Symantec Endpoint Protection がファイルを検出し、削除または検疫に成功した。ポップアップ通知には脅威の名前が表示されるが、この表示名は非常に広い範囲を示すファミリーの場合がある (例えば Trojan.Horse など)。組織内の他の場所で検出されたのと同じ Trojan.Horse であるかどうかを管理者が確認できるよう、検出されたファイルの固有のハッシュを確認する方法はあるか。
もしくは、新しい脅威が発表されたが、SEP が検知できるかを判断する方法はあるか。
シマンテックは SymSubmit でハッシュ値の調査を提供しています。
ハッシュ値のリストは以下の方法で提出できます。
1. https://symsubmit.symantec.com/ にアクセスします。
2. [Not Detected by Symantec」タブを選択します。
3. "Provide an MD5 or SHA-256 hash of a file(s)" ドロップダウンを選択します。
4. "File Hash(s)" フィールドに最大 20 個のハッシュを入力します。注意:ファイルはコンマまたは空白で区切ってください。
5. "Your Details" セクションを入力します。
6. "Submit" を選択します。
7. Symantec 製品がこのファイルを検出しなかった場合や、データがない場合は、送信時にメッセージが表示されます。それ以外の場合は、送信後に検出に関する詳細なレポートがメールで送られてきます。
ファイルのハッシュ値を確認する方法の支援が必要な場合は、以下を参照してください: checksum.exe を使ったファイルフィンガープリントリストの作成
検出されたファイルのハッシュを見つける必要がある場合、SEP クライアントから、または Symantec Endpoint Protection Manager (SEPM) からエクスポートされたリスクログから、検出されたファイルの固有のハッシュ値を確認することが可能です。
1. SEP クライアントインターフェイスを開きます。
2. [ログの表示] をクリックします。
3. [ウイルスとスパイウェアの対策] の横にある [ログの表示] - [リスクログ] をクリックします。
4. 問題のエントリをダブルクリックして [リスクの詳細] を表示します。ハッシュがわかっている場合は、そのハッシュが表示されます。
1. SEPM コンソールを開きます。
2. [監視] - [ログ] を選択します。
3. [ログの種類] を [リスク] としてログを表示します。
4. 生成されたレポートをエクスポートします。
5. エクスポートした csv を表計算ソフトで開きます。SEPM コンソールでは画面に表示されなかった [アプリケーションハッシュ] が含まれています。
6. データを分析するために、コンピュータ名やアプリケーションのハッシュなどでフィルタリングすることができます。
注意:このレポートで表示されるハッシュを使用することは、同じ亜種が組織全体で検知されているかどうかを判断するための非常に粗い方法です。SHA は常に SEP で利用できるわけではなく、マルウェア作成者は異なるパッカーやその他のツールを使用して、同じ脅威に対して異なるハッシュを作成し、ファイル感染型の脅威は常に異なるハッシュになり、ポリモーフィック型の脅威も同様に常に異なるハッシュになります。
しかし、特定の状況下では、この種の分析はセキュリティ管理者にとって非常に有用です。あるコンピュータでまったく同じ Trojan.Horse の亜種が何度も検出されているのか(検出されていないプロセスが継続的に再感染を試みていることを示しています)、それとも Trojan.Horse ファミリーに属する複数の異なる脅威に感染しているのか、あるいは組織内の複数のコンピュータがまったく同じダウンローダーの亜種に遭遇しているのか。どのような Web サイトにアクセスしたのでしょうか? もしそれがイントラネットの URL であれば、セキュリティ管理者はすぐにその Web サーバーを調べるべきです。