SymSubmit 提出のためのログ取得
search cancel

SymSubmit 提出のためのログ取得

book

Article ID: 410056

calendar_today

Updated On:

Products

Endpoint Protection Endpoint Security Endpoint Security Complete

Issue/Introduction

Symantec Endpoint Protection (SEP) 、Carbon Black を使用している。SymSubmit ポータルにファイルや URL を提出する際に有用なログの取得方法を知りたい。

Resolution

目次

ファイル提出を選択した場合に有用な詳細情報を取得する手順

URL 提出を選択した場合に有用な詳細情報を取得する手順

ファイル提出を選択した場合に有用な詳細情報を取得する手順

SEP 14.x のログ取得

  1. エクスプローラーを開き、C:\ProgramData\Symantec\Symantec Endpoint Protection\CurrentVersion\Data\Logs に移動します。
  2. AVMan.log には、悪意があると検出されたファイルの詳細情報が含まれており、このログをセキュリティレスポンスに提出できます。

何らかの理由でこのファイルをセキュリティレスポンスに提出したくない場合は、ログエントリを取得します。

  1. AVMan.log をテキストエディタで開き、検出したファイル名を検索します。文字列全体をコピーし、SymSubmit ポータルの [Additional Details or Risk Logs] ボックスに貼り付けます。複数のファイルを提出する場合、各検出エントリを送信してください。ログ文字列は次のような形式です。
0000049c    01dbef2909b1ed4e    01dbef29038f9280    01dbef29038f9280    00000001    3706070A1611,51,1,2,AWI-SEP,Administrator,Backdoor.Ratenjay,C:\Users\Administrator\Downloads\13c5cabdb28c7d0a56631b45507340ccf4db9458f8fc448bf594cab8ae451030\13c5cabdb28c7d0a56631b45507340ccf4db9458f8fc448bf594cab8ae451030.exe,5,1,1,256,37748804,"",1751881556,,0,101    {4B58273F-6F90-4406-B521-41CC6064416C}    0    2                Backdoor.Ratenjay    1;0    0    0    eea2a391-097c-46d8-8597-cede2490c6c5    0,730333184,54578,0,0,0,,,0,,0,0,1,0,,{043367F3-ACD6-422E-9FA7-0727998DD223},,,,WORKGROUP,42:01:0A:E1:81:F9,14.3.12154.10000,,,,,,,,,,,,,,,,999,,c2f5bfbd-0266-441b-8a42-c61c33a116f0,730333184,,506        105472    2    13C5CABDB28C7D0A56631B45507340CCF4DB9458F8FC448BF594CAB8AE451030        127    127        127    0    0    13c5cabdb28c7d0a56631b45507340ccf4db9458f8fc448bf594cab8ae451030.exe    1    0    0,,1,,1,1,105,2,0,https://bazaar.abuse.ch/download/5bfd1afc61b984f9ae1e/,msedge.exe,1,127,0,,,,0,3706070A1611,0,,0,Default,100,,,,1099511627776,,0,,0,eyJoaWRfc3RhdHVzIjp7ImhpZF9hdWRpdF9tb2RlIjpmYWxzZSwiaGlkX2VuYWJsZWQiOnRydWV9LCJwb2xpY3kiOnsibmFtZSI6IkRlZmF1bHQgQW50aW1hbHdhcmUgUG9saWN5IiwidWlkIjoiMThhYjU5NTctZWIzNy00NmFjLWI0MzAtOTczNTA0ZWQyOGNlIiwidmVyc2lvbiI6IjI2In19

SEP 14.x の GUI からのログ取得

  1. タスクバーまたはプログラムメニューから SEP GUI を起動します。
  2. [ログの表示] - [ウイルスとスパイウェアの対策] の [ログの表示] をクリックします。
  3. [リスクログ] をクリックします。
  4. リスクログが開いたら [エクスポート] をクリックし、エクスポートしたファイルを保存してセキュリティレスポンスに提出します。

検出名に "SONAR" などのキーワードが含まれる場合

    1. [ログの表示] - [プロアクティブ脅威防止] の [ログの表示] をクリックし [脅威ログ] を選択します。
    2. 脅威ログが開いたら [エクスポート] をクリックし、エクスポートしたファイルを保存してセキュリティレスポンスに提出します。

