識別されたファイルとは、不正プログラムであるか、または不正プログラムを含んでいることが判明したファイルであり、暗号化されて保護されたコンピュータ上の特別なフォルダに移動されたファイルのことです。感染したファイルを表示および復元できるかどうかは、不正プログラム対策の設定とファイルが見つかったOSによって異なります。
-
Windows Agentでは、駆除、削除、または隔離されたファイルを表示して復元できます。
-
Linux Agentでは、隔離されたファイルのみを表示して復元できます。
このページのトピック:
不正プログラム検出時に生成されるイベントの詳細については、不正プログラム対策イベントを参照してください。
検出ファイルのリストを参照する
[イベントとレポート] 画面には、特定されたファイルのリストが表示されます。そこから、これらのファイルの詳細を確認できます。
-
[イベントとレポート]→[イベント]→[不正プログラム対策イベント]→[検出ファイル] をクリックします。
-
ファイルの詳細を確認するには、ファイルを選択して [表示] をクリックします。
検出ファイルのリストには、次の情報が表示されます。
-
感染ファイル:隔離ファイルの名前と特定のセキュリティ上の危険を表示します。
-
不正プログラム:感染した不正プログラムを表示します。
-
コンピュータ: 感染の疑いがあるコンピュータ名を示します。
-
ファイルステータス: ファイルをダウンロードする準備ができているかどうかを示します。
[詳細] 画面には次の情報が表示されます。
-
検出時刻: 感染コンピュータで感染が検出された日時。
-
感染ファイル:感染ファイルの名前。
-
SHA-1: ファイルのSHA-1ハッシュ。
-
不正プログラム:検出された不正プログラムの名前。
-
検索の種類: リアルタイム検索、予約検索、または手動検索の、どの検索の種類によって不正プログラムが検出されたかを示します。
-
実行された処理: 不正プログラムが検出されたときにDeep Securityが実行した処理の結果。
-
コンピュータ:このファイルが検出されたコンピュータ (コンピュータが削除されている場合、このエントリは「不明コンピュータ」と表示されます)
-
コンテナ名: 不正プログラムが検出されたDockerコンテナの名前。
-
コンテナID: IDの不正プログラムが検出されたDockerコンテナ。
-
コンテナイメージ名: 不正プログラムが検出されたDockerコンテナのイメージ名。
検出ファイルを処理する
[検出ファイル]ページでは、識別されたファイルに関連するタスクを管理できます。メニューバーまたはコンテキストメニューを使用して、次の操作を実行できます。
-
[復元]で識別されたファイルを元の場所と状態に戻します。ホストが[Agent/Applianceから開始]通信を使用している場合、この操作は実行できませんのでご注意ください。
-
[ダウンロード]はコンピュータまたはVirtual Applianceからファイルを任意の場所に識別しました。ファイルをダウンロードするには:
-
ダウンロードするファイルを選択します。
-
[ダウンロード]→[ダウンロードのリクエスト]に移動します。[ファイルステータス]列はダウンロードが保留中であることを示しています。
-
ファイルのダウンロードの準備が整うと、[ファイルステータス]列が[ダウンロードの準備完了]に変わり、システムイベント[検出ファイルのダウンロードの準備完了]が表示されます。
-
ダウンロードする準備ができている識別されたファイルを選択します。
-
[ダウンロード]→[ダウンロード]に移動してください。
ファイルをダウンロードする準備ができたら、24時間以内にファイルを選択した場所にダウンロードできます。 -
-
[分析]はコンピュータまたはVirtual Applianceからファイルを識別しました。
-
[削除] 1つ以上の識別されたファイルをコンピュータまたはVirtual Applianceから削除します。ホストが[Agent/Applianceから開始]通信を使用している場合、この操作は実行できませんのでご注意ください。
-
[エクスポート]に関する情報 (ファイル自体ではなく) をCSVファイルに保存します。
-
[表示]識別されたファイルの詳細。
-
[コンピュータの詳細]は不正プログラムが検出されたコンピュータの画面を表示します。
-
[不正プログラム対策イベントの表示]は、この識別されたファイルに関連する不正プログラム対策イベントを表示します。
-
[列の追加または削除] をクリックして [追加/削除。]
-
[検索]特定の識別されたファイルのために。
検出ファイルは、次の条件のうちいずれかを満たした場合にDeep Security Virtual Applianceから自動的に削除されます。
-
仮想マシンがvMotionによって別のESXiホストに移動されました。その仮想マシンに関連付けられている特定のファイルが仮想アプライアンスから削除されます。
-
Deep Security Managerから仮想マシンが非アクティブ化されました。その仮想マシンに関連付けられている特定のファイルが仮想アプライアンスから削除されます。
-
Deep Security Virtual ApplianceがDeep Security Managerから無効化されています。その仮想アプライアンスに保存されている特定されたファイルがすべて削除されます。
