はじめに

AMP for Endpointsで稀にではございますが、お客様が業務で使用している正規のソフトウェアにも関わらず、Malicious判定となり、隔離されてしまう場合（False Positive）や、逆にMalwareと気づかずに素通りしてしまう場合（False Negative）がございます。
その場合、Cisco TACにFalse Positive/False Negativeの申し立てを行うことが可能ですが、お客様からの異議申し立ての内容の詳細を確認させていただくために、検体ファイルの提出をお願いさせていただく場合がございます。
弊社では、特別な事情がない限りは、お客様のご使用いただいているAMP Console環境にログインすることは致しかねますため、検体については、大変お手数ですが、本記事で説明している方法にて、お客様自身で取得し、Support Case Managerに、アップロードをお願いいたします。

File Repositoryの使用方法

検体の取得にはFile Repositoryを使うのが便利です。特に、Maliciousと判定されたファイルは設定によっては、隔離されてしまい、端末で取得することが出来ません。
AMP Consoleでは様々な箇所でハッシュ値（SHA256)を右クリックして様々なActionをすることが可能です。

そこで、以下のようにFile Fetch -> Fetch Fileを実行することで、端末からFile Repositoryにファイルをアップロードすることが可能です。

ここでは、Event上で表示されているハッシュ値を右クリックしていますが、Device Trajectoryやその他の画面からも可能です。次に、取得元の端末を選択し、Fetchをクリックします。

その後、一定時間が経過して、端末上からFileの取得が完了すると、Analysis -> File Repository上でFileがAvailableという状態で現れます。実行中の場合はRequestedと表示されます。

ここでDownloadをクリックしますと、Malwareをダウンロードすることに対する警告が表示されます。なお、ファイルはそのままダウンロードされるのではなく、自動的にパスワード付きZIP（パスワードは「infected」）でダウンロードされますため、安全に取得することが可能です。

最後に、パスワード付きのZIPファイルを、解凍せず、そのままSupport Case Managerにアップロードいただくようお願いします。

また、別の方法としては、以下の記事にしたがって、自動的なSandboxへのファイル送信を設定すれば、それを行う過程で、File Repository上にファイルがアップロードされますので、その場合はFile Repository内を検索してください。

File AnalysisとVirusTotalを使った疑わしいファイルのMalware確認方法