search cancel

Network Monitor で .vpcap ファイルが検知される

book

Article ID: 255100

calendar_today

Updated On:

Products

Data Loss Prevention Network Monitor Data Loss Prevention

Issue/Introduction

Symantec Data Loss Prevention(以下、DLP)の Network Monitor にて、拡張子が 「 .vpcap 」のファイルが検出されることがある。

Cause

.vpcap ファイルは、Network Monitor がネットワークトラフィックを監視するために生成するパケットキャプチャファイルです。

トラフィック発生時に生成され、スキャンが完了すると自動的に削除されます。

ファイル名には十数桁の数字がランダムで付与されます。

DLP のポリシールールで指定されたキーワード等が生成された .vpcap ファイル名に含まれた場合、そのファイル名がポリシー違反として検知されることがあります。

これは、生成したパケットキャプチャファイルからスキャン対象のデータを抽出して FileReader に送る際、元の .vpcap ファイルの名前がヘッダ情報として含まれるためです。

Resolution

本事象が頻繁に発生する場合は、該当のポリシーで、.vpcap のファイルタイプを除外する設定を検討してください。