ビジネスサポートポータルアカウントでログイン
同じルールIDによる検出にもかかわらず「検出の重大度」の値が異なる事象について  

同じルールIDによる検出にもかかわらず「検出の重大度」の値が異なる事象について

    • 更新日:
    • 29 Oct 2020
    • 製品/バージョン:
    • Deep Discovery Inspector All
    • OS:
    • Appliance すべて
概要
同じルールIDによる検出にもかかわらず、検出結果に表示される「検出の重大度」の値が異なります。
上記の理由について教えてください。
詳細
Public

「検出の重大度」は、一致した検出ルール、通信の方向、通信のプロトコルの3つの要素による相関分析が行われることで決定します。
そのため、同一のルールIDによる検出であってもその他の要素である通信の方向やプロトコル が異なれば、相関分析の結果として「検出の重大度」が変動することがございます。

また、検出した不審オブジェクトに対して仮想アナライザによる解析が行われ、既知の脅威のハッシュ値や条件に一致し、オブジェクトが不正だと判断された場合、DDIは仮想アナライザの解析結果に基づいて、検出の重大度の上書きを行います。
※仮想アナライザによる解析結果は、検出ルールによる解析結果より優先されるため、仮想アナライザによる解析で判別した重大度が既存の値と異なる場合、値の上書きが発生します。

DDI3.8 SP5以前のバージョンでは、仮想アナライザの解析結果による「検出の重大度」の上書きは、検出ルールによる解析結果の出力後に行われるため、
検出直後に「検出の重大度」に表示されていた値が、一定時間経過後に別の値に上書きされることがあります。

重大度は、検出された潜在的な脅威もしくは既知の脅威によって決定します。

重大度のレベルの定義は以下となります。

  • 明確な感染を表す挙動。
     

  • 攻撃の成功は確認されていないが、一般的に悪意のある挙動
     

  • 無害の可能性がある異常もしくは不審な挙動
     

  • 情報

    脅威に関連している場合がある一般的な挙動
     

なお、検出ルールおよびエクスポートした検出ログに出力される「確実性レベル」は、検出ルールやパターンファイルの情報を基にした検出自体の確度を示します。確実性レベルにつきましても、 低、中、高 として表示されます。確実性レベルが 低 の検出は、誤検知の可能性が高くなり、レベルが 高 の場合は誤検知の可能性が低くなります。

Premium
Internal
Partner
評価:
カテゴリ:
SPEC
Solution Id:
000279839
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド