ウイルスや脅威の履歴にある "放置" ログへの対応のベストプラクティス
search cancel

ウイルスや脅威の履歴にある "放置" ログへの対応のベストプラクティス

book

Article ID: 231926

calendar_today

Updated On:

Products

Endpoint Protection

Issue/Introduction

Symantec Endpoint Protection (SEP) がリスクを検出した場合に、実行されたアクションが "放置" として記録されている。

Resolution

  • アーカイブ内にリスクが発見された場合: Auto-Protect スキャンによって zip や tar 等のアーカイブからのファイルの解凍がブロックされたか、手動または定時スキャンによってアーカイブが検査されました。いずれの場合も、他の必要なファイルの削除や破損を引き起こす可能性があるため、SEP は大きなアーカイブの削除や修復を行いません。これは多くの "放置" ログのメッセージの原因です。
  • 権限が制限されている: 実行されようとしているファイルに対して Auto-Protect がアクションを実行するための適切な権限を持っていない場合、SEP は "放置" というステータスを記録します。ほとんどの場合、ファイルの実行がアクセスを拒否されたことも表示されるはずです。これは、Auto-Protect がファイルを検疫または削除できない一方で、ファイルの実行を停止することができることを意味します。
  • 既存のリスク: リスクが起動しシステムに感染する可能性がある場合、実行中のプロセスのため、リスクファイルは Windows OS によって保護されています。したがって、そのファイルが使用されている間は Auto-Protect はそのファイルに対してアクションを起こすことができません。"放置" アクションの後に、ファイル/ファイルが隔離または削除されたことを示す 2 番目のメッセージが表示される場合があります。これは SEP の Side Effects Engine がプロセスを一時停止し、感染したファイルに対してアクションを起こすことができるようにする機能を備えているためです。(注: 場合によっては再起動が必要で、アクションダイアログボックスに "再起動が必要" と表示されます)
  • 処理を "ログのみ" に設定: ファイルへのアクセスを拒否し、通知を表示し、イベントをログに記録します。このオプションは、スキャンによる検出の処理方法を手動で制御するために使用します。リスクログで検出に対するアクションを指定することができます。
  • ファイルが存在しない: SEP は、ドライブに書き込もうとする悪意のあるファイルを検出した場合、そのファイルへのアクセスを拒否することがあります。一時ディレクトリにマーカーが一時的に配置されますが、実際にはファイルは存在しません。 これは、検出された場所を確認し、検出されたファイルの存在を確認することで確認することができます。
  • Defwatch スキャン: SEP がウイルス定義を更新すると自動的に "DefWatch" スキャンが実行され、すでに隔離されているものが新しい定義で修復可能かどうか判断されます。このため "DefWatch" スキャンタイプで処理が "放置"アクションのスキャンは無視できます。Defwatch スキャンが完了すると別のスキャン (クイックスキャン) も実行されます。そのため、Defwatch によって "放置" された検疫外のリスクが表示される可能性があります。この場合 Side Effects Engine がプロセスを一時停止し処理を実行しようとしたときの、削除/検疫の 2 番目の処理を確認することが重要です。

Additional Information

[英語版] Best Practices for responding to "Left Alone" in the virus or threat history log