Endpoint Protection によリ検出された過剰検出を提出する

book

Article ID: 193903

calendar_today

Updated On:

Products

Endpoint Protection

Issue/Introduction

Symantec Endpoint Protection (SEP) が誤って、クリーンで、問題のないファイルを脅威として報告した場合、誤った検出の可能性 (過剰検出) を提出する方法を学習します。

Cause

Endpoint Protection が悪質なコードを識別するために使用する条件は、新たな脅威に対応して常にアップデートされています。最新のソフトウェアや正当なソフトウェアが誤って脅威として分類されてしまうことがあります。

シマンテックでは、悪質なコードのみを識別して分類する際に発生するのエラーを修正するプログラムの定義を定期的にアップデートしています。

Resolution

始める前に

ファイルに感染したユーザーは、日々安全に使用されてきたアプリケーションに変更を加えることができます。最近、コンピュータやネットワーク上でアウトブレークや感染が発生している場合は、アプリケーションが危険にさらされていて、検出が適切である可能性が高くなります。

シマンテックセキュリティレスポンスが誤検知を確認するまで、検出されたすべてのファイルを感染しているものとして取り扱うことをお勧めします。

正当なアプリケーションが誤って識別され、他のアウトブレークが発生していない場合は、以下のベストプラクティスに従ってください。

1. 最新の Rapid Release ウイルス定義を適用する

  1. 最新の Rapid Release ウイルス定義 をダウンロードして適用することで、誤検知が解決される場合があります。
  2. もう一度ファイルをスキャンします。
    最新の Rapid Release ウイルス定義を使用してもファイルが検出される場合は、次の手順に進んでください。

2. 例外を作成する

誤検知が社内のソフトウェアの開発ビルド、または他の理由で生じる場合は、スキャン例外の実装を検討します。フォルダやファイルの拡張子などの条件に基づいて、検出を抑制することができます。

注意: 例外を使用する場合は、細心の注意を払うことを推奨します。

3. シマンテックに調査を依頼する

緊急時以外の誤検知

  1. 推奨される提出マニュアルをご確認ください。
  2. 緊急時以外の誤検知は、https://symsubmit.symantec.com/ Incorrectly Detected by Symantec タブから提出してください。
    緊急時以外のリクエストに対してはサポートケースを作成する必要はありません。

緊急の誤検知

  1. 推奨される提出マニュアルをご確認ください。
  2. 緊急の誤検知は https://symsubmit.symantec.com/ Incorrectly Detected by Symantec タブから提出してください。
  3. サポートにお問い合わせください。誤検知が疑われる場合にサポートを提供し、問題をすばやく解決します。
  4. 以下の情報をサポートへご提供ください。
    SymDiag を実行して、この情報を自動的に収集します。
    • 使用している Endpoint Protection のバージョン。
    • 検出をログに記録するコンポーネント (Auto-Protect、プロアクティブ脅威防止、手動スキャンなど)。
    • 検出時に使用していた定義の正確な日付とリビジョン。
    • 可能な場合は、問題になっているファイルの MD5 (一意のハッシュ識別子) を算出します。
    • (情報が自動的に収集されない場合) 以下に示すようなアプリケーションのソースに関する情報を提供します。
      • このファイル、またはアプリケーションは市販されているものか。
      • ファイル、またはアプリケーションは社内で開発されたものか。
      • ファイル、またはアプリケーションは別のソフトウェアパッケージに含まれているものか。

4. 検疫から誤検知を提出する

検疫済みファイルを分析用に提出するには、「Endpoint Protection で検疫されたウイルス感染の疑いのあるファイルをオンラインで提出する」を参照してください。

5. 検疫から誤検知を復元する

シマンテックが誤検知を確認し、Endpoint Protection の定義をアップデートした後、検疫から誤検知を復元します。


その他の資料

侵入防止システム (IPS) の誤検知の可能性については、「Responding to suspected Intrusion Prevention System (IPS) false positives」を参照してください。