search cancel

ネットワーク上のウイルス駆除とトラブルシューティング

book

Article ID: 230604

calendar_today

Updated On:

Products

Endpoint Protection

Issue/Introduction

ネットワーク上のセキュリティの脅威への対応方法や、ウイルス駆除とトラブルシューティングのベストプラクティスを知りたい。

Resolution

セキュリティの脅威やウイルス感染への対応方法は次の手順で構成されます。

手順 1: 脅威と攻撃ベクトルを特定する

脅威を封じ込めて除去するには、コンピュータ上に存在するすべての脅威を確認し、その目的について理解する必要があります。また、脅威がネットワーク上に伝播するときに利用する手法についても理解する必要があります。

脅威を特定するには、感染した、または感染が疑われるファイルを特定したかどうかに応じて、該当する条件の下に記載されている手順を実行します。

感染した、または感染が疑われるファイルを特定している

SEP (Symantec Endpoint Protection) が脅威を検出していますが、脅威に関する追加情報が必要です。または、Symantec Endpoint Protection は脅威を検出していませんが、悪質であると思われるファイルを特定しました。

1. シマンテックセキュリティレスポンスにファイルを提出します。

シマンテックセキュリティレスポンスは、既知の悪質なファイルをすべて特定できます。追加情報が必要になった場合は、シマンテックセキュリティレスポンスにファイルを提出して、詳しい調査を行うことができます。そのファイルが新しい悪質なファイルである場合、シマンテックセキュリティレスポンスはそれを検出するためのウイルス定義を作成できます。

2. Auto-Protect を設定してネットワークスキャンを実行します。

ネットワークスキャンを実行すると、リモートコンピュータからアクセスするファイルが Auto-Protect でスキャンされます。これにより、マルウェアの感染が広がることを防止できます。また、感染したコンピュータ上で Auto-Protect が動作していないときに、脅威が特定される場合もあります。

感染した、または感染が疑われるファイルを特定していない

Endpoint Protection は脅威を検出していませんが、感染したファイルが存在する場合はそのファイルを特定する必要があります。

1. SymDiag: 脅威の一般的なロードポイントを確認します。

SymDiag (Symantec Diagnostic Tool) は、多くのシマンテック製品を対象として、技術的な診断データを収集します。SymDiag の脅威分析スキャンでは、コンピュータ上で自動的に起動するファイルの危険度を確認できます。

2. ヒューリスティック: Symantec Endpoint Protection のヒューリスティックレベルを上げます。

ヒューリスティックレベルを上げると、Symantec AntiVirus は脅威の動作に基づいて、より多くの脅威を検出できます。

3. ネットワークスキャン: Auto-Protect を設定してネットワークスキャンを実行します。

ネットワークスキャンを実行すると、リモートコンピュータからアクセスするファイルが Auto-Protect でスキャンされます。これにより、マルウェアの感染が広がることを防止できます。また、感染したコンピュータ上で Auto-Protect が動作していないときに、脅威が特定される場合もあります。

脅威とその動作を特定するための、Endpoint Protection の追加リソース

Endpoint Protection は、企業環境内で脅威のトラブルシューティング、封じ込め、修復を行うために役立つ追加ツールを備えています。

基本的な手順

    • SEP クライアントをインストールした端末に侵入防止機能を追加する方法 (低負担)
    • プロアクティブ脅威防止の感度を上げる方法

高度な手順

 

手順 2: 感染したコンピュータを特定する

脅威を特定したら、他のコンピュータも感染しているかどうかを確認する必要があります。

Endpoint Protection を使用して感染したコンピュータを特定できますが (詳しくは、「Endpoint Protection Manager のレポートとログを使用した、感染したコンピュータの特定」を参照)、追加の手順が必要になる場合もあります。

(推奨される手順) 脅威の亜種を検出するシグネチャファイルを使用して、ウイルス定義を更新します。

  1. 感染した 1 台のクライアントに正しいウイルス定義をダウンロードしてインストールします。
  2. コンピュータをスキャンして、検出と修復が適切に行われることを確認します。
  3. Auto-Protect を設定してネットワークスキャンを実行します。
  4. 影響を受けたネットワーク全体にウイルス定義を配備します。
  5. すべてのコンピュータをスキャンして、感染しているコンピュータを特定します。

    注意: スキャンによって、感染したコンピュータの大部分がクリーニングされる可能性があります。

  6. スキャンで脅威を修復できなかったコンピュータを検疫します。

(次に推奨される手順) 脅威に対応するウイルス定義がまだ使用できない場合や、ネットワークの一部が Endpoint Protection で保護されていない場合は、感染が疑われるコンピュータを別の方法で特定します

