ダウンロードインサイト検出の管理

Auto-Protect には、ユーザーが Web ブラウザ、テキストメッセージクライアント、その他のポータルを通してダウンロードを試みたファイルを検査する、ダウンロードインサイトと呼ばれる機能が含まれています。
サポート対象のポータルには、Internet Explorer、Firefox、Microsoft Outlook、Outlook Express、Google Chrome、Windows Live Messenger、Yahoo! Messenger が含まれます。
ダウンロードインサイトは、ファイルの評価についての証拠に基づいて、ダウンロードされたファイルがリスクである可能性があることを判断します。ダウンロードインサイトは Windows コンピュータで実行されるクライアントでのみサポートされます。
電子メールの Auto-Protect をクライアントコンピュータにインストールした場合、Auto-Protect はユーザーが電子メールの添付ファイルとして受信したファイルもスキャンします。
ダウンロードインサイト検出の管理
タスク
説明
ダウンロードインサイトがどのように評価情報を使ってファイルに関する決定を下すかを学習する
ダウンロードインサイトは、ダウンロードされたファイルについて決定を下すときに評価情報のみを使います。決定を下すためにシグネチャやヒューリスティックを使いません。ダウンロードインサイトは、ユーザーがファイルを開いたとき、または実行するときに、ファイルスキャン、Auto-Protect、SONAR にファイルのスキャンを許可します。
ダウンロードリスク分布のレポートを表示して、ダウンロードインサイト検出を表示する
ダウンロードリスク分布のレポートを使って、ダウンロードインサイトがクライアントコンピュータで検出したファイルを表示できます。レポートは URL、Web ドメイン、アプリケーションのいずれかでソートできます。検出されたファイルをユーザーが許可したかどうかも確認できます。
ダウンロードインサイトによる検出のリスクの詳細には、ダウンロードを試みた最初のポータルアプリケーションのみが表示されます。たとえば、ユーザーが Internet Explorer を使って、ダウンロードインサイトが検出したファイルのダウンロードを試みたとします。次にユーザーが Firefox を使ってこのファイルのダウンロードを試みると、リスクの詳細には、ポータルとして Internet Explorer が表示されます。
レポートに表示されるユーザー許可ファイルは、誤認検出を示している場合があります。
新しいユーザー許可ダウンロードに関する電子メール通知を受信するように指定することもできます。
ユーザーは、検出に対する通知に応答することによりファイルを許可できます。
管理者は
つの Symantec Endpoint Protection Manager
が生成し、電子メールで送信する週次レポートの一部としてレポートを受信します。電子メールアドレスは、インストール時に管理者用に指定済みであるか、管理者のプロパティの一部として設定済みであるはずです。レポートはコンソールの
[レポート]
タブから生成することもできます。
特定のファイルまたは Web ドメインの例外を作成する
ユーザーがダウンロードするアプリケーションの例外を作成できます。信頼に値すると信じる特定の Web ドメインの例外も作成できます。
クライアントコンピュータで、認証が必要なプロキシを使用する場合、シマンテック URL に信頼できる Web ドメイン例外を指定する必要があります。例外により、クライアントコンピュータは Symantec Insight と他の重要なシマンテック社のサイトと通信できます。
推奨される例外については、次の記事を参照してください。
デフォルトでは、ダウンロードインサイトは、ユーザーが信頼できるインターネットサイトまたはイントラネットサイトからダウンロードするファイルを検査しません。Windows の
[コントロールパネル]、[インターネットオプション]、[セキュリティ]
タブで、信頼済みサイトと信頼済みローカルイントラネットサイトを設定します。
[イントラネット Web サイトからダウンロードしたファイルを自動的に信頼する]
オプションが有効になっている場合、
Symantec Endpoint Protection
はリストに含まれる任意のサイトからユーザーがダウンロードするファイルを許可します。
Symantec Endpoint Protection
は、ユーザーがログオンするときと、4 時間ごとに、インターネットオプションの信頼できるサイトのリストの更新を確認します。
