はじめに
本記事ではAMP for EndpointのConsoleで見られる、「Quarantine: Not Seen」のイベントの意味と発生理由について説明いたします。
こちらのイベントは主にDashboard->Eventsや、Analysis->Eventsからご確認いただけます。
Quarantine: Not Seenの意味
Quarantine: Not Seenは、AMP for Endpointがあるファイルに対してMalware判定を行ったが、何らかの理由で隔離(Quarantine)しなかったことを示す、Eventとなります。「隔離しなかった」とはほとんどのケースでは「隔離しなかった」という意味になりますが、稀に「隔離できなかった」という意味を含める場合もあります。
Quarantine: Not Seenの発生理由
Quarantine: Not Seenが発生する理由は大きく2つございます。
- ほとんどのケースではConnectorがPolicyの設定によって、Audit modeになっている場合(隔離しない設定になっている場合)に発生します。Auditの場合は、ファイルを隔離すること自体を行いません。Maliciousなファイルを隔離することを希望される場合は、Quarantineに変更してください。以下、FireAMP ConsoleのManagement->Policyから、該当PCに適用されているPolicyを開いていただき、File->ModesのFile Conviction Modeをご確認いただけたらと思います。
- 稀なケースでは、他のアンチウイルスソフトやセキュリティソフトとの競合によって、「隔離できなかった」という場合もございます。しかし、そのケースにおいては、ほとんどの場合、Quarantine: Failedのイベントが発生します。
Quarantine: Not Seenのアイコン表示の違い
Quarantine: Not Seenのアイコン表示は、以下の2種類があることが確認されております。
|
既知のMalwareとしてファイルが生成された初期段階からMalware判定された場合に表示されます。 |
|
既存ではUnknownもしくはCleanと判定されていたファイルが後での解析によって、Cloud RecallによってMalware判定されなおした場合に表示されます。 |
発生時の対応
Audit Modeの場合はAMP for Endpointの設定によって隔離していないため、お客様にてセキュリティ対応を実施していただけたらと存じます。
そうではない場合に発生している場合は、該当ファイルが現在どうなっているか(存在しているか否か、他のセキュリティソフトに削除・隔離されたか否か)をご確認いただくことをお勧めいたします。
その際、AMP for Endpointとしてどういった動作を行ったか、TACへの、ケースオープンにて調査対応することは可能でございますが、セキュリティ事故としての対応は致しかねますのでご了承ください。