目次
はじめに(検体自動判定システム/過検出判定システムとは)
重要な注意事項
システム概要
ステータスの流れ
利用の流れ
1.検体収集設定
2.検体収集設定のポリシー配布
3.判定システム設定
4.テストマルウェアの検出
5.テストマルウェア情報の確認
6.判定依頼の送信(手動)
7.ステータスの確認
8.例外リスト登録の確認
9.判定依頼を自動実行へ変更
一次判定と二次判定の違い
クラウド連携機能との違い
はじめに(検体自動判定システム/過検出判定システムとは)
yaraiで検知したファイルについて、検知状況によっては過検知の判定を行いたい場合があります。そういった場合に、AMC(管理コンソール)から弊社クラウドサーバーへ判定依頼を出すことが可能です。以下が本機能のポイントとなります。
- ユーザー様から弊社に直接(※)判定依頼を出し、判定結果を受け取ることが可能です。
- 判定依頼は自動でも手動でも可能です。そのため、必要な検体ファイルとログのみ判定依頼を出すような運用も可能です。
- ユーザー様側のセキュリティポリシーなどにより検体ファイルとログを送信することが難しい場合、ハッシュ値による簡易判定依頼を出すことも可能です。
- 過検出であると判定された場合、自動で例外リストに登録・配布することも可能です。
- 判定依頼に必要な必要な情報(ハッシュ値、検体ファイル、ログなど)は自動取得されるため、ユーザー様側での操作は不要です。
(※)本機能を利用しない場合は、購入いただいた販売店を経由して判定依頼を出していただく形となります。その問い合わせや送付物の準備などにかかる時間を踏まえると、通常は本機能を利用した方が、より早くユーザー様に判定結果が届くと考えられますため、本機能の利用を推奨します。
重要な注意事項
‼ 重要な注意事項
- 本機能を利用するためには、有効なライセンスが登録されている必要があります。
- AMCから弊社クラウドサーバーへインターネット通信が必要となります。詳細については「AMCにて許可しておく必要のある外部通信について教えてください」を参照してください。
- 本機能利用時における、弊社で取得した情報の取り扱いについては、本機能の設定画面またはAMCのオペレーションマニュアルに記載の「情報収集ポリシー」を参照してください。
- 弊社へ検体ファイルとログを送信していただき、その時点で未解析だった場合は、弊社側で解析を行います。検体ファイルとログの解析はベストエフォートで実施されるため、判定結果の受け取りまでお時間(※あくまで目安として1~3営業日程度)をいただく場合があります。
- 判定結果や本機能について不明点や疑問点がある場合には、通常通り、購入いただいた販売店を経由してお問い合わせください。弊社サポートから直接ユーザー様へ連絡することはありません。
- AMCおよびyarai 3.x系の機能となります。EMCおよびyarai 2.x系では利用できません。
- 一部の検知については、本機能の対象外となります。詳細については「過検出判定システムにおいて、「選択された検出から過検出判定対象外のX件の検出を判定対象から除きました。」が表示されます」を参照してください。なお、そのような検知の判定を行いたい場合は、通常通り、購入いただいた販売店を経由して判定依頼を出していただく形となります。
- 上記以外の注意事項については、別途AMCのオペレーションマニュアルを参照してください。
システム概要
ステータスの流れ
利用の流れ
1.検体収集設定
AMCのオペレーションマニュアルに従って、AMCにて「検体収集設定」を行ってください。
2.検体収集設定のポリシー配布
AMCのオペレーションマニュアルに従って、AMCにて任意のポリシーの検体収集設定を有効にして、クライアントに配布してください。
3.判定システム設定
AMCのオペレーションマニュアルに従って、AMCにて「過検出判定設定」を行ってください。
✔ 情報
動作確認が完了するまでは、「過検出判定の自動実行」は「利用しない」に設定することを推奨します。
後述の手順では「利用しない」にした状態で動作確認を行っていきます。
⚠ 注意
弊社クラウドサーバーへ検体ファイルとログを送信したくない場合は「FFRIに検体を提供する」は「利用しない」にしてください。ただし、その場合はハッシュ値による一次判定(簡易判定)しか行えないため、「利用する」にしていただくことを推奨します。
