ICAPクライアントから送信される各サンプルに対して、Deep Discovery AnalyzerはICAPヘッダを返します。
次に例を示します。
ICAP/1.0 200 OK Server: Deep Discovery Analyzer 7.2 Build 1165 ISTag: "12.300.1011" X-Virus-ID: TROJ_FRS.0NA103DD20,TROJ_FRS.0NA104DD20 X-Infection-Found: Type=0; Resolution=2; Threat=TROJ_FRS.0NA103 DD20,TROJ_FRS.0NA104DD20; X-Response-Desc: URL: No risk rating from WRS; FILE: Detected b y ATSE Encapsulated: res-hdr=0, res-body=86 Date: Thu, 16 Apr 2020 07:38:01 GMT
次の表は、ICAPヘッダの詳細を示しています。
ICAPヘッダ |
値 |
例 |
|---|---|---|
|
ICAP/1.0 |
ICAPのステータスコード 例:
ステータスコードの詳細については、RFC 3507ドキュメントを参照してください。 |
ICAP 1.0 200 OK ICAP 1.0 204 No Content |
|
Server |
Deep Discovery Analyzerのバージョンとビルド番号 |
Server: Deep Discovery Analyzer 7.2 Build 1165 |
ISTag |
Deep Discoveryコンポーネント (Linux、64ビット) の高度な脅威検索エンジンのバージョン Deep Discovery Analyzerの以前の応答をキャッシュしている可能性のあるICAPクライアントで、その有効期限が切れていないかどうかを確認するために使用されます。 |
ISTag: "12.300.1011" |
Encapsulated |
メッセージの本文のカプセル化の開始位置に相対する、カプセル化された各セクションの開始位置のオフセット |
Encapsulated: req-hdr=0, req-body=86 |
Date |
Deep Discovery Analyzerクロックにより提供される、RFC 1123準拠の日付/時刻文字列として指定された日時の値 |
Date: Thu, 16 Apr 2020 07:38:01 GMT |
ICAPヘッダの詳細については、次のサイトを参照してください。
次の表は、Deep Discovery Analyzerによって返される追加のヘッダを示しています。
設定が有効な場合、Deep Discovery Analyzerは常にX-Response-Descヘッダを返します。また、ICAPクライアントから受信したサンプルの事前検索で既知の脅威が検出された場合のみX-Virus-IDおよびX-Infection-Foundヘッダを返します。
|
ICAPヘッダ |
値 |
例 |
|---|---|---|
|
X-Virus-ID |
検出されたウイルスまたはリスクの名前を含む1行のUS-ASCIIテキスト |
X-Virus-ID: TSPY_ONLINEG.MCS |
|
X-Infection-Found |
感染の種類と解決策の数値コード、およびリスクの説明 |
X-Infection-Found: Type=0; Resolution=2; Threat=TSPY_ONLINEG.MCS; |
|
X-Response-Desc |
Deep Discovery AnalyzerでURLまたはファイルサンプルが不正または安全と見なされた理由 |
X-Response-Desc: URL: No risk rating from WRS; FILE: Detected by ATSE |
X-Response-Descヘッダは事前検索の結果に応じて異なります。次の表は、X-Response-Descヘッダの詳細を示しています。
|
X-Response-Descヘッダ |
説明 |
|---|---|
|
No risk rating from WRS |
Webレピュテーションサービスで検出され、安全と見なされています。 |
|
Match found in URL exception list |
除外リストのエントリに一致しており、[除外] 画面に表示されます。 |
|
No risk rating from VA |
仮想アナライザで検出され、安全と見なされています。 |
|
Bypass URL scanning in RESPMOD mode |
[ICAP] 画面で [RESPMODモードでのURL検索のバイパス] を選択すると、Deep Discovery AnalyzerはRESPMODモードでURLを検索しません。 |
|
Invalid URL |
形式が無効として検出されています。 |
|
Unable to analyze URL in VA |
このURLは仮想アナライザでサポートされていません。 |
|
Detected by WRS |
Webレピュテーションサービスで検出され、不正と見なされています。 |
|
Detected by suspicious objects list |
不審オブジェクトリストのエントリに一致しています。 |
|
Detected by user-defined suspicious objects list |
ユーザ指定の不審オブジェクトリストのエントリに一致しています。 |
|
Detected by VA cache |
仮想アナライザですでに分析され、不正と見なされています。 |
|
URL submitted to VA |
事前検索の結果がありません。URLのサンプルを仮想アナライザに送信して分析します。 |
