はじめに

既知のファイルはFile Reputationで判定されるため、File Analysisでの分析は基本的には行われません。File Analysisの動作をテストするには、SHA256が未知のファイルを用意する必要があります。本稿ではFile Analysisの動作をテストする方法の一例をご紹介します。

File Analysisで分析されるファイルを準備

File Analysisでこれまでに分析されたことのないファイルを用意します。例えば、マクロの組み込まれているExcelファイルを自身で作成します。そのファイルの内容を一部変更するとSHA256の値も変化しますので、そのようなファイルをひとつ用意しておけば、File Analysisのテストを繰り返し簡単に行なうことができます。

File Analysisの対象となるファイルタイプを確認

今回の例はExcelファイルですので、Microsoft DocumentsがFile Analysisの分析対象に設定されていることを確認します。

ESA GUI > Security Services > File Reputation and Analysis > Edit Global Settings
 

ファイルのアップロードをログで確認

作成したファイルを添付してテストメールを送信します。File Analysisによりファイルがクラウド上のサンドボックスにアップロードされていることはログで確認することができます。

ampログ出力例

ファイルのアップロード

Info: File uploaded for analysis. SHA256: bedd2002f1a4d5448b553318be39160e6e8231ec7ff7f69ed3d321ce5bfa65b5, file name: test.xlsm

ファイルの分析完了

Info: File analysis complete. MID: 1, SHA256: bedd2002f1a4d5448b553318be39160e6e8231ec7ff7f69ed3d321ce5bfa65b5, File name: test.xlsm, Submit Timestamp: 1580531593, Update Timestamp: 1580532039, Disposition: 1, Score: 56, Analysis Id: '02d0c894e0d1acd2fce5f0bc4018a2d9', Details: None

mailログ出力例

分析完了までメッセージを隔離する場合の例

Info: MID 1 AMP file reputation verdict : UNKNOWN(File analysis pending)
Info: MID 1 SHA bedd2002f1a4d5448b553318be39160e6e8231ec7ff7f69ed3d321ce5bfa65b5 filename test.xlsm queued for possible file analysis upload
Info: MID １ quarantined to "File Analysis" (UNKNOWN:File analysis pending)

隔離からのリリース

Info: MID 1 released from quarantine "File Analysis" (File Analysis completed) t=447

上記は、AsyncOS12.5.0-066でのログの出力例となります。実際の出力はバージョンにより異なる場合があります。