14.3 RU4 以降にアップグレードすると Unproven.XXX の検出が増加する
search cancel

14.3 RU4 以降にアップグレードすると Unproven.XXX の検出が増加する

book

Article ID: 256062

calendar_today

Updated On:

Products

Endpoint Protection Endpoint Security Endpoint Security Complete

Issue/Introduction

Symantec Endpoint Protection (SEP) クライアントを 14.3 RU4 以降にアップグレードしたら、以下の検出数が増加した。

  • Unproven.Insight
  • Unproven.Insight.S
  • Unproven.NewFile
  • Unproven.LowPrevalence 

Environment

  • Symantec Endpoint Protection / Symantec Endpoint Security (SES) 14.3 RU4 以降

Cause

14.3 RU4 から WS.Reputation.1 と Unproven.Insight の検出を分割しました。WS.Reputation.1 はダウンロードインサイトの遮断検出のために使用されます。Unproven.Insight の検出は、ユーザー判断の検出のために使用されます。検出中にユーザーがログインしている場合、許可または遮断のオプションが表示されます。180 秒以内に決定されない場合、検出されたファイルは検疫されます。ファイルが許可された場合、ログに Unproven.Insight.S と表示されます。ファイルが遮断された場合、ログに Unproven.Insight と表示されます。

14.3 RU5 以前では、ネットワーク侵入防止がインストールされていない場合、ダウンロードインサイトの感度レベルは <1> に制限されていました。 感度レベル <1> では、悪質である確率が極めて高いアイテムのみが検出され、遮断されます。

14.3 RU5 では、この制限が撤廃されたため、ダウンロードインサイトはポリシーで定義されたレベルに従うようになりました。ほとんどの場合、このレベルは <5> になります。これは、証明されていないファイルがダウンロードインサイトによって検出される可能性があることを意味します。

Unproven.Insight、Unproven.NewFile、Unproven.LowPrevalence の検出は、未知のファイル、信頼度が非常に低いファイル、フィールドでの普及率が低いファイル、作成されて間もないファイルでトリガーされます。

Resolution

環境のニーズに合わせてダウンロードインサイトをチューニングするためのオプションがあります。

  • 証明されていないファイルに対するアクションは、ログのみまたは放置に設定することができます。
  • ダウンロードインサイトの感度レベルを <4> に設定し、信頼度が中程度 (悪意がある、またはそれ以下) のアイテムを検出および遮断することができます。
  • ホワイトリスト登録のためにファイルを提出するか、例外を作成します。

ダウンロードインサイトの設定のカスタマイズ も参照してください。

Additional Information