キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

[CSC/AMP] False Positive/False NegativeのSRオープン時に取得いただく情報について

     

    はじめに

    AMP for Endpointの各種エンジンによって、お客様の正しいファイルがFalse PositiveによってMalicious判定され、隔離されてしまった場合、もしくは、False Negativeで本来Malicious判定されなければならないMalwareがClean判定となっている場合に、TACへのSRオープンによって、再判定を依頼することが可能です。

    本記事ではFalse Positive / False Negativeの対応に関するSRをオープンする前に、収集いただきたい情報について、まとめた記事になります。

    収集いただきたい情報

    False Positive/False Negative発生時には、別記事([CSC/AMP] AMP for Endpointの新規SRオープン時に取得する情報)に記載されている情報と合わせて、以下を取得お願いします。

    • 検体のSHA256のHash値
    • 検体をパスワード付きZIPで固めたファイル、およびそのファイル名
      (ZIPパスワードは「infected」でお願いします。)
    • 検体のファイルの本来想定される動作
    • 判定が間違っている理由
    • SRオープン前に確認したこと
      (例:VirusTotalや各種AntiVirusによって動作確認をした等)

    False Positiveに対するWhitelistを使った対処

    False Positiveが発生して、必要なファイルが隔離されてしまった場合、多くのケースでは、Whitelistを使った対処を、お勧めいたします。
    TACへのSRオープンによって、False Positive自体を解消することも可能ではありますが、仮にお客様のファイル自体が、お客様にとっては安全と判断しているものであったとしても、解析の結果、ファイルの挙動がMalwareに類似しているケースではMaliciousの判定が覆らない場合がございます。

    File Analysisを行っている場合

    File Analysisで既にFireAMP Consoleにファイルをアップロード済みの場合、送付なしでも解析を進めることは可能ですが、TACでの動作確認等のために、改めて検体の送付を依頼させていただく場合がございます。

    注意事項

    • 判定は覆らない場合もございます。予めご承知ください。一例としては以下の場合が考えられます。
      • Malwareと類似する挙動が観測できる場合
      • 個人的なファイルであり、製品として対応しないと判断した場合
    • 検体は、その検体のみを含めたZIPファイルを作成いただき、必ずパスワード付きZIPでご送付ください。また、別資料と混同しないためにも、ファイル名をご連絡ください。

     

    バージョン履歴
    改訂番号
    2/2
    最終更新:
    ‎08-31-2017 11:16 AM
    更新者:
     
    ラベル(1)
    寄稿者: