search cancel

過剰検出されたファイルを検疫から復元する

book

Article ID: 214767

calendar_today

Updated On:

Products

Endpoint Protection

Issue/Introduction

Symantec Endpoint Protection (SEP) が、あるファイルを悪意のあるものとして認識、検疫したが、管理者が過剰検出と判断し、セキュリティレスポンスにファイルを提出した。セキュリティレスポンスが当該の検出を行わないよう新しい定義をリリースしたが、新しい定義をSEP がインストールし検疫場所をスキャンをした。

検疫の設定が "修復" に設定されているにもかかわらず、ファイルは検疫されたままで元の場所に復元されない。

Cause

Symantec Endpoint Protection は、ファイルが感染していて、かつ、そのファイルの修復が実際に可能な場合に限り、検疫からファイルを修復・復元する機能を持っています。

過剰検知の場合は、修復するものがないため、ファイルは検疫されたままとなります。

Resolution

ファイルは、製品のユーザーインターフェース (GUI) または QExtract ツールを使用して手動で検疫場所から復元できます。

SEP クライアントの GUI でファイルを復元する:

1. Symantec Endpoint Protection インターフェースを開きます。
2. 左側のメニューから [検疫の表示] を選択します。
3. 検疫内のファイルを選択して [復元]を選択します。
4. [選択したファイルを復元してよろしいですか] というプロンプトが表示されたら、[はい] を選択して復元されたことを確認します。


QExtract を使ってファイルを復元する:

インストール CD の Tools\NoSupport フォルダに QExtract という未サポートのツールを用意しています。
このツールの使用方法については、付属の QuarantineExtract.html ファイルを参照してください。
このユーティリティは、複数のシステムからファイルを復元するために使用することができます。
このツールは、bin ディレクトリ (C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\<version>\Bin) から実行する必要があります。


SEPM の [アプリケーションの許可] 例外でファイルをスキャン除外し復元する:

警告:検出されたファイルが過剰検知であることが 100% 確認できるまで、[アプリケーションの許可] 例外の作成を待つことを強くお勧めします。この方法でファイルを除外することにより、影響を受けるシステム上のすべての保護技術と場所からファイルをスキャン除外することになります。

1. Symantec Endpoint Protection Manager (SEPM) コンソールを開きます。
2. [監視] - [ログ] を選択します。
3. [ログの種類」で [リスク] を選択し、必要に応じて時間範囲を指定して [ログの表示] ボタンをクリックします。
4. 過剰検知であるリスクを選択し、[処理] の下にあるプラスアイコンをクリックして [アプリケーションを許可] をクリックします。
5. [アプリケーションを許可] か [例外ポリシーにリスクを追加] を選択します。
6. [既存の例外ポリシーに項目を追加する] または [新しい例外ポリシーに項目を追加する] のいずれかを選択し、[変更を保存] ボタンをクリックします。
7. ポリシーが SEP クライアントに展開され、SEP クライアントがポリシーを更新するまで待ちます。
8. SEP クライアントは、新しいアプリケーション例外または既知のセキュリティリスクを自動的に復元します。
9. SEP クライアントの GUI の [検疫の表示]で、クライアント上で復元が行われたことを確認します。


検疫内のファイルの自動修復・復元機能を使用してファイルの復元する:

1. 過剰検知が発生したクライアントのウイルス定義ファイルを、過剰検知が修正されたバージョンに更新します。
2. クライアントが LiveUpdate または SEPM から更新されたウイルス定義ファイルを受け取ると、クライアントは自動的に検疫を再スキャンして、検疫からファイルを復元します。

ウイルスとスパイウェアの対策ポリシー内の [拡張オプション] - [検疫]で、[検疫項目を自動的に修復して元の場所にサイレントに復元する] オプションがチェックされていることを確認してください。

注意: 検出されたファイルがセキュリティリスクの場合、Auto-Protect のデフォルトの第 1 の処理は [リスクを検疫] です。マルウェアまたはウイルスに対する Auto-Protect の第 1 の処理を、デフォルトの [リスクをクリーニング] ではなく [リスクを検疫] に変更する必要がある場合があります。Auto-Protect の処理は、[ウイルスとスパイウェアの対策ポリシーの [Auto-Protect] - [処理] タブで設定できます。

Additional Information

[English version] Restoring a false positive file detection from the Endpoint Protection quarantine