発行日:2014 年 3 月 12 日 改訂日:6、25、2018
Advanced Malware Protection 機能は、AsyncOS 8.0.5 for Cisco Web Security Appliances お よ び AsyncOS 8.5.5 for Cisco Email Security Appliances か ら 導入 さ れ ま し た。
Cisco Web Security Appliance お よ び Cisco Email Security ま たは Cloud Email Security ア プ ラ イ ア ン ス の フ ァ イ ル レ ピ ュ テーシ ョ ンお よ びフ ァ イ ル分析サービ ス は、こ の ド キ ュ メ ン ト で説明 さ れ る 基準を満たす フ ァ イ ルの レ ピ ュ テーシ ョ ン情報 と 挙動分析を提供 し ま す。 • こ の ド キ ュ メ ン ト への ア ク セ ス について(1 ページ) • こ の情報は予告な し に変更 さ れ る こ と が あ り ま す(1 ページ) • フ ァ イ ル レ ピ ュ テーシ ョ ン ク エ リ (2 ページ) • フ ァ イ ル分析(2 ページ) • 判定更新の タ イ ミ ン グ( レ ト ロ ス ペ ク テ ィ ブ判定)(12 ページ) • 詳細情報(12 ページ)
この ド キ ュ メ ン ト へのア ク セスについて
こ の ド キ ュ メ ン ト に ア ク セ ス す る には、シ ス コ の顧客プ ロ フ ァ イ ル と サポー ト 契約が必要です。 ア カ ウ ン ト を 登録す る には、https://tools.cisco.com/RPF/register/register.do に ア ク セ ス し て く だ さ い。この情報は予告な し に変更 さ れる こ と があ り ます
フ ァ イ ル基準は随時変更 さ れ る 可能性が あ り 、こ の ド キ ュ メ ン ト は頻繁に更新 さ れ る 場合が あ り ま す。フ ァ イ ル レ ピ ュ テーシ ョ ン サービ ス は、大半の フ ァ イ ルを評価で き ま す。それで も 、次の対応を 試 し て く だ さ い。
• (Email Security Appliance のみ)ア プ ラ イ ア ン ス は、ワ ー ク キ ュ ー内の Advanced Malware
Protection 防御サー ビ ス に到達す る 前に、メ ッ セージ か ら 除去 さ れた添付 フ ァ イ ルについ て は、フ ァ イ ル レ ピ ュ テーシ ョ ン サービ ス を ク エ リ し ま せん。
• (Email Security Appliance のみ)フ ァ イ ル レ ピ ュ テーシ ョ ンは、暗号化 さ れた メ ッ セージにつ
いては ク エ リ さ れ ま せん。こ れは、暗号化 さ れた メ ッ セージ か ら は添付 フ ァ イ ル を抽出で き ないためです。
• (Email Security Appliance のみ)暗号化 さ れていない メ ッ セージの暗号化 さ れた添付フ ァ イ
ルが、評価のために送信 さ れ ま す。ただ し 、こ れ ら の添付 フ ァ イ ルの種類は、ス キ ャ ン で き な い も の と し て扱われ ま す。
• (AsyncOS 8.5 for Web Security お よ び AsyncOS 9.0 for Email Security 以降)圧縮 さ れた アーカ
イ ブ フ ァ イ ル(RAR、7z、Gzip、ZIP、TAR、LZH、TGZ)内の コ ン テ ン ツ が抽出 さ れ(最大 5 段階 のネ ス ト レ ベル)、すべての抽出 さ れた フ ァ イ ルの レ ピ ュ テーシ ョ ン が評価 さ れ ま す。抽出 さ れた フ ァ イ ルのい く つかの判定が「不明(unknown)」で あ る 場合、それ ら の抽出フ ァ イ ル は、状況に応 じ て、分析のために送信 さ れ ま す(その よ う に設定 さ れてお り 、フ ァ イ ル タ イ プ が フ ァ イ ル分析でサポー ト さ れてい る 場合)。
• (Web Security Appliance のみ)[セ キ ュ リ テ ィ サービ ス(Security Services)] > [マル ウ ェ ア対策
お よ び レ ピ ュ テーシ ョ ン(Anti-Malware and Reputation)] ページの [DVS エ ン ジ ン オブジ ェ ク ト ス キ ャ ン の制限(DVS Engine Object Scanning Limits)] の設定 も 、レ ピ ュ テーシ ョ ン を評 価す る ために最大 フ ァ イ ル サ イ ズ を決定 し ま す。
フ ァ イル分析
分析用に フ ァ イ ル を ア ッ プ ロ ー ド す る ための基準は次の と お り です。 • 次の表に、フ ァ イ ル分析用に送信で き る 新 し い フ ァ イ ルの種類を リ ス ト し ま す。 