回答ありがとうございます。

理解しました。

>過去に他の環境（ユーザ）で行われたFile analysisの結果が検知ルールとしてAMPのデータベースに
>登録されており、Hashが一致したことによりその結果が表示されている動作であるとお考えください。

⇒今はハッシュ問い合わせしてもFile analysisとしてのイベント表示だが、一定時間経過後(ハッシュエンジンのデータベース登録後)には、もう一度同じマルウェアを試すとハッシュエンジンによるイベント表示になりますでしょうか。

それとも永久的にFile analysisとしてのイベント表示のままなのでしょうか。

AMP Public Cloudを使っている場合に関して説明させていただきます。

お客様が個別でFile Analyisを使った結果に関しては、PrivateにPOSTされるため、他のお客様にも参照できるHash Cloud lookupの形（CloudへのHash参照で/^.*SBX.TG/のEventを検知される形）にはなりません。基本的には何かしらの形でThreatGridにPublicにPOSTされたファイルが結果的に、全てのAMPユーザ（AMP4Eだけでなく、AMP for NetworkやAMP for ESA等も含めた）が参照可能なHashの参照結果として登録されますので、もし、そのファイルがお客様の環境にしか存在していないファイルであれば、永久的にHash Engineの結果として使われることはありません。

この挙動に関しては、もし、Private Cloudを使う場合は少し異なります。