ビュー:

ICAPクライアントから送信される各サンプルに対して、Deep Discovery AnalyzerはICAPヘッダを返します。

次に例を示します。

ICAP/1.0 200 OK
Server: Deep Discovery Analyzer 6.8 Build 1165
ISTag: "12.300.1011"
X-Virus-ID: TROJ_FRS.0NA103DD20,TROJ_FRS.0NA104DD20 
X-Infection-Found: Type=0; Resolution=2; Threat=TROJ_FRS.0NA103
DD20,TROJ_FRS.0NA104DD20;
X-Response-Desc: URL: No risk rating from WRS; FILE: Detected b
y ATSE
Encapsulated: res-hdr=0, res-body=86
Date: Thu, 16 Apr 2020 07:38:01 GMT

次の表は、ICAPヘッダの詳細を示しています。

ICAPヘッダ

ICAP/1.0

ICAPのステータスコード

例:

  • 204: ICAPクライアントが204ステータスコード受け入れ、キャッシュされているコンテンツを使用する場合

  • 200:

    • ICAPクライアントが204ステータスコードを受け入れない場合

    • ICAPクライアントがキャッシュに保存するにはコンテンツが大きすぎます。Deep Discovery Analyzerから、200 OKとともにHTTPコンテンツが返されます。

    • 脅威が検出されています。Deep Discovery Analyzerから、200 OKとともにICAPヘッダとHTTP 403 Forbiddenが返されます。

ステータスコードの詳細については、RFCドキュメントを参照してください。

ICAP 1.0 200 OK

ICAP 1.0 204 No Content

Server

Deep Discovery Analyzerのバージョンとビルド番号

Server: Deep Discovery Analyzer 6.8 Build 1165

ISTag

Deep Discoveryコンポーネント (Linux、64ビット) の高度な脅威検索エンジンのバージョン

Deep Discovery Analyzerの以前の応答をキャッシュしている可能性のあるICAPクライアントで、その有効期限が切れていないかどうかを確認するために使用されます。

ISTag: "12.300.1011"

Encapsulated

メッセージの本文のカプセル化の開始位置に相対する、カプセル化された各セクションの開始位置のオフセット

Encapsulated: req-hdr=0, req-body=86

Date

Deep Discovery Analyzerクロックにより提供される、RFC 1123準拠の日付/時刻文字列として指定された日時の値

Date: Thu, 16 Apr 2020 07:38:01 GMT

ICAPヘッダの詳細については、次のサイトを参照してください。

http://www.icap-forum.org/

次の表は、Deep Discovery Analyzerによって返される追加のヘッダを示しています。

注:

設定が有効な場合、Deep Discovery Analyzerは常にX-Response-Descヘッダを返します。また、ICAPクライアントから受信したサンプルの事前検索で既知の脅威が検出された場合のみX-Virus-IDおよびX-Infection-Foundヘッダを返します。

ICAPヘッダ

X-Virus-ID

検出されたウイルスまたはリスクの名前を含む1行のUS-ASCIIテキスト

X-Virus-ID: TSPY_ONLINEG.MCS

X-Infection-Found

感染の種類と解決策の数値コード、およびリスクの説明

X-Infection-Found: Type=0; Resolution=2; Threat=TSPY_ONLINEG.MCS;

X-Response-Desc

Deep Discovery AnalyzerでURLまたはファイルサンプルが不正または安全と見なされた理由

X-Response-Desc: URL: No risk rating from WRS; FILE: Detected by ATSE

注:

これらのヘッダを有効にしたり、他のICAP設定を行ったりするには、[管理] > [統合製品/サービス] > [ICAP] の順に選択します。

詳細については、ICAPを設定するを参照してください。

X-Response-Descヘッダは事前検索の結果に応じて異なります。次の表は、X-Response-Descヘッダの詳細を示しています。

表 1. X-Response-Descヘッダ: URL

X-Response-Descヘッダ

説明

No risk rating from WRS

Webレピュテーションサービスで検出され、安全と見なされています。

Match found in URL exception list

除外リストのエントリに一致しており、[除外] 画面に表示されます。

No risk rating from VA

仮想アナライザで検出され、安全と見なされています。

Bypass URL scanning in RESPMOD mode

[ICAP] 画面で [RESPMODモードでのURL検索のバイパス] を選択すると、Deep Discovery AnalyzerはRESPMODモードでURLを検索しません。

