本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。

検出した不正プログラムの確認と復元

特定されたファイルとは、不正プログラムまたは不正プログラムを含むことが検出されたため、暗号化され、保護対象コンピュータの特別なフォルダに移動されたファイルです。感染ファイルを表示および復元できるかどうかは、不正プログラム対策の設定とファイルが検出されたオペレーティングシステムによって異なります。

このページのトピック:

不正プログラム検出時に生成されるイベントの詳細については、不正プログラム対策イベントを参照してください。

検出ファイルのリストを参照する

[イベントとレポート] 画面には、特定されたファイルのリストが表示されます。そこから、これらのファイルの詳細を確認できます。

  1. [イベントとレポート] →[イベント]→[不正プログラム対策イベント] →[検出ファイル] の順にクリックします。
  2. ファイルの詳細を確認するには、ファイルを選択して [表示] をクリックします。

検出ファイルのリストには、次の情報が表示されます。

  • 感染ファイル: 感染ファイルの名前と特定のセキュリティ上のリスクを表示します。
  • 不正プログラム: 感染した不正プログラムを表示します。
  • コンピュータ: 感染の疑いがあるコンピュータ名を表示します。
  • ファイルステータス:ファイルをダウンロードする準備ができているかどうかを示します。

[詳細] 画面には次の情報が表示されます。

  • 検出時刻: 感染コンピュータで感染が検出された日時。
  • 感染ファイル: 感染ファイルの名前。
  • ファイルのSHA-1: ファイルのSHA-1ハッシュ。
  • 不正プログラム: 検出された不正プログラムの名前。
  • 検索の種類: 不正プログラムを検出した検索の種類 (リアルタイム検索、予約検索、または手動検索のいずれか)。
  • 実行された処理: 不正プログラムが検出されたときにDeep Securityが実行した処理の結果。
  • コンピュータ: このファイルが検出されたコンピュータ(コンピュータが削除されている場合、このエントリは「不明コンピュータ」と表示されます)。
  • コンテナ名: 不正プログラムが検出されたDockerコンテナの名前。
  • コンテナID: 不正プログラムが検出されたDockerコンテナのID。
  • コンテナイメージ名: 不正プログラムが検出されたDockerコンテナのイメージ名。

検出ファイルを処理する

[識別されたファイル]ページでは、識別されたファイルに関連するタスクを管理できます。メニューバーまたはコンテキストメニューを使用して、次の操作を実行できます。

  • 特定されたファイルを元の場所と状態に復元します。ホストがAgent/Applianceからの通信を使用している場合は、この処理を実行できないことに注意してください。
  • ダウンロード 検出ファイルをコンピュータまたはVirtual Applianceから任意の場所にダウンロードする。ファイルをダウンロードするには:
    1. ダウンロードするファイルを選択します。
    2. ダウンロード>ダウンロードのリクエストに移動します。 ファイルステータス 列は、ダウンロードが保留中であることを示します。
    3. ファイルのダウンロード準備が完了すると、 [ファイルのステータス] 列が [ダウンロードの準備完了] に変わり、システムイベント [検出ファイルのダウンロードの準備完了] が表示されます。
    4. ダウンロードする準備ができている識別されたファイルを選択します。
    5. ダウンロード>ダウンロードに移動します。
    6. ファイルをダウンロードする準備ができたら、24時間以内にファイルを選択した場所にダウンロードできます。

  • 分析 コンピュータまたはVirtual Applianceからの検出ファイルを分析する。
  • 特定された1つ以上のファイルをコンピュータまたはVirtual Applianceから削除します。ホストがAgent/Applianceからの通信を使用している場合は、この処理を実行できないことに注意してください。
  • 特定されたファイル (ファイル自体ではありません) に関する情報をCSVファイルにエクスポートします。
  • 表示 検出ファイルの詳細を表示する。
  • コンピュータの詳細 不正プログラムが検出されたコンピュータの画面を表示する。
  • 不正プログラム対策イベントの表示 この検出ファイルに関連する不正プログラム対策イベントを表示する。
  • 列の追加/削除 [追加]/[削除] をクリックして列を追加または削除する。
  • 検索 特定の検出ファイルを検索する。

検出されたファイルは、次の場合にDeep Security Virtual Applianceから自動的に削除されます。

  • 仮想マシンがvMotionによって別のESXiホストに移動されました。その仮想マシンに関連付けられている特定のファイルが仮想アプライアンスから削除されます。
  • Deep Security Managerから仮想マシンが非アクティブ化されました。その仮想マシンに関連付けられている特定のファイルが仮想アプライアンスから削除されます。
  • Deep Security Virtual ApplianceがDeep Security Managerから無効化されています。その仮想アプライアンスに保存されている特定されたファイルがすべて削除されます。
  • Deep Security Virtual ApplianceがvCenterから削除されます。その仮想アプライアンスに保存されている、識別されたすべてのファイルが削除されます。

