ビュー:
識別されたファイルとは、不正プログラムであるか、または不正プログラムを含んでいることが判明したファイルであり、暗号化されて保護されたコンピュータ上の特別なフォルダに移動されたファイルのことです。感染したファイルを表示および復元できるかどうかは、不正プログラム対策の設定とファイルが見つかったOSによって異なります。
  • Windows Agentでは、駆除、削除、または隔離されたファイルを表示して復元できます。
  • Linux Agentでは、隔離されたファイルのみを表示して復元できます。
このページのトピック:
不正プログラム検出時に生成されるイベントの詳細については、不正プログラム対策イベントを参照してください。

検出ファイルのリストを参照する

[イベントとレポート] 画面には、特定されたファイルのリストが表示されます。そこから、これらのファイルの詳細を確認できます。
  1. [イベントとレポート][イベント][不正プログラム対策イベント][検出ファイル] をクリックします。
  2. ファイルの詳細を確認するには、ファイルを選択して [表示] をクリックします。
検出ファイルのリストには、次の情報が表示されます。
  • 感染ファイル:隔離ファイルの名前と特定のセキュリティ上の危険を表示します。
  • 不正プログラム:感染した不正プログラムを表示します。
  • コンピュータ: 感染の疑いがあるコンピュータ名を示します。
  • ファイルステータス: ファイルをダウンロードする準備ができているかどうかを示します。
[詳細] 画面には次の情報が表示されます。
  • 検出時刻: 感染コンピュータで感染が検出された日時。
  • 感染ファイル:感染ファイルの名前。
  • SHA-1: ファイルのSHA-1ハッシュ。
  • 不正プログラム:検出された不正プログラムの名前。
  • 検索の種類: リアルタイム検索、予約検索、または手動検索の、どの検索の種類によって不正プログラムが検出されたかを示します。
  • 実行された処理: 不正プログラムが検出されたときにDeep Securityが実行した処理の結果。
  • コンピュータ:このファイルが検出されたコンピュータ (コンピュータが削除されている場合、このエントリは「不明コンピュータ」と表示されます)
  • コンテナ名: 不正プログラムが検出されたDockerコンテナの名前。
  • コンテナID: IDの不正プログラムが検出されたDockerコンテナ。
  • コンテナイメージ名: 不正プログラムが検出されたDockerコンテナのイメージ名。

検出ファイルを処理する

[検出ファイル]ページでは、識別されたファイルに関連するタスクを管理できます。メニューバーまたはコンテキストメニューを使用して、次の操作を実行できます。
  • anti_malware_restore_quarantine_file=5da35082-12a8-43fb-b6aa-bbdaa6aef7e2.png[復元]で識別されたファイルを元の場所と状態に戻します。ホストが[Agent/Applianceから開始]通信を使用している場合、この操作は実行できませんのでご注意ください。
  • anti_malware_quarantine_file_download=d76e8416-5ec1-4225-8e3b-7ae03081da16.png[ダウンロード]はコンピュータまたはVirtual Applianceからファイルを任意の場所に識別しました。ファイルをダウンロードするには:
    1. ダウンロードするファイルを選択します。
    2. [ダウンロード]→[ダウンロードのリクエスト]に移動します。[ファイルステータス]列はダウンロードが保留中であることを示しています。
    3. ファイルのダウンロードの準備が整うと、[ファイルステータス]列が[ダウンロードの準備完了]に変わり、システムイベント[検出ファイルのダウンロードの準備完了]が表示されます。
    4. ダウンロードする準備ができている識別されたファイルを選択します。
    5. [ダウンロード]→[ダウンロード]に移動してください。
    ファイルをダウンロードする準備ができたら、24時間以内にファイルを選択した場所にダウンロードできます。
  • icon_analyze=57102d39-4019-4c25-bcbf-81afb542d74d.png[分析]はコンピュータまたはVirtual Applianceからファイルを識別しました。
  • delete=796a026e-ec5f-4639-aaea-9b2619ab6e01.png[削除] 1つ以上の識別されたファイルをコンピュータまたはVirtual Applianceから削除します。ホストが[Agent/Applianceから開始]通信を使用している場合、この操作は実行できませんのでご注意ください。
  • export=5a159aca-a365-4283-bf91-5ad8852a70b3.png[エクスポート]に関する情報 (ファイル自体ではなく) をCSVファイルに保存します。
  • details=98b6c5e2-568a-4075-aae1-00f5d6b92811.png[表示]識別されたファイルの詳細。
  • details=98b6c5e2-568a-4075-aae1-00f5d6b92811.png[コンピュータの詳細]は不正プログラムが検出されたコンピュータの画面を表示します。
  • details=98b6c5e2-568a-4075-aae1-00f5d6b92811.png[不正プログラム対策イベントの表示]は、この識別されたファイルに関連する不正プログラム対策イベントを表示します。
  • columns=b85fa02e-697e-4061-873b-5378ec1e3576.png[列の追加または削除] をクリックして [追加/削除。]
  • search=a7128c70-c684-4f9e-a807-f7ce2c6b491a.png[検索]特定の識別されたファイルのために。
検出ファイルは、次の条件のうちいずれかを満たした場合にDeep Security Virtual Applianceから自動的に削除されます。
  • 仮想マシンがvMotionによって別のESXiホストに移動されました。その仮想マシンに関連付けられている特定のファイルが仮想アプライアンスから削除されます。
  • Deep Security Managerから仮想マシンが非アクティブ化されました。その仮想マシンに関連付けられている特定のファイルが仮想アプライアンスから削除されます。
  • Deep Security Virtual ApplianceがDeep Security Managerから無効化されています。その仮想アプライアンスに保存されている特定されたファイルがすべて削除されます。
  • Deep Security Virtual ApplianceがvCenterから削除されます。その仮想アプライアンスに保存されている特定されたファイルがすべて削除されます。

