実行


ステップ 1 設定特権または導入特権を持つ管理者として CSA MC にログインし、拡張モードに切り替えます。

ステップ 2 [Systems] メニューで [Hosts] を選択します。

ステップ 3 ウイルス シグニチャの更新を強制実行するホストのリンクをクリックします。

ステップ 4 [Host Status] エリアを展開します。

ステップ 5 [Time since last AV signature update] 行で、[Force AV Update] のリンクをクリックします。Done という単語と緑のチェックマークが点滅し、更新を開始するためにエージェントが通知を受けたことが示されます。

アンチウイルス タグの免除の作成

false positive と判断したシグニチャベースのアンチウイルス タグに対して、アンチウイルス免除を作成できます。タグに対して免除を作成すると、タグが付けられたファイルが、そのタグに関連するアンチウイルス規則によって制限されなくなります。特定のアンチウイルス タグが付いた個々のファイルに対して免除を作成すると、そのファイルは、そのタグに関するアンチウイルス規則によって制限されなくなります。

ウイルス タグの例外は、Event Management Wizard を使用して作成することも、[AntiVirus Exemptions] ページで新規作成することもできます。

エンドユーザと CSA MC 管理者が、アンチウイルスの免除によって影響を受ける例を、次に示します。アンチウイルス タグが付いているために、ファイルがさまざまなホストで隔離されているとします。CSA MC 管理者は、そのタグが false positive を表していると判断し、ウィザードを使用して、または手動でそのタグに対する免除を作成します。この免除は、CSA MC の [AntiVirus Exemptions] ページに一覧表示されます。準備ができると、管理者は規則を生成します。

次回、ホストの CSA が CSA MC をポーリングしたときに、CSA はアンチウイルス免除情報を受け取ります。そのアンチウイルス タグが付いてすでに隔離されているすべてのファイルは、その後数分以内にエージェントの [Quarantined files] タブから削除されます。そのファイルは、[Restored] タブには配置されません。アンチウイルス免除はグローバルに行われ、ユーザが個別にそのファイルを隔離済みとして再分類することはできません。

Event Management Wizard を使用したアンチウイルス免除の作成


ステップ 1 設定特権を持つユーザとして CSA MC にログインします。このタスクは、簡易モードと拡張モードのどちらでも実行できます。

ステップ 2 [Events] メニューで [Event Log] を選択します。

ステップ 3 ウイルスを示すイベントを探し、ウイルスの存在を理由にそのファイルを隔離します。規則に対する [Wizard] リンクをクリックします。

ステップ 4 規則ごとに、識別されたウイルスに感染したファイルに対する処理の方法は異なります。ウィザードが起動したら、ウィザードに表示された推奨アクションのままにします。ファイルを隔離から削除するオプションが示された場合、ユーザには次のオプションがあります。

[Remove from AV Quarantine] エリアで、次の 2 つのオプション ボタンのいずれかを選択します。

[All Windows files]:指定したアンチウイルス タグが付いたすべてのファイルを、そのタグに関連するアンチウイルス規則の制限から免除できます。これは、ウィザードが提供するデフォルト設定です。

[Only this Windows file]:ウィザードによって識別されたファイルを、指定したタグが付いていることによるアンチウイルス規則の制限から免除できます。

2 つのワイルドカード(**)でファイルの場所を変更すると、このファイルの検索範囲を広げることができます。次の例を参考にしてください。

**¥Documents and Settings¥Administrator¥Desktop ¥Temp¥virus.doc
管理者のデスクトップ上の virus.doc ファイルを指定します。

**¥Desktop¥Temp¥virus.doc
すべてのデスクトップ上の virus.doc を指定します。

[Justification] フィールドに、アンチウイルス免除を作成する理由を記述します。

[Justification] フィールドの下には、[Report the file as false-positive to Cisco/ClamAV] リンクがあります。このリンクをクリックすると、ホストのデフォルトの電子メール クライアントが開きます。詳細については、「シスコへの ClamAV の false positive ウイルスのレポート」を参照してください。

