検出ファイル

ここでは、検出ファイルに関連する操作について説明します。イベントに関する全般的なベストプラクティスについては、Deep Securityのイベントを参照してください。

検出ファイルのリストを確認するには、[イベントとレポート][イベント][不正プログラム対策イベント][検出ファイル] に移動します。

検出ファイルとは、不正プログラムであるか不正プログラムを含むことが検出されたため、暗号化されて特殊なフォルダに移されたファイルのことです(「隔離」は、不正プログラム検索設定の作成時に指定できる検索処理の1つです)。検出されて隔離されたファイルは、暗号化および圧縮して管理コンソールから取得することができます。感染ファイルが隔離されるかどうかは、ファイルを検索した時点における不正プログラム対策の検索設定によって異なります。

検出ファイルがコンピュータにダウンロードされると、検出ファイルウィザードに管理ユーティリティへのリンクが表示されます。このリンクは、ファイルの復号、検査、または復元に使用できます。

検出ファイルを格納するためのディスクの使用量を制限することができます。この上限は、ポリシーまたはコンピュータエディタの [不正プログラム対策]→[詳細]→[検出ファイル] で設定できます。検出ファイルを保管するための十分な空き領域がない場合は、アラートが発令されます。

Deep Security Virtual Applianceを使用して仮想マシンを保護している場合は、Agentレス仮想マシンからのすべての検出ファイルがVirtual Applianceに格納されます。そのため、Virtual Appliance上で検出ファイル用のディスク容量を増やす必要があります。

検出ファイルは、次の条件のうちいずれかを満たした場合にVirtual Applianceから自動的に削除されます。

  • 仮想マシンがvMotionによって他のESXiホストに移動された場合、その仮想マシンに関連付けられている検出ファイルをVirtual Applianceから削除します。
  • 保護対象の仮想マシンがDeep Security Managerから無効化された場合、その保護対象の仮想マシンに関連付けられている検出ファイルをVirtual Applianceから削除します。
  • Virtual ApplianceがDeep Security Managerから無効化された場合に、そのVirtual Applianceに保存されているすべての検出ファイルを削除。
  • Virtual ApplianceがvCenterから削除された場合に、そのVirtual Applianceに保存されているすべての検出ファイルも削除。

[検出ファイル] 画面では、検出ファイル関連のタスクを管理できます。メニューバーまたは右クリックのコンテキストメニューで、次のことを実行できます。

  • 復元 隔離ファイルのみを元の場所および状態に復元する。
  • ダウンロード 検出ファイルをコンピュータまたはVirtual Applianceから任意の場所にダウンロードする。
  • 分析 検出ファイルをコンピュータまたはVirtual Applianceから任意の場所に分析する。
  • 削除 1つ以上の検出ファイルをコンピュータまたはVirtual Applianceから削除する。
  • エクスポート 検出ファイルの情報 (ファイル自体ではない) をCSVファイルにエクスポートする。
  • 表示 検出ファイルの詳細を表示する。
  • コンピュータの詳細 不正プログラムが検出されたコンピュータの画面を表示する。
  • 不正プログラム対策イベントの表示 この検出ファイルに関連する不正プログラム対策イベントを表示する。
  • 列の追加/削除 [追加]/[削除] をクリックして列を追加または削除する。
  • 検索 特定の検出ファイルを検索する。

詳細

検出ファイルの [詳細] 画面には、ファイルに関する詳細情報が表示されます。この画面を使用して、検出ファイルをコンピュータ上にダウンロードすることも、現在の場所から削除することもできます。

  • 時刻: 感染が検出された日時 (感染コンピュータでの日時)。
  • 感染ファイル: 感染ファイルの名前。
  • 不正プログラム: 検出された不正プログラムの名前。
  • 検索の種類: リアルタイム検索、予約検索、または手動検索の、どの検索の種類によって不正プログラムが検出されたかを示します。
  • 実行された処理: 不正プログラムが検出されたときにDeep Securityが実行した処理の結果。
  • コンピュータ: このファイルが検出されたコンピュータ(コンピュータが削除されている場合、このエントリは「不明コンピュータ」と表示されます)。

リストをフィルタし、検出ファイルを検索する

[期間] ツールバーでリストをフィルタし、特定の期間内に検出したファイルだけを表示できます。

[コンピュータ] ツールバーで、コンピュータグループ別またはコンピュータポリシー別に検出ファイルエントリの表示を整理できます。

[検索] メニューから [詳細検索を開く] を選択すると、次の詳細検索オプションが表示されます。

詳細検索機能 (大文字/小文字の区別なし):

  • 次の文字列を含む: 選択した列の入力内容に検索文字列が含まれる。
  • 次の文字列を含まない: 選択した列の入力内容に検索文字列が含まれない。
  • 等しい: 選択した列の入力内容と検索文字列が完全に一致する。
  • 等しくない: 選択した列の入力内容が検索文字列と一致しない。
  • 次のリストに含まれる: 選択した列の入力内容がカンマ区切りで入力された検索文字列1つと完全に一致する。
  • 次のリストに含まれない: 選択した列の入力内容がカンマ区切りで入力されたどの検索文字列とも一致しない。

検索バーの右側にある「プラス」ボタン (+) をクリックすると、追加の検索バーが表示され、検索に複数のパラメータを適用できます。準備が整ったら、送信ボタン (ツールバーの右側にある上部に右矢印の付いたボタン) をクリックします。

  • 感染ファイル: 検出ファイルの名前と特定のセキュリティ上の危険を表示します。
  • 不正プログラム: 感染した不正プログラムを表示します。
  • コンピュータ: 感染の疑いがあるコンピュータ名を示します。

検出ファイルを手動で復元する

検出ファイルを手動で復元するためには、検出ファイル復号ユーティリティを使用してファイルを復号し、元の場所に戻す必要があります。復号ユーティリティは、Deep Security Managerのルートディレクトリの下の「util」フォルダにあるzipファイル (QFAdminUtil_win32.zip) 内にあります。圧縮ファイルには、同じ機能を持つ2つのユーティリティが含まれています。QDecrypt.exeQDecrypt.comです。QDecrypt.exeを実行するとファイルを開く画面が呼び出され、復号するファイルを選択できます。QDecrypt.comは次のオプションを持つコマンドラインユーティリティです。

  • /h, --help: このヘルプメッセージを表示
  • --verbose: 詳細なログメッセージを生成
  • /i, --in=<str>:復号する検出ファイル。<str>は検出ファイルの名前です。
  • /o, --out=<str>:復号したファイルの出力。<str>は復号されたファイルに付けられる名前です。
このユーティリティはWindows 32ビットシステムでのみ使用できます。