1. はじめに
エンドポイントにインストールされているAMP Connectorにて、隔離されたファイルをAMPコンソール上からRestoreした後に、再検出させたいというお問い合わせをいただきます。本ドキュメントでは、AMP Connectorで再隔離させたい場合の対応方法について紹介いたします。
2. Restoreをしたファイルの再隔離
AMP connectoreにて隔離されたファイルの復元方法については、下記記事を参照ください。
参考リンク: AMP : 隔離されたファイルの復元方法について
隔離ファイルの復元後の再隔離対応方法としては、手動で該当ファイルを削除いただくか、後述するキャッシュクリア後に改めてスキャンを行うなどでの対応をお願いいたします。
3. キャッシュclearの方法
本件のようにRestore後のファイルが再隔離されないのは、端末上のキャッシュによる場合がほとんどです。端末上の判定のキャッシュがclearされれば、次回に同様のHashを検知した場合に隔離します。これは、当該Hash値は、Cloud上ではMalicious判定のままであるためです。もしくは、下図にあるように、各ポリシーで設定してあるキャッシュのTTLを待っていただければ、キャッシュとして端末に残っている判定はExpireします。
したがって、キャッシュがExpireするまで待つか、もしくは下記参考リンクにある手順にて、手動でキャッシュをクリアいただけたらと思います。
参考リンク:
http://www.cisco.com/c/en/us/support/docs/security/sourcefire-fireamp-endpoints/118565-technote-fireamp-00.html
仮に間違えてRestoreしたとしても、キャッシュがクリアされた後、ファイルのコピー・移動等が行われるか、改めてScanを実行すれば問題なく隔離されます。