概要
InterScan Web Security Virtual Appliance (以下、IWSVA) の不審オブジェクト (以下、SO) に関する仕様がわかりません。
詳細
Q. どのようにSOを管理すればよいですか。
IWSVAからは、SOを管理することができません。SO同期元の管理コンソールにある不審オブジェクトリスト上で管理してください。
Q. SOの保存に関して上限はありますか。
IWSVAでは、SOの保存に関して上限を設けていません。
Q. 古いSOを削除できますか。
全て自動で削除されるため、手動では削除できません。
IWSVAは、SO同期元で設定された有効期限の情報を確認しており、期限切れに達したSOを自動的に削除します。SO同期元の管理コンソールで有効期限を管理してください。
IWSVAは、SO同期元で設定された有効期限の情報を確認しており、期限切れに達したSOを自動的に削除します。SO同期元の管理コンソールで有効期限を管理してください。
Q. SHA1として登録したSOをzip圧縮した場合ブロックされますか。
SHA1としてSOが登録されていても、圧縮されていた場合はSHA1のハッシュ値が異なるためブロックできません。
Q. Deep Discovery Inspectorの管理コンソールでSOを[拒否リスト]に登録した場合はブロックされますか。
DDI側でSOを[拒否リスト]に登録された場合は、IWSVA側で[拒否リスト]上のSO情報を取得できないため、[拒否リスト]に登録されているSOをブロックできません。
Q. TMCMの管理コンソール上でSOを除外リストではなく削除しましたが、IWSVAでは未だにブロックしています。
TMCM側でSOを削除していただいた場合、管理コンソール上は該当SOの情報が消えたように見えても、TMCM内部の削除処理に時間を要する場合があります。
[HTTP]>[高度な脅威保護]>[カスタム保護]>[リスクレベル設定]タブの[今すぐ同期]ボタンを更新していただき、以下のメッセージが表示されない場合は、TMCMのSO情報が取得できている状態です。 TMCM内部の削除処理が終了するまでしばらくお待ちください。
[HTTP]>[高度な脅威保護]>[カスタム保護]>[リスクレベル設定]タブの[今すぐ同期]ボタンを更新していただき、以下のメッセージが表示されない場合は、TMCMのSO情報が取得できている状態です。 TMCM内部の削除処理が終了するまでしばらくお待ちください。
[ブロックリストの同期に失敗しました。再度実行してください。]
Q. TMCMの[ユーザ定義オブジェクト]はブロックできますか。
IWSVAは[ユーザ定義オブジェクト]で定義されたSOをブロック可能です。 ただし、IWSVA内では、[ユーザ定義オブジェクト]に対してのみ[検出時の処理]を以下のリスクレベルとして判断します。
| TMCM側での[検出時の処理] | IWSVA側での[リスクレベル]判定 |
|---|---|
| ブロック | 高 |
| ログ、隔離、なし | 低 |
Q. TMCM上で[仮想アナライザオブジェクト]のSOに対する処理を[ログ]に変更しましたが、IWSVAでブロックされます。
IWSVA内では、[仮想アナライザオブジェクト]のリスクレベルのみ利用しています。そのため、[ブロック]以外の処理に変更してもIWSVAでブロックされます。