Invalid URL

形式が無効として検出されています。

Unable to analyze URL in VA

このURLは仮想アナライザでサポートされていません。

Detected by WRS

Webレピュテーションサービスで検出され、不正と見なされています。

Detected by suspicious objects list

不審オブジェクトリストのエントリに一致しています。

Detected by user-defined suspicious objects list

ユーザ指定の不審オブジェクトリストのエントリに一致しています。

Detected by VA cache

仮想アナライザですでに分析され、不正と見なされています。

URL submitted to VA

事前検索の結果がありません。URLのサンプルを仮想アナライザに送信して分析します。

表 2. X-Response-Descヘッダ: File

X-Response-Descヘッダ

説明

Match found in file exception list

除外リストのエントリに一致しており、[除外] 画面に表示されます。

No risk rating from VA

仮想アナライザで検出され、安全と見なされています。

Unsupported file type in VA

次のいずれかの原因により、仮想アナライザで分析されません。

  • 仮想アナライザでサポートされていないファイルタイプである

    サポートされているファイルタイプの詳細については、[送信設定] タブを参照してください。

  • パスワード保護されているため、仮想アナライザで抽出して分析できない

  • その他

Bypass MIME content-type scanning

[MIMEコンテントタイプの除外を有効にする] を選択し、そのコンテントタイプが除外リストにある場合、Deep Discovery Analyzerではこのファイルが検索されません。

Maximum file size exceeded

ファイルサイズが最大値 (60MB) を超えています。

Bypass true file type scanning

[MIMEコンテントタイプの検証を有効にする] を選択し、そのファイルタイプが除外リストにある場合、Deep Discovery Analyzerではこのファイルが検索されません。

Detected by ATSE

Deep Discoveryの高度な脅威検索エンジンで検出されています。

Detected by YARA rule

YARAルールに一致しています。

Detected by suspicious objects list

不審オブジェクトリストのエントリに一致しています。

Detected by user-defined suspicious objects list

ユーザ指定の不審オブジェクトリストのエントリに一致しています。

Detected by Predictive Machine Learning engine

機械学習型検索エンジンで検出されています。

Detected by VA cache

仮想アナライザですでに分析され、不正と見なされています。

File submitted to VA

事前検索の結果がありません。ファイルのサンプルを仮想アナライザに送信して分析します。

Detected as password-protected file. Block sample without scanning

[ICAP] 画面で [検索せずにサンプルをパスワード保護されたファイルとして分類する] を選択している場合、パスワード保護されているファイルは検索なしでブロックされます。

Detected as password-protected file. Block non-malicious sample that cannot be extracted

[ICAP] 画面で [ファイルを抽出できない場合のみ、既知のリスクを含まないサンプルをパスワード保護されたファイルとして分類する] を選択している場合、パスワード保護されたファイルが抽出できないが、すべてのICAP事前検索モジュールによる検索でリスクなしと判定されると、この結果がヘッダで返されます。

次のヘッダの例では、ファイルとURLが安全と見なされています。

ICAP/1.0 204 No Content
Server: Deep Discovery Analyzer 6.8 Build 1165
ISTag: "12.300.1011"
X-Response-Desc: URL: No risk rating from WRS; FILE: No risk ra
ting from VA
Date: Thu, 16 Apr 2020 07:32:30 GMT

次のヘッダの例では、ファイルが高度な脅威検索エンジンで検出されているため、Deep Discovery AnalyzerからHTTP/1.1 403 Forbiddenステータスコードが返されています。このURLは検索されません。

注:

管理コンソールでリダイレクトページを設定している場合は、HTTP 403 Forbiddenヘッダに続き、Deep Discovery Analyzerからリダイレクトページのコンテンツが送信されます。

ICAP/1.0 200 OK
Server: Deep Discovery Analyzer 6.8 Build 1165
ISTag: "12.300.1011"
X-Virus-ID: TROJ_FRS.0NA103DD20,TROJ_FRS.0NA104DD20 
X-Infection-Found: Type=0; Resolution=2; Threat=TROJ_FRS.0NA103
DD20,TROJ_FRS.0NA104DD20;
X-Response-Desc: URL: Bypass URL scanning in RESPMOD mode; FILE
: Detected by ATSE
Encapsulated: res-hdr=0, res-body=86
Date: Thu, 16 Apr 2020 07:38:01 GMT

HTTP/1.1 403 Forbidden

次のヘッダの例では、URLは安全と見なされ、ファイルの検出情報がありません。このファイルのサンプルは自動的にDeep Discovery Analyzerに送信され、分析されます。

ICAP/1.0 204 No Content
Server: Deep Discovery Analyzer 6.8 Build 1165
ISTag: "12.300.1011"
X-Response-Desc: URL: No risk rating from WRS; FILE: File submi
tted to VA
Date: Thu, 16 Apr 2020 07:22:41 GMT