• Symantec Endpoint Protection (SEP) でクラウドスキャンとも呼ばれるインサイトルックアップどのように機能するかを理解したい。
• WS.Reputation.1 の検出が繰り返される。

シマンテックインサイトは数百万台のシステムから収集した数十億のファイルを追跡し、新しい脅威が発生したときにそれを特定するレピュテーションセキュリティテクノロジーを使用しています。高度なデータマイニング技術に基づき、変化する暗号化および変異するコードを検出します。インサイトは危険なファイルと安全なファイルを分離し、より速く、より正確なマルウェアの検出を実現します。

インサイトルックアップは、ユーザー定義または管理者定義のスキャン中に発生します。いくつかの注意事項が適用されます。

インサイトルックアップは通常ファイルではなく、実行中のプロセスに適用されます。例えばクラウドスキャンではファイルではなくプロセスがスキャンされます。

対象ファイルを直接右クリックしてスキャンすることで、インサイトルックアップを強制的に実行することができます。右クリックスキャンでは、ポータル (ファイルをダウンロードして実行できるアプリケーション) を経由してファイルにアクセスした場合と同等のインサイトルックアップの動作は行われないことに注意してください。

選択したファイルに対して右クリックによるスキャンを開始すると、Symantec Endpoint Protection (SEP) クライアントが適切と判断した場合に、シマンテックへのクラウド接続が発生することがあります。このスキャンは既知の不良ファイルをチェックするために使用され、シマンテックが認証された定義を顧客に公開する前であっても、最新のウイルスおよびスパイウェア保護定義に対してファイルをチェックするのとほぼ同じです。

右クリックによるスキャンでは、未知のサンプル (シマンテックのブラックリストに載っていない新しい脅威や変異した脅威) に対する検出を行うインサイトルックアップは行われません。パフォーマンスの問題を防ぐため、フォルダまたはドライブに対する右クリックによるスキャンは、インサイトルックアップを使用してスキャンしません。

インサイトルックアップからアプリケーションやファイルを除外するには、アプリケーション除外を設定します。

Symantec Endpoint Protection Manager (SEPM) からアプリケーション除外を行うには、SEP クライアントがファイルを少なくとも 1 回すでに検出しており、アプリケーションリストにそのアプリケーションが表示されるようにアプリケーション情報を SEPM に転送していなければなりません。
このため、SEP クライアントを社内環境ですべてのアプリケーションを代表するクライアントコンピュータにインストールし、完全スキャンを実行して SEPM がそれらの情報を取得することを推奨します。これを実施することによってアプリケーション除外を正確に設定することができます。

SEPM でアプリケーションの除外設定を行うには

1. SEPM コンソール - [ポリシー] - [例外] を選択します。
2. 例外ポリシーを選択し [ポリシーの編集] をクリックするか、 [例外ポリシーを追加する] をクリックします。
3. [例外] タブを選択します。
4. [追加] - [Windows の例外] - [アプリケーション] を選択します。
5. [アプリケーションの例外追加] ダイアログでリストに表示されたアプリケーションを選択し、処理で [無視] を選択します。
6. [OK] ボタンをクリックしてポリシーダイアログを閉じます。
7. このポリシーを割り当てるかどうか確認するメッセージが表示されたら [はい] をクリックして、例外ポリシーを適用するクライアントグループを選択し [割り当て] ボタンをクリックします。

SEP クライアントで除外設定を行うには

1. [設定の変更] をクリックします。
2. [例外] - [オプションの設定] をクリックします。
3. [追加] - [アプリケーション例外] をクリックします。
4. ファイルの参照ダイアログでブラウズして除外するファイルを選択します。
5. [処理] で [無視] を選択します。
6. [OK] を 2 回クリックします。

[英語版] How the Insight Lookup process works