検出した不正プログラムの確認と復元
検出されたファイルは、不正プログラムであるか不正プログラムを含むファイルであるため、暗号化され、保護されたコンピュータ上の特定のフォルダに移動されています。感染ファイルを表示および復元できるかどうかは、 不正プログラム対策 の設定、およびファイルが検出されたOSによって異なります。
- Windows Agentでは、駆除、削除、または隔離されたファイルを表示して復元できます。
- Linux Agentでは、隔離されたファイルのみを表示して復元できます。
不正プログラムに遭遇したときに生成されるイベントの詳細については、 不正プログラム対策 イベントを参照してください。
検出ファイルのリストを参照する
[イベントとレポート]ページには、識別されたファイルのリストが表示されます。そこから、それらのファイルの詳細を確認できます
- [イベントとレポート]→[イベント]→[不正プログラム対策イベント]→[検出ファイル] の順にクリックします。
- ファイルの詳細を確認するには、ファイルを選択して [表示] をクリックします。
検出ファイルのリストには、次の情報が表示されます。
- 感染ファイル: 感染ファイルの名前と特定のセキュリティ上のリスクを表示します。
- 不正プログラム: 感染した不正プログラムを表示します。
- コンピュータ: 感染の疑いがあるコンピュータ名を表示します。
[詳細] 画面には次の情報が表示されます。
- 検出時刻: 感染したコンピュータ上の、感染が検出された日時。
- 感染ファイル: 感染ファイルの名前。
- ファイルのSHA-1: ファイルのSHA-1ハッシュ。
- 不正プログラム: 検出された不正プログラムの名前。
- 検索の種類: 不正プログラムを検出した検索の種類 (リアルタイム検索、予約検索、または手動検索のいずれか)。
- 実行された処理: Workload Securityが不正プログラムを検出したときに実行した処理の結果。
- コンピュータ: このファイルが検出されたコンピュータ。コンピュータが削除されている場合、このエントリは「不明なコンピュータ」になります。
- コンテナ名: 不正プログラムが検出されたDockerコンテナの名前。
- コンテナID: 不正プログラムが検出されたDockerコンテナのID。
- コンテナイメージ名: 不正プログラムが検出されたDockerコンテナのイメージ名。
検出ファイルを処理する
[検出ファイル] 画面では、検出ファイルに関連するタスクを管理できます。メニューバーまたは右クリックのコンテキストメニューで、次のことを実行できます。
- 復元 検出ファイルを元の場所および条件に復元する。
- [ダウンロード] 検出ファイルをコンピュータから任意の場所に移動する。
- [削除]識別されたファイルを1つ以上コンピュータから削除します。
- 特定されたファイルに関する情報 (ファイル自体ではありません) をCSVファイルにエクスポートします。
- 表示 検出ファイルの詳細を表示する。
- コンピュータの詳細 不正プログラムが検出されたコンピュータの画面を表示する。
- 不正プログラム対策 イベント には、この識別されたファイルに関連付けられた 不正プログラム対策 イベントが表示されます。
- 列の追加/削除 [追加]/[削除] をクリックして列を追加または削除する。
- 検索 特定の検出ファイルを検索する。
検出ファイルを検索する
- 特定の期間内に識別されたファイルのみを表示するには、 Period を使用します。
- Computers を使用して、コンピュータグループまたはコンピュータポリシー別にファイルを整理します。
- [このページを検索] [詳細検索を開く]をクリックして、詳細検索オプションの表示を切り替えます。
詳細検索には、検出ファイルのフィルタリングに使用する検索条件が1つ以上含まれます。各条件は、次の項目から構成される論理文になります。
- ファイルの種類 (感染ファイルまたは不正プログラム) や感染したコンピュータなど、フィルタ対象の検出ファイルの特性
- 演算子:
- 次の文字列を含む: 選択した列の入力内容に検索文字列が含まれる。
- 次の文字列を含まない: 選択した列の入力内容に検索文字列が含まれない。
- 次の文字列に等しい: 選択した列の入力内容と検索文字列が完全に一致する。
- 次の文字列に等しくない: 選択した列の入力内容が検索文字列と一致しない。
- 次のリストに含まれる: 選択した列の入力内容がカンマ区切りで入力された検索文字列1つと完全に一致する。
- 次のリストに含まれない: 選択した列の入力内容がカンマ区切りで入力されたどの検索文字列とも一致しない。
- 値
条件を追加するには、一番上の条件の右にあるプラス記号をクリックします。検索するには、検索アイコンをクリックします。
検索では大文字と小文字は区別されません。
検出ファイルを復元する
ファイルの検索除外を作成する
ファイルを元の場所に復元する前に、検索除外を作成しておく必要がありWorkload Security。そうすることで、ファイルがコンピュータに再表示されてもすぐに再識別されなくなります。
次の手順では、個々のコンピュータでファイルの除外を作成する方法について説明しますが、ポリシーレベルでも同じ設定変更を行うことができます。
- [コンピュータ] 画面を開き、[不正プログラム対策]→[検出されたファイル] の順に選択し、検出されたファイルをダブルクリックしてプロパティを表示します。
- ファイルの正確な名前と元の場所を書き留めます。
- [コンピュータ] 画面で、[不正プログラム対策]→[一般] の順に選択し、有効な不正プログラム検索の横にある [編集] をクリックして、[不正プログラム検索の設定] プロパティを開きます。
- [不正プログラム検索の設定] プロパティで、[除外設定] を選択します。
- [検索除外] 領域で、[ ファイルリスト ]を選択し、ファイルリストがすでに選択されている場合は[編集]をクリックするか、メニューから[ 新規 ]を選択して新しいファイルリストを作成します。
- [ファイルリスト] プロパティウィンドウで、復元するファイルのファイルパスと名前を入力します。[OK]をクリックして、[ファイルリスト] プロパティを閉じます。
- [OK] をクリックして [不正プログラム検索設定] プロパティ画面を閉じます。
- すべての不正プログラム検索設定の編集が完了したら、[コンピュータ] 画面で [保存] をクリックして変更を保存します。
これで、ファイルを復元する準備ができました。
ファイルを復元する
- [コンピュータ] 画面で、[不正プログラム対策]→[検出されたファイル] タブの順に選択します。
- 特定されたファイルを右クリックし、[処理]→[復元] の順に選択し、ウィザードの手順に従います。
これでファイルが元の場所に復元されます。