Symantec Endpoint Protection (SEP) の拡張ダウンロード保護 (ダウンロードインサイト) 機能がどのように動作するか知りたい。

拡張ダウンロード保護 (ダウンロードインサイト) 機能は SEP のクライアントの新しい拡張保護機能です。この機能は SEP クライアントが、既知の Web ブラウザから直接ファイルをダウンロードしたりファイルが実行される際に Symantec クラウドの評価データベースを使用し評価を行います。

概要

• ポータルアプリケーションからダウンロードされたり実行されたりしたときにダウンロードインサイトは実行可能形式のファイルをスキャンします。 ( .bat, .com, .dll, .drv, .exe, .msi, .ocx, .sys )
• Internet Explorer や FireFox といった Web ブラウザがサポートされます。
• ダウンロードインサイトはファイルの評価のみを基準として評価を行います。（シグネチャや挙動確認はダウンロードインサイトでは行われません）
• AutoProtect のドライバがダウンロードインサイトの評価スキャンの機能を提供します。
• ダウンロードインサイトは、アクセスされているファイルの情報を取り込むために、SEP の侵入防止機能を使用します。

ダウンロードインサイトの検知フロー

サポートされているポータルアプリケーションからファイルをダウンロードされる際に AutoProtect のコンポーネントの一部としてダウンロードインサイトのスキャンが行われます。ダウンロードインサイトとウイルス定義によってアプリケーションが疑わしい脅威であると検知することが可能となります。こういった場合、脅威は Eraser (消去) エンジンにより修復される場合もあります。

1. 既知のポータルアプリケーションから実行ファイルが作成される。
2. ウイルス定義ファイルを使用して AutoProtect よりファイルのスキャンが行われる。
3. 評価スキャンが行われる。
4. AutoProtect が SEP クライアントに評価スキャンの結果を通知する。
5. SEP クライアントがファイルがスキャン/修復状況であることを表示する。
6. SEP により修復処理が実施される。(ウイルス定義ファイルによる検出時の Eraser による修復、レピュテーション検出時のクラウドスキャンによる通知）
7. 修復処理が完了したらユーザーに結果を知らせるダイアログボックスを表示させる。

注: アンチウイルスとスパイウェアの機能のみをインストールしていてネットワーク脅威防止のドライバがインストールされていない場合はいくつかのダウンロードインサイトの機能性を低下させます。ダウンロードインサイトのレベルは 1 に設定（SEP 14.3 RU5 とそれ以前）され、信頼出来る Web ドメインの除外の機能が利用できなくなります。

ユーザーエクスペリエンス

• 多くの場合検知/修復のプロセスには長い時間 (10 秒以上) かかります。
• 検知/修復の動作に時間がかかっている場合は、右下の角に小さな通知が表示されます。
• この通知のデフォルトの表示時間は 8 秒で、自動的に消えます。
• 修復が完了したら詳細の情報を含んだダイアログが表示されます。(URL やファイル名、検知名、処理名等)

[英語文書] Expected behavior of Download Insight