ビュー:

[仮想アナライザ] > [送信] にある [送信] 画面には、仮想アナライザによって処理されるサンプルのリストが含まれます。サンプルは、許可された送信者ドメインやSMTPサーバからのメールメッセージを介して統合製品によって自動的に送信されるか、Deep Discovery Analyzerの管理者または調査者によって手動で送信されるファイルおよびURLです。

[送信] 画面では、サンプルが次のタブにまとめられています。

  • 完了: 仮想アナライザが分析したサンプル

  • 処理中: 仮想アナライザが現在分析しているサンプル

  • 処理待ち: 分析を保留しているサンプル

  • 失敗: 分析プロセスを実行したが、エラーのため分析結果がないサンプル

    注:

    [失敗] タブにリストされているサンプルは、ウィジェットに表示されるサンプル数に含まれません。

  • ICAP事前検索:統合ICAPクライアントから受信したリスク高のサンプル

各タブには、送信されたサンプルの基本情報をまとめた表が表示されます。表内に表示する列をカスタマイズするには、歯車アイコン () をクリックし、表示する列を選択して、[適用] をクリックします。

表のデータを更新するには、[表示更新] をクリックします。

次の表は、表示されるすべての列について説明しています。表示される列は、選択するタブによって異なります。

表 1. [送信] の列

情報

オブジェクト情報

送信

サンプルが送信された日時

この列は [完了][処理中][処理待ち]、および [失敗] タブにのみ表示されます。

ファイル名

次のいずれかの情報が表示されます。

  • サンプルのファイル名

  • リスクレベルの最も高い子オブジェクトのファイル名

  • (リスクが検出されない場合) 任意の子オブジェクトのファイル名

注:

ファイルサイズが0または小さすぎて分析できない場合は「NONAMEFL」

サンプルパッケージ

アーカイブされたファイルサンプルのコピー

注:

送信されたサンプルがファイルの場合にのみダウンロードできます。クリックすると、ファイルサンプルがアーカイブファイルとしてダウンロードされます。アーカイブのパスワードはvirusです。

この列は [失敗] タブにのみ表示されます。

送信元

  • サンプルを送信したトレンドマイクロ製品の名前

  • サンプルがメールメッセージを介して送信された場合は「メールでの送信」

  • サンプルが手動で送信された場合は「手動での送信」

  • サンプルがICAPクライアントから送信された場合は「ICAPクライアント」

この列は [完了][処理中][処理待ち]、および [失敗] タブにのみ表示されます。

送信元名

  • サンプルを送信した製品のホスト名

  • 手動で送信された場合はデータなし (ダッシュで示されます)

  • ICAPクライアントまたはSMTPサーバのIPアドレス

SHA-1

サンプルのSHA-1値

SHA-256

サンプルのSHA-256値

この列は [完了] タブと [ICAP事前検索] タブにのみ表示されます。

オブジェクトの種類

ファイルまたはURL

この列は [完了][処理中][処理待ち]、および [失敗] タブにのみ表示されます。

検出

サンプルが検出された日時

この列は [ICAP事前検索] タブにのみ表示されます。

ICAPモード

サンプルの検出時にICAPクライアントにより報告されたモード

指定可能な値:

  • REQMOD:ICAP要求の変更方法

  • RESPMOD:ICAP応答の変更方法

この列は [ICAP事前検索] タブにのみ表示されます。

分析情報

リスクレベル

仮想アナライザは、静的な分析および動作シミュレーションを実行してサンプルの特徴を識別します。分析時、仮想アナライザではコンテキストで特徴を評価し、評価の累計に基づいてサンプルのリスクレベルを割り当てます。

  • 赤色のアイコン (): 高リスク。このオブジェクトは通常不正プログラムと関連付けられる極めて不審な特性を示しました。

    例:

    • 不正プログラムのシグネチャ、既知のエクスプロイトコード

    • セキュリティソフトウェアエージェントの無効化

    • 不正なネットワーク接続先への接続

    • 自己複製、他ファイルへの感染

    • ドキュメントによる実行可能ファイルのドロップまたはダウンロード

  • 黄色のアイコン (): 低リスク。このオブジェクトは無害である可能性の高い多少不審な特性を示しました。

  • 緑色のアイコン (): リスクなし。このオブジェクトは不審な特性を示しませんでした。

  • 灰色のアイコン (): 未分析。

    仮想アナライザがファイルを分析しなかった理由として考えられることについては、分析失敗の原因として考えられる理由を参照してください。

注:

サンプルが複数のインスタンスによって処理された場合、最も高いリスクレベルのアイコンが表示されます。たとえば、あるインスタンスのリスクレベルが黄色で、別のインスタンスのリスクレベルが赤色の場合、赤色のアイコンが表示されます。アイコンにマウスを重ねると、リスクレベルの詳細が表示されます。

この列は [完了] タブにのみ表示されます。

完了日時

サンプル分析が完了した日付と時刻

この列は [完了] タブにのみ表示されます。

ファイルの種類

  • オブジェクトのファイルタイプ

  • アーカイブのファイルタイプ/最高リスクの子オブジェクトのファイルタイプ

  • アーカイブのファイルタイプ/リスクがない場合は任意の子オブジェクトのファイルタイプ

注:

ファイルサイズが0または小さすぎて分析対象のファイルタイプを特定できない場合は「Empty」または「UNKNOWN」

この列は [完了] タブと [ICAP事前検索] タブにのみ表示されます。

脅威

トレンドマイクロのパターンファイルとその他のコンポーネントによって検出された脅威の名前

この列は [完了] タブと [ICAP事前検索] タブにのみ表示されます。

注:

[ICAP事前検索] タブでは、脅威名がわからない場合 (Web検査サービスでURLに対する脅威名が表示されない場合など)、[未定義の脅威] と表示されます。

脅威の種類

トレンドマイクロのパターンファイルとその他のコンポーネントによって検出された脅威の種類

この列は [完了] タブにのみ表示されます。

経過時間

処理が開始してから経過した時間

この列は [処理中] タブにのみ表示されます。

処理元

オブジェクトを処理しているノードのIPアドレス (Deep Discovery Analyzerが負荷分散クラスタで設定されている場合)

この列は [完了] および [処理中] タブにのみ表示されます。

注:

インタラクティブモードを有効にしてサンプルを分析している場合、[処理中] 画面では次のタスクを実行できます。

  • 現在のステータスを確認する ([アクセスを準備しています]、[アクセス可能]、[完了しています]、または [完了])

  • このフィールドをクリックして詳細情報を表示する (インタラクティブモードでの分析方法やVNCアクセスのIPアドレスとポート情報など)

  • [分析の停止] をクリックしてサンプル分析を終了する

優先度

サンプルに割り当てられた優先度

この列は [処理待ち] タブにのみ表示されます。

処理待ち時間

仮想アナライザがサンプルをキューに追加してから経過した時間

この列は [処理待ち] タブにのみ表示されます。

エラー

分析が失敗した理由

この列は [失敗] タブにのみ表示されます。

子ファイル

サンプル内で検出された子ファイルの数

数字をクリックすると、子ファイルの詳細な検出情報が表示されます。詳細については、子ファイルの検出情報を表示するを参照してください。

この列は [ICAP事前検索] タブにのみ表示されます。

検出元

オブジェクトを処理した検出モジュールの名前

この列は [ICAP事前検索] タブにのみ表示されます。

YARAルールファイル

一致するYARAルールを含むYARAルールファイルの名前

子ファイルが検出された場合、リンクをクリックするとYARA検出の詳細な情報が表示されます。

この列は [完了] タブにのみ表示されます。

注:
  • 子ファイルに対する一致は見つかったが、親ファイルに対する一致は見つからなかった場合、このフィールドには、一致するYARAルールを含む任意のYARAルールファイルの名前が表示されます。

  • 親ファイルに対する一致、または子ファイルのないファイルに対する一致が見つかった場合、このフィールドには、一致するYARAルールを含むYARAルールファイルの名前が表示されます。

YARAルール名

一致するYARAルールの名前。

この列は [完了] タブと [ICAP事前検索] タブに表示されます。

イベント情報

イベントのログ記録日時

  • 他のトレンドマイクロ製品によって送信されたサンプルの場合、その製品がサンプルを送信した日時

  • 手動で送信されたサンプルとICAPクライアントにより送信されたサンプルの場合、Deep Discovery Analyzerがサンプルを受信した日時

送信元/送信者

サンプルの送信元

  • ネットワークトラフィックのIPアドレス

  • メールでの送信のメールアドレス

  • 手動で送信された場合はデータなし (ダッシュで示されます)

送信先/受信者

サンプルの送信先

  • ネットワークトラフィックのIPアドレスまたはメールのメールアドレス

  • サンプルが手動で送信されたか、メールメッセージを介して送信された場合はデータなし (ダッシュで示されます)

プロトコル

  • メールの場合はSMTP、ネットワークトラフィックの場合はHTTPなど、サンプルの送信に使用されたプロトコル

  • 手動で送信された場合はデータなし (ダッシュで示されます)

この列は [完了][処理中][処理待ち]、および [失敗] タブにのみ表示されます。

URL

サンプルのURL

注:

管理コンソールを使用して送信された場合は、Deep Discovery AnalyzerがURLを正規化している場合があります。

メールの件名

サンプルのメールの件名

この列は [完了][処理中][処理待ち]、および [失敗] タブにのみ表示されます。

メッセージID

サンプルのメッセージID

この列は [完了][処理中][処理待ち]、および [失敗] タブにのみ表示されます。

送信元IP

ICAPクライアントにより送信されたX-Client-IP ICAPヘッダに基づく、サンプルの送信元のIPアドレス

この列は [ICAP事前検索] タブにのみ表示されます。

送信先IP

ICAPクライアントにより送信されたX-Server-IP ICAPヘッダに基づく、サンプルの送信先のIPアドレス

この列は [ICAP事前検索] タブにのみ表示されます。

送信元ユーザ

ICAPクライアントにより送信されたX-Authenticated-User ICAPヘッダに基づく、サンプルが検出された時点でログオンしていたユーザ

この列は [ICAP事前検索] タブにのみ表示されます。

Threat Connect

Threat Connectへのリンクを表示します

この列は [ICAP事前検索] タブにのみ表示されます。