MA:インストール済みのアンチウイルスソフト ベンダーの構成

Document created by RSA Information Design and Development on Apr 19, 2018
Version 1Show Document
  • View in full screen mode
 

インストール済みのAV(アンチウイルス ベンダー)からのファイル解析結果とMalware Analysisナレッジベースからのコミュニティ解析結果を比較できます。コミュニティ解析によってファイルを解析する際に、Malware Analysisではアンチウイルスのナレッジベースを使用して、サンプルが既知の悪意があるファイルであるかどうかを判断します。ファイルが悪意のあるものであることが分かっている場合、NetWitness Suiteは、サンプルを識別したのがプライマリとセカンダリのアンチウイルス ベンダーのどちらであるかを示すフラグをそのファイルに付けます。NetWitness Suiteでは、ベンダーをプライマリとセカンダリに分類して、業界でのベンダーの評価レベルを示し、セキュリティ侵害インジケータでスコアの計算にこれらの評価を反映させます。たとえば、セカンダリ アンチウイルス ベンダーによってのみ検出された場合、プライマリ ベンダーによる検出よりもスコアは低くなります。

注:ネットワークにインストールするアンチウイルス ベンダー ソフトウェアを選択する際は、NetWitness Suiteのプライマリ ベンダー リストからのソフトウェアを少なくとも1つ含めることを強く推奨します。

NetWitness Suiteでは、ネットワークにインストールされているアンチウイルス ベンダーを識別することができます。NetWitness Suiteは、アンチウイルスのコミュニティ解析の結果を、[アンチウイルス]タブで選択されているインストール済みベンダーからの結果と比較します。一致が検出された場合、解析中のファイルに、ローカルにインストールされたプライマリまたはセカンダリのアンチウイルスソフトウェアによってサンプルが検出されたことを示すフラグが設定されます。

次の例は、100というスコアを取得したファイルのコミュニティ解析結果を示しています。[セキュリティ侵害インジケータ]に、コミュニティ解析内にリストされたアンチウイルスベンダーのフラグがこのファイルに設定されていることが示されます。NetWitness Suiteでは[アンチウイルス ベンダーの結果]に、使用環境にインストールされているアンチウイルス ベンダーがこのファイルを悪意のあるものとしてフラグを設定しているかどうかが示されます。インストール済みアンチウイルスベンダーがウイルスを検出した場合は、マルウェアの名前が表示されます。インストール済みアンチウイルスベンダーがウイルスを検出しなかった場合は、アンチウイルスベンダー名の横に「--非検出--」が表示されます。[インストールされていないベンダー]で[+]をクリックすると、セクションを展開して、システムにインストールされていない他のベンダーがウイルスを検出しているかどうかを確認できます。

インストールされたアンチウイルス ソフトウェアの識別

ユーザが使用中のアンチウイルスソフトウェアを識別するには、次の手順を実行します。

  1. メイン メニューで、[管理]>[サービス]を選択します。
  2. Malware Analysisサービスを選択し、その行の>[表示]>[構成]を選択します。
  3. [サービス]の[構成]ビューで、[アンチウイルス]タブを選択します。

  4. ユーザが使用中の各アンチウイルスベンダー(プライマリとその他)の横にあるチェックボックスをオンにします。
  5. 適用]をクリックして、変更を保存します。
    コミュニティ解析の結果には、使用中のアンチウイルスソフトウェアがイベントにフラグを設定したかどうかが示されます。
  6. (オプション)インストール済みのアンチウイルス ソフトウェアのリストをリセットしてデフォルト値(なし)に戻す場合は、[リセット]をクリックします。
    すべての選択項目が削除されます。
  7. 変更を保存するには、[適用]をクリックします。
You are here
Table of Contents > Malware Analysisの構成 > ステップ5. インストール済みのアンチウイルスソフト ベンダーの構成

Attachments

    Outcomes