ステップ 5 [Finish] をクリックして、今後のアンチウイルス強制規則からファイルを免除します。

ステップ 6 [Finish] をクリックした後に規則を生成して、免除をホストに導入します。この免除は、CSA MC のグローバルな [AntiVirus Exemptions] ページに一覧表示されます。このページは、[Configuration] メニューをマウスでポイントし、[Global Settings] > [AntiVirus Exemptions] に移動することで表示できます。

ルールを生成した後に、ホストはポーリング ヒントを受信し、CSA MC に対して自動的にポーリングを実行し、このアンチウイルス タグに対する免除情報を受信します。この場合、免除されたファイルは、ローカル エージェントの [Quarantine] タブから削除されます。アンチウイルス タグは CSA MC によって免除されたため、そのファイルは [Restored files] タブに配置されません。

[Global AntiVirus Exemptions] ページを使用したアンチウイルス免除の作成


ステップ 1 設定特権を持つユーザとして CSA MC にログインします。このタスクは、簡易モードと拡張モードのどちらでも実行できます。

ステップ 2 [Configure] メニューで [Global Settings] > [AntiVirus Exemptions] に移動します。

ステップ 3 [New] をクリックします。[Edit AntiVirus Exemption] ダイアログボックスが開きます。

ステップ 4 次の 2 つのオプション ボタンのいずれかを選択します。

[All Windows files]:指定したアンチウイルス タグが付いたすべてのファイルを、そのタグに関連するアンチウイルス規則の制限から免除できます。これは、ウィザードが提供するデフォルト設定です。

[Only this Windows file]:ウィザードによって識別されたファイルを、指定したタグが付いていることによるアンチウイルス規則の制限から免除できます。

パスの先頭にワイルドカードを指定すると「すべてのドライブ」を指定できますが、ディレクトリ パスの他の部分ではワイルドカードを指定できません。次の例を参考にしてください。

**¥Documents and Settings¥Administrator¥Desktop¥virus.txt

ステップ 5 [With content matching virus] フィールドに、隔離を免除するアンチウイルス タグの名前を入力します。この名前は、免除するタグと正確に一致している必要があります。イベント テキストからウイルス名を取得します。

ステップ 6 [Justification] フィールドに、このウイルス タグに対して免除を作成する理由の簡単な説明を入力します。

ステップ 7 [Save] をクリックします。

ステップ 8 規則を生成し、免除を導入します。この免除は、CSA MC のグローバルな [AntiVirus exemptions] ページに一覧表示されます。

シスコへの ClamAV の false positive ウイルスのレポート

Event Management Wizard を使用してアンチウイルス免除を作成するときに、ClamAV の false positive をシスコにレポートできます。この手順については、「Event Management Wizard を使用したアンチウイルス免除の作成」を参照してください。[Report the file as false-positive to Cisco/ClamAV] のリンクをクリックすると、デフォルトの電子メール クライアントが開き、部分的に作成済みの電子メールと追加説明が表示されます。

電子メールのアドレス フィールドには、csa-clamav-falsepositive@external.cisco.com と表示されます。false positive レポートには、false positive で「感染」とされたファイル名、レポートされた感染の名前、およびその感染を検出した CSA のバージョンが示されます。

電子メールを送信する前に、false positive のウイルスに「感染」したファイルを圧縮し、圧縮ファイルを電子メールに添付してください。


) ClamAV の false positive をシスコにレポートするには、電子メールの送信元のホストで、電子メール クライアントを設定しておく必要があります。

false positive のレポートは、Web ブラウザを使用して CSA MC にアクセスできるリモート ホストから実行するのが最適です。CSA MC がインストールされているサーバへのログイン中に、false positive をレポートしようとする場合、電子メールを送信できるように、CSA Management Center ポリシー規則の再設定が必要になることがあります。