検出ファイルを復元する

ファイルの検索除外を作成する

ファイルを元の場所に復元する前に、検索除外を作成して、そのファイルがコンピュータに復元されたときにDeep Securityによってただちに再検出されないようにする必要があります。
注意
注意
以下の手順は個々のコンピュータ上でファイルの検索除外を作成する方法を示していますが、同じ設定変更をポリシーレベルで行うこともできます。
  1. [コンピュータ] 画面を開き、[不正プログラム対策]→[検出ファイル] に進み、検出ファイルをダブルクリックしてそのプロパティを表示します。
  2. ファイルの正確な名前と元の場所を書き留めます。
  3. [コンピュータ] 画面を表示したまま、[不正プログラム対策]→[一般] に進み、有効になっている各不正プログラム検索の横にある [編集] ボタンをクリックし、[不正プログラム検索設定] プロパティ画面を開きます。2016-07-07_000116_DS10=24499f89-7334-41a6-9a41-30b102e3ece0.png
  4. [不正プログラム検索設定]のプロパティウィンドウで、[検索除外]タブをクリックします。
  5. [検索除外] エリアで、[ファイルリスト] を選択します。次に、 [編集] をクリック (ファイルリストがすでに選択されている場合) するか、メニューから [新規] を選択します (新しいファイルリストを作成する場合)。
  6. [ファイルリスト] プロパティ画面で、復元するファイルのパスと名前を入力します。[OK] をクリックして [ファイルリスト] プロパティ画面を閉じます。2016-07-08_000124_DS10=bad93654-bf61-4de1-8b58-e09d472e9bd2.png
  7. [OK]をクリックして[不正プログラム検索設定]のプロパティウィンドウを閉じます。
  8. すべての [不正プログラム検索設定] の編集が終わった後、[コンピュータ] 画面で [保存] をクリックし、変更を保存します。これでファイルを復元する準備ができました。

ファイルを復元する

  1. コンピューターページのまま、[不正プログラム対策]→[検出ファイル]タブに移動します。
  2. 検出ファイルを右クリックして [アクション]→[復元] を選択し、ウィザードの手順に従います。
これでファイルが元の場所に復元されます。

検出ファイルを手動で復元する

検出ファイルを手動で復元するには、そのファイルをコンピュータにダウンロードします。[検出ファイル] ウィザードに、[管理ユーティリティ]へのリンクが表示されます。このユーティリティを使用して、ファイルの復号、検査、および復元を行うことができます。検出ファイル復号ユーティリティを使用してファイルを復号し、元の場所に戻します。
復号ユーティリティは、 a zipファイル [QFAdminUtil_win32.zip]内にあります。このファイルは、 Deep Security Managerのルートディレクトリにある「util」フォルダにあります。圧縮ファイルには、同じ機能を持つ2つのユーティリティが含まれています。[QDecrypt.exe][QDecrypt.com]です。[QDecrypt.exe]を実行するとファイルを開く画面が呼び出され、復号するファイルを選択できます。[QDecrypt.com]は次のオプションを持つコマンドラインユーティリティです。
  • /h, --help: このヘルプメッセージを表示
  • --verbose: 詳細なログメッセージを生成
  • /i, --in=<str>: 復号する検出ファイル。[<str>] は検出ファイルの名前です
  • /o, --out=<str>: 復号したファイルの出力。[<str>] は復号されたファイルに付けられる名前です
注意
注意
このユーティリティは、Windows 32ビットシステムおよびWindows 64ビットシステムでサポートされています。