Endpoint Protection 14.x が既知の優良アプリケーションを WS.Reputation1 として検出する

book

Article ID: 221169

calendar_today

Updated On:

Products

Endpoint Protection

Issue/Introduction

信頼できるベンダーの正当なファイル (.exe や .msi など) を Symantec Endpoint Protection (SEP) が WS.Reputation1 として検出する。ポリシーの設定によってはファイルが検疫される。

Cause

WS.Reputation1 の検出は、従来のアンチウイルス/マルウェア検出ではなく、疑わしいファイルを示しています。この検出は、SEP クライアントのインサイト (ファイル評価) 機能によるものです。この検出は、ファイルの作成日やハッシュ、確認回数などの情報に基づき、ブロードコムコミュニティ内でのファイルのグローバル評価がまだ信頼されていないことを示しています。

最も一般的な原因は、アプリケーションの新バージョンなど、ファイルが変更されたことです。新しいバージョンのアプリケーションが SEP クライアント端末に配置されると、SEP クライアントはブロードコムのインサイトデータベースでファイルの情報を検索します。ファイルが新しすぎる場合や、ファイルが信頼できるかどうかを判断するのに十分な使用状況がない場合、SEP クライアントは WS.Reputation1 として検出します。しかし、検出はそのファイルが脅威であることを示すものではなく、使用状況、作成日、その他の要因に基づくブロードコムコミュニティでの普及率に基づいて信頼できないことを示すものです。

しかしながら WS.Reputation1 の検出は、新たな本物の脅威を効果的に捉えることができるため、検出されたソフトウェアが正規のものであり、有効で信頼できるソースから提供されたものであると 100% 確信できる場合にのみ、本技術文書に従ってください。

Resolution

このような状況を解決するには、いくつかの方法があります。

  • 例外ポリシーにファイルのデジタル署名を追加する。
  • ファイルを過剰検知としてブロードコムに調査依頼する。
  • 検疫からファイルを復元し、実行できるようにする。
    注:上記の他の 2 つの方法が何らかの理由で適さない場合にのみ、注意して行ってください。

 

ファイルのデジタル署名を例外ポリシーに追加するには

署名付きソフトウェアファイル/パッケージからデジタル署名/証明書を抽出する方法 を参照してください。
WS.Reputation1 として検出されたファイルが署名されている場合、署名証明書をファイルからエクスポートして、Symantec Endpoint Protection Manager (SEPM) の [ポリシー] - [例外] - [追加] - [Windows の例外] - [証明書] に追加することができます。

ファイルのデジタル署名(証明書)をインポートすることで、同じデジタル署名/証明書で署名されているベンダーのすべてのソフトウェアは、この種のファイル評価検出において信頼されます。WS.Reputation1 の検出を緩和するこの方法は、SEP クライアントの他のモジュール/レイヤーには一切影響しません。ファイルが不適切な方法で動作した場合、SEP は疑わしいまたは悪意のある動作を検出・停止します。 

注: ベンダーの署名入りソフトウェアを使用することには、副次的な利点があります。デジタル署名を行うことで、Windows OS はファイルの整合性を確認することができます。ファイルのハッシュがデジタル署名で計算されたハッシュと一致しない場合は、ファイルの改ざんやその他の悪意のある行為の可能性を示しています。このため、ブロードコムではすべてのお客様にデジタル署名付きのソフトウェアを使用することを常に推奨しています。ソフトウェアが社内で開発されたものである場合も、同様の推奨が適用されます。ソフトウェアに署名し、その証明書を SEPM にインポートしてください。 

 

ファイルを過剰検知としてブロードコムに調査依頼するには

  • Endpoint Protection によリ検出された過剰検出を提出する を参照してください。

    注:
    この方法は、検出時の問題を解決するための有効なオプションですが、長期的には有効でない場合があります。ファイルの内容が時間の経過とともに変化し、当初のホワイトリストが有効でなくなることがあるためです。ファイルがホワイトリストに登録されていたサンプルとして認識されなくなり、再び検出される可能性があります。

 

SEP の検疫からファイルを復元するには

Additional Information

  • "WS" を含む検出名 (WS.Malware.2、WS.Viral.1、WS.SecurityRisk.3 など) は、ファイル評価、インサイトにも関連しており、本技術文書の情報が適用されます。
  • WS.Reputation.1 の過剰検出はクラウド上で修正されるため、お客様が新しい定義をダウンロードする必要は通常はありません。これらの修正はほぼ即時に行われます。