脅威が通信に使用している外部 IP アドレスまたは URL の DNS サーバーのログまたは境界ファイアウォールのログを監視します。 これによって、感染した可能性のあるコンピュータを特定できます。

感染したコンピュータを特定するためのヒント

Endpoint Protection は、企業環境内で脅威のトラブルシューティング、封じ込め、修復を行うために役立つ追加ツールを備えています。

 

手順 3: 感染したコンピュータを検疫する

脅威を特定し、その脅威の感染がどのように広がるかを理解したら、その脅威がネットワークを通じて感染を広げるのを防止する必要があります。

危殆化したコンピュータをネットワークから削除するか、検疫ネットワークに移動することが重要です。削除または移動しないと、ネットワーク上の他のコンピュータに脅威が感染して感染が広がります。

(推奨される方法) 感染したコンピュータをネットワークから削除します。

感染したコンピュータからネットワークケーブルを物理的に外し、すべての無線接続を無効にします。

(次に推奨される方法) 感染したコンピュータを検疫ネットワークに移動します。

危殆化したコンピュータがミッションクリティカルなため、ネットワークから隔離できないことがあります。感染状況に応じて、ネットワークアクセスを厳しく制限した検疫ネットワークに、危殆化したコンピュータを隔離できる場合があります。この方法が機能するのは、脅威の活動が、危殆化したコンピュータに必要な機能を利用していない場合のみです

検疫ネットワークは、脅威が他のコンピュータに伝播する際に必要とするトラフィックを制限するように設計されたサブネットです。検疫ネットワークに移動することで、感染したコンピュータの使用が制限されます。

  • サブネットまたは VLAN を作成し、トラフィックを制限するようにネットワークデバイスを設定する方法について、理解する必要があります。
  • 脅威の感染が広がる方法について理解する必要があります。

(例外) ネットワークからの削除や検疫が不可能な場合

ビジネス上の必要性から、感染したシステムを検疫できなかったり、ネットワークから削除できない場合があります。このようなシステムを現在のサブネット内で実行しながら脅威の感染が広がるのを防止するには、特別なルールを設定する必要があります。脅威が利用する攻撃ベクトルに応じて、以下に示す処理を任意に組み合せます。

 注意: この処理には高いリスクが伴います。リスクを厳密に評価してから、手順に従ってください。詳しくは、手順 5 を参照してください。

  • 開いている共有ファイルやフォルダをすべて閉じます。
  • ファイルサーバーに接続するときにユーザーに再認証を求めます。
  • Windows の自動再生機能を無効にします。これは、レジストリキー、グループポリシーオブジェクト、またはアプリケーションとデバイス制御ポリシーを使用して行うことができます。
  • 書き込み可能な USB ドライブの使用を制限します。これは、レジストリキー、グループポリシーオブジェクト、またはアプリケーションとデバイス制御ポリシーを使用して行うことができます。
  • ネットワークドライブ上の実行可能ファイルを読み取り専用に設定します。

感染したコンピュータを検疫するための、Endpoint Protection の追加リソース

Endpoint Protection は、企業環境内で脅威のトラブルシューティング、封じ込め、修復を行うために役立つ追加ツールを備えています。

 

手順 4: 感染したコンピュータをクリーニングする

脅威を個別のコンピュータに隔離したら、脅威を削除してその副作用を元の状態に戻すことができます。ここに示す手順を実行する際には、次の点を確認する必要があります。

  • 危殆化したコンピュータを再構築/再インストールする方が費用対効果が高いか。
  • その脅威をウイルス対策スキャンを実行してコンピュータから簡単に削除できるか。追加のタスクが必要か。
  • 脅威によって、感染したコンピュータにシステム変更が加えられているか。変更が加えられている場合は元に戻す必要があるか。
  • コンピュータをいつネットワークに戻すのが安全か。

バックドアおよびルートキット

バックドアやルートキットが存在する場合は、危殆化したコンピュータをクリーニングする前に、危殆化のレベルを検討する必要があります。これらの悪質なコードサブクラスは、脅威の作成者によるアクセスを可能にし、悪質なファイルや活動を隠蔽します。

どちらについても、コンピュータに加えられた損傷の範囲を特定することは難しく、コンピュータから悪質な機能をすべて削除することがより困難になる場合があります。このような場合は、オペレーティングシステムを再イメージ処理し、感染していないバックアップから必要なデータを復元する方が容易なことがよくあります。