SEP 14.x のコマンドラインでのログ取得

  1. 管理者権限でコマンドプロンプトを開き、 SEP のインストールディレクトリ (デフォルトは C:\Program Files\Symantec\Symantec Endpoint Protection) に移動します。
  2. 以下のコマンドを実行します。

smc -exportlog 0 0 -1 C:\temp\SystemLog.txt

SystemLog.txt ファイルをセキュリティレスポンスに提供してください。

SEP 16 の GUI からのログ取得

  1. タスクバーまたはプログラムメニューから SEP GUI を起動します。
  2. GUI 内の [情報] アイコンをクリックします。
  3. [ログ] をクリックします。
  4. ドロップダウンリストから [セキュリティログ] を選択します。
  5. [エクスポート] をクリックし、エクスポートされたファイルを保存してセキュリティレスポンスに提出します。

Carbon Black からのログ取得

  1. 管理者権限でコマンドプロンプトを開き、以下のコマンドを実行します。

C:\Program Files\Confer\repcli.exe capture <フォルダパス>

例: replcli.exe capture c:\temp

出力ファイルを取得してご提供ください。

URL 提出を選択した場合に有用な詳細情報を取得する手順

SEP 14.x のログ取得

  1. エクスプローラーを開き、C:\ProgramData\Symantec\Symantec Endpoint Protection\CurrentVersion\Data\Logs に移動します。
  2. seclog.log には、WebPulse および IPS イベントが記録され、悪質と判定された URL の詳細が含まれており、このログをセキュリティレスポンスに提出できます。

何らかの理由でこのファイルをセキュリティレスポンスに提出したくない場合は、ログエントリを取得します。

  1. seclog.log をテキストエディタで開き、検出した URL を検索します。文字列全体をコピーし、SymSubmit ポータルの [Additional Details or Risk Logs] ボックスに貼り付けます。複数の URL を提出する場合は、各検出エントリを送信してください。ログ文字列は次のような形式です。
00000cbf 01dbef2bf0f499f3 000000f9 00000003 f981e10a 00000000 00000001 00000001 00000002 01dbef2be12742b3 01 dbef2be12742b3 00000001 00000a00 [SID: 60501] URL reputation: Browser navigation to known bad URL 攻撃を遮断しました。 このアプリケーションのトラフィックを遮断しました: C:\Program Files\Google\Chrome\Application\chrome.exe C:\Program Files\Google\Chrome\Application\chrome. exe eyJhY3RvciI6eyJjbWRfbGluZSI6IlwiQzpcXFByb2dyYW0gRmls...byBrbm93biBiYWQgVVJMIiwicmlza19pZCI6MTAwLCJ0eXBlX2lkIjo2fX0 = デフォルト USER <ホスト名> 0000ec55 00000000 00000002 00000002 00000000 00000000 00000000000000000000000000000000 0000 0000000000000000000000000000 URL reputation: Browser navigation to known bad URL http://xxx.xxx.xxx.xxx/xxx.exe 14.3.12154. 10000 00000001 00000064 00000000 43

URL 提出を正しく処理するために必要な最も重要な情報は SID 番号です。ログ内の角括弧内に記載されています。例:[SID: 60501]

SEP 14.x の GUI からのログ取得

  1. タスクバーまたはプログラムメニューから SEP GUI を起動します。
  2. [ログの表示] - [クライアント管理] の [ログの表示] をクリックします。
  3. [セキュリティログ] をクリックします。
  4. セキュリティログが開いたら [エクスポート] をクリックし、エクスポートしたファイルを保存してセキュリティレスポンスに提出します。

SEP 14.x のコマンドラインでのログ取得

  1. 管理者権限でコマンドプロンプトを開き、 SEP のインストールディレクトリ (デフォルトは C:\Program Files\Symantec\Symantec Endpoint Protection) に移動します。
  2. 以下のコマンドを実行します。

smc -exportlog 1 0 -1 C:\temp\SecLog.txt

SecLog.txt ファイルをセキュリティレスポンスに提供してください。

SEP 16 の GUI からのログ取得

  1. タスクバーまたはプログラムメニューから SEP GUI を起動します。
  2. GUI 内の [情報] アイコンをクリックします。
  3. [ログ] をクリックします。
  4. ドロップダウンリストから [セキュリティログ] を選択し、遮断イベントを探します。イベントは [SID: xxxxx] で始まります。

Additional Information

Powered by Wolken Software