ビュー:

「検出の重大度」は、一致した検出ルール、通信の方向、通信のプロトコルの3つの要素による相関分析が行われることで決定します。
そのため、同一のルールIDによる検出であってもその他の要素である通信の方向やプロトコル が異なれば、相関分析の結果として「検出の重大度」が変動することがございます。

また、検出した不審オブジェクトに対して仮想アナライザによる解析が行われ、既知の脅威のハッシュ値や条件に一致し、オブジェクトが不正だと判断された場合、DDIは仮想アナライザの解析結果に基づいて、検出の重大度の上書きを行います。
※仮想アナライザによる解析結果は、検出ルールによる解析結果より優先されるため、仮想アナライザによる解析で判別した重大度が既存の値と異なる場合、値の上書きが発生します。

DDI3.8 SP5以前のバージョンでは、仮想アナライザの解析結果による「検出の重大度」の上書きは、検出ルールによる解析結果の出力後に行われるため、
検出直後に「検出の重大度」に表示されていた値が、一定時間経過後に別の値に上書きされることがあります。

重大度は、検出された潜在的な脅威もしくは既知の脅威によって決定します。

重大度のレベルの定義は以下となります。

  • 明確な感染を表す挙動。
     

  • 攻撃の成功は確認されていないが、一般的に悪意のある挙動
     

  • 無害の可能性がある異常もしくは不審な挙動
     

  • 情報

    脅威に関連している場合がある一般的な挙動
     

なお、検出ルールおよびエクスポートした検出ログに出力される「確実性レベル」は、検出ルールやパターンファイルの情報を基にした検出自体の確度を示します。確実性レベルにつきましても、 低、中、高 として表示されます。確実性レベルが 低 の検出は、誤検知の可能性が高くなり、レベルが 高 の場合は誤検知の可能性が低くなります。

キーワード: Deep Discovery/Deep Discovery Inspector