1. ウイルスによる処理を停止する

コンピュータから悪質なファイルを削除するには、脅威が利用している処理をすべて停止する必要があります。これを行うための主要なオプションが 3 つあります。

  • ウイルス対策スキャン: 手動でスキャンを実行できる最も簡単なオプションで、コンピュータをスキャンして悪質な処理を検出すると、その処理を停止します。
    クライアント上でスキャンを実行するには、[状態]ページの[ウイルスとスパイウェアの対策]の横で、[オプション] > [アクティブスキャンの実行]を選択します。
  • セーフモード: セーフモードでコンピュータを再起動すると、脅威の大部分がロードされるのを防げます。その後で、悪質なファイルを手動で削除するか、スキャンを実行します。

2. 悪質なファイルを削除する

コンピュータから脅威を削除する最も簡単な方法は、危殆化したコンピュータ上でシステムの完全スキャンを実行することです。最新の定義がインストールされていれば、ほとんどの場合、インシデントの発生なしで脅威を削除できます。脅威がワームやトロイの木馬である場合、ファイルは手動で削除できます。

注意: 感染しているファイルと未感染のファイルを見分けるのは不可能であるため、ファイル感染の場合にファイルを手動で削除しないようにしてください。脅威は複雑化しており、手動で削除を行うと、何かを見落とす恐れがあります。

3. 脅威によって加えられた変更を元に戻す

脅威は、ファイルをインストールするだけでなく、コンピュータに多くの変更を加える可能性があります。また、コンピュータの設定を変更することで、セキュリティレベルやシステム機能を低下させることもあります。

多くの場合、Endpoint Protection でこれらの設定をデフォルトの安全な設定に戻すことができます。場合によっては、脅威を削除した後に、設定内容を確認したり、手動で復元したりする必要があります。これらの設定は、ネットワークのニーズに合わせて調整できます。

以前の設定を特定できないため、シマンテック社のソフトウェアを使用して変更を元に戻せない場合もあります。

4. レジストリ変更を確認する

脅威は、レジストエントリを作成または変更して、オペレーティングシステムの起動時に脅威をロードしたり、Windows ファイアウォールを経由してインターネットにアクセスしたりできるようになります。

脅威を削除した後にこれらのエントリを変更せずにいると、コンピュータの起動時やコンピュータの使用中にエラーメッセージが表示されることがあります。場合によっては、コンピュータの再起動後にユーザーがログインできなくなることもあります。

脅威によって追加されたすべてのレジストリエントリを削除するか、コンピュータのデフォルト設定を復元する必要があります。また、可能な場合は、より安全な設定に変更してください。これは、手動で実行することも、スクリプトまたはグループポリシーオブジェクトを使用して実行することもできます。

5. システムファイルおよびソフトウェアを確認する

脅威は、オペレーティングシステムが使用する、いくつかのシステムファイルを利用することがあります。コンピュータをクリーニングする際には、次のアイテムが変更されていないか確認する必要があります。

  • Windows ホストファイル: Windows ホストファイルは、DNS サーバーに照会する場合とは異なり、ドメイン名と IP アドレスをローカルでマップします。脅威は、このファイルを変更してユーザーが悪質な Web ページにリダイレクトされるようにしたり、www.symantec.com などのセキュリティ Web サイトにアクセスしないようにしたりする可能性があります。
    脅威がホストファイルにエントリを追加した場合は、それらをコメント化できます。ネットワーク機能に影響がない場合、これらのエントリは不要であると考えられ、安全に削除できます。
  • ウイルス対策ソフトウェア: 一部の脅威はコンピュータにインストールされているウイルス対策ソフトウェアを攻撃します。これが成功すると、ウイルス対策ソフトウェアが脅威を警告しなかったり、定義を更新できなくなったりします。
    危殆化したコンピュータでこの問題が発生した場合は、ウイルス対策ソフトウェアの整合性を確認し、必要に応じて再インストールしてください。

6. コンピュータをネットワークに再導入する

コンピュータが正常にクリーニングされた後は、最新の定義でウイルス対策スキャンを実行して、もう一度安全チェックを行うことをお勧めします。スキャンで正常にクリーニングされていることを確認できたら、実働ネットワークにコンピュータを再接続します。

注意: 適切に修復され二次的症状が見られないことを確認するため、一度に 2、3 台のコンピュータのみを接続してください。

感染したコンピュータを Endpoint Protection でクリーニングするための追加ヒント

Endpoint Protection は、企業環境内で脅威のトラブルシューティング、封じ込め、修復を行うために役立つ追加ツールを備えています。

 