 

false positive は、ウイルスに感染していないファイルまたはアプリケーションを、CSA が感染していると分類した場合に発生します。ユーザ コミュニティのメンバーが、ClamAV の false positive の例をシスコにレポートした場合、その例は分析されます。ClamAV シグニチャの作成者が false positive ウイルスを受け入れた場合、それは ClamAV のデータベースに追加され、ClamAV ユーザ コミュニティ一般に配布されます。これにより、ClamAV を使用しているすべてのユーザに対して、アンチウイルスのスキャンがより高速かつ効率的になります。

アンチウイルスのレポート

ホスト上のシグニチャ ライブラリの経過時間、ホストに感染しているウイルスの数および種類、感染したファイルの場所を記載したレポートを生成できます。生成できるアンチウイルス レポートについては、「Clam AntiVirus レポート」を参照してください。

シグニチャベースのアンチウイルス規則およびコンポーネントの作成

デスクトップとサーバに対するアンチウイルス - シグニチャベース ポリシーは、このリリースの CSA でデフォルトで提供されています。これらのポリシーには、ファイルおよびアプリケーションでウイルスをスキャンする規則と、ウイルスに感染したファイルおよびアプリケーションからホストを保護する規則が含まれます。

この項では、実際の環境向けにカスタマイズされた規則とファイル セットを作成する手順を示します。

ウイルス スキャン規則の作成

トリガーされるとファイルでウイルスをスキャンする規則として、次の 2 種類があります。

ファイル アクセス制御規則(FACL)

アプリケーション制御規則(APCR)

ファイルをスキャンするファイル アクセス制御規則の作成

ファイルに対するアンチウイルス スキャンをトリガーするには、ファイル アクセス制御規則を使用します。一般的に、FACL を使用することにより、アプリケーションがファイルを開き、または閉じたとき、アプリケーションがファイルの読み取りまたは書き込みを試行したとき、ファイルの読み取りまたは書き込みの試行が CSA によって許可または拒否されたときに、ファイルに対するウイルス スキャンをトリガーできます。


) この規則を格納する独自の規則モジュールを作成するには、「規則モジュールの設定」を参照してください。



ステップ 1 モジュールに規則を追加するには、規則モジュール設定画面の [Rules] エリアを展開し、[Add] ボタン をクリックします。利用可能な規則のポップアップ リストが表示されます。

ステップ 2 [File access control] 規則を選択します。この規則タイプの設定ビューが表示されます。

ステップ 3 規則について、次の情報を入力します。

[Description]:この規則の説明を入力します。

この説明は、モジュールのリスト ビューに表示されます。[+Detailed] フィールドを拡張すると長い説明を入力できます。

[Enabled]:このチェックボックスをオンにすると、モジュール内でこの規則がイネーブルになります (デフォルトはイネーブルです)。

このチェックボックスをオフにすると、この規則を保存することはできますが、モジュール内でアクティブにならず、グループにも配布されません。

ステップ 4 [Take the following action] リスト ボックスで、プルダウン リストから [Set] を選択します。

ステップ 5 [Attributes] リスト ボックスで、[Virus scan on CLOSE] または [Virus scan on OPEN] を選択します。これらの設定アトリビュートの説明については、「アトリビュート:Virus scan on CLOSE」または「アトリビュート:Virus scan on OPEN」を参照してください。

ステップ 6 [Value] フィールドで、ファイルに対するウイルスのスキャンを禁止するには、[NOT being required for this file] を選択し、ファイルに対するウイルスのスキャンを要求するには、[Being required for this file] を選択します。

ステップ 7 この規則のロギングをオンにするには、[Log] チェックボックスをイネーブルにします。一般的に、これらの設定規則に対してロギングをオンにする必要はありません。

ステップ 8 [When]

[Applications in any(または all)of the following selected classes]

ここで、1 つまたは複数の事前設定のアプリケーション クラスを選択して、一覧表示されたファイルへのアクセスを制御するアプリケーションを指定します。[application class] リスト ボックスの横の青い [New] リンクをクリックして、新しいアプリケーション クラスを作成することもできます。アプリケーション クラスの設定の詳細については、 第 9 章「アプリケーション クラスの使用方法」 を参照してください。

