FAQ

検体自動判定システム/過検出判定システムとクラウド連携の違い

検体自動判定システム/過検出判定システム(※以降、「判定システム」と表記)とクラウド連携については、基本的には別のシステムとなり、以下のような違いがあります。
両機能を併用することにより、さらに検知精度向上と運用負荷軽減に繋がるため、併用を推奨させていただきます。

なお、判定システムとクラウド連携の詳細については、以下のFAQを参照してください。

項目      判定システム(一次判定)           判定システム(二次判定)                     クラウド連携               
主な目的 検知の判定に関わる運用負荷軽減 検知の判定に関わる運用負荷軽減 ・連携モードが「ホワイトリスト連携」:検知の判定に関わる運用負荷軽減
・連携モードが「クラウド連携」:検知精度の向上と、検知の判定に関わる運用負荷軽減
判定に利用する情報
(弊社へ送信される情報)
ハッシュ値
(二次判定を行うかどうかは任意で設定変更可能)
ハッシュ値、検体、ログ(※1) ハッシュ値
判定タイミング 検知の発生後に、AMCから判定依頼を出す
(設定により自動/手動送信が変更可能)
一次判定で判定できなかった場合に、二次判定が設定で許可されている場合のみ、自動送信される
(自動送信のみ)
検知が発生した瞬間に、クラウドサーバーに問合せをして、判定を行う
(自動送信のみ)
判定にかかる時間 10~15分程度 ベストエフォートのため不定
(あくまで目安として1~3営業日程度)
リアルタイムで判定
(クラウドサーバーへの通信が必要となるため、完全ではないが、ほぼリアルタイム)
過検出の場合の例外リスト使用 使用する
(設定により自動/手動配布が変更可能)
使用する
(設定により自動/手動配布が変更可能)
使用しない
(既知の過検出の場合はリアルタイムで検知が抑制される)
エンジンをアップデートせずyarai単独で検知できないマルウェアを検出 できない できない できる
(連携モードを「クラウド連携」にした場合のみ)
判定に関する手動でのお問い合わせ   できる(※2) できる できる
✔ 情報

(※1)判定システム(二次判定)にて、弊社クラウドサーバーへ送信される「検体とログ」の実ファイルについては、AMCの「インシデント管理」-「マルウェア情報」の画面からダウンロードして確認ができます。



(※2)判定システム(一次判定)にてハッシュ値で判定ができなかった場合、二次判定が設定で許可されていなければ、AMC上のステータスは「照合なし」のままとなります。その場合の判定をご要望の場合は、検体・ログ・検知発生状況などを添えて、購入いただいた販売店を経由して、弊社までお問い合わせください。

なお、「照合なし」になった場合でも、AMCはクラウド上のデータベースに定期的にハッシュ問い合わせは行います。そのため、もし弊社独自の調査などによりデータベースが更新されれば、いずれ「例外リスト登録済み」や「判定完了」になる可能性はあります。

カテゴリ
この内容は参考になりましたか?
  • このフォームにお寄せいただいたご意見への回答は行っておりません(回答が必要な場合は販売店までお問い合わせください)
  • お名前、ご連絡先等の個人情報は入力しないようお願いいたします
  • 250文字以内でご記入をお願いいたします
ご回答いただきまして、ありがとうございます。
今後の参考にさせていただきます。
Powered by i-ask
pagetop