プロアクティブ脅威防止の SONAR コンポーネントが正しく動作することを確認するための Socar.exe テストファイルをダウンロードする方法を知りたい。
Symantec 社は、コンピュータ上で SONAR が動作しているかどうかをテストするために Socar.exe を作成しました。SONAR が動作している場合、Socar.exe はプロアクティブ脅威防止のイベントをトリガーします。Socar.exe がイベントをトリガしない場合、SONAR は正しく動作していません。
2022 年 5 月 16 日現在、SONAR エンジン 12.4 以降を搭載する Endpoint Protection クライアントでは Socar.exe を SONAR.Socar!gen1 として検出します。SONAR エンジン 12.3 以前の Endpoint Protection クライアントでは SONAR.Heuristic.xxx として検出されます。
Socar.exe を使用するには、英語版技術文書 から socar.zip ファイルをダウンロードし、パスワード "symantec" を使用して解凍し、Socar.exe をダブルクリックします。
なお [検出時に警告を表示する] のチェックが外れていると、画面上のポップアップが表示されないので注意してください。プロアクティブ脅威防止のログを確認し、socar.exe がイベントを発生させたかどうかを確認します。socar.exe ファイルに対して実行される処理 (隔離、ログのみなど) は、設定されたポリシーに依存します。他の検出と同様に、イベント ID 51 のエントリが OS のアプリケーションイベントログに記録されます。
注: Socar.exe はダウンロード保護 (ファイル評価) が有効になっていないと SONAR によって検知されません。