-
Deep Security Virtual ApplianceがvCenterから削除されます。その仮想アプライアンスに保存されている特定されたファイルがすべて削除されます。
検出ファイルを検索する
-
[期間] ドロップダウンメニューを使用すると、特定の期間内で検出されたファイルのみを表示できます。
-
[コンピュータ] ドロップダウンメニューを使用すると、コンピュータグループまたはコンピュータポリシー別にファイルを表示できます。
-
[このページを検索]→[詳細検索を開く]をクリックして、詳細検索オプションの表示を切り替えます。

詳細検索には、検出ファイルのフィルタリングに使用する検索条件が1つ以上含まれます。各条件は、次の項目から構成される論理文になります。
-
ファイルの種類 (感染ファイルまたは不正プログラム) や感染したコンピュータなど、フィルタ対象の検出ファイルの特性
-
演算子:
-
次の文字列を含む:選択した列の入力内容に検索文字列が含まれる。
-
次の文字列を含まない:選択した列の入力内容に検索文字列が含まれない。
-
等しい:選択した列の入力内容と検索文字列が完全に一致する。
-
次の文字列に等しくない:選択した列の入力内容が検索文字列と一致しない。
-
次のリストに含まれる:選択した列の入力内容がカンマ区切りで入力された検索文字列1つと完全に一致する。
-
次のリストに含まれない:選択した列の入力内容がカンマ区切りで入力されたどの検索文字列とも一致しない。
-
-
値
条件を追加するには、最上部の条件の右側にある「プラス」ボタン (+) をクリックします。検索するには、検索ボタン (環状矢印) をクリックします。
![]() |
注意検索では大文字と小文字は区別されません。
|
検出ファイルを復元する
ファイルの検索除外を作成する
ファイルを元の場所に復元する前に、検索除外を作成して、そのファイルがコンピュータに復元されたときにDeep Securityによってただちに再検出されないようにする必要があります。
![]() |
注意以下の手順は個々のコンピュータ上でファイルの検索除外を作成する方法を示していますが、同じ設定変更をポリシーレベルで行うこともできます。
|
-
[コンピュータ] 画面を開き、[不正プログラム対策]→[検出ファイル] に進み、検出ファイルをダブルクリックしてそのプロパティを表示します。
-
ファイルの正確な名前と元の場所を書き留めます。
-
[コンピュータ] 画面を表示したまま、[不正プログラム対策]→[一般] に進み、有効になっている各不正プログラム検索の横にある [編集] ボタンをクリックし、[不正プログラム検索設定] プロパティ画面を開きます。
-
[不正プログラム検索設定]のプロパティウィンドウで、[検索除外]タブをクリックします。
-
[検索除外] エリアで、[ファイルリスト] を選択します。次に、 [編集] をクリック (ファイルリストがすでに選択されている場合) するか、メニューから [新規] を選択します (新しいファイルリストを作成する場合)。
-
[ファイルリスト] プロパティ画面で、復元するファイルのパスと名前を入力します。[OK] をクリックして [ファイルリスト] プロパティ画面を閉じます。
-
[OK]をクリックして[不正プログラム検索設定]のプロパティウィンドウを閉じます。
-
すべての [不正プログラム検索設定] の編集が終わった後、[コンピュータ] 画面で [保存] をクリックし、変更を保存します。これでファイルを復元する準備ができました。
ファイルを復元する
-
コンピューターページのまま、[不正プログラム対策]→[検出ファイル]タブに移動します。
-
検出ファイルを右クリックして [アクション]→[復元] を選択し、ウィザードの手順に従います。
これでファイルが元の場所に復元されます。
検出ファイルを手動で復元する
検出ファイルを手動で復元するには、そのファイルをコンピュータにダウンロードします。[検出ファイル] ウィザードに、[管理ユーティリティ]へのリンクが表示されます。このユーティリティを使用して、ファイルの復号、検査、および復元を行うことができます。検出ファイル復号ユーティリティを使用してファイルを復号し、元の場所に戻します。
復号ユーティリティは、 a zipファイル [QFAdminUtil_win32.zip]内にあります。このファイルは、 Deep Security Managerのルートディレクトリにある「util」フォルダにあります。圧縮ファイルには、同じ機能を持つ2つのユーティリティが含まれています。[QDecrypt.exe]と[QDecrypt.com]です。[QDecrypt.exe]を実行するとファイルを開く画面が呼び出され、復号するファイルを選択できます。[QDecrypt.com]は次のオプションを持つコマンドラインユーティリティです。
-
/h, --help: このヘルプメッセージを表示
-
--verbose: 詳細なログメッセージを生成
-
/i, --in=<str>: 復号する検出ファイル。[<str>] は検出ファイルの名前です
-
/o, --out=<str>: 復号したファイルの出力。[<str>] は復号されたファイルに付けられる名前です
![]() |
注意このユーティリティは、Windows 32ビットシステムおよびWindows 64ビットシステムでサポートされています。
|