[Applications in any of the following selected classes] を選択した場合、規則は、選択したアプリケーション クラスのいずれかのメンバーになっているアプリケーションに影響を与えます。

[Applications in all of the following selected classes] を選択した場合、規則は、選択したすべてのアプリケーション クラスのメンバーになっているアプリケーションに影響を与えます。

[But not in the following class]

必要に応じて、[included applications] フィールドで選択したアプリケーション クラスから除外するアプリケーション クラスをここで選択します。デフォルトでは、エントリ <None> が選択されます。[application class] リスト ボックスの横の青い [New] リンクをクリックして、新しいアプリケーション クラスを作成することもできます。


) 規則が設定されていれば、現在選択されているアプリケーション クラスが、リストの上部に表示されます。


ステップ 9 [Attempt the following operations]:この手順では、制御しているアプリケーションが試行するファイル処理を指定します。

Scan on OPEN 規則を作成している場合は、[On any of these files] ボックスで指定したファイルに対して許可または禁止する [Read File] および [Write File] 操作の両方を選択する必要があります。Scan on CLOSE 規則を作成している場合は、[Write File] 操作だけを選択できます。

Scan on OPEN または Scan on CLOSE のいずれに対しても、ディレクトリの「書き込み」処理を選択できます。許可または拒否する書き込みアクションは、 作成 削除 、および 名前の変更です。 「正しい構文の使用方法」でファイルとディレクトリの保護を参照してください。


注意 ディレクトリ保護は、指定されたパスのファイル部分を無視し、パスのディレクトリ部分だけを突き合わせます。ディレクトリ部分が完全に指定されていない場合、保護が非常に広範囲となります。たとえば、拒否規則でディレクトリを保護する場合、**¥Program Files¥**Outlook.exe のようにディレクトリ パスを入力すると、Program Files の下のディレクトリは変更できなくなります。指定した保護の範囲が広すぎるため、システムが不安定となる原因になる場合があります。ディレクトリの保護を選択した場合は、必ずパス文字列で特定し、結果として生じる動作を理解してください。

ステップ 10 [On any of these files]: この手順では、ウイルスをスキャンするファイルを設定します。

[Insert File Set] リンクをクリックして、事前設定のファイルをここに入力します。このリンクをクリックすると、すでに設定されているファイルのリストがここに表示され、1 つまたは複数のデータ セットが選択できます。ファイル セットの代わりに、ファイル パス(ワイルドカードの使用可)によって保護するリテラル ファイルをリストできます。

事前設定のファイル セットを使用するのではなく、ファイル パス リテラルをここに入力する方法の詳細については、「正しい構文の使用方法」を参照してください。

ローカル システム パスの場合は、ディスク ドライブを指定する必要があります。ワイルドカード指定が使用できます。特に、ディレクトリの作成を保護する場合、ディレクトリの作成は完全に一致するディレクトリ パスに適用されますが、ディレクトリの書き込みと名前変更の保護は、パスで明示的に指定されたすべてのディレクトリに適用されます。ディレクトリ名が完全に ¥**¥ でワイルドカード化されている場合、ディレクトリの特定のコンポーネントに対する保護はありません。次の例を参考にしてください。

Windows の場合

*:¥Program Files¥winnt¥*
or @system¥**
(これは、システム ディレクトリの下のすべてのファイルを示します)

ネットワーク マシン(Windows のみ)の場合は、次のように入力します。

¥¥<machine name>¥<share>¥<path>¥<filename>

例: ¥¥Backup_Server¥finance¥records¥database.db

複数のファイル パスを入力できますが、各エントリはそれぞれ独自の行に表す必要があります。ファイル セットの設定の詳細については、 ファイル セットを参照してください。


) 相関電子メール ワーム イベントまたは相関ウイルス スキャン ログ メッセージの結果として CSA MC によって隔離されたファイルまたは管理者によって手動で追加されたファイルすべてを指定するには、[File set text] フィールドで @dynamic を使用します。隔離されたファイルのログを受け取ると、このリストが自動的に(ダイナミックに)更新されます。

