検出した不正プログラムの確認と復元

検出ファイルとは、不正プログラムであるか不正プログラムを含むことが検出されたため、暗号化されて特殊なフォルダに移されたファイルのことです (不正プログラム修復処理をカスタマイズするの「隔離」処理を参照)。感染ファイルが検出されるかどうかは、ファイルを検索した時点における不正プログラム対策の検索設定によって異なります。

不正プログラム検出時に生成されるイベントの詳細については、不正プログラム対策イベントを参照してください。

検出ファイルのリストを参照する

[イベントとレポート] 画面に検出ファイルのリストが表示されます。ここで、検出ファイルの詳細を確認できます。

  1. [イベントとレポート][イベント][不正プログラム対策イベント][検出ファイル] の順にクリックします。
  2. ファイルの詳細を確認するには、ファイルを選択して [表示] をクリックします。

検出ファイルのリストには、次の情報が表示されます。

  • 感染ファイル: 感染ファイルの名前と特定のセキュリティ上のリスクを表示します。
  • 不正プログラム: 感染した不正プログラムを表示します。
  • コンピュータ: 感染の疑いがあるコンピュータ名を表示します。

[詳細] 画面には次の情報が表示されます。

  • 検出時刻: 感染コンピュータで感染が検出された日時。
  • 感染ファイル: 感染ファイルの名前。
  • ファイルのSHA-1: ファイルのSHA-1ハッシュ。
  • 不正プログラム: 検出された不正プログラムの名前。
  • 検索の種類: 不正プログラムを検出した検索の種類 (リアルタイム検索、予約検索、または手動検索のいずれか)。
  • 実行された処理: 不正プログラムが検出されたときにDeep Securityが実行した処理の結果。
  • コンピュータ: このファイルが検出されたコンピュータ (コンピュータが削除されている場合、このエントリは「不明コンピュータ」と表示されます)。
  • コンテナ名: 不正プログラムが検出されたDockerコンテナの名前。
  • コンテナID: 不正プログラムが検出されたDockerコンテナのID。
  • コンテナイメージ名: 不正プログラムが検出されたDockerコンテナのイメージ名。

検出ファイルを処理する

[検出ファイル] 画面では、検出ファイルに関連するタスクを管理できます。メニューバーまたは右クリックのコンテキストメニューで、次のことを実行できます。

  • 復元 検出ファイルのみを元の場所および状態に復元する。
  • ダウンロード 検出ファイルをコンピュータまたはVirtual Applianceから任意の場所に移動する。
  • 分析 検出ファイルをコンピュータまたはVirtual Applianceから任意の場所に分析する。
  • 削除 1つ以上の検出ファイルをコンピュータまたはVirtual Applianceから削除する。
  • エクスポート 検出ファイルの情報 (ファイル自体ではない) をCSVファイルにエクスポートする。
  • 検出ファイルの詳細を表示 () する。
  • 不正プログラムが検出されたコンピュータの [コンピュータの詳細] () 画面を表示する。
  • 不正プログラム対策イベントの表示 この検出ファイルに関連する不正プログラム対策イベントを表示する。
  • 列の追加/削除 [追加]/[削除] をクリックして列を追加または削除する。
  • 特定の検出ファイルを検索 する。
検出ファイルは、次の条件のうちいずれかを満たした場合にVirtual Applianceから自動的に削除されます。
  • 保護対象の仮想マシンがvMotionによって他のESXiホストに移動したときに、その保護対象の仮想マシンに関連付けられている検出ファイルをVirtual Applianceから削除。
  • 保護対象の仮想マシンがDeep Security Managerから無効化されたときに、その保護対象の仮想マシンに関連付けられている検出ファイルをVirtual Applianceから削除。
  • Virtual ApplianceがDeep Security Managerから無効化されたときに、そのVirtual Applianceに保存されているすべての検出ファイルを削除。
  • Virtual ApplianceがvCenterから削除されたときに、そのVirtual Applianceに保存されているすべての検出ファイルも削除。

検出ファイルを検索する

  • [期間] ドロップダウンメニューを使用すると、特定の期間内で検出されたファイルのみを表示できます。
  • [コンピュータ] ドロップダウンメニューを使用すると、コンピュータグループまたはコンピュータポリシー別にファイルを表示できます。
  • [このページを検索]→[詳細検索を開く] をクリックすると、詳細検索オプションの表示を切り替えることができます。

