[FAQ] AMP for Endpointsよくあるご質問

[A] ConnectorのUpgradeを行った場合、再起動が必要なケースにおいては、サービスをUpgrade前の状態で起動しておくことはできません。再起動の必要性については、以下ドキュメントをご確認ください。
[AMP] Windows Connectorアップグレード後のPC再起動について
また、Upgrade時の再起動の制御については、以下ドキュメントをご確認ください。

Policy経由でのConnectorアップグレードの注意点について

[Q] Connectorのバージョンを指定してインストーラを生成したい。

BusinessもしくはPolicyで設定することが可能です。詳しくは以下記事をご確認ください。

[AMP] バージョンを指定したConnectorのインストーラ作成方法

[Q] Connectorのアップグレードをネットワークの負荷がかからないように実行したい。

[A] Policyの設定もしくはサードパーティ製のツールを使ってある程度コントロールすることが可能です。以下ドキュメントをご確認ください。

端末が大量にある環境でConnectorのアップグレードを分散して実行する方法

[Q] AMP Connector で検知してもポップアップしてこない

[A] Policyの設定でコントロールすることが可能です。以下ドキュメントをご確認ください。

AMP Connector で検知してもポップアップしてこない

Device Trajectory

[Q] Device Trajectoryで過去に表示されていたEventが表示されない

[A] 端末の忙しさによって異なりますが、古いEventは表示されない場合がございます。詳しくは以下ドキュメントをご確認ください。

事象：Device Trajectoryで過去に表示されていたファイルのイベントが表示されない

[Q] Device Trajectoryにファイルの詳細情報が表示されない / Cloudに送信したくないファイルの詳細が表示されている。

[A] Policyの設定によって、Device Trajectoryに表示される情報は異なります。詳しくは以下ドキュメントをご確認ください。

事象: Device Trajectoryにファイルの詳細情報が表示されない/Cloudに送信したくない情報が掲載されている

Event

[Q] Analysis -> Eventsで過去に表示されていたEventが表示されない。

[A] 古いファイルは表示されなくなります。定期的にCSVで保存する等が必要となります。詳しくは以下ドキュメントをご確認ください。

事象：Analysis -> Eventsで過去に表示されていたEventが表示されない

[Q] Quarantine: Failedが発生してMalwareの隔離に失敗している。

[A] 一般的には他のソフトウェアとの競合などによって、隔離に失敗していることを示します。詳しくは以下ドキュメントをご確認ください。

事象： Quarantine: Failedが発生しファイルの隔離に失敗する

[Q] Quarantine: Not Seenが発生してMalwareの隔離に失敗している。

[A] 一般的にはConnectorのプロセスがMalwareを隔離しようとする際、既にファイルは無くなっていたことを示します。詳しくは、以下ドキュメントをご参照ください。

Quarantine: Not Seenのイベントの意味と発生した理由について

[Q] AMP : [Application] launched a shell というイベントが通知された

[A] ConnectorからCloudに収集された過去のEvent/Trajectory情報を元にして不正アクセスの痕跡が検出されたことを示唆しています。
しかしながら、必ずしもセキュリティ侵害が発生しているということを示しているわけではなく、疑いがあるというレベルで検出される場合もあります。
詳しくは、以下ドキュメントをご参照ください。
AMP : [Application] launched a shell というイベントが通知された

IP Whitelist / Blocklist / DFC(Device Flow Correlation)

[Q] IP Whitelist / Blocklistを編集することができない

[A] 既知の事象であり、編集することは出来ません。詳しくは以下ドキュメントをご確認ください。

AMP : IP Blacklists & Whitelistsの編集方法について

[Q] DFCのEventが発生しているがパケットがDropされない。

[A] PolicyのNetworkがAuditになっていると考えられます。Policy設定より、Blockに変更してください。

[Q] 業務使用のファイルが隔離されているため、早急に対応したい

[A] 以下手順に従って、Whitelist追加・ファイルのRestoreを実施してください。
AMP : Whitelist(ホワイトリスト)の設定方法について

AMP : 隔離されたファイルの復元方法について

検知エンジン・誤検知関連

[Q] AMPで誤検知（False Positive）が発生しているため、エンジンを修正して欲しい

[A] TACへのケースオープンで、Hashエンジンの判定修正が可能です。ただし、修正には時間がかかるため、緊急対応が必要な場合は、Whitelistの使用を、お勧め致します。詳しくは以下の記事をご確認ください。

[AMP] False Positive/False NegativeのSRオープン時に取得いただく情報について

[Q] Exploit Preventionエンジンによって業務で使用しているアプリケーションが停止されているので対応して欲しい

[A] Exploit Preventionのエンジンに対しては、Exclusion等の設定が出来ませんので、Exploit Preventionが無効になったPolicyを別途用意し、発生している端末をMove to Groupで移動することで一次対応をお願いします。

将来的な修正やその他のWorkaroundの確認のために、以下Exploit Prevention Diagnostic Toolと、DLL Debug Toolの二つのツールを使ったログ取得が必要となります。