ダウンロードインサイトは明示的に設定された信頼できるサイトのみを認識します。ワイルドカードは許可されますが、ルーティング不可能な IP アドレス範囲はサポートされません。たとえば、ダウンロードインサイトは 10.*.*.* を信頼済みサイトとして認識しません。また、ダウンロードインサイトは、
[インターネットオプション]、[セキュリティ]、[イントラネットのネットワークを自動的に検出する]
オプションによって発見されるサイトをサポートしません。
Insight ルックアップが有効になっていることを確認する
ダウンロードインサイトでは、ファイルに関する決定を下すために Symantec Insight からの評価データが必要です。Insight ルックアップを無効にすると、ダウンロードインサイトは実行されますが、評価が最悪のファイルのみが検出されます。Insight ルックアップはデフォルトでは有効になっています。
ダウンロードインサイトの設定のカスタマイズ
次の理由でダウンロードインサイトの設定をカスタマイズしたい場合があります。
  • ダウンロードインサイト検出の数を増加または減少させます。
    悪質なファイルの感度スライダーを調整し、検出数を増加または減少させることができます。ダウンロードインサイトは低い感度レベルでは、より少ない数のファイルを悪質だと検出し、より多くのファイルを未確認として検出します。検出が少ないと誤認検出となります。
    ダウンロードインサイトは高い感度レベルでは、より多くのファイルを悪質だと検出し、より少ないファイルを未確認として検出します。検出が多いと誤認検出となります。
  • 悪質なファイルや未確認ファイルの検出の処理を変更します。
    ダウンロードインサイトが悪質なファイルや未確認ファイルを処理する方法を変更できます。指定した処理は、検出だけでなく、ユーザーが検出を操作できるかどうかにも影響を与えます。
    たとえば、未確認ファイルの処理を
    [無視]
    に変更できます。その後ダウンロードインサイトは未確認ファイルを常に許可し、ユーザーに警告しません。
  • ダウンロードインサイト検出についてユーザーに警告します。
    通知が有効になっている場合、悪質なファイルの感度設定が、ユーザーが受信する通知の数に影響します。感度を高めると、検出の合計数が増加するためユーザーへの通知の数が増加します。
    ダウンロードインサイトが検出したときにユーザーに選択肢がないように、通知をオフにできます。通知を有効のままにしておく場合、これらの検出が常に許可され、ユーザーへの通知が行われないように、未確認ファイルの処理を
    [無視]
    に設定できます。
    通知の設定にかかわらず、ダウンロードインサイトが未確認ファイルを検出し、この処理が
    [確認する]
    の場合、ユーザーはファイルを許可または遮断できます。ユーザーがファイルを許可すると、ファイルは自動的に実行されます。
    通知が有効になっていて、ダウンロードインサイトがファイルを検疫する場合、ユーザーは検疫処理を元に戻し、ファイルを許可できます。
    ユーザーが検疫ファイルを許可した場合、ファイルは自動的には実行されません。ユーザーは Temporary Internet Files フォルダからファイルを実行できます。通常、このフォルダの場所は次のいずれかです。
    • Windows 8 以降:
      <ドライブ>
      :\Users\
      username
      \AppData\Local\Microsoft\Windows\INetCache
    • Windows Vista/7:
      <ドライブ>
      :\Users\
      username
      \AppData\Local\Microsoft\Windows\Temporary Internet Files
    • Windows XP (レガシー 12.1.x クライアント用):
      <ドライブ>
      :\Documents and Settings\
      username
      \Local Settings\Temporary Internet Files
評価検出についての情報をシマンテック社に提出することをクライアントを許可する
デフォルトでは、クライアントは評価検出についての情報をシマンテック社に送信します。
評価検出の提出は、有効にすることを推奨します。この情報はシマンテック社が脅威に対処するために役立ちます。