はじめに
AMPのハッシュエンジン(AMP CloudへファイルのSHA256値によってMalware判定を問い合わせる機能)によって、本来正しいファイルがFalse PositiveによってMalicious判定される場合、もしくは、False Negativeで本来Malicious判定されなければならないファイルがClean判定される場合があります。
このようなFalse Positive / False Negative はTalos File Reputation Centerから修正依頼が可能です。
本記事ではAMP ハッシュエンジンで発生するFalse Positive / False Negativeの修正をTalos Reputation Centerから依頼する方法を説明します。
本記事に記載の修正依頼はAMPのハッシュエンジンを使用する主に以下の製品で同じ方法で実施することが可能です。AMPのハッシュエンジンを使用している製品は以下には限りませんが、今後製品が追加される場合でも同様の対応となります。
AMPのハッシュエンジンは製品によってファイルレピュテーション、Dispositionなど、製品によって異なる呼称がございますため、詳しくは各製品ドキュメントをご確認ください。本記事では基本的にハッシュエンジンの表現を用います。
- Secure Endpoint : ハッシュエンジンまたはDisposition
- ESA / WSA / CES : ファイルレピュテーション
- Firepower System : AMP for Network またはFile Policy
その他、Cisco SD-WAN、Umbrella、Meraki 等もAMPのハッシュエンジンを使用するため同様の方法で修正依頼が可能です。
操作手順
1. AMPハッシュエンジンにおいて、False Positive / False Negativeが発生したと思われる場合、修正依頼を行う前に、以下の方法で対象ファイルのHash値(SHA256)を確認ください。
A) ESAの場合
1. GUI管理画面へログイン
2.Monitor > Message Tracking から当該ファイルのHash値を確認します。
B) WSAの場合
1. GUI管理画面へログイン
2.Reporting > Web Tracking から当該ファイルのHash値を確認します。
C) Secure Endpointsの場合
1. Secure Endpointsコンソール管理画面へログイン
2. Analysis > Events から当該ファイルのHash値を確認します。
2. Reputation Centerにアクセスします。
Talos File Reputation Center(https://talosintelligence.com/talos_file_reputation) へアクセスします。
3. 対象ファイルのHash値を検索して、レピュテーション情報を確認します。
「Enter a single SHA256 string.」欄にファイルのHash値を入力し、「私はロボットではありません」のチェックボックスを入れて「Search」ボタンを押下します。
4. レピュテーション情報を確認後、“Submit a File Reputation Ticket”より修正依頼を行います。
ユーザ未ログインの場合、「Submit a File Reputation Ticket」を押下時、CISCO LOGIN画面が表示され、お客様のCisco IDでログインします。
Cisco IDでログイン後、再度「Submit a File Reputation Ticket」を押下します。
5. 修正依頼のフォームを入力します。
ファイルのHash値を「Dispute」欄に入力します。「Suggested Disposition」をクリックし、期待される判定を選択します。
False Positiveの場合 は「Clean」、 False Negativeの場合は「Malicious」を選択します。
次に、「Select Platform」をクリックし、ご利用の製品を選択します。
また、一つの修正依頼で最大50件の Hashを入力することが可能です。
1件目のHash値を入力後、「Enter」ボタンを押下し、引き続き別のHash値を追加することが可能です。
複数のHash値に対し、「Bulk Select Platform」を利用して、すべての対象Hashを一つの製品を指定することも可能です。
Hash値を入力後、「Comments and Site Description」欄に、可能な限り当該ファイルの詳細(本来想定される機能・動作)を英語で記述します。
また、検体ファイルがダウンロード可能な場合、ダウンロード先URLを記載します。
最後に「Submit」ボタンを押下し、修正依頼を提出します。
6. 提出後、「My Tickets」から修正状況を確認します。
申請依頼を提出直後は「TICKET ID」はProcessing状態になります。
しばらく経過後、「TICKET ID」が生成されることが確認できます。
Talos側でTicketの内容を確認するため、修正に少々お時間をいただきます。
7. 修正後の確認
修正が完了するとTICKET IDはResolvedに変更されます。COMMENTS欄に説明を確認できます。
再度対象Hashを検索すると、ファイルレピュテーションが修正されていることを確認可能です。
なお、こちらのファイルレピュテーションで修正が完了していると通知があったにも関わらず、製品側で変更が確認できない場合は、製品側のトラブル対応となりますため、Talos File Reputation Centerではなく、TACへのケースオープンをお願いします。
注意事項
- Talos File Reputation CenterはAMPのハッシュエンジンの修正の窓口となり、製品固有の調査を実施することは出来ません。製品の動作・不具合に関するお問い合わせを含む場合やビジネス上の背景等を踏まえた対応が必要な場合は、TACへケースオープンをお願いします。
- 誤検知の確認には時間がかかる場合がございます。特に緊急であり、尚且つFalse Positiveと判断できる情報が十分に揃っている場合は、Application Whitelistへの追加による対応を、お勧めいたします。
- 判定は覆らない場合がございます。予めご承知ください。多くのお問い合わせは正しいと思われるファイルのFalse Positiveの修正依頼になるかと存じますが、その場合、判定が覆らない理由の一例としては以下の場合が考えられます。
- Malwareと類似する挙動が観測できる場合
- 使用者が限定されるファイルであり、製品として対応しないと判断した場合
- 誤判定と判断するのに必要な情報が不足している場合