購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
2349
閲覧回数
5
いいね!
0
コメント

Secure Endpoint: False Positive/False NegativeのSRオープン時に取得いただく情報について

Kenichiro Kato
Cisco Employee
Cisco Employee

‎2016-04-18 05:51 AM ‎2024-07-25 12:38 PM 更新

 

はじめに

Secure Endpointの各種エンジンによって、お客様の正しいファイルがFalse PositiveによってMalicious判定され、隔離されてしまった場合、もしくは、False Negativeで本来Malicious判定されなければならないMalwareがClean判定となっている場合に、TACへのSRオープンによって、再判定を依頼することが可能です。

本記事ではFalse Positive / False Negativeの対応に関するSRをオープンする前に、収集いただきたい情報を説明いたします。

 

収集いただきたい情報

以下の情報を取得し、送付お願いします。必須項目については、全ての場合において、提出をお願いします。必須項目でないものについても、可能な限り提出をお願いします。TACから、必要に応じて追加で依頼させていただく場合がございます。

  • 検体のSHA256のHash値 ※必須
  • 検体の取得元(以下に例を示します) ※必須
    • 検体がダウンロード可能な場合はダウンロード元のURLと取得方法
    • 製品のWebサイト
    • その他、検体の取得方法
  • 検体の本来想定される機能・動作(以下に例を示します) ※必須
    • 検体が含まれる製品のWebサイトによる説明(作成元のWebサイトの情報が好ましい)
    • 検体の用途や機能・動作
  • 誤判定であると考える理由(以下に例を示します) ※必須
    • 一般的に使われているソフトウェア(オープンソース/フリーウェア/製品)であること
    • 信頼出来る機関によるアプリケーション署名があること
    • その他、客観的に誤検知であると示す根拠
  • File Analysis / VirusTotalの判定結果 ※推奨
    • 検体を外部サイトにアップロードすることに問題がない場合は、以下の記事に従ってFile Analysis / VirusTotalへのアップロードを実施し、その判定結果等をご連絡ください。File Analysisに関してはアップロードした結果をお客様のみで確認可能であるため、可能な限り実施をお願いします。VirusTotalで検体をアップロードするとSubscriptionの加入者から自由に検体がダウンロードできるため、所属する会社のポリシー等に従いアップロードするかどうか等はお客様でご判断ください。誤って機密情報などをアップロードしたとしても当方としては対応等致しかねますのでご注意ください。
    • 詳しくはこちらの記事をご参照ください。
  •  
  • 検体をパスワード付きZIPで固めたファイル ※推奨
    • ZIPパスワードは「infected」を設定お願いします。
    • VirusTotalにアップロードされている場合、調査部門側での情報取得が可能であるため、検体そのものの送付は必須ではありませんが、TACでの再現試験のために、検体提出をお願いさせていただく場合があります。
    • 検体の取得方法については、こちらの記事をご参照ください。

 

False Positiveに対するApplication Allow Listsを使った対処

False Positive発生時に、お客様の業務使用のファイルが隔離された場合、Application Allow Listsを使った対処を、お勧めいたします。
TACへのSRオープンによって、False Positive自体を解消することも可能ではありますが、仮にお客様のファイル自体が、お客様にとっては安全と判断しているものであったとしても、解析の結果、判定が覆らない場合はございます。

 

Application Allow Listsの設定方法は、こちらの記事をご参照ください。

 

誤検知を客観的に確認したい場合

File Analysisを使ってSandbox上で、検体の挙動を確認することをお勧めいたします。

詳しくはこちらの記事をご参照ください。TACからもお客様にFile Analysisでの実行確認を依頼させていただく場合がございます。

お客様自身で修正依頼をする方法

TACにケースをオープンせずとも、こちらの記事に記載の方法でお客様自身で直接修正依頼をすることも可能です。
なお、製品の動作・不具合に関するお問い合わせを含む場合やビジネス上の背景等を踏まえた対応が必要な場合は、TACへケースオープンをお願いします。

注意事項

  • 誤判定の確認には時間がかかる場合がございます。特に緊急であり、尚且つFalse Positiveと判断できる情報が十分に揃っている場合は、Application Allow Listsへの追加による対応を、お勧めいたします。
  • 判定は覆らない場合がございます。予めご承知ください。一例としては以下の場合が考えられます。
    • Malwareと類似する挙動が観測できる場合
    • 使用者が限定されるファイルであり、製品として対応しないと判断した場合
    • 誤判定と判断するのに必要な情報が不足している場合
  • 検体は、検体のみを含めたZIPファイルを作成いただき、必ずパスワード付きZIPにてご送付ください。また、当方で検体ファイルであることを識別するためにも、アップロードした際のファイル名をご連絡ください。

 

Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents