機械学習型検索とは
機械学習型検索は、高度な機械学習テクノロジを使用して、リムーバブルストレージ、 Web、メールを経由する不審なプロセスやファイルに含まれる蔓延前の未知のセキュリティリスクを検出します。
機械学習型検索は、Windowsクライアント専用です。
機械学習型検索を利用する際は、インターネットに接続できる環境が必要です。
プロセス検索を有効にするためには、挙動監視機能を有効にしておく必要があります。
機械学習型検索を有効にする方法
- Web管理コンソールを開き、ログオンします。
- メニューから [デバイス] タブをクリックし、対象となるコンピュータグループを選択して [ポリシーの設定] をクリックします。
※例では[サーバ (初期設定)] グループを選択しています。
※設定を有効/無効にしたい端末が含まれているグループを選択してください。 - メニューから「機械学習型検索」をクリックします。
- 「機械学習型検索の有効化」を有効にします。
- 検出設定にて「ファイル」、「プロセス」にチェックを入れ、処理にてファイル、プロセスのそれぞれの処理を選択します。
利用開始時は、処理を「ログのみ」に設定し、過検出があったファイルを検索除外設定に追加することで 過検出のリスクを軽減できます。
- 「保存」をクリックします。
機械学習型検索除外リストの設定方法(過検出などがあった場合)
- Web管理コンソールを開き、ログオンします。
- 以下いずれかの手順で機械学習型検索ログを表示します。
[ログクエリ]からの表示
- メニューから「レポート」タブをクリックし、[ログクエリ] を開きます。
- "レポート生成期間"を指定します。
※除外リストに登録したいファイルの検出ログが含まれる期間を指定してください。 - "種類"に [デスクトップ/サーバイベント] を"ログの内容"に [機械学習型検索ログ] を選び、[ログの表示] をクリックします。
[最新ステータス]からの表示
- メニューから「最新ステータス」タブをクリックします。
- [セキュリティリスクの検出数] の [未知の脅威] をクリックして、"機械学習型検索" の検出した脅威の数字をクリックします。
- メニューから「レポート」タブをクリックし、[ログクエリ] を開きます。
- 対象となるログの詳細画面にて、ファイル名を選択し、「除外リストに追加する」ボタンから追加します。
- 必用に応じて機械学習型検索除外リストに追加されていることを確認します。
※機械学習型検索除外リストの表示方法は、本ページの「機械学習型検索除外リストの設定方法(事前に登録したい場合)」の手順 1. ~ 3. を参照してください。
機械学習型検索除外リストの設定方法(事前に登録したい場合)
- Web管理コンソールを開き、ログオンします。
- メニューから [管理] > [グローバル設定] をクリックします。
- [除外設定] タブを選択し、「機械学習型検索除外リスト」に移動します。
- SHA-1ファイルハッシュを入力します。
※ファイルハッシュの計算方法は、 本ページの「ファイルハッシュの計算方法」を参照してください。 - 必要に応じてファイル名などを「メモ」欄に入力します。
- 「追加」をクリックし、ファイルハッシュが正しく追加されていることを確認します。
※削除する場合は、「メモ」欄の「×」マークをクリックしてください。
ファイルハッシュの計算方法
ファイルハッシュの計算方法は、ツールを使う方法やコマンドを使う方法などがありますが、 本ページではコマンドプロンプトを使った方法をご紹介します。
※コマンドの詳細等につきましては、Microsoft社にお問い合わせください。
- 「Winodwsキー + Rキー」を入力して「ファイル名を指定して実行」を開きます。
- 「cmd」と入力してOKをクリックすることで、コマンドプロンプトが開きます。
- 以下のコマンドを入力します。
※ファイル名はフルパスで入力してください。
スペースは半角で入力してください。certutil -hashfile <入力ファイル名> > <出力ファイル名>
- ファイルハッシュが出力されます。フォーマットを調整してご利用ください。
出力例SHA1 ハッシュ (ファイル Desktop\test.txt):
a9 4a 8f e5 cc b1 9b a6 1c 4c 08 73 d3 91 e9 87 98 2f bb d3
CertUtil: -hashfile コマンドは正常に完了しました。
ファイルハッシュ例a94a8fe5ccb19ba61c4c0873d391e987982fbbd3