search cancel

14.3 RU4 以降にアップグレードすると Unproven.Insight / Unproven.Insight.S の検出が増加する

book

Article ID: 256062

calendar_today

Updated On:

Products

Endpoint Protection

Issue/Introduction

Symantec Endpoint Protection (SEP) クライアントを 14.3 RU4 以降にアップグレードしたら、Unproven.Insight および Unproven.Insight.S の検出数が増加した。

Environment

  • Symantec Endpoint Protection 14.3 RU4 以降

Cause

14.3 RU4 から WS.Reputation.1 と Unproven.Insight の検出を分割しました。WS.Reputation.1 はダウンロードインサイトの遮断検出のために使用されます。Unproven.Insight の検出は、ユーザー判断の検出のために使用されます。検出中にユーザーがログインしている場合、許可または遮断のオプションが表示されます。10 秒以内に決定されない場合、検出されたファイルは検疫されます。ファイルが許可された場合、ログに Unproven.Insight.S と表示されます。ファイルが遮断された場合、ログに Unproven.Insight と表示されます。

14.3 RU5 以前では、ネットワーク侵入防止がインストールされていない場合、ダウンロードインサイトの感度レベルは <1> に制限されていました。 感度レベル <1> では、悪質である確率が極めて高いアイテムのみが検出され、遮断されます。

14.3 RU5 では、この制限が撤廃されたため、ダウンロードインサイトはポリシーで定義されたレベルに従うようになりました。ほとんどの場合、このレベルは <5> になります。これは、証明されていないファイルがダウンロードインサイトによって検出される可能性があることを意味します。

Unproven.Insight の検出は、未知のファイル、信頼度が非常に低いファイル、フィールドでの普及率が低いファイル、作成されて間もないファイルでトリガーされます。

Resolution

ダウンロードインサイトを環境のニーズに合わせてチューニングするためのオプションがあります。

  • 証明されていないファイルに対するアクションは、ログのみまたは放置に設定することができます。
  • ダウンロードインサイトの感度レベルを <4> に設定し、信頼度が中程度 (悪意がある、またはそれ以下) のアイテムを検出および遮断することができます。
  • ホワイトリスト登録のためにファイルを提出するか、例外を作成します。

ダウンロードインサイトの設定のカスタマイズ も参照してください。

Additional Information

[英語文書] After upgrading Endpoint Protection clients to 14.3 RU4+ there is an increase of Unproven.Insight and Unproven.Insight.S detections.