サンドボックスへのファイルの送信

EDR のサンドボックス処理では、疑わしいファイルを送信して分析し、ファイルが悪質または安全かどうかを判断できます。
Symantec Endpoint Detection and Response では、以下の方法でファイルをサンドボックス処理に送信して詳しく分析できます。
  • サンドボックスにファイルを自動的に送信
  • サンドボックスにファイルを手動で送信
この機能は SEP 14.3 以降でのみ使用できます。
サンドボックスにファイルを自動的に送信
Symantec Endpoint Detection and Response は、疑わしいファイルをサンドボックスに自動的に送信して評価します。そのファイルのサンドボックスの結果が悪質であった場合は、イベント ID 8031 のイベントが作成されます。
サンドボックスで疑いありとして検出されたすべてのイベントは、
[解析] > [セキュリティ イベント] > [検索]
ページの
[クイック フィルタ]
を使用して表示できます。
評価のためにサンドボックスに自動送信されるファイルの数に制限はありません。
サンドボックスにファイルを手動で送信
環境内で疑わしいファイルが検出された場合は、サンドボックスに手動でファイルを送信して分析することもできます。
サンドボックスにファイルを手動で送信する場合の制限事項を以下に示します。
  • 顧客のドメインでは、1 日に最大 100 件の送信が許可されています。
  • ファイルのサンドボックスの結果が利用可能な場合、次の 7 日間は同じファイルをサンドボックスに送信できません。
  • サンドボックスに送信するファイルの最大サイズは 20 MB です。
サンドボックスにファイルを送信するために必要な手順を以下に示します。
  1. Symantec Endpoint Security コンソールにログオンして、
    [解析]
    メニューに移動します。
  2. [解析]
    ページでフィルタを使用して、疑わしいファイルを検索してフィルタ処理します。
  3. [処理]
    メニューを選択します。
  4. [処理]
    メニューから、
    [サンドボックスに送信]
    を選択します。
  5. [次へ]
    を選択します。
  6. [サンドボックスに送信]
    ページで、分析のためにサンドボックスに送信するファイルの種類を選択します。ファイルがポータブル実行可能ファイル(PE)または非ポータブル実行可能ファイル(PE 以外)かどうかを選択できます。ファイルが非ポータブル実行可能ファイルの場合、エンドポイントの資格情報またはドメイン管理者の資格情報を指定する必要があります。
  7. [送信 (Submit )]
    をクリックします。
ファイルが分析のためにサンドボックスに送信されると、対応するインシデントが作成されます。インシデントの詳細を表示するには、
[インシデントと警告]
メニューを選択します。