隔離ファイル
隔離ファイルとは、不正プログラムであるか不正プログラムを含むことが検出されたため、暗号化されて特殊なフォルダに移されたファイルのことです (「隔離」は、不正プログラム検索設定を作成するときに指定できる、検索処理の1つです)。特定され、隔離されたファイルは、暗号化および圧縮された形式でコンピュータにダウンロードすることができます。感染ファイルが隔離されるかどうかは、ファイルを検索したときに有効だった不正プログラム対策設定によって異なります。
隔離ファイルの格納用として、限られた量のディスク容量が確保されます。ディスク容量は、ポリシーまたはコンピュータエディタの [不正プログラム対策]→[詳細]→[隔離ファイル] で設定できます。不審なファイルを隔離するのに十分な容量がない場合は、アラートが発令されます。
Deep Security Virtual Applianceを使用して仮想マシンを保護している場合は、仮想マシンからのすべての隔離ファイルがVirtual Applianceに格納されます。そのため、Virtual Appliance上で隔離ファイル用のディスク容量を増やす必要があります。
隔離されたファイルは、次の条件のうちいずれかを満たした場合にVirtual Applianceから自動的に削除されます。
- 保護対象の仮想マシンにvMotionが実行されている場合、その保護対象の仮想マシンに関連付けられている隔離ファイルをVirtual Applianceから削除。
- 保護対象の仮想マシンがVulnerability ProtectionDeep Security Managerから無効化された場合に、その保護対象の仮想マシンに関連付けられている隔離ファイルをVirtual Applianceから削除。
- Virtual ApplianceがVulnerability ProtectionDeep Security Managerから無効化された場合に、そのVirtual Applianceに保存されているすべての隔離ファイルを削除。
- Virtual ApplianceがvCenterから削除された場合に、そのVirtual Applianceに保存されているすべての隔離ファイルも削除。
[隔離ファイル] 画面を使用して、隔離タスクを管理できます。メニューバーまたは右クリックのコンテキストメニューで、次のことを実行できます。
- 復元... (
) 隔離ファイルを元の場所および条件に復元します。 - ダウンロード... (
): 隔離ファイルをコンピュータまたはVirtual Applianceから任意の場所に移動する - 削除... (
): 1つ以上の隔離ファイルをコンピュータまたはVirtual Applianceから削除する - 隔離ファイルについての情報 (ファイル自体ではない) をCSVファイルにエクスポート (
) する - 隔離ファイルの詳細を表示 (
) する - 不正プログラムが検出されたコンピュータの [コンピュータの詳細] () 画面を表示する
- [不正プログラム対策イベントの表示]() には、この隔離ファイルに関連する不正プログラムのイベントが表示される
- [列] をクリックして列を追加または削除 (
) する - 特定の隔離ファイルを検索 (
) する
詳細
隔離ファイルの [詳細] 画面には、ファイルに関する詳細情報が表示されます。この画面を使用して、隔離ファイルをコンピュータ上にダウンロードすることも、現在の場所から削除することもできます。
- 検出時刻: 感染が検出された日時 (感染コンピュータでの日時)。
- 感染ファイル: 感染ファイルの名前。
- 不正プログラム: 検出された不正プログラムの名前。
- 検索の種類: リアルタイム検索、予約検索、または手動検索のどれで不正プログラムが検出されたかを示します。
- 検索結果: 不正プログラムが検出されたときにVulnerability ProtectionDeep Securityが実行した処理の結果。
- コンピュータ: このファイルが検出されたコンピュータ。(コンピュータが削除されている場合、このエントリは「不明コンピュータ」と表示されます。)
リストをフィルタし、隔離ファイルを検索する
[期間] ツールバーでリストをフィルタし、特定の期間内に隔離したファイルだけを表示できます。
[コンピュータ] ツールバーで、コンピュータグループ別またはコンピュータポリシー別に隔離ファイルエントリの表示を整理できます。
[検索] ドロップダウンメニューから [詳細検索を開く] を選択すると、次の詳細検索オプションが表示されます。
詳細検索機能 (大文字/小文字の区別なし):
- 次の文字列を含む: 選択した列の入力内容に検索文字列が含まれる。
- 次の文字列を含まない: 選択した列の入力内容に検索文字列が含まれない。
- 等しい: 選択した列の入力内容と検索文字列が完全に一致する。
- 等しくない: 選択した列の入力内容が検索文字列と一致しない。
- 次のリストに含まれる: 選択した列の入力内容がカンマ区切りで入力された検索文字列1つと完全に一致する。
- 次のリストに含まれない: 選択した列の入力内容がカンマ区切りで入力されたどの検索文字列とも一致しない。
検索バーの右側にある「プラス」ボタン (+) をクリックすると、追加の検索バーが表示され、検索に複数のパラメータを適用できます。準備が整ったら、送信ボタン (ツールバーの右側にある上部に右矢印の付いたボタン) をクリックします。
- 感染ファイル: 隔離ファイルの名前と特定のセキュリティ上の危険を表示します。
- 不正プログラム: 感染した不正プログラムを表示します。
- コンピュータ: 感染の疑いがあるコンピュータ名を示します。
隔離ファイルの手動による復元
隔離ファイルを手動で復元するためには、隔離ファイル復号化ユーティリティを使用してファイルを復号し、元の場所に戻す必要があります。復号化ユーティリティは、Vulnerability ProtectionDeep Security Managerのルートディレクトリの下の「util」フォルダにあるzipファイル (QFAdminUtil_win32.zip) 内にあります。圧縮ファイルには、同じ機能を持つ2つのユーティリティが含まれています。QDecrypt.exeとQDecrypt.comです。QDecrypt.exeを実行するとファイルを開く画面が呼び出され、復号するファイルを選択できます。QDecrypt.comは次のオプションを持つコマンドラインユーティリティです。
- /h, --help: このヘルプメッセージを表示
- --verbose: 詳細なログメッセージを生成
- /i, --in=<str>:復号する隔離ファイル。<str> は隔離ファイルの名前です。
- /o, --out=<str>:復号したファイルの出力。<str> は復号されたファイルに付けられる名前です。