SONAR 検出結果の監視による誤認のチェック

クライアントは、SONAR 検出結果を収集し、管理サーバーにアップロードします。結果は SONAR ログに保存されます。
どの処理が正当であるか、どれがセキュリティリスクであるかを判断するには、ログ内の次の列を調べます。
イベント
イベントの種類と、クリーニングしたりログ記録するなどクライアントがプロセスで行う処理。次のイベントの種類を調べます。
  • 考えられる正当なプロセスは、
    [潜在的なリスクが見つかりました]
    イベントとしてリストされています。
  • 推定されるセキュリティリスクは、
    [セキュリティリスクが見つかりました]
    イベントとしてリストされています。
アプリケーション
プロセス名。
アプリケーションの種類
SONAR スキャンが検出したマルウェアの種類。
ファイル/パス
プロセスが開始された場所からのパス名。
[イベント]
列を見ると、検出されたプロセスがセキュリティリスクか、可能性のある正当なプロセスであるかが、すぐにわかります。ただし、検出された潜在的なリスクが正当なプロセスである場合もない場合もあります。また、検出されたセキュリティリスクが悪意のあるプロセスである場合もない場合もあります。したがって、詳細については、
[アプリケーションの種類]
列と
[ファイル/パス]
列を調べる必要があります。たとえば、サードパーティ企業が開発した正当なアプリケーションのアプリケーション名を認識できます。
  1. 誤認を確認するために SONAR 検出結果を監視するには
  2. コンソールで、
    [監視]、[ログ]
    の順にクリックします。
  3. [ログ]タブの
    [ログの種類]
    ドロップダウンリストで、
    [SONAR]
    をクリックします。
  4. [時間範囲]
    リストボックスから、スキャン設定を最後に変更した時点に最も近い時間を選択します。
  5. [追加設定]
    をクリックします。
    12.1.xでは、
    [追加設定]
    ではなく
    [拡張設定]
    です。
  6. [イベントの種類]
    ドロップダウンリストで、次のログイベントのいずれかを選択します。
    • 検出されたすべてのプロセスを表示するには、必ず
      [すべて]
      を選択します。
    • セキュリティリスクとして評価されているプロセスを表示するには、
      [セキュリティリスクが見つかりました]
      をクリックします。
    • 潜在的なリスクとして評価され、ログ記録されているプロセスを表示するには、
      [潜在的なリスクが見つかりました]
      をクリックします。
  7. [ログの表示]
    をクリックします。
  8. 正当なアプリケーションとセキュリティリスクを識別した後、例外ポリシーでそれらの例外を作成します。
    直接、[SONAR ログ]ペインから例外を作成できます。