ダイナミックに隔離されたファイル リストに追加されたファイルを表示して、ファイルを手動で隔離済みとして追加するには、[Global Event Correlation] ページで [Manage globally quarantined files] リンクをクリックします。詳細については、「ダイナミックに隔離されたファイルと IP アドレスの管理」を参照してください。


 

ステップ 11 [And]:このエリアでは、CSA によって実行される強制アクションを指定します。

[Allow by default] または [Allow if triggered by a rule] を指定すると、他の規則によってアプリケーションが読み取りまたは書き込みを許可されたファイルがスキャンされます。[Terminated] または [Denied by rule] を指定すると、他のアプリケーションが処理を禁止されたファイルがスキャンされます。

ステップ 12 ファイル アクセス制御規則の設定が終わったら、[Save] ボタンをクリックします。

これでこの規則が規則モジュールに新しく追加されました。この規則は、規則モジュールがポリシーに添付され、ポリシーがグループに添付されて、ネットワーク上のエージェントによってダウンロードされたときに有効になります。


) 規則を正しいホストに配布するために、ポリシーをグループに関連付けた後、[Generate rules] を使用します。詳細については、 規則プログラムの生成を参照してください。


ファイルのスキャンに対するアプリケーション制御規則の作成

アプリケーションに対してウイルスのスキャンをトリガーするには、アプリケーション制御規則(APCR)を使用します。一般的に、APCR を使用することによって、アプリケーションにより処理の実行が試みられ、その処理が CSA によって許可または拒否されている場合に、「アプリケーション」に対してウイルスのスキャンをトリガーできます。


) この規則を格納する独自の規則モジュールを作成するには、「規則モジュールの設定」を参照してください。



ステップ 1 モジュールに規則を追加するには、規則モジュール設定ページの [Rules] エリアを展開し、[Add] ボタン をクリックします。 利用可能な規則のポップアップ リストが表示されます。

ステップ 2 [Application Control] 規則を選択します。この規則タイプの設定ビューが表示されます。

ステップ 3 規則について、次の情報を入力します。

[Description]:この規則の説明を入力します。

この説明は、モジュールのリスト ビューに表示されます。[+Detailed] フィールドを拡張すると長い説明を入力できます。

[Enabled]:このチェックボックスをオンにすると、モジュール内でこの規則がイネーブルになります (デフォルトはイネーブルです)。

このチェックボックスをオフにすると、この規則を保存することはできますが、モジュール内でアクティブにならず、グループにも配布されません。

ステップ 4 [Take the following action] リスト ボックスで、プルダウン リストから [Set] を選択します。

ステップ 5 [Attributes] リスト ボックスで、[Virus scan] を選択します。この設定アトリビュートの説明については、「アトリビュート:Virus scan」を参照してください。

ステップ 6 [Value] フィールドで、アプリケーションに対するウイルスのスキャンを禁止するには、[NOT being required for this application] を選択し、アプリケーションに対するウイルスのスキャンを要求するには、[Being required for this application] を選択します。

ステップ 7 この規則のロギングをオンにするには、[Log] チェックボックスをイネーブルにします。一般的に、この設定規則に対してロギングをオンにする必要はありません。


) アプリケーション制御規則からダイナミック アプリケーション クラスを作成することと他の規則タイプから作成することは、少し異なります。この規則には 2 つのアプリケーション クラス フィールドがあるため、現在のアプリケーションをダイナミック クラスに加えるか、または最初のアプリケーションによって呼び出された新規のアプリケーションをダイナミック クラスに加えるかを選択できます。


ステップ 8 [When]: この手順では、スキャンするアプリケーションの実行を試みるアプリケーションを指定します。この手順で指定するアプリケーションはスキャンされません。

[Applications in any(または all)of the following selected classes]

呼び出される方法にかかわらず、システムで実行されているアプリケーションをスキャンする場合は、デフォルトで [All Applications] が選択されたままにします。

