SONAR の誤検知の検出の処理と防止

SONAR は特定の社内カスタムアプリケーションについて誤認検出を行う場合があります。また、Insight ルックアップを無効にすると、SONAR からの誤認数が増加します。
誤認検出全般を減らすために SONAR 設定を変更できます。SONAR で誤認検出される特定のファイルまたはアプリケーションの例外を作成することもできます。
危険度が高い検出の処理をログに記録するだけに設定すると、クライアントコンピュータで潜在的な脅威を許容することになります。
SONAR の誤認の処理
タスク
説明
SONAR の高危険度のヒューリスティック検出をログに記録し、アプリケーション学習を使う
高危険度のヒューリスティック検出の検出処理を、短い期間
[ログ]
に設定することを推奨します。同じ期間にアプリケーション学習が実行されるようにします。
Symantec Endpoint Protection
はネットワーク内で実行されている正当なプロセスを学習します。ただし、一部の本当の検出が検疫されない可能性があります。
この期間後は、検出の処理を
[検疫]
に設定し直す必要があります。
低危険度のヒューリスティック検出に拡張モードを使っている場合、誤認検出の確率が高くなっています。拡張モードはデフォルトでは無効になっています。
SONAR の例外を作成して安全なアプリケーションを許可する
SONAR の例外は次の方法で作成できます。
  • SONAR ログを使って、検出と検疫が行われたアプリケーションの例外を作成します。
    SONAR ログから誤認検出の例外を作成できます。項目が検疫された場合、
    Symantec Endpoint Protection
    は検疫内で項目を再スキャンした後にその項目を復元します。検疫にある項目は、更新された定義をクライアントが受信した後に再スキャンされます。
  • 例外ポリシーを使って、特定のファイル名、フォルダ名、またはアプリケーションの例外を指定します。
    SONAR 検出からフォルダ全体を除外できます。カスタムアプリケーションが存在するフォルダは除外することを推奨します。