はじめに
既知のファイルはFile Reputationで判定されるため、File Analysisでの分析は基本的には行われません。File Analysisの動作をテストするには、SHA256が未知のファイルを用意する必要があります。本稿ではFile Analysisの動作をテストする方法の一例をご紹介します。
File Analysisで分析されるファイルを準備
File Analysisでこれまでに分析されたことのないファイルを用意します。例えば、マクロの組み込まれているExcelファイルを自身で作成します。そのファイルの内容を一部変更するとSHA256の値も変化しますので、そのようなファイルをひとつ用意しておけば、File Analysisのテストを繰り返し簡単に行なうことができます。
File Analysisの対象となるファイルタイプを確認
今回の例はExcelファイルですので、Microsoft DocumentsがFile Analysisの分析対象に設定されていることを確認します。
ESA GUI > Security Services > File Reputation and Analysis > Edit Global Settings
ファイルのアップロードをログで確認
作成したファイルを添付してテストメールを送信します。File Analysisによりファイルがクラウド上のサンドボックスにアップロードされていることはログで確認することができます。
ampログ出力例
ファイルのアップロード
Info: File uploaded for analysis. SHA256: bedd2002f1a4d5448b553318be39160e6e8231ec7ff7f69ed3d321ce5bfa65b5, file name: test.xlsm
ファイルの分析完了
Info: File analysis complete. MID: 1, SHA256: bedd2002f1a4d5448b553318be39160e6e8231ec7ff7f69ed3d321ce5bfa65b5, File name: test.xlsm, Submit Timestamp: 1580531593, Update Timestamp: 1580532039, Disposition: 1, Score: 56, Analysis Id: '02d0c894e0d1acd2fce5f0bc4018a2d9', Details: None
mailログ出力例
分析完了までメッセージを隔離する場合の例
Info: MID 1 AMP file reputation verdict : UNKNOWN(File analysis pending)
Info: MID 1 SHA bedd2002f1a4d5448b553318be39160e6e8231ec7ff7f69ed3d321ce5bfa65b5 filename test.xlsm queued for possible file analysis upload
Info: MID 1 quarantined to "File Analysis" (UNKNOWN:File analysis pending)
隔離からのリリース
Info: MID 1 released from quarantine "File Analysis" (File Analysis completed) t=447
上記は、AsyncOS12.5.0-066でのログの出力例となります。実際の出力はバージョンにより異なる場合があります。