|
X-Response-Descヘッダ |
説明 |
|---|---|
|
Match found in file exception list |
除外リストのエントリに一致しており、[除外] 画面に表示されます。 |
|
No risk rating from VA |
仮想アナライザで検出され、安全と見なされています。 |
|
Unsupported file type in VA |
次のいずれかの原因により、仮想アナライザで分析されません。
|
|
Bypass MIME content-type scanning |
[MIMEコンテントタイプの除外を有効にする] を選択し、そのコンテントタイプが除外リストにある場合、Deep Discovery Analyzerではこのファイルが検索されません。 |
|
Maximum file size exceeded |
ファイルサイズが最大値 (60MB) を超えています。 |
|
Bypass true file type scanning |
[MIMEコンテントタイプの検証を有効にする] を選択し、そのファイルタイプが除外リストにある場合、Deep Discovery Analyzerではこのファイルが検索されません。 |
|
Detected by ATSE |
Deep Discoveryの高度な脅威検索エンジンで検出されています。 |
|
Detected by YARA rule |
YARAルールに一致しています。 |
|
Detected by suspicious objects list |
不審オブジェクトリストのエントリに一致しています。 |
|
Detected by user-defined suspicious objects list |
ユーザ指定の不審オブジェクトリストのエントリに一致しています。 |
|
Detected by Predictive Machine Learning engine |
機械学習型検索エンジンで検出されています。 |
|
Detected by VA cache |
仮想アナライザですでに分析され、不正と見なされています。 |
|
File submitted to VA |
事前検索の結果がありません。ファイルのサンプルを仮想アナライザに送信して分析します。 |
|
Detected as password-protected file. Block sample without scanning |
[ICAP] 画面で [検索せずにサンプルをパスワード保護されたファイルとして分類する] を選択している場合、パスワード保護されているファイルは検索なしでブロックされます。 |
|
Detected as password-protected file. Block non-malicious sample that cannot be extracted |
[ICAP] 画面で [ファイルを抽出できない場合のみ、既知のリスクを含まないサンプルをパスワード保護されたファイルとして分類する] を選択している場合、パスワード保護されたファイルが抽出できないが、すべてのICAP事前検索モジュールによる検索でリスクなしと判定されると、この結果がヘッダで返されます。 |
次のヘッダの例では、ファイルとURLが安全と見なされています。
ICAP/1.0 204 No Content Server: Deep Discovery Analyzer 7.2 Build 1165 ISTag: "12.300.1011" X-Response-Desc: URL: No risk rating from WRS; FILE: No risk ra ting from VA Date: Thu, 16 Apr 2020 07:32:30 GMT
次のヘッダの例では、ファイルが高度な脅威検索エンジンで検出されているため、Deep Discovery AnalyzerからHTTP/1.1 403 Forbiddenステータスコードが返されています。このURLは検索されません。
管理コンソールでリダイレクトページを設定している場合は、HTTP 403 Forbiddenヘッダに続き、Deep Discovery Analyzerからリダイレクトページのコンテンツが送信されます。
ICAP/1.0 200 OK Server: Deep Discovery Analyzer 7.2 Build 1165 ISTag: "12.300.1011" X-Virus-ID: TROJ_FRS.0NA103DD20,TROJ_FRS.0NA104DD20 X-Infection-Found: Type=0; Resolution=2; Threat=TROJ_FRS.0NA103 DD20,TROJ_FRS.0NA104DD20; X-Response-Desc: URL: Bypass URL scanning in RESPMOD mode; FILE : Detected by ATSE Encapsulated: res-hdr=0, res-body=86 Date: Thu, 16 Apr 2020 07:38:01 GMT HTTP/1.1 403 Forbidden
次のヘッダの例では、URLは安全と見なされ、ファイルの検出情報がありません。このファイルのサンプルは自動的にDeep Discovery Analyzerに送信され、分析されます。
ICAP/1.0 204 No Content Server: Deep Discovery Analyzer 7.2 Build 1165 ISTag: "12.300.1011" X-Response-Desc: URL: No risk rating from WRS; FILE: File submi tted to VA Date: Thu, 16 Apr 2020 07:22:41 GMT