どのアプリケーションが他のアプリケーションを呼び出せるかを制御する場合、すでに設定されている 1 つまたは複数のアプリケーション クラスをここで選択して、呼び出しを行うアプリケーションを示します(ネットワーク アプリケーションなど)。

[Applications in any of the following selected classes] を選択した場合、規則は、選択したアプリケーション クラスのいずれかのメンバーになっているアプリケーションに影響を与えます。

[Applications in all of the following selected classes] を選択した場合、規則は、選択したすべてのアプリケーション クラスのメンバーになっているアプリケーションに影響を与えます。

[application class] リスト ボックスの横の青い [New] リンクをクリックして、新しいアプリケーション クラスを作成することもできます。アプリケーション クラスの設定の詳細については、 第 9 章「アプリケーション クラスの使用方法」 を参照してください。

規則が設定されていれば、現在選択されているアプリケーション クラスが、リストの上部に表示されます。詳細については、「スタティックなアプリケーション クラスの設定」を参照してください。

[But not in the following class]:必要に応じて、ここでアプリケーション クラスを選択して、アプリケーション指定フィールドで選択したアプリケーション クラスから除外します。デフォルトでは、エントリ <None> が選択されます。[application class] リスト ボックスの横の青い [New] リンクをクリックして、新しいアプリケーション クラスを作成することもできます。

ステップ 9 [attempt to run]:この手順では、ウイルスをスキャンするアプリケーションを設定します。

[New applications in any of the following selected classes]:[Applications in any(または all)of the following selected classes] フィールドで拒否されたアプリケーションによって実行が試みられている場合に、スキャンするアプリケーションを選択します。

[New applications in any of the following selected classes] を選択した場合、規則は、選択したアプリケーション クラスのいずれかのメンバーになっているアプリケーションを制御します。

[New applications in all of the following selected classes] を選択した場合、規則は、選択したすべてのアプリケーション クラスのメンバーになっているアプリケーションに影響を与えます。

上部のアプリケーション フィールドで [All Applications] を選択した場合、この 2 番目のフィールドで [All Applications] を選択すると、アプリケーションが何らかのファイルまたはアプリケーションを起動したときに、すべてのファイルまたはアプリケーションがスキャンされます。これにより、ホストのパフォーマンスが大幅に低下します。

[But not in the following class]:必要に応じて、ここでアプリケーション クラスを選択して、アプリケーション指定フィールドで選択したアプリケーション クラスから除外します。デフォルトでは、エントリ <None> が選択されます。


) ほとんどのダイナミック アプリケーション クラスは、この 2 番目のアプリケーション クラス包含フィールドでは選択できません。


ステップ 10 [And]:このエリアでは、CSA によって実行される強制アクションを指定します。

[Allow by default] または [Allow if triggered by a rule] を指定すると、他の規則によって実行が許可されたアプリケーションがスキャンされます。[Terminated] または [Denied by rule] を指定すると、他の規則によって実行が禁止されたアプリケーションがスキャンされます。

ステップ 11 アプリケーション制御規則の設定が終わったら、[Save] ボタンをクリックします。これでこの規則が規則モジュールに新しく追加されました。この規則は、規則モジュールがポリシーに添付され、ポリシーがグループに添付されて、ネットワーク上のエージェントによってダウンロードされたときに有効になります。

感染したファイルを参照するファイル セットの作成

ファイル アクセス制御規則およびアプリケーション クラスで使用するファイル セットを設定します。ファイル セットは、個別のファイルとディレクトリを 1 つの共通名の下にグループ化したものです。この名前はディレクトリとファイルの許可および制限を制御する規則で使用されます。この名前の下にあるすべてのパラメータは、この名前を使用するすべての規則に適用されます。

アンチウイルス機能の場合、ファイル セットは、FACL によってウイルスがスキャンされるファイルを定義します。このリリースではデフォルトで提供される File Content - Virus - All signatures ファイル セットは、ウイルスを含んでいるとしてタグが付けられたディレクトリ内のすべてのファイルを表します。特定のウイルスを表すファイル セットを作成する場合は、次の手順に従ってください。