手順 5: 後処理: 再発を防止する

 

インシデントの再検証とネットワーク監査

脅威を削除した後で、次の処理を実行する必要があります。

  • インシデントを再検証し、将来この種類の攻撃を回避するために必要な変更を内部プロセスおよび手順に加えます。
  • セキュリティチームとともにネットワーク監査を実行して、脅威がネットワークに侵入した方法を特定します。手順 1 で脅威の攻撃ベクトルについて理解していると、ここで役に立ちます。
  • セキュリティ手段を講じてインシデントの再発を防止します。

セキュリティと使いやすさは反比例し、セキュリティを高めるとタスクの実行手順が増えるという意見もあります。ただし、使いやすさは効率性を高める一方で、セキュリティホールを開いて脅威を伝播しやすくすることがあります。アクセスの容易さと操作のしやすさを実現する技術が、ネットワークの弱点を生みます。

再感染という通念

通常の状況下でベストプラクティスを実行している場合、セキュリティソフトウェアが脅威を検出せずに保護されたハードディスクドライブが再感染する可能性はありません。再感染が疑われる場合は、システムとセキュリティソフトウェアの設定を再確認します。また、以下に記載したセキュリティ上の弱点を再検証して、一般的な感染のベクトルが遮断されていることを確認してください。

脆弱性に対するパッチ適用

脆弱性はコンピュータソフトウェアの欠陥であり、悪質なコードによって利用されることがあります。ソフトウェアの製造元が提供するパッチを適用することで、これらの欠陥を修復し、セキュリティインシデントを防止できます。

ネットワークにパッチと設定の管理ポリシーを設定し、新しいパッチをテストしてクライアントコンピュータにロールアウトする必要があります。

  • パッチの適用計画は、オペレーティングシステムやブラウザのアドオンだけでなく、配備されているすべてのソフトウェアについて作成する必要があります。
  • コンピュータにインストールされているソフトウェア (オフィスユーティリティ、データベース、Web サーバーアプリケーションなど) を定期的にカタログ化して、更新プログラムを確認します。
  • 社内で開発したコードを定期的に監査して、セキュリティホールがないかどうかを確認し、可能な限り迅速に修正します。
  • ルーターやプリンタなどのアプライアンスについても、ソフトウェアの更新プログラムがあるかどうかを定期的に確認し、迅速に適用します。

Windows の自動再生 (自動実行)

自動再生は Windows の機能で、CD、DVD、USB などのリムーバブルドライブから開くプログラムや再生するファイルを選択できます。この機能は、企業環境において最大の攻撃ベクトルの 1 つになっています。

リムーバブルドライブは感染を引き起こす可能性がある最初のソースですが、ほとんどのネットワークドライブでも自動再生機能が使用されています。自動再生機能によって、ユーザーがドライブをマップするとすぐに、ネットワークドライブからの攻撃が可能になります。ウイルス対策ソフトウェアはローカルハードディスクドライブをスキャンするように設計されているため、Network Auto-Protect などの追加手段を講じない限り、脅威は検出または防止されることなくクライアントコンピュータを攻撃できます。

ネットワークを保護するには、自動再生機能を無効にする必要があります。これは個々のコンピュータで行えるほか、グループポリシーエディタを使用してクライアントコンピュータにプッシュしたり、Endpoint Protection でポリシーを使用して設定したり、BIOS 内でコンピュータの外部メディアポート全体を無効にしたりすることで実行できます。

注意: Windows には、特定の修正プログラムを適用しないと自動再生機能が有効になるという、既知の脆弱性が存在します。

ネットワーク共有

すべてのネットワーク共有へのアクセスに対して、簡単には推測できない強力なパスワードを必須にする必要があります。「開いている共有」はネットワーク共有であり、アクセスを検証する際にユーザーの継承パーミッションを許可します。追加認証を必要としないため、脅威の感染が急速に広がります。そのため、開いている共有の使用を最小限にする必要があります。開いている共有が事業継続性の維持に不可欠な場合は、書き込み権限と実行権限を制限する必要があります。

ユーザーがソースからのファイルの取得のみを必要とする場合は、読み取りアクセス権のみを付与します。セキュリティを強化するには、ファイル転送機能を必要とするユーザーの書き込みアクセス権をファイルサーバー上の「一時」ストレージフォルダに制限し、そのフォルダ内を定期的にクリアするようにします。実行権限は、管理者またはこの権限を必要とするパワーユーザーに制限します。

