Cisco Secure Endpointの誤検出ファイル分析イベントのトラブルシューティング

ダウンロード オプション

  • PDF     (545.8 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (380.2 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (483.0 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2020 年 5 月 25 日
Document ID:215993

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    概要

    このドキュメントでは、Advanced Malware Protection(AMP)for EndpointsでFalse Positiveファイル分析を収集する方法について説明します。

    著者:Cisco TACエンジニア、Jez Javier Martinez

    前提条件

    要件

    次の項目に関する知識があることを推奨しています。

    • AMPコンソールダッシュボード
    • 管理者権限を持つアカウント

    使用するコンポーネント

    このドキュメントの情報は、Cisco AMP for Endpointsバージョン6.X.X以降に基づいています。

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

    背景説明

    AMP for Endpointsは、特定のファイル/プロセス/セキュアハッシュアルゴリズム(SHA)に過剰なアラートを生成する可能性があります。ネットワーク内の誤検出が疑われる場合は、Cisco Technical Assistance Center(TAC)に連絡し、診断チームが詳細なファイル分析を行います。


    ・ファイルSHA 256ハッシュ
    ・ファイルサンプルコピー
    ・ AMPコンソールからのアラート・イベントのキャプチャ
    ・ AMPコンソールからのイベント詳細のキャプチャ
    ・ファイルに関する情報(ファイルの送信元および環境内にファイルが必要な理由)
    ・ファイル/プロセスがfalse positiveであると考える理由を説明する

    エンドポイント用AMPの誤検出ファイル分析のトラブルシューティング

    このセクションでは、Cisco TACでFalse Positiveチケットをオープンするために必要なすべての詳細を取得するために使用できる情報を提供します。

    ファイルSHA 256ハッシュ

    ステップ1:SHA 256ハッシュを取得するには、[AMP Console] > [Dashboard] > [Events]に移動します。


    ステップ2:[Alert Event]を選択しSHA256をクリックし、図に示すように[Copy]を選択します。

    ファイルサンプルコピー

    ステップ1:AMPコンソールからファイルサンプルを取得し、[AMP Console] > [Dashboard] > [Events]に移動します。


    ステップ2:[Alert Event]を選択し、SHA256をクリックし、[File Fetch] > [File Fetch] に移動します(図を参照)。

    ステップ3:ファイルが検出されたデバイスを選択し、図に示すようにFetchをクリックします(デバイスをオンにする必要がある)。 

    ステップ4:図に示すように、メッセージが表示されます。

    数分後に、ファイルをダウンロードできるときに、図に示すように電子メール通知が送信されます。

    ステップ5:[AMP Console] > [Analysis] > [File Repository]に移動し、ファイルを選択し、図に示すように[Download]をクリックします。

    ステップ6:[Notification]ボックスが表示されたら、図に示すように[Download]をクリックし、ファイルをZIPファイルにダウンロードします。

    AMPコンソールからのアラートイベントキャプチャ

    ステップ1:[AMP Console] > [Dashboard] > [Events]に移動します。


    ステップ2:アラートイベントを選択し、図に示すようにキャプチャを取得します。

    AMPコンソールからのイベント詳細キャプチャ

    ステップ1:[AMP Console] > [Dashboard] > [Events]に移動します。


    ステップ2:[Alert Event]を選択し、図に示すように[Device Trajectory]オプションをクリックします。

    図に示すように、Device Trajectoryの詳細にリダイレクトされます。

    ステップ3:図に示すように、[Event Details]ボックスをキャプチャします。

    ステップ4:必要に応じて下にスクロールし、キャプチャを取得して、図に示すすべてのイベント詳細情報を取得します。

    ファイルに関する情報

    • ファイルの入手元に関する情報。
    • ファイルがWebサイトから取得されている場合は、Web URLを共有します。 
    • ファイルの説明を少し共有し、ファイルの機能を説明します。

    説明

    • ファイルプロセスがfalse positiveであると考えられる理由は何ですか。 
    • ファイルに信頼する理由を共有します。

    情報の提供

    • すべての詳細を収集したら、https://cway.cisco.com/csc/に要求されたすべての情報をアップロードします。
    • サービスリクエスト番号を参照してください。

    結論

    シスコは常にAMP for Endpointテクノロジーの脅威インテリジェンスの改善と拡張に努めていますが、AMP for Endpointソリューションが誤ってアラートをトリガーした場合は、環境への影響を防ぐために何らかの措置を講じることができます。このドキュメントでは、False Positiveの問題に関してCisco TACでケースをオープンするために必要なすべての詳細を入手するためのガイドラインを提供します。診断チームのファイル分析に基づいて、AMPコンソールでトリガーされるアラートイベントを停止するようにファイルの性質を変更するか、またはCisco TACが適切な修正を提供し、環境内で問題なくファイル/プロセスを実行できます。

    更新履歴

    改定 発行日 コメント
    1.0
    02-Sep-2020
    初版
    TAC Authored

    シスコ エンジニア提供

    • イエズス・ハビエル・マルティネス
      Cisco TACエンジニア

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています