検体自動判定システム/過検出判定システム(※以降、「判定システム」と表記)とクラウド連携については、基本的には別のシステムとなり、以下のような違いがあります。
両機能を併用することにより、さらに検知精度向上と運用負荷軽減に繋がるため、併用を推奨させていただきます。
なお、判定システムとクラウド連携の詳細については、以下のFAQを参照してください。
| 項目 | 判定システム(一次判定) | 判定システム(二次判定) | クラウド連携 |
|---|---|---|---|
| 主な目的 | 検知の判定に関わる運用負荷軽減 | 検知の判定に関わる運用負荷軽減 | ・連携モードが「ホワイトリスト連携」:検知の判定に関わる運用負荷軽減 ・連携モードが「クラウド連携」:検知精度の向上と、検知の判定に関わる運用負荷軽減 |
| 判定に利用する情報 (弊社へ送信される情報) |
ハッシュ値 (二次判定を行うかどうかは任意で設定変更可能) |
ハッシュ値、検体、ログ(※1) | ハッシュ値 |
| 判定タイミング | 検知の発生後に、AMCから判定依頼を出す (設定により自動/手動送信が変更可能) |
一次判定で判定できなかった場合に、二次判定が設定で許可されている場合のみ、自動送信される (自動送信のみ) |
検知が発生した瞬間に、クラウドサーバーに問合せをして、判定を行う (自動送信のみ) |
| 判定にかかる時間 | 10~15分程度 | ベストエフォートのため不定 (あくまで目安として1~3営業日程度) |
リアルタイムで判定 (クラウドサーバーへの通信が必要となるため、完全ではないが、ほぼリアルタイム) |
| 過検出の場合の例外リスト使用 | 使用する (設定により自動/手動配布が変更可能) |
使用する (設定により自動/手動配布が変更可能) |
使用しない (既知の過検出の場合はリアルタイムで検知が抑制される) |
| エンジンをアップデートせずyarai単独で検知できないマルウェアを検出 | できない | できない | できる (連携モードを「クラウド連携」にした場合のみ) |
| 判定に関する手動でのお問い合わせ | できる(※2) | できる | できる |
(※1)判定システム(二次判定)にて、弊社クラウドサーバーへ送信される「検体とログ」の実ファイルについては、AMCの「インシデント管理」-「マルウェア情報」の画面からダウンロードして確認ができます。
(※2)判定システム(一次判定)にてハッシュ値で判定ができなかった場合、二次判定が設定で許可されていなければ、AMC上のステータスは「照合なし」のままとなります。その場合の判定をご要望の場合は、検体・ログ・検知発生状況などを添えて、購入いただいた販売店を経由して、弊社までお問い合わせください。
なお、「照合なし」になった場合でも、AMCはクラウド上のデータベースに定期的にハッシュ問い合わせは行います。そのため、もし弊社独自の調査などによりデータベースが更新されれば、いずれ「例外リスト登録済み」や「判定完了」になる可能性はあります。
