Symantec Endpoint Protection (SEP) がヒューリスティックにファイルを検出しないようにしたい。

常に変化する脅威に対応するために、エンドポイントを未知の脅威から保護するための積極的な取り組みをシマンテックでは行っています。この事は SEP に新しいヒューリスティック技術を追加することに主に現れています。

積極的な検知によりユーザーを脅威からよりよく守ることができますが、ヒューリスティックな検知には過剰検出 (いわゆる誤検知。False Positive) のリスクが伴います。当社のヒューリスティック技術は、既知の良いファイルの総数と既知の悪いファイルの総数の両方に基づいて設計されているため、当社の製品がこれまで目にしたことのないユーザーのファイルに対しては過剰検出のリスクは未知数です。SEP を大規模に導入している企業では、社内アプリケーションや基幹業務アプリケーションが誤って検出された場合、重要な業務機能が失われる可能性があります。

報告されたすべての過剰検出に緊急に対処するようシマンテックは常に努力していますが、マネージドな展開を行っている大規模な組織で社内や業界特有のアプリケーションを実行している場合にはより明確な除外ガイドラインを提供し、Symantec Endpoint Protection Manager (SEPM) の管理者が、自社環境で広範囲に及ぶ誤検出をどのように処理するかについて十分な情報を得た上で判断できるようにしたいと考えています。

SEP で以下のタイプの検出があった場合、

• Bloodhound.SONAR.*
• SONAR.*
• Suspicious.*
• Proactive Threat Protection
• Client Protection

社内やビジネスに不可欠なアプリケーションである場合は検出されたファイルを除外するとともに、検出されたファイルを SymSubmit の [Clean Software incorrectly detected] タイルで報告されることを推奨します。

除外は様々な方法で行うことができますが、常に賢明な選択でもって問題を解決するために最も狭い範囲の除外を行うことを管理者の方にはお勧めします。除外は以下の方法で行うことができます。

• ファイルハッシュ
• ファイル名
• 検出名
• 検知クラス
• ディレクトリ

ディレクトリをスキャンから除外すると実際のワームやウイルスの社内アウトブレイクシナリオが通常よりも大幅に悪化する可能性があるため、特にディレクトリの除外は非常に慎重に使用する必要があります。

過剰検出や過剰検出疑いに対処する際には上記の点に留意してください。また質問やさらなる指導や支援が必要な場合には遠慮なくシマンテックのサポートに連絡してください

[英語文書] Exclusion Guidelines for Endpoint Protection