後述の手順では「利用する」にした状態で動作確認を行っていきます。
4.テストマルウェアの検出
カスタマーサイトから「FFRI AMC 過検出判定システムテスト用マルウェア」および「FFRI AMC 過検出判定システムテスト用マルウェアの説明書」をダウンロードして、任意のyaraiクライアントで検出させてください。テストマルウェアの利用方法は説明書を確認してください。
⚠ 注意
クラウド連携を有効にされている場合、本テストマルウェアが正常に検出されない場合があります。そのため、事前にクラウド連携を無効にして検出させてください。クラウド連携の詳細については、後述の「クラウド連携機能との違い」を参照してください。
✔ 情報
後述の手順で「例外リスト登録済み」(過検出扱い)になるテストマルウェアを利用します。もし「判定完了」(マルウェア扱い)にしたい場合は、別のテストマルウェアをダウンロードして、別途動作確認をお願いします。
5.テストマルウェア情報の確認
AMCの「インシデント管理」-「マルウェア情報」の画面に、検出させたテストマルウェアが表示され、「検出パス」の部分がリンクになっていることを確認します。
⚠ 注意
「検出パス」の部分がリンクになっていない場合は、検体収集が行われていません。上記の1または2の手順を再確認してください。
6.判定依頼の送信(手動)
AMCのオペレーションマニュアルに従って、該当ファイルを選択して、AMCにて「過検出判定ウィザード」を実行します。
7.ステータスの確認
AMCの「インシデント管理」-「マルウェア情報」の画面で、判定依頼を出したファイルのステータスが「判定依頼中」になっていることを確認します。
1時間ほど待って、本テストマルウェアの場合は「例外リスト登録済み」のステータスになることを確認します。
⚠ 注意
1時間ほど待っても「判定依頼中」のままになっている場合、殆どのケースではAMCサーバーから弊社クラウドサーバーへインターネット通信が行えていないことが原因となります。AMCサーバーのプロキシサーバーの設定や、上記の「重要な注意事項」を確認してください。
8.例外リスト登録の確認
ステータスが「例外リスト登録済み」の場合、自動的に「AUTO_WHITELIST」という専用の例外リストにハッシュ値が登録されますため、AMCの例外リストの設定を確認します。
✔ 情報
例外リスト「AUTO_WHITELIST」を紐付けたポリシーが適用されているyaraiクライアントが存在し、上記3の画面で「例外リストの自動配布」を「利用する」にされている場合は、例外リストが自動配布されます。
9.判定依頼を自動実行へ変更
特に問題が無ければ、必要に応じて、上記3の画面で「過検出判定の自動実行」を「利用する」にしてください。これにより、手順6の判定依頼が自動的に行われるようになります。
一次判定と二次判定の違い
以下のFAQを参照してください。
検体自動判定システム/過検出判定システムとクラウド連携の違い
クラウド連携機能との違い
本判定システムと比較して、クラウド連携機能では以下のようなメリットがあります。そのため、併せてクラウド連携機能の利用も推奨します。
‼ 重要
- 弊社クラウドサーバーへの照合(マルウェアや過検出)は、ほぼリアルタイム(※)に行われます。
- 過検出の場合は、例外リストを使用せず、ほぼリアルタイム(※)で抑制が行われます。
- 弊社クラウドサーバーへ検体ファイルとログの送信は行わないため、過検知の判定を行うことはできませんが、本判定システムと併用することが可能です。
- 日々更新される脅威情報データベースへ照合することにより、本判定システムおよびyarai単独では検知できないようなマルウェアに対して、クライアント側のエンジンのアップデートを待たずに検知していくことが可能です。
詳細については、以下のFAQも参照してください。
検体自動判定システム/過検出判定システムとクラウド連携の違い
(※)弊社クラウドサーバーへの通信が必要となるため、完全ではありませんが、ほぼリアルタイムに近い動作となります。
クラウド連携機能の詳細については、以下のFAQも併せて参照してください。