検出ファイルを検索する

  • [期間] ドロップダウンメニューを使用すると、特定の期間内で検出されたファイルのみを表示できます。
  • [コンピュータ] ドロップダウンメニューを使用すると、コンピュータグループまたはコンピュータポリシー別にファイルを表示できます。
  • [このページを検索]→[詳細検索を開く] をクリックすると、詳細検索オプションの表示を切り替えることができます。

検出ファイルのフィルタリングオプション

詳細検索には、検出ファイルのフィルタリングに使用する検索条件が1つ以上含まれます。各条件は、次の項目から構成される論理文になります。

  • ファイルの種類 (感染ファイルまたは不正プログラム) や感染したコンピュータなど、フィルタ対象の検出ファイルの特性
  • 演算子:
    • 次の文字列を含む: 選択した列の入力内容に検索文字列が含まれる。
    • 次の文字列を含まない: 選択した列の入力内容に検索文字列が含まれない。
    • 次の文字列に等しい: 選択した列の入力内容と検索文字列が完全に一致する。
    • 次の文字列に等しくない: 選択した列の入力内容が検索文字列と一致しない。
    • 次のリストに含まれる: 選択した列の入力内容がカンマ区切りで入力された検索文字列1つと完全に一致する。
    • 次のリストに含まれない: 選択した列の入力内容がカンマ区切りで入力されたどの検索文字列とも一致しない。

条件を追加するには、最上部の条件の右側にある「プラス」ボタン (+) をクリックします。検索するには、検索ボタン (環状矢印) をクリックします。

検索では大文字と小文字は区別されません。

検出ファイルを復元する

ファイルの検索除外を作成する

ファイルを元の場所に復元する前に、検索除外を作成して、そのファイルがコンピュータに復元されたときにDeep Securityによってただちに再検出されないようにする必要があります。

以下の手順は個々のコンピュータ上でファイルの検索除外を作成する方法を示していますが、同じ設定変更をポリシーレベルで行うこともできます。
  1. [コンピュータ] 画面を開き、[不正プログラム対策]→[検出ファイル] に進み、検出ファイルをダブルクリックしてそのプロパティを表示します。
  2. ファイルの正確な名前と元の場所を書き留めます。
  3. [コンピュータ] 画面を表示したまま、[不正プログラム対策]→[一般] に進み、有効になっている各不正プログラム検索の横にある [編集] ボタンをクリックし、[不正プログラム検索設定] プロパティ画面を開きます。
  4. [不正プログラム検索設定] プロパティ画面で、[検索除外] タブをクリックします。
  5. [検索除外] エリアで、[ファイルリスト] を選択します。次に、 [編集] をクリック (ファイルリストがすでに選択されている場合) するか、メニューから[新規] を選択します (新しいファイルリストを作成する場合)。
  6. [ファイルリスト] プロパティ画面で、復元するファイルのパスと名前を入力します。[OK] をクリックして [ファイルリスト] プロパティ画面を閉じます。
  7. [OK] をクリックして [不正プログラム検索設定] プロパティ画面を閉じます。
  8. すべての [不正プログラム検索設定] の編集が終わった後、[コンピュータ] 画面で [保存] をクリックし、変更を保存します。これでファイルを復元する準備ができました。

ファイルを復元する

  1. [コンピュータ] 画面を表示したまま、[不正プログラム対策]→[検出ファイル] タブに進みます。
  2. 検出ファイルを右クリックして [処理]→[復元] を選択し、ウィザードの手順に従います。

これでファイルが元の場所に復元されます。

検出ファイルを手動で復元する

検出ファイルを手動で復元するには、そのファイルをコンピュータにダウンロードします。[検出ファイル] ウィザードに、管理ユーティリティへのリンクが表示されます。このユーティリティを使用して、ファイルの復号、検査、および復元を行うことができます。検出ファイル復号ユーティリティを使用してファイルを復号し、元の場所に戻します。

復号ユーティリティは、 a zipファイル QFAdminUtil_win32.zip内にあります。このファイルは、 Deep Security Managerのルートディレクトリにある「util」フォルダにあります。圧縮ファイルには、同じ機能を持つ2つのユーティリティが含まれています。QDecrypt.exeQDecrypt.comです。QDecrypt.exeを実行するとファイルを開く画面が呼び出され、復号するファイルを選択できます。QDecrypt.comは次のオプションを持つコマンドラインユーティリティです。

  • /h, --help: このヘルプメッセージを表示
  • --verbose: 詳細なログメッセージを生成
  • /i, --in=<str>:復号する検出ファイル。<str>は検出ファイルの名前です。
  • /o, --out=<str>:復号したファイルの出力。<str>は復号されたファイルに付けられる名前です。
このユーティリティは、Windows 32ビットシステムおよびWindows 64ビットシステムでサポートされています。