ステップ 1 メニューバーの [Configuration] ドロップダウン リストで [Variables] をマウスでポイントし、[File Sets] を選択します。

ステップ 2 新しいファイル セットを作成するには、[New] ボタンをクリックします。

ステップ 3 管理者アカウントに対してオペレーティング システム プリファレンスを設定していない場合は、ポップアップ ウィンドウで、[Windows] をクリックします。管理者アカウントに対してオペレーティング システム プリファレンスを設定した場合は、そのオペレーティング システムに対して新しいファイル セットが自動的に作成されます。ファイル セット設定ビューが表示されます(図 8-3 を参照)。

ステップ 4 次の編集フィールドに情報を入力します(「正しい構文の使用方法」を参照。各フィールドの横にあるクィック へルプの疑問符をクリックすると、構文の説明が表示されます)。

[Name]:このファイル セットの一意名です。一般的に、対応する規則設定のフィールドに入力しやすいファイル セット名を使用してください。ファイル アクセス規則、ネットワーク アクセス規則、アプリケーション クラスで設定変数を使用する場合は、変数名の前にドル記号を指定する必要があります。

たとえば、cgi_files というファイル セット変数がある場合、この変数を使用する編集フィールドには $cgi_files と入力する必要があります。ドル記号によって、これが変数値であることを CSA MC に通知します。

[Description]:このファイル セット設定を説明するテキストであり、リスト ビューに表示されます。

[OS]:必要に応じて、[OS] リスト ボックスから特定の Windows オペレーティング システムを選択して、より限定的なオペレーティング システムを対象とすることができます。

ステップ 5 [Directories matching]:制限を適用するディレクトリとファイルを入力します(1 行につき 1 つ)。

デフォルトでは <all>(すべてのディレクトリ)が指定されています。フィールド内をクリックすると、<all> が消えて任意のディレクトリ制限を入力できます。ディレクトリ制限を入力する場合は、次の構文を使用します。

Windows の例:

c:¥Program Files¥**¥*SQL*¥bin¥**
¥Program Files¥**¥*SQL*¥bin

) ディレクトリ パスおよびファイルの保護の詳細については、「正しい構文の使用方法」を参照してください。


ステップ 6 [but not]:[Directories matching] フィールドに入力したファイルとディレクトリの例外を作成します。次の例を参考にしてください。

Windows の例:

c:¥Program Files¥**¥*SQL*¥bin¥temp

注意 上記のように例外を入力することは、bin フォルダ内のどの temp ファイルも、このファイル セットを使用して適用する制限では無視されることを意味します。また、除外されたディレクトリ「temp」にアクセスするときに、[Directories matching] フィールドで保護しているパスが保護されないことも意味します。

デフォルトでは、例外がないことを示す <none> が指定されています。フィールド内をクリックすると、<none> が消えて任意の例外を入力できます。

ステップ 7 [Files Matching]:アクセスを制御するファイルの名前を入力します。

特定のファイル タイプのすべてを表すワイルドカードを使用できます。たとえば、 *.exe は、すべての実行可能ファイルを表します。

デフォルトでは <all>(すべてのファイル)が指定されています。フィールド内をクリックすると、<all> が消えて任意のファイル制限を入力できます。

ステップ 8 [but not]:[Files Matching] フィールドに入力したファイル名に対して例外を作成します。たとえば、すべての実行可能ファイルの制限に対して例外 regedit.exe を指定します。

デフォルトでは、例外がないことを示す <none> が指定されています。フィールド内をクリックすると、<none> が消えて任意の例外を入力できます。


) CSA MC によって隔離されたファイルをすべて示すには、[File set text] フィールドで @dynamic を使用します。隔離されたファイルのログを受け取ると、このリストが自動的に(ダイナミックに)更新されます。