[AMP] Exploit Prevention Diagnostic Toolの使用方法

[AMP] Exploit Prevention DLL Debug Toolの使用方法

[Q] Cisco側からFalse Positiveが認められ、修正したと聞いたが未だに検知・隔離し続けている

[A] 端末側にキャッシュが残っていると考えられます。以下ドキュメント（英語）に従って、端末側のキャッシュをクリアするようお願いします。

Removal of the FireAMP Cache and History Files on Windows

[Q] 発生したMalware Eventの意味を確認したい

[A] 全てを網羅しているものはございませんが、以下に一部説明がございますのでご確認ください。

AMP Naming Conventions

[Q] 発生したMalware Eventがどの検知エンジンによって発生したかを確認したい

[A] Device Trajectoryから確認いただくのが確実です。詳しくは以下をご確認ください。

検知したMalwareイベントの検知エンジン特定方法

[Q] 誤検知の疑いのあるファイルが隔離されてしまい、端末側で取得することが出来ない。

[A] File Fetchを使って取得することが可能です。詳しくは、以下ドキュメントをご確認ください。
検体ファイルのローカル端末へのダウンロード方法

[Q] 検知したMalwareが実際に危険なファイルであるかを確認したい。

[A] File Analysisにて、Sandboxで実際の挙動を確認いただき、危険なファイルであるかを客観的に確認することが可能です。詳しくは以下をご確認ください。
File AnalysisとVirusTotalを使った疑わしいファイルのMalware確認方法

[Q] 除外リストに登録したパスにも関わらず、実行されたアプリケーションが検知されてしまう。

[A]除外リストだけではアプリケーション実行の監査を抑止することはできません。
抑止したい場合はホワイトリストへの登録をご検討ください。
詳細については以下にてご案内しております。

AMP : 除外リストとホワイトリストについて

[Q] TETRA Update Serverの具体的な導入方法や注意事項を教えて欲しい

[A]導入方法に関しては、Online helpのAMP Update Serverの項目に記載されておりますが、以下の日本語のドキュメントを用意しておりますので、ご参考にしていただけたらと思います。

AMP Update Serverの導入方法と注意事項

Cloud / Console

[Q] AMP Cloud側の障害や最新のソフトウェアアップデート情報を知りたい

[A] AnnoucementをSubscribeすれば、メールにて情報受信が可能です。詳しくは以下ドキュメントをご確認ください。

AMP Cloudのメンテナンス/障害/アップデート情報の通知について

[Q] AMP Connector/Cloudで検知したイベントをメールで受け取りたい

[A] EventsにてSubscribe設定したFilterを作成することでメールでの受信が可能です。詳しくは以下ドキュメントをご確認ください。

AMP Cloud/Connectorのイベントの通知について

[Q] AMP for EndpointsのCloudサーバ接続に失敗している。

[A] 以下ドキュメントを参照し、FirewallやProxyサーバ経由でのCloud Serverへの疎通に問題ないかをご確認ください。

ConnectorのCloudへのアクセスのためのProxy/DNS/Firewall設定について

Required Server Addresses for Proper AMP Operations

[Q] 端末側には何もアラートは発生していないが、Device Trajectoryで不正アクセスと思わしきメッセージが出ている。

[A] Generic IOC(Cloud IOC)のEvent、もしくはVulnerable SoftwareのEventと思われます。詳しくは以下ドキュメントをご確認ください。

Endpoint IOC(Indicators Of Compromise)とServer Side IOCについて

[Q] Computers / Deployment SummaryにConnectorをインストールした端末が表示されない

[A] Managementサーバへ接続不可能、もしくは、インストール時にRegister処理が行われなかった可能性があります。詳しくは以下ドキュメントをご確認ください。

事象：端末情報がAMP ConsoleのComputersに登録されない

[Q] 日本語の画面を使いたいため、US CloudからAPJC CloudにMigrationしたい

[A] 弊社営業担当までご相談をお願いいたします。しかし、設定に関しては引き継がれず、お客様自身でPolicyの再作成とConnectorの再インストール作業を実施する必要がございますので、その点を踏まえてご依頼いただけたらと思います。

[Q] スマートフォンを書き換えたため、二段階認証（Two-step Verification）でのログインが出来なくなった。

[A] 管理者権限を持った別のユーザ様で、アカウントの二段階認証を解除するか、TACへケースオープンをお願いします。詳しくは以下ドキュメントをご確認ください。
[Q] スマートフォンを買い換えたため、二段階認証（Two-step Verification)でのログインが出来なくなった

ドキュメント

[Q] AMP for Endpoints のドキュメントへのアクセス方法を知りたい。Private Cloud固有のドキュメントへのアクセス方法を知りたい。

[A] 以下のドキュメントをご確認ください。

AMP for Endpointの各種ドキュメントの設置場所

[Q] あるConnectorのバージョンで追加された機能や修正された不具合を確認したい

[A] 以下のAMP for EndpointのRelease noteに記載がございますのでご確認ください。

Release Notes