ビュー:

過検出を抑止する手段として以下の方法があります。

検出ルールの無効化

過検出が発生している検出ルールを無効化します。

本当に不正な通信が発生した際に該当の検出ルールで検出できなくなるリスクがあります。

設定画面

[管理]→[監視/検索]→[検出ルール]

許可リストへの登録

過検出されているファイルのハッシュ値（SHA-1）や URL などを許可リストに登録します。

設定画面

[管理]→[監視/検索]→[拒否リスト/許可リスト]

許可リストに登録できるオブジェクトの種類と用途

許可リストに登録するオブジェクトにより検出を抑止できるパターンが異なります。
各オブジェクトで抑止できる検出ルールについてはこちらをご参照ください。

■SHA-1

ファイルのハッシュ値（SHA-1）を登録することで検索エンジンによるファイルの検出などを抑止することができます。

■URL

URL を登録することで C&Cサーバへの通信や Webレピュテーションサービスによる該当 URL の検出を抑止することができます。

URL の評価による検出は抑止できますが、該当 URL からダウンロードできるファイルの内容を検索エンジンが検出する場合があります。この場合、ファイルのハッシュ値（SHA-1）を許可リストに登録する必要があります。

■IPアドレス

IPアドレスを登録することで不正な IPアドレスへのアクセス（C&Cサーバへの通信など）に起因する検出を抑止することができます。

■ドメイン

ドメイン名を登録することで不正なドメインへのアクセス（DNSクエリなど）に起因する検出を抑止することができます。

除外設定

過検出されている通信の送信元/送信先IPアドレスやプロトコルなどを指定し、検出の対象外とします。

設定画面

■DDI 5.0 以前

[管理]→[監視/検索]→[除外]

■DDI 5.1 以降

[管理]→[監視/検索]→[検出の除外設定]

動作仕様

■DDI 5.0 以前

設定した IPアドレスが通信の送信元IPアドレスまたは送信先IPアドレスのどちらかに一致するすべての検出が除外されます。除外対象のプロトコルを指定し、除外の範囲を限定することも可能です。

■DDI 5.1 以降

検出ルールやファイル名、URL など様々な条件と組み合わせて検出を除外することが可能です。DDI 5.0 以前では設定した IPアドレスが送信元または送信先に一致する全ての通信が除外されていたため影響範囲が大きいというデメリットがありましたが、DDI 5.1 以降は除外対象を柔軟に制御できるようになっています。

＜除外条件として指定できる項目＞

ホスト名（送信元または送信先のいずれかに該当）
送信元ホスト名
送信先ホスト名
ホストのIPアドレス（送信元または送信先のいずれかに該当）
送信元IPアドレス
送信先IPアドレス
プロトコル
ポート（送信元または送信先のいずれかに該当）
送信元ポート
送信先ポート
方向
ファイルパス
SHA-1
SHA-256
ドメイン
URL
メールアドレス（送信者または受信者のいずれかに該当）
送信者
受信者
メールの件名
検出ルールID
検出の種類
脅威の詳細

※上記は DDI 5.1（build 2035）, 5.5（build 2024）, 5.6 (build 2038) において指定できる除外条件の項目一覧です

仮想アナライザのファイル送信ルールの設定

仮想アナライザによるファイルの過検出が多発する場合、ファイル送信ルールの設定により仮想アナライザの解析対象外とすることで過検出を抑止できます。

設定画面

[管理]→[仮想アナライザ]→[ファイル送信]

設定例

どのファイル送信ルールにより仮想アナライザで過検出が発生しているかにより、設定すべき内容が異なります。

■特定 URL のファイルが高度な脅威検索エンジンのヒューリスティック解析により検出され、仮想アナライザに送信されている場合

＜過検出の元となっているファイル送信ルール＞

条件	処理
ヒューリスティック検出 / 極めて不審なファイル	ファイルを送信する

＜仮想アナライザによる解析を除外するためのファイル送信ルール＞

条件	処理
ヒューリスティック検出　および	ファイルを送信しない
[解析対象外としたいURL]	ファイルを送信しない

※過検出の元となっている既存のファイル送信ルールよりも優先度を高く設定してください。

■特定のファイル共有サーバからダウンロードする不特定多数の exe ファイルがいずれの検出ルールにも該当せずに仮想アナライザに送信されている場合

＜過検出の元となっているファイル送信ルール＞

条件	処理
検出ルールに一致しない　および	ファイルを送信する
WIN_EXE	ファイルを送信する

＜仮想アナライザによる解析を除外するためのファイル送信ルール＞

条件	処理
検出ルールに一致しない　および	ファイルを送信しない
WIN_EXE　および
送信元IPアドレス: [ファイル共有サーバのIPアドレス]

※過検出の元となっている既存のファイル送信ルールよりも優先度を高く設定してください。

上記はあくまで設定の例であり、お客様が設定されているファイル送信ルールや検出の内容によって、解析対象外とするためのファイル送信ルールは異なります。ご不明な点がございましたら、設定されているファイル送信ルールと検出ログを添えて弊社サポートまでお問い合わせください。

また、仮想アナライザのファイル送信ルールについてはこちらの Q&A も併せてご参照ください。

キーワード: Deep Discovery/Deep Discovery Inspector,DDI,過検出,過検知,許可リスト,抑止,ファイル送信ルール

過検出を抑止する方法

製品・バージョン:

Deep Discovery InspectorAll

更新日: 2020/08/11

記事ID: KA-0009004

カテゴリ: SPEC , Configure

概要

不正ではない通信が Deep Discovery Inspector（以下、DDI）で検出されてしまいます。どのようにして過検出を抑止すればよいか教えてください。

過検出を抑止する手段として以下の方法があります。

検出ルールの無効化
許可リストへの登録
除外設定
仮想アナライザのファイル送信ルールの設定

検出ルールの無効化

過検出が発生している検出ルールを無効化します。

本当に不正な通信が発生した際に該当の検出ルールで検出できなくなるリスクがあります。

設定画面

[管理]→[監視/検索]→[検出ルール]

許可リストへの登録

過検出されているファイルのハッシュ値（SHA-1）や URL などを許可リストに登録します。

設定画面

[管理]→[監視/検索]→[拒否リスト/許可リスト]

許可リストに登録できるオブジェクトの種類と用途

■SHA-1

ファイルのハッシュ値（SHA-1）を登録することで検索エンジンによるファイルの検出などを抑止することができます。

■URL

URL を登録することで C&Cサーバへの通信や Webレピュテーションサービスによる該当 URL の検出を抑止することができます。

■IPアドレス

IPアドレスを登録することで不正な IPアドレスへのアクセス（C&Cサーバへの通信など）に起因する検出を抑止することができます。

■ドメイン

ドメイン名を登録することで不正なドメインへのアクセス（DNSクエリなど）に起因する検出を抑止することができます。

除外設定

過検出されている通信の送信元/送信先IPアドレスやプロトコルなどを指定し、検出の対象外とします。

設定画面

■DDI 5.0 以前

[管理]→[監視/検索]→[除外]

■DDI 5.1 以降

[管理]→[監視/検索]→[検出の除外設定]

動作仕様

■DDI 5.0 以前

■DDI 5.1 以降

＜除外条件として指定できる項目＞

ホスト名（送信元または送信先のいずれかに該当）
送信元ホスト名
送信先ホスト名
ホストのIPアドレス（送信元または送信先のいずれかに該当）
送信元IPアドレス
送信先IPアドレス
プロトコル
ポート（送信元または送信先のいずれかに該当）
送信元ポート
送信先ポート
方向
ファイルパス
SHA-1
SHA-256
ドメイン
URL
メールアドレス（送信者または受信者のいずれかに該当）
送信者
受信者
メールの件名
検出ルールID
検出の種類
脅威の詳細

※上記は DDI 5.1（build 2035）, 5.5（build 2024）, 5.6 (build 2038) において指定できる除外条件の項目一覧です

仮想アナライザのファイル送信ルールの設定

設定画面

[管理]→[仮想アナライザ]→[ファイル送信]

設定例

どのファイル送信ルールにより仮想アナライザで過検出が発生しているかにより、設定すべき内容が異なります。

■特定 URL のファイルが高度な脅威検索エンジンのヒューリスティック解析により検出され、仮想アナライザに送信されている場合

＜過検出の元となっているファイル送信ルール＞

条件	処理
ヒューリスティック検出 / 極めて不審なファイル	ファイルを送信する

＜仮想アナライザによる解析を除外するためのファイル送信ルール＞

条件	処理
ヒューリスティック検出　および	ファイルを送信しない
[解析対象外としたいURL]	ファイルを送信しない

※過検出の元となっている既存のファイル送信ルールよりも優先度を高く設定してください。

＜過検出の元となっているファイル送信ルール＞

条件	処理
検出ルールに一致しない　および	ファイルを送信する
WIN_EXE	ファイルを送信する

＜仮想アナライザによる解析を除外するためのファイル送信ルール＞

条件	処理
検出ルールに一致しない　および	ファイルを送信しない
WIN_EXE　および
送信元IPアドレス: [ファイル共有サーバのIPアドレス]

※過検出の元となっている既存のファイル送信ルールよりも優先度を高く設定してください。

また、仮想アナライザのファイル送信ルールについてはこちらの Q&A も併せてご参照ください。

この記事は役に立ちましたか？

Featured

オートメーションセンター

Education Portal

Online Help Center

サービスステータスポータル

過検出を抑止する方法

検出ルールの無効化

設定画面

許可リストへの登録

設定画面

許可リストに登録できるオブジェクトの種類と用途

除外設定

設定画面

動作仕様

仮想アナライザのファイル送信ルールの設定

設定画面

設定例

過検出を抑止する方法

製品・バージョン:

概要

検出ルールの無効化

設定画面

許可リストへの登録

設定画面

許可リストに登録できるオブジェクトの種類と用途

除外設定

設定画面

動作仕様

仮想アナライザのファイル送信ルールの設定

設定画面

設定例

Trend Companion - AIチャットサポート

過検出を抑止する方法

検出ルールの無効化

設定画面

許可リストへの登録

設定画面

許可リストに登録できるオブジェクトの種類と用途

除外設定

設定画面

動作仕様

仮想アナライザのファイル送信ルールの設定

設定画面

設定例

過検出を抑止する方法

製品・バージョン:

概要

検出ルールの無効化

設定画面

許可リストへの登録

設定画面

許可リストに登録できるオブジェクトの種類と用途

除外設定

設定画面

動作仕様

仮想アナライザのファイル送信ルールの設定

設定画面

設定例