不正プログラム対策イベント

初期設定で、Vulnerability ProtectionDeep Security Managerでは、ハートビートごとにAgent/Appliancesから不正プログラム対策イベントを収集します。イベントのデータを使用して、Deep Security Managerの各種レポート、グラフ、およびチャートが作成されます。

イベントは、Vulnerability ProtectionDeep Security Managerによって収集された後、[管理]→[システム設定] 画面の [ストレージ] タブで設定された一定の期間保持されます。初期設定値は1週間です。

メイン画面から、次のことを実行できます。

• 個々のイベントのプロパティを表示 () する
• リストをフィルタする。イベントのリストをフィルタするには、[期間] および [コンピュータ] ツールバーを使用します。
• イベントリストのデータをCSVファイルにエクスポート () する
• 既存の自動タグ付け () ルールを表示する
• 特定のイベントを検索 () する

さらに、イベントを右クリックすると、次のオプションが表示されます。

• タグの追加: このイベントにタグを追加します (「イベントのタグ付け」を参照)。
• タグを削除: このイベントからタグを削除します。
• コンピュータの詳細: ログエントリを生成したコンピュータの [コンピュータの詳細] 画面を表示します。
• 隔離ファイルの詳細: このイベントに関連付けられたファイルの隔離ファイルを表示します(このイベントに関連付けられている処理が隔離の場合にのみ使用可能)。

[不正プログラム対策イベント] 画面には、次の列があります。

• 時刻: コンピュータ上でイベントが発生した時刻。
• コンピュータ: このイベントのログが記録されたコンピュータ(コンピュータが削除されている場合、このエントリは「不明コンピュータ」と表示されます)。
• 感染ファイル: 感染ファイルの場所と名前。
• タグ: このイベントに関連付けられたイベントのタグ。
• 不正プログラム: 検出された不正プログラムの名前。
• 検索の種類: 不正プログラムを検出した検索の種類 (リアルタイム、予約、手動)。
• 実行された処理: イベントに関連付けられた不正プログラム検索設定で指定された処理の結果が表示されます。
  • 駆除: Vulnerability ProtectionDeep Securityが、不正プログラムの種類に応じて、プロセスを終了したか、レジストリ、ファイル、Cookie、またはショートカットを削除しました。
  • 駆除失敗: 不正プログラムを駆除できませんでした。理由にはさまざまなものが考えられます。
  • 削除: 感染ファイルが削除されました。
  • 削除失敗: 感染ファイルを削除できませんでした。理由にはさまざまなものが考えられます。たとえば、ファイルが別のアプリケーションによってロックされている、CD上にある、または使用中である場合です。可能な場合、感染ファイルが解放された時点で削除されます。
  • 隔離: 隔離フォルダに感染ファイルを隔離しました。
  • 隔離失敗: 感染ファイルを隔離できませんでした。理由にはさまざまなものが考えられます。たとえば、ファイルが別のアプリケーションによってロックされている、CD上にある、または使用中である場合です。可能な場合、感染ファイルが解放された時点で隔離されます。ポリシーまたはコンピュータエディタの [不正プログラム対策]→[詳細] タブで指定された「隔離ファイルの保存に使用される最大ディスク容量」を超過した可能性もあります。
  • アクセス拒否: Vulnerability ProtectionDeep Securityは、システムからファイルを削除せずに、感染ファイルにアクセスできないようにしました。
  • 放置: Vulnerability ProtectionDeep Securityは何も処理を行わず、不正プログラムの検出のみをログに記録します。
• イベント送信元: イベントが発生したVulnerability ProtectionDeep Securityシステムのコンポーネントを示します。
• 理由: 不正プログラムが検出されたときに有効だった不正プログラム検索設定です。
• 主要なウイルスの種類: 検出された不正プログラムの種類。値には、ジョーク、トロイの木馬、テスト、スパイウェア、パッカー、一般的なプログラム、その他があります。それぞれの不正プログラムの詳細については、不正プログラム対策イベントの詳細を参照するか、「不正プログラム対策」を参照してください。

イベントプロパティを表示する

イベントをダブルクリック (またはコンテキストメニューから [表示] を選択) すると、そのエントリの [プロパティ] 画面が表示され、そのイベントに関するすべての情報が1つの画面に表示されます。[タグ] タブには、このイベントに関連付けられているタグが表示されます。イベントのタグ付けの詳細については、[ポリシー]→[共通オブジェクト]→[その他]→[タグ]、および「参照」セクションの「イベントのタグ付け」を参照してください。

リストをフィルタし、イベントを検索する

[検索] ドロップダウンメニューから [詳細検索を開く] を選択すると、詳細検索オプションが表示されます。

[期間] ツールバーでリストをフィルタし、特定の期間内に発生したイベントだけを表示できます。

[コンピュータ] ツールバーで、コンピュータグループ別またはコンピュータポリシー別にイベントログエントリを表示できます。

詳細検索機能 (大文字/小文字の区別なし):

• 次の文字列を含む: 選択した列の入力内容に検索文字列が含まれる
• 次の文字列を含まない: 選択した列の入力内容に検索文字列が含まれない
• 等しい: 選択した列の入力内容と検索文字列が完全に一致する
• 等しくない: 選択した列の入力内容が検索文字列と一致しない
• 次のリストに含まれる: 選択した列の入力内容がカンマ区切りで入力された検索文字列1つと完全に一致する
• 次のリストに含まれない: 選択した列の入力内容がカンマ区切りで入力されたどの検索文字列とも一致しない

検索バーの右側にある「プラス」ボタン (+) をクリックすると、追加の検索バーが表示され、検索に複数のパラメータを適用できます。準備が整ったら、送信ボタン (ツールバーの右側にある上部に右矢印の付いたボタン) をクリックします。

エクスポート

[エクスポート] をクリックして、すべてのイベントまたは選択されたイベントをCSVファイルへエクスポートします。

自動でタグを付ける

[自動タグ付け] をクリックして、既存の不正プログラム対策の自動タグ付けルールリストを表示します。