検出した不正プログラムの確認と復元
検出されたファイルは、不正プログラムであるか不正プログラムを含むファイルであるため、暗号化され、保護されたコンピュータ上の特定のフォルダに移動されています。感染ファイルを表示および復元できるかどうかは、 不正プログラム対策 の設定、およびファイルが検出されたOSによって異なります。
- Windows Agentでは、駆除、削除、または隔離されたファイルを表示して復元できます。
- Linux Agentでは、隔離されたファイルのみを表示して復元できます。
不正プログラムに遭遇したときに生成されるイベントの詳細については、 不正プログラム対策 イベントを参照してください。
検出ファイルのリストを参照する
[イベントとレポート] 画面に検出ファイルのリストが表示されます。ここで、検出ファイルの詳細を確認できます。
- [イベントとレポート]→[イベント]→[不正プログラム対策イベント]→[検出ファイル] の順にクリックします。
- ファイルの詳細を確認するには、ファイルを選択して [表示] をクリックします。
検出ファイルのリストには、次の情報が表示されます。
- 感染ファイル: 感染ファイルの名前と特定のセキュリティ上のリスクを表示します。
- 不正プログラム: 感染した不正プログラムを表示します。
- コンピュータ: 感染の疑いがあるコンピュータ名を表示します。
[詳細] 画面には次の情報が表示されます。
- 検出時刻: 感染したコンピュータ上の、感染が検出された日時。
- 感染ファイル: 感染ファイルの名前。
- ファイルのSHA-1: ファイルのSHA-1ハッシュ。
- 不正プログラム: 検出された不正プログラムの名前。
- 検索の種類: 不正プログラムを検出した検索の種類 (リアルタイム検索、予約検索、または手動検索のいずれか)。
- 実行された処理: Workload Securityが不正プログラムを検出したときに実行した処理の結果。
- コンピュータ: このファイルが検出されたコンピュータ。(コンピュータが削除されている場合、このエントリは「不明コンピュータ」と表示されます)。
- コンテナ名: 不正プログラムが検出されたDockerコンテナの名前。
- コンテナID: 不正プログラムが検出されたDockerコンテナのID。
- コンテナイメージ名: 不正プログラムが検出されたDockerコンテナのイメージ名。
検出ファイルを処理する
[検出ファイル] 画面では、検出ファイルに関連するタスクを管理できます。メニューバーまたは右クリックのコンテキストメニューで、次のことを実行できます。
復元 検出ファイルを元の場所および条件に復元する。
ダウンロード 検出ファイルをコンピュータまたはVirtual Applianceから任意の場所にダウンロードする。
削除 1つ以上の検出ファイルをコンピュータまたはVirtual Applianceから削除する。
エクスポート 検出ファイルの情報 (ファイル自体ではない) をCSVファイルにエクスポートする。
表示 検出ファイルの詳細を表示する。
コンピュータの詳細 不正プログラムが検出されたコンピュータの画面を表示する。
不正プログラム対策 イベント には、この識別されたファイルに関連付けられた 不正プログラム対策 イベントが表示されます。
列の追加/削除 [追加]/[削除] をクリックして列を追加または削除する。
検索 特定の検出ファイルを検索する。
検出ファイルを検索する
- [期間] ドロップダウンメニューを使用すると、特定の期間内で検出されたファイルのみを表示できます。
- [コンピュータ] ドロップダウンメニューを使用すると、コンピュータグループまたはコンピュータポリシー別にファイルを表示できます。
- ** [このページを検索] [詳細検索を開く] **をクリックして、詳細検索オプションの表示を切り替えます。
詳細検索には、検出ファイルのフィルタリングに使用する検索条件が1つ以上含まれます。各条件は、次の項目から構成される論理文になります。
- ファイルの種類 (感染ファイルまたは不正プログラム) や感染したコンピュータなど、フィルタ対象の検出ファイルの特性
- 演算子:
- 次の文字列を含む: 選択した列の入力内容に検索文字列が含まれる。
- 次の文字列を含まない: 選択した列の入力内容に検索文字列が含まれない。
- 次の文字列に等しい: 選択した列の入力内容と検索文字列が完全に一致する。
- 次の文字列に等しくない: 選択した列の入力内容が検索文字列と一致しない。
- 次のリストに含まれる: 選択した列の入力内容がカンマ区切りで入力された検索文字列1つと完全に一致する。
- 次のリストに含まれない: 選択した列の入力内容がカンマ区切りで入力されたどの検索文字列とも一致しない。
- 値
条件を追加するには、最上部の条件の右側にある「プラス」ボタン (+) をクリックします。検索するには、検索ボタン (環状矢印) をクリックします。
検索では大文字と小文字は区別されません。
検出ファイルを復元する
ファイルの検索除外を作成する
ファイルを元の場所に復元する前に、 Workload Security がファイルをコンピュータに再度表示しないように検索除外を作成する必要があります。
以下の手順は個々のコンピュータ上でファイルの検索除外を作成する方法を示していますが、同じ設定変更をポリシーレベルで行うこともできます。
- [コンピュータ] 画面を開き、[不正プログラム対策]→[検出ファイル] に進み、検出ファイルをダブルクリックしてそのプロパティを表示します。
- ファイルの正確な名前と元の場所を書き留めます。
- [コンピュータ] 画面を表示したまま、[不正プログラム対策]→[一般] に進み、有効になっている各不正プログラム検索の横にある [編集] ボタンをクリックし、[不正プログラム検索設定] プロパティ画面を開きます。
- [不正プログラム検索設定] プロパティ画面で、[検索除外] タブをクリックします。
- [ 検索除外] 領域で、[ ファイルリスト ]を選択し、ファイルリストがすでに選択されている場合は[編集]をクリックするか、メニューから[ 新規 ]を選択して新しいファイルリストを作成します。
- [ファイルリスト] プロパティ画面で、復元するファイルのパスと名前を入力します。[ OK ]をクリックして、[ファイルリストのプロパティ]ウィンドウを閉じます。
- [OK] をクリックして [不正プログラム検索設定] プロパティ画面を閉じます。
- すべての [不正プログラム検索設定] の編集が終わった後、[コンピュータ] 画面で [保存] をクリックし、変更を保存します。これでファイルを復元する準備ができました。
ファイルを復元する
- [コンピュータ] 画面を表示したまま、[不正プログラム対策]→[検出ファイル] タブに進みます。
- 検出ファイルを右クリックして [処理]→[復元] を選択し、ウィザードの手順に従います。
これでファイルが元の場所に復元されます。