検出されたファイルは、不正プログラムであるか不正プログラムを含むファイルであるため、暗号化され、保護されたコンピュータ上の特定のフォルダに移動されています。感染ファイルを表示および復元できるかどうかは、 不正プログラム対策 の設定、およびファイルが検出されたOSによって異なります。
  • Windowsエージェントでは、クリーン、削除、または隔離されたファイルを表示および復元できます。
  • Linux Agentでは、隔離されたファイルのみを表示して復元できます。
不正プログラムに遭遇したときに生成されるイベントの詳細については、不正プログラム対策イベントを参照してください。

検出ファイルのリストを参照する 親トピック

[イベントとレポート]ページには、識別されたファイルのリストが表示されます。そこから、それらのファイルの詳細を確認できます。

手順

  1. [イベントとレポート]をクリック > [イベント] > [不正プログラム対策イベント] > [特定されたファイル]
  2. ファイルの詳細を確認するには、ファイルを選択して [表示] をクリックします。
    検出ファイルのリストには、次の情報が表示されます。
    • 感染ファイル: 感染ファイルの名前と特定のセキュリティ上のリスクを表示します。
    • 不正プログラム: 感染した不正プログラムを表示します。
    • コンピュータ: 感染の疑いがあるコンピュータ名を表示します。
    [詳細] 画面には次の情報が表示されます。
    • 検出時刻: 感染したコンピュータ上の、感染が検出された日時。
    • 感染ファイル: 感染ファイルの名前。
    • ファイルのSHA-1: ファイルのSHA-1ハッシュ。
    • Malware: 検出された不正プログラムの名前。
    • 検索の種類: 不正プログラムを検出した検索の種類 (リアルタイム検索、予約検索、または手動検索のいずれか)。
    • 実行された処理: Workload Securityが不正プログラムを検出したときに実行した処理の結果。
    • コンピュータ: このファイルが検出されたコンピュータ。コンピュータが削除されている場合、このエントリは不明なコンピュータになります。
    • コンテナ名: 不正プログラムが検出されたDockerコンテナの名前。
    • コンテナID: 不正プログラムが検出されたDockerコンテナのID。
    • コンテナイメージ名: 不正プログラムが検出されたDockerコンテナのイメージ名。

検出ファイルを処理する 親トピック

[Identified Files] 画面では、検出ファイルに関連するタスクを管理できます。メニューバーまたは右クリックのコンテキストメニューで、次のことを実行できます。
  • anti_malware_restore_quarantine_file=5d4688cf-b9cc-44e7-9600-9221503acc9b.png 特定されたファイルを元の場所と状態に[復元]します。
  • anti_malware_quarantine_file_download=b62fba6a-7a36-44f3-aece-5884ffd03d1e.png コンピュータから識別されたファイルを任意の場所に[ダウンロード]します。
  • delete=01e6ef2f-2806-4564-83a5-b8c2fa88f574.png 1つ以上の識別されたファイルをコンピュータから[削除]します。
  • export=66b8bd2a-c781-4eb6-afb6-b7bbbd57535a.png 特定されたファイルに関する情報 (ファイル自体ではなく) をCSVファイルに[エクスポート]します。
  • details=03aeb796-4b32-416d-950d-c3fd30699bdb.png 識別されたファイルの詳細を[表示]します。
  • details=03aeb796-4b32-416d-950d-c3fd30699bdb.png [コンピュータの詳細]は、不正プログラムが検出されたコンピュータの画面を表示します。
  • details=03aeb796-4b32-416d-950d-c3fd30699bdb.png [不正プログラム対策イベントを表示]は、この識別されたファイルに関連する不正プログラム対策イベントを表示します。
  • columns=a33fe46c-efa4-4d06-b3c4-287139c3d613.png[列の追加または削除]には、[追加/削除]をクリックしてください
  • search=7efa85f9-82ea-4efa-ab5b-5053a60178cd.png 特定の識別されたファイルを[検索]します。

検出ファイルを検索する 親トピック

  • 特定の期間内に識別されたファイルのみを表示するには、[Period] を使用します。
  • [コンピュータ] を使用して、コンピュータグループまたはコンピュータポリシー別にファイルを整理します。
  • [このページを検索][詳細検索を開く]をクリックして、詳細検索オプションの表示を切り替えます。
2016-07-08_000132_DS10=586a19e5-a621-49fe-ae38-ab2802fa5720.png
詳細検索には、検出ファイルのフィルタリングに使用する検索条件が1つ以上含まれます。各条件は、次の項目から構成される論理文になります。
  • ファイルの種類 (感染ファイルまたは不正プログラム) や感染したコンピュータなど、フィルタ対象の検出ファイルの特性
  • 演算子:
    • 次の文字列を含む: 選択した列の入力内容に検索文字列が含まれる。
    • 次の文字列を含まない: 選択した列の入力内容に検索文字列が含まれない。
    • 等しい: 選択した列の入力内容と検索文字列が完全に一致する。
    • 等しくない: 選択した列の入力内容が検索文字列と一致しない。
    • 次のリストに含まれる: 選択した列の入力内容がカンマ区切りで入力された検索文字列1つと完全に一致する。
    • 次のリストに含まれない: 選択した列の入力内容がカンマ区切りで入力されたどの検索文字列とも一致しない。
条件を追加するには、一番上の条件の右にあるプラス記号をクリックします。検索するには、検索アイコンをクリックします。
検索では大文字と小文字は区別されません。

検出ファイルを復元する 親トピック

ファイルの検索除外を作成する 親トピック

ファイルを元の場所に復元する前に、検索除外を作成しておく必要がありWorkload Security。そうすることで、ファイルがコンピュータに再表示されてもすぐに再識別されなくなります。
次の手順では、個々のコンピュータでファイルの除外を作成する方法について説明しますが、ポリシーレベルでも同じ設定変更を行うことができます。

手順

  1. [コンピュータ] 画面を開き、[不正プログラム対策][検出されたファイル] の順に選択し、検出されたファイルをダブルクリックしてプロパティを表示します。
  2. ファイルの正確な名前と元の場所を書き留めます。
  3. まだ[コンピュータ]ページにいる場合は、[不正プログラム対策 ][ General]に移動し、実行中の各不正プログラム検索の横にある[編集]をクリックして[不正プログラム検索設定]プロパティを開きます。
    2016-07-07_000116_DS10=daa912cb-b6b6-40e7-b2a4-1b28f63dda13.png
  4. [不正プログラム検索設定]のプロパティで、[除外]を選択します。
  5. [検索除外] 領域で、[ファイルリスト] を選択し、ファイルリストがすでに選択されている場合は[編集]をクリックするか、メニューから[新規] を選択して新しいファイルリストを作成します。
  6. [ファイルリスト] プロパティウィンドウで、復元するファイルのファイルパスと名前を入力します。[OK]をクリックして、[ファイルリスト] プロパティを閉じます。
    2016-07-08_000124_DS10=a7869887-ada2-441b-96fb-c75275b539d9.png
  7. [OK] をクリックして [不正プログラム検索設定] プロパティ画面を閉じます。
  8. すべての [不正プログラム検索設定] の編集が終わった後、[コンピュータ] 画面で [保存] をクリックし、変更を保存します。
    これで、ファイルを復元する準備ができました。

ファイルを復元する 親トピック

手順

  1. [コンピュータ]ページにいる場合は、[不正プログラム対策][検出されたファイル]タブに移動します。
  2. 特定されたファイルを右クリックし、[処理][復元] の順に選択し、ウィザードの手順に従います。
    これでファイルが元の場所に復元されます。