検出ファイルのフィルタリングオプション

詳細検索には、検出ファイルのフィルタリングに使用する検索条件が1つ以上含まれます。各条件は、次の項目から構成される論理文になります。

  • ファイルの種類 (感染ファイルまたは不正プログラム) や感染したコンピュータなど、フィルタ対象の検出ファイルの特性
  • 演算子:
    • 次の文字列を含む: 選択した列の入力内容に検索文字列が含まれる。
    • 次の文字列を含まない: 選択した列の入力内容に検索文字列が含まれない。
    • 等しい: 選択した列の入力内容と検索文字列が完全に一致する。
    • 次の文字列に等しくない: 選択した列の入力内容が検索文字列と一致しない。
    • 次のリストに含まれる: 選択した列の入力内容がカンマ区切りで入力された検索文字列1つと完全に一致する。
    • 次のリストに含まれない: 選択した列の入力内容がカンマ区切りで入力されたどの検索文字列とも一致しない。

条件を追加するには、最上部の条件の右側にある「プラス」ボタン (+) をクリックします。検索するには、検索ボタン (環状矢印) をクリックします。

検索では大文字と小文字は区別されません。

検出ファイルを復元する

ファイルの検索除外を作成する

ファイルをその元の場所に復元する前に、検索除外を作成して、そのファイルがコンピュータに復元されたときにDeep Securityによってただちに再隔離されないようにする必要があります。

以下の手順は個々のコンピュータ上でファイルの検索除外を作成する方法を示していますが、同じ設定変更をポリシーレベルで行うこともできます。
  1. [コンピュータ] 画面を開き、[不正プログラム対策]→[検出ファイル] に進み、検出ファイルをクリックしてそのプロパティを表示します。
  2. ファイルの正確な名前と元の場所を書き留めます。
  3. [コンピュータ] 画面を表示したまま、[不正プログラム対策]→[一般] に進み、有効になっている各不正プログラム検索の横にある [編集] ボタンをクリックし、[不正プログラム検索設定] プロパティ画面を開きます。
  4. [不正プログラム検索設定] プロパティ画面で、[検索除外] タブをクリックします。
  5. [検索除外] エリアで、[ファイルリスト] を選択します。次に、 [編集] をクリック (ファイルリストがすでに選択されている場合) するか、メニューから[新規] を選択します (新しいファイルリストを作成する場合)。
  6. [ファイルリスト] プロパティ画面で、復元するファイルのパスと名前を入力します。[OK] をクリックして [ファイルリスト] プロパティ画面を閉じます。
  7. [OK] をクリックして [不正プログラム検索設定] プロパティ画面を閉じます。
  8. すべての [不正プログラム検索設定] の編集が終わった後、[コンピュータ] 画面で [保存] をクリックし、変更を保存します。これでファイルを復元する準備ができました。

ファイルを復元する

  1. [コンピュータ] 画面を表示したまま、[不正プログラム対策]→[検出ファイル] タブに進みます。
  2. 検出ファイルを右クリックして [処理]→[復元] を選択し、ウィザードの手順に従います。

これでファイルが元の場所に復元されます。

検出ファイルを手動で復元する

検出ファイルを手動で復元するには、この検出ファイルをコンピュータにダウンロードします。[検出ファイル] ウィザードに、管理ユーティリティへのリンクが表示されます。このユーティリティを使用して、ファイルの復号、検査、および復元を行うことができます。検出ファイル復号ユーティリティを使用してファイルを復号し、元の場所に戻します。

復号ユーティリティは、Deep Security Managerのルートディレクトリの下の「util」フォルダにあるzipファイル (QFAdminUtil_win32.zip) 内にあります。圧縮ファイルには、同じ機能を持つ2つのユーティリティが含まれています。QDecrypt.exeQDecrypt.comです。QDecrypt.exeを実行するとファイルを開く画面が呼び出され、復号するファイルを選択できます。QDecrypt.comは次のオプションを持つコマンドラインユーティリティです。

  • /h, --help: このヘルプメッセージを表示
  • --verbose: 詳細なログメッセージを生成
  • /i, --in=<str>:復号する検出ファイル。<str> は検出ファイルの名前です。
  • /o, --out=<str>:復号したファイルの出力。<str> は復号されたファイルに付けられる名前です。
このユーティリティはWindows 32ビットシステムでのみ使用できます。