ダイナミックに隔離されたファイル リストに追加されたファイルを表示して、ファイルを手動で隔離済みとして追加するには、[Global Event Correlation] ページで [Manage dynamically quarantined files] リンクをクリックします。詳細については、「ダイナミックに隔離されたファイルと IP アドレスの管理」を参照してください。

ステップ 9 [Content matching]:[Content matching] フィールドでは、すべて同じアンチウイルス タグが付いているファイルのセットを記述できます。各アンチウイルス タグのエントリは、[Content matching] ボックスの独自の行に配置し、「正しい構文の使用方法」で説明した @virusscan トークンの構文に従う必要があります。

a. [Content matching] 編集フィールドの横にある [Insert content] リンクをクリックします。[File Content Selector] ポップアップ ウィンドウが開きます。

b. [Scan type] フィールドで、[Virus scanning] を選択します。

c. [Tag] フィールドにウイルス タグ名を入力し、[OK] をクリックします。

必要に応じて、[Content matching] フィールドの編集ボックスをクリックすることにより、このフィールドを直接編集することもできます。デフォルトでは、例外がないことを示す <none> が指定されています。このフィールド内をクリックすると、<none> が消えて、独自の例外を入力できます。「正しい構文の使用方法」で説明した @virusscan トークンの構文ガイドラインに従ってください。

d. すべてのウイルス スキャン タグを追加したら、[File Content Selector] ポップアップ ボックスを閉じます。

ステップ 10 必要な情報をすべて入力し、[Save] ボタンをクリックしてファイル セットを CSA MC データベースに保存します。

これで、アプリケーション クラス ファイルを入力するフィールドとファイル アクセス制御規則ファイルを入力するフィールドの [Insert File Set] リンクをクリックすると、このファイル セット名が入ります。


) 各変数ページの先頭に [View change history] リンクがあります。このリンクをクリックすると、該当する項目に対して実行されたすべての変更をリストアップするページが表示されます。この [View change history] リンクは、アプリケーション クラス、ポリシー、規則についても利用できます。


動作ベースのアンチウイルス ポリシーの設定

デスクトップとサーバに対する AntiVirus - Behavior based を構成する規則モジュール内の規則は複雑であり、多くの相互依存性があります。独自の動作ベースのアンチウイルス規則およびコンポーネントを作成する代わりに、このリリースで提供されている AntiVirus - Behavior based ポリシーを導入することを強く推奨します。

このポリシーでは、導入前に必要な設定は最小限ですみます。ポリシーを設定するには、次の手順に従ってください。


ステップ 1 設定特権を持つユーザとして CSA MC にログインします。

ステップ 2 [Configuration] メニューの [Host Security] を選択します。

ステップ 3 ポリシーを導入するグループを展開します。

ステップ 4 AntiVirus - Behavior based ポリシーのボックスをオンにします。

ステップ 5 ポリシー名の次の赤い [warning] リンクをクリックします。

ステップ 6 設定する必要がある規則のリンクをクリックし、設定後に各規則を保存します。規則の設定に関してヘルプが必要な場合は、設定が必要なフィールドの横にあるヘルプ アイコンをクリックします。

ステップ 7 規則を生成します。ユーザは、次にポーリングを実行したとき、またはグループのエージェント キットをダウンロードしたときに、更新されたポリシーを受け取ります。

エンドユーザのアンチウイルス タスク

エンドユーザは、アンチウイルス機能に対して一部のローカル制御権を持っています。ユーザは、そのホストがアンチウイルス ポリシーで保護されている場合、次のタスクを実行できます。

オンデマンド ウイルス スキャンを開始する。

ファイルの隔離ステータスを変更する。

隔離されたファイルを削除する。

アンチウイルス シグニチャを強制的に更新する。

ユーザがこれらのタスクを実行する方法の詳細については、「アンチウイルスによる保護」を参照してください。ユーザは、エージェント ユーザ インターフェイスの [Tasks] パネルで アンチウイルス アイコンをクリックしてから、ヘルプ アイコンをクリックすることにより、これらの手順を表示することもできます。