また、他の種類の共有へのアクセスも無効または制限することをお勧めします。

  • Admin$ 共有は、管理者グループのメンバーであることを認証できるユーザーに、コンピュータ上での完全なルートアクセス権を付与します。
  • プロセス間通信 (IPC) 共有 (IPC$) は、ネットワークでアクセス可能な処理とネットワーク上の他のコンピュータとの間の通信をサポートすることを目的としています。

これらの共有に問題があるのは、強力なパスワードを設定しても、ユーザーが昇格権限を使用してシステムにログオンすると、脅威がその資格情報を利用してネットワーク上の Admin$ または IPC$ 共有にアクセスできるようになることです。

ユーザーがログインすると、その権限とパーミッションは暗黙となり、共有のドアが開けられた状態になります。このユーザーアカウントがアクセスできるものすべてに、そのアカウントを偽装するユーザーもアクセスできるようになります。

ネットワーク共有のベストプラクティス

  • ネットワーク共有を自動マップせず、デスクトップアイコンを使用して、必要に応じてドライブにアクセスするようにします。
  • 特定のタスクを行うのに必要でない限り、昇格権限が付与されたアカウント (ドメイン管理者、ローカル管理者など) を使用してログオンしないようにします。
  • タスクが完了したら必ずログオフします。
  • 日常的な作業を行う際には、より制限されたアカウントを使用します。

メール

以前ほどではないものの、攻撃者は今でも、電子メールの添付ファイルを悪質なコードの伝播に使用しています。ほとんどの電子メールサーバーには、電子メールから特定の種類の添付ファイルを削除する機能があります。添付ファイルとして使用できるファイルの種類を制限することにより、脅威の感染拡大の多くを抑止できます。

スパム対策ソフトウェアに投資することも、脅威に対する脆弱性を抑える方法のひとつです。エンドユーザーに送られるフィッシング詐欺やスパムの数が削減されるため、ネットワーク全体でもこれらの数が削減されます。

ファイアウォールおよびその他のツール

境界ファイアウォールはネットワーク全体を保護するために不可欠ですが、すべての入り口に対応することはできません。クライアントファイアウォールは、サービス拒否攻撃などの悪質な動作から個々のコンピュータを保護してセキュリティを強化するため、今日の脅威の管理に欠かせません。

ネットワークおよびホストベースの侵入検知システム (IDS) や侵入防止システム (IPS) は、基本的なファイアウォールの外側でネットワーク上の望ましくない活動を監視し、問題のあるトラフィックをリアルタイムで阻止したり警告を通知したりします。今では、クライアント側のファイアウォールの多くがこれらの機能を提供しています。

ユーザー教育

教育を受けたエンドユーザーは高いセキュリティ意識を持つようになります。コンピュータを安全に使用するための基本事項について、ユーザーが理解するようにしてください。

  • パスワードを他人に教えず、物理的な場所でも電子的な場所でも、簡単にアクセスできる場所に保管しないようにします。
  • 予期しない電子メールの添付ファイルは、送信元が既知か不明かにかかわらず、開封しないようにします。
  • 不明な URL はクリックしないようにします。
  • インターネットからダウンロードしたソフトウェアは、インストールする前にスキャンします。
  • コンピュータセキュリティに関する文書を提供したり、内部トレーニングや定期的なセミナーを実施したりして、ユーザーがコンピュータセキュリティについての理解を深められるようにします。

緊急対応グループと計画

これらのタスクをすべて完了した場合でも、最悪のケースに備えておくことが必要です。アウトブレークが発生した場合の対応方法と、緊急対応グループのメンバーへのタスクと責任の割り当てについて、計画を立ててください。

対応計画を策定する際には、以下の点について検討します。

  • ネットワーク上に異変が生じた場合、どの程度迅速に警告を発するか。
  • 脅威に対応できる管理者がいるか。
  • どの程度容易に、ネットワーク上のトラフィックとサービスを再ルートできるか。
  • 他のコンピュータに感染を広げる前に、危殆化したコンピュータをすばやく隔離できるか。

