AMCの「インシデント管理」-「マルウェア情報」から、手動で過検出判定依頼を行った場合に、該当のメッセージ「選択された検出から過検出判定対象外のX件の検出を判定対象から除きました。」が表示される場合は、下記①~③のいずれかに当てはまります。
※自動で過検出判定依頼を行っている場合でも、②~③と同様の条件で、過検出判定システムの対象外なります。
①選択したマルウェアの「過検出判定状況」が、「例外リスト登録済み」か「検体アップロード待ち」か「判定完了」の状態
※「判定完了」はAMC v3.1.3以降が対応
②選択したマルウェアの「駆除状況」が「駆除不要」か「既に駆除されている」の状態
※本状態については、後述の「注意」も参考にしてください。
③選択したマルウェアの「ハッシュ値(SHA-256)」が空欄の状態
該当のマルウェアが上記の①~③いずれかの条件に当てはまっていなかったかをご確認ください。
上記①のような検出の再判定や、②~③のような検出の判定を行いたい場合は、通常通り、購入いただいた販売店を経由して判定依頼を出していただく形となります。過検出判定システムの詳細については、以下の参考FAQも参照してください。
⚠ 注意
上記②のような「駆除不要」か「既に駆除されている」の検出については、検出したファイルパスは以下のような「攻撃」に利用されただけであり、この状態の検出パス(ハッシュ値)は過検出判定システムの自動解析の対象となりません。本検出の判定と過検出抑制は、別途手動での対応が必要となります。
詳細については、AMCのオペレーションマニュアルも参照してください。
・駆除不要
主に、脆弱性攻撃をZDPエンジンにて検出した場合に、この状態となります。
・既に駆除されている
主に、PowerShell等の正常なスクリプト等が悪用されたファイルレスマルウェア攻撃の検出の場合に、この状態となります。