ビュー:

ICAPクライアントが分析用にサンプルを送信すると、Deep Discovery Analyzerは次のリソースを使用して事前検索を行い、既知の脅威と受信したサンプルを比較します。

  • ファイル検索用の高度な脅威検索エンジン (ATSE)

  • YARAルール

  • 不審オブジェクトおよびユーザ指定の不審オブジェクトリスト

  • 機械学習型検索エンジン

  • URL検索用のWebレピュテーションサービス (WRS)

  • Deep Discovery Analyzerキャッシュ

事前検索の結果に応じて、Deep Discovery Analyzerは次の処理を行います。

結果

処理

サンプルが既知の安全なファイル/URLである場合

  • 分析用に送信された元のHTTPリクエストやレスポンスをICAPクライアントに返します。

サンプルが既存のレコードと一致しない場合

  • 分析用に送信された元のHTTPリクエストやレスポンスをICAPクライアントに返します。

  • 仮想アナライザに送信されたサンプルとして処理し、[送信] キューに送ります。このサンプルは [ICAP事前検索] タブには表示されません。

  • 今後の送信の参考として、サンプルをDeep Discovery Analyzerデータベースに追加します。

注:

送信されたサンプルのファイルタイプを仮想アナライザがサポートしていない場合、Deep Discovery Analyzerはそのサンプルを [送信] キューに送ることも、Deep Discovery Analyzerデータベースに追加することもしません。

サンプルが既知の不正な脅威と一致する場合

  • 403 Forbiddenメッセージを応答としてICAPクライアントに返します。

  • サンプルをログ記録し、サンプルの詳細を [ICAP事前検索] タブに表示します。
注:

[送信] 画面に [ICAP事前検索] タブを表示するには、[管理] > [統合製品/サービス] > [ICAP] で設定を有効にします。このタブは初期設定で非表示になっています。

詳細については、[ICAP] タブを参照してください。

親トピック: ICAPでの送信