2017-10-11 09:33 AM 2019-03-22 07:30 AM 更新
ハッシュ値問い合わせでもSBX.TGの検知イベントは発生しますでしょうか。
[ファイル分析]にてグローバルファイルからマルウェア検体をダウンロードし、評価環境で検体のzipファイルパスワード解除したら、即時マルウェア判定され隔離されました。
その際のイベントがSBX.TGという判定でしたが(サンドボックスにアップロードした形跡がはありませんでした。
2017-10-17 01:30 PM
AMPが持つ全ての検知ルールが対象になるため、SBX.TGの検知イベントが発生するのは通常の動作になります。
AMPの検知ルールは、全ユーザで共通のものを利用しています。
過去に他の環境(ユーザ)で行われたFile analysisの結果が検知ルールとしてAMPのデータベースに登録されており、Hashが一致したことによりその結果が表示されている動作であるとお考えください。
また、ThreatGridのFileAnalysisの処理には時間を要するため、即時判定結果に反映されるということはありませんので、前述のような動作であると判断することができます。
2017-10-17 02:59 PM
回答ありがとうございます。
理解しました。
>過去に他の環境(ユーザ)で行われたFile analysisの結果が検知ルールとしてAMPのデータベースに
>登録されており、Hashが一致したことによりその結果が表示されている動作であるとお考えください。
⇒今はハッシュ問い合わせしてもFile analysisとしてのイベント表示だが、一定時間経過後(ハッシュエンジンのデータベース登録後)には、もう一度同じマルウェアを試すとハッシュエンジンによるイベント表示になりますでしょうか。
それとも永久的にFile analysisとしてのイベント表示のままなのでしょうか。
2017-10-25 12:03 AM
AMP Public Cloudを使っている場合に関して説明させていただきます。
お客様が個別でFile Analyisを使った結果に関しては、PrivateにPOSTされるため、他のお客様にも参照できるHash Cloud lookupの形(CloudへのHash参照で/^.*SBX.TG/のEventを検知される形)にはなりません。基本的には何かしらの形でThreatGridにPublicにPOSTされたファイルが結果的に、全てのAMPユーザ(AMP4Eだけでなく、AMP for NetworkやAMP for ESA等も含めた)が参照可能なHashの参照結果として登録されますので、もし、そのファイルがお客様の環境にしか存在していないファイルであれば、永久的にHash Engineの結果として使われることはありません。
この挙動に関しては、もし、Private Cloudを使う場合は少し異なります。
エキスパートの回答、ステップバイステップガイド、最新のトピックなどお気に入りのアイデアを見つけたら、あとで参照できるように保存しましょう。
コミュニティは初めてですか?これらのヒントを活用してスタートしましょう。 コミュニティの活用方法 新メンバーガイド
下記より関連するコンテンツにアクセスできます