これらの点について計画を立てておくと、望ましくない状況が発生した場合でも対応が容易になり、時間とコストの両方を節約できます。

セキュリティの基本的なベストプラクティス

セキュリティレスポンスは、すべてのユーザーや管理者に対して、以下に示す、セキュリティに関する基本的なベストプラクティスに従うことをお勧めしています。

  • 公的な利用を許可していないサービスへのインターネットからの着信接続は、ファイアウォールを使用してすべて遮断します。デフォルトですべての着信接続を拒否し、外部には承認済みサービスのみを提供します。 
  • パスワードポリシーの順守を徹底します。パスワードを複雑にすると、危殆化したコンピュータのパスワードファイルが解読されにくくなります。このため、コンピュータが危殆化したときに、被害を回避または抑えることができます。
  • コンピュータのプログラムとユーザーの特権レベルを、タスクを完了できる範囲で最も低く設定します。ルートまたは UAC のパスワードを求められた場合は、管理者レベルのアクセスを求めるプログラムが正当なアプリケーションであることを確認します。
  • 実行可能ファイルがネットワーク上やリムーバブルドライブ上で自動的に起動されないように、自動再生を無効にします。また、必要でないときはドライブを切断します。書き込みアクセスが必要でない場合は、読み取り専用モードに設定します (このオプションがある場合)。
  • 不要な場合は、ファイル共有を無効にします。ファイル共有が必要な場合は、ACL とパスワード保護を使用してアクセスを制限します。共有フォルダへの匿名アクセスを無効にします。共有する必要があるフォルダへのアクセスは、強力なパスワードが設定されたユーザーアカウントにのみ許可します。
  • 不要なサービスはオフにして削除します。多くのオペレーティングシステムは、重要でない補助的サービスをデフォルトでインストールします。これらの補助的サービスは、攻撃の侵入経路として利用されます。これらのサービスを削除することで、攻撃の侵入経路を削減できます。
  • 1 つ以上のネットワークサービスが悪用されるような場合は、修正プログラムを適用するまで、このようなサービスへのアクセスを無効にするか遮断します。
  • コンピュータが HTTP、FTP、メール、DNS サービスなどの公開サービスを提供しており、ファイアウォール経由でのアクセスが可能な場合は、パッチレベルを常に最新の状態に維持します。
  • .vbs、.bat、.exe、.pif、.scr ファイルなど、脅威を伝播するのに一般的に使用されるファイルが添付された電子メールを遮断または削除するように、メールサーバーを設定します。
  • 危殆化したコンピュータをすみやかに隔離して、脅威の感染が広がるのを防ぎます。検証解析を行い、信頼性の高いメディアを使用してコンピュータを復元します。
  • 予期しないメールが届いた場合には添付ファイルを開かないように、ユーザーを指導します。また、ウイルススキャンしていない場合、インターネットからダウンロードしたソフトウェアは実行しないようにします。
  • 特定のブラウザの脆弱性について修正プログラムで対応していない場合、危殆化した Web サイトにアクセスするだけで感染することがあります。
  • モバイルデバイスで Bluetooth が必要でない場合は Bluetooth をオフにします。使用する必要がある場合は、他の Bluetooth デバイスでスキャンできないように、デバイスの可視性を「非表示」に設定します。デバイスのペアリングが必要な場合は、すべてのデバイスを「権限なし」に設定し、接続要求ごとに権限の確認を求めるようにします。署名がないアプリケーションや不明なソースから送信されたアプリケーションは受け入れないようにします。

 

追加のリソースおよび情報

 

Rapid Release ウイルス定義

アウトブレークが発生した場合、またはテクニカルサポートやセキュリティレスポンスから使用するように指示された場合は、Rapid Release ウイルス定義を使用します。これらの検出シグネチャの主な目的は、新しく出現した脅威をすばやく検出することです。

Rapid Release ウイルス定義に対しては、セキュリティレスポンスによる基本的な品質保証テストが実施されています。セキュリティレスポンスではすべてのウイルス定義が正しく機能するよう最大限努めていますが、Rapid Release ウイルス定義を使用すると誤検知が生じる可能性が高くなるなど、多少のリスクが伴います。Rapid Release ウイルス定義は、境界を防御したり急速に感染が広がるウイルスのアウトブレークを緩和したりする手段として使用するのに最も適しています。これらのシグネチャは、1 時間に 1 回程度リリースされています。

Endpoint Protection Manager を Rapid Release ウイルス定義を使用して更新し、クライアントのチェックイン時にクライアントを更新する方法について学びます。

セキュリティレスポンスへのウイルスの提出

脅威によってファイルが感染し、Endpoint Protection でその脅威が検出されなかったと思われる場合は、感染が疑われるファイルをセキュリティレスポンスに提出してください。

Additional Information

[英語文書] Virus removal and troubleshooting on a network