フ ァ イ ル グループ名 フ ァ イルの説明 フ ァ イル拡張子(File Extension) アーカ イ ブお よ び圧縮 GLOX フ ァ イ ル .glox GrooveToolArchive .gta Jarfile .jar Microsoft.System.Update.1 .msu Pbkfile .pbk VisualStudio.ContentInstaller.vsi .vsi設定(Configuration) AcroExch.SecStore .secstore Aspfile .cdx BrmFile .printerExport CABFolder .cab CLSID\{9E56BE60-C50F-11CF-9 A2C-00A0C90A90CE} mapimail CRLFile .crl CRTXFile .crtx CSSFile .css Campfile .camp Cdmpfile .cdmp Contact_wab_auto_file .contact Cplfile .cpl Diagnostic.Config .diagcfg Diagnostic.Perfmon.Config .perfmoncfg Emffile .emf GCSXFile .gcsx GQSXFile .gqsx GrooveLinkFile .glk GrooveStub .gfs Group_wab_auto_file .group H1cfile .H1C H1dfile .H1D H1ffile .H1F H1hfile .H1H H1kfile .H1K H1sfile .H1S H1tfile .H1T H1vfile .H1V H1wfile .H1W Hlpfile .hlp Icmfile .icm InfoPath.SolutionManifest.3 .xsf Inifile .ini InternetShortcut .URL JNLPFILE .jnlp
JobObject .job Jtpfile .jtp LibraryFolder .library-ms LpkSetup.1 .mlc MSGraph.Chart.8 .gra MSSppPackageFile .slupkg-ms MediaCatalogMGC .mgc MediaCatalogMML .mml MediaCenter.C2R .c2r MediaCenter.MCL .mcl MediaPackageFile .mpf Microsoft.PowerShellXMLData.1 .ps1xml Microsoft.WindowsCardSpaceBack up .crds Migfile .mig Ocxfile .ocx OfficeListShortcut .ols OneNote.TableOfContents .onetoc OneNote.TableOfContents.12 .onetoc2 Outlook.File.hol.14 .hol Outlook.File.ics.14 .ics Outlook.File.nk2.14 .nk2 PCBFILE .pcb PDXFileType .pdx Prffile .prf RDBFileProperties.1 .sfcache RDP.File .rdp Ratfile .rat RemoteAssistance.1 .msrcincident SHCmdFile .scf SavedDsQuery .qds Scrfile .scr Sysfile .sys VisualStudio.Launcher._sln ._sln VisualStudio.Launcher._sln60 ._sln60 VisualStudio.Launcher._sln70 ._sln70
VisualStudio.Launcher._sln71 ._sln71 VisualStudio.Launcher._sln80 ._sln80 VisualStudio.Launcher._vbxsln80 ._vbxsln80 VisualStudio.Launcher._vcppxsln80 ._vcppxsln80 VisualStudio.Launcher._vcsxsln80 ._vcsxsln80 VisualStudio.Launcher._vjsxsln80 ._vjsxsln80 VisualStudio.Launcher._vstasln80 ._vstasln80 VisualStudio.Launcher.sln .sln Vxdfile .vxd Wcxfile .wcx Windows.gadget .gadget Wmffile .wmf XEV.GenericApp .xevgenxml XTP2FILE .xtp2 XTPFILE .xtp デー タ ベー ス ACLFile .acl Access.ACCDAExtension.14 .accda Access.ACCDCFile.14 .accdc Access.ACCDEFile.14 .accde Access.ACCDRFile.14 .accdr Access.ACCDTFile.14 .accdt Access.ACCFTFile.14 .accft Access.ADEFile.14 .ade Access.Application.14 .accdb Access.BlankProjectTemplate.14 .adn Access.Extension.14 .mda Access.MDBFile .mdb Access.MDEFile.14 .mde Access.Project.14 .adp Access.Shortcut.DataAccessPage.1 .maw Access.Shortcut.Diagram.1 .mag Access.Shortcut.Form.1 .maf Access.Shortcut.Function.1 .mau Access.Shortcut.Macro.1 .mam Access.Shortcut.Module.1 .mad
Access.Shortcut.Query.1 .maq Access.Shortcut.Report.1 .mar Access.Shortcut.StoredProcedure.1 .mas Access.Shortcut.Table.1 .mdt Access.Shortcut.Table.1 .mat Access.WebApplicationReference.14 .accdw Access.WizardUserDataFile.14 .accdu Access.Workgroup.14 .mdw Accesshtmlfile .mdbhtml Accesshtmlfile .mfp Accessthmltemplate .wizhtml CATFile .cat Dbfile .db MSDASC .UDL Microsoft.Jet.OLEDB.4.0 .jod Odcdatabasefile .odcdatabasefile Odcnewfile .odcnewfile Odctablefile .odctablefile マ ニ ュ アル AcroExch.Document .pdf AcroExch.FDFDoc .fdf AcroExch.Plugin .api AcroExch.XDPDoc .xdp AcroExch.XFDFDocAcroExch.XF DFDoc .xfdf AcroExch.pdfxml .pdfxml Chm.file .chm GrooveSpaceArchive .gsa GrooveVCard .vcg Htmlfile .html InfoPath.Document.3 .infopathxml Jntfile .jnt MSHelp.hxc.2.5 .hxc MSHelp.hxd.2.5 .hxd MSHelp.hxe.2.5 .hxe MSHelp.hxf.2.5 .hxf MSHelp.hxh.2.5 .hxh
MSHelp.hxi.2.5 .hxi MSHelp.hxk.2.5 .hxk MSHelp.hxq.2.5 .hxq MSHelp.hxr.2.5 .hxr MSHelp.hxs.2.5 .hxs MSHelp.hxv.2.5 .hxv MSHelp.hxw.2.5 .hxw Mhtmlfile .mhtml Odccubefile .odccubefile Otffile .otf Outlook.File.fdm.14 .fdm Shtmlfile .shtml Windows.DVD.Maker .msdvd Windows.XPSReachViewer .xps Word.OpenDocumentText.12 .odt Word.RTF.8 .rtf Xhtmlfile .xhtml Xmlfile .xml E メ ール Microsoft.PowerShellConsole.1 .psc1 Outlook.File.eml.14 .eml Outlook.File.msg.14 .msg Outlook.File.ofs.14 .ofs Outlook.File.pab.14 .pab Outlook.File.vcf.14 .vcf エ ン コ ー ド お よ び暗号化 CERFile .der CertificateStoreFile .sst Certificate_wab_auto_file .p7c MSSppLicenseFile .xrm-ms P10File .p10 P7MFile .p7m P7RFile .p7r P7SFile .p7s PFXFile .pfx SPCFile .spc
実行可能 フ ァ イ ル AWFile .aw Access.LockFile.14 .ldb Application.Manifest .application Application.Reference .appref-ms Batfile .bat Cmdfile .cmd Comfile .com Diagnostic.Perfmon.Document .blg Drvfile .drv Evtfile .evt Exefile .exe FlashPlayer.AudioForFlashPlayer .f4a FlashPlayer.FlashVideo .flv Gmmpfile .gmmp Htafile .hta Inffile .inf JSEFile .JSE JSFile .js LEXFile .lex LnkFile .lnk MSCFile .msc MSInfoFile .nfo Microsoft.PowerShellData.1 .psd1 Microsoft.PowerShellModule.1 .psm Microsoft.PowerShellScript.1 .ps1 Msi.Package .msi OPCFile .opc Odcfile .odc Oqyfile .oqy Piffile .pif PowerPoint.Wizard.8 .pwz Regfile .reg ShockwaveFlash.ShockwaveFlash .swf Textfile .wtx VBEFile .VBE
VBSFile .vbs VisualStudio.Launcher.suo .suo WSHFile .WSH WebpnpFile .webpnp Windows.IsoFile .iso Word.Wizard.8 .wiz
Microsoft ド キ ュ メ ン ト Dqyfile .dqy
Excel.AddInMacroEnabled .xlam Excel.Addin .xla Excel.CSV .csv Excel.OpenDocumentSpreadsheet. 12 .ods Excel.Sheet.12 .xlsx Excel.Sheet.8 .xls Excel.SheetBinaryMacroEnabled.1 2 .xlsb Excel.SheetMacroEnabled.12 .xlsm Excel.Template .xlst Excel.Template.8 .xlt Excel.TemplateMacroEnabled .xltm Excelhtmlfile .xlshtml Excelhtmltemplate .xlthtml GrooveFile .grv H1qfile .H1Q OfficeTheme.12 .thmx OneNote.Package .onepkg OneNote.Section.1 .one Outlook.File.det.14 .det Outlook.File.oft.14 .oft Outlook.File.ost.14 .ost Outlook.File.otm.14 .otm PowerPoint.Addin.12 .ppam PowerPoint.Addin.8 .ppa PowerPoint.Show.12 .pptx PowerPoint.Show.8 .ppt PowerPoint.ShowMacroEnabled.12 .pptm
PowerPoint.SlideShow.12 .ppsx PowerPoint.SlideShow.8 .pps PowerPoint.SlideShowMacroEnabl ed.12 .ppsm PowerPoint.Template.12 .potx PowerPoint.Template.8 .pot PowerPoint.TemplateMacroEnable d.12 .potm Powerpointhtmlfile .ppthtml Powerpointhtmltemplate .pothtml Powerpointmhtmlfile .pptmhtml Powerpointxmlfile .pptxml Publisher.Document.14 .pub Publisherhtmlfile .pubhtml Publishermhtmlfile .pubmhtml VisioViewer.Viewer .vtx VisualStudio.Launcher._vwdxsln80 ._vwdxsln80 Word.Addin.8 .wll Word.Document.12 .docx Word.Document.8 .doc Word.Template.12 .dotx Word.Template.8 .dot Word.TemplateMacroEnabled.12 .dotm Wordhtmlfile .dochtml Wordhtmlfile .docm Wordhtmltemplate .dothtml Wordxml .docxml
• Threat Grid には、元のデバ イ ス の API を介 し て Threat Grid ク ラ ウ ド に送信 さ れた サ ン プル に関 し て、24 時間で 30 分の ラ ウ ン ド ト リ ッ プ サ ン プル時間目標があ り ま す。ラ ウ ン ド ト リ ッ プ サ ン プル時間は、サ ン プルが Threat Grid のシ ス テ ム で最初に認識 さ れてか ら 、サ ン プ ル を送信 し た元のデバ イ ス に返送 さ れ る ま での時間 と し て定義 さ れてい ま す。推奨 さ れ る フ ァ イ ル解析隔離値は、1 時間です。 • ア ッ プ ロ ー ド 用の フ ァ イ ル サ イ ズ基準は、フ ァ イ ル分析サービ ス に よ っ て、現在の脅威の傾 向に基づいて確立 さ れ ま す。こ の変更は、ユーザに対 し て透過的に処理 さ れ、ユーザに よ る ア ク シ ョ ン は不要です。現在の制限は 100 MB で、電子 メ ール ク ラ イ ア ン ト が処理で き る 平均 の上限を上回っ てい ま す。 • フ ァ イ ルは、分析用に送信 さ れていない動的 コ ン テ ン ツ を含む可能性が低いため、低 リ ス ク と みな さ れ ま す。
• フ ァ イ ル分析に Cisco Threat Grid パブ リ ッ ク ク ラ ウ ド を使用す る 場合、フ ァ イ ルのア ッ プ
ロ ー ド 制限は、構成 さ れてい る デバ イ ス に関係な く 、デ フ ォ ル ト では、組織 レ ベルで 1 日あ た り 200 フ ァ イ ルに設定 さ れてい ま す。こ の制限は、組織内の AMP が有効なすべてのデバ イ ス で共有 さ れ ま す。組織が よ り 多 く のサ ン プル キ ャ パ指定を必要 と す る 場合は、シ ス コ のセー ル ス 担当者に連絡 し 、Threat Grid サ ン プル パ ッ ク についてお問い合わせ く だ さ い。 (注) フ ァ イ ル分析サービ ス の負荷が キ ャ パシ テ ィ を超え た場合、フ ァ イ ルの種類が分析用に 選択 さ れ フ ァ イ ルが分析に適 し てい る 場合で も 、一部の フ ァ イ ルは分析 さ れない こ と が あ り ま す。特定の種類の フ ァ イ ル を処理す る ために、サービ ス が一時的に使用で き ない場 合は、ア ラ ー ト を受信 し ま す。
その他(Miscellaneous) AcroExch.acrobatsecuritysettings .acrobatsecuritysettings CLSID\{9E56BE61-C50F-11CF-9 A2C-00A0C90A90CE .desklink Chkfile .chk Diagnostic.Cabinet .diagcab Diagnostic.Document .diagpkg Dllfile .rll IE.AssocFile.PARTIAL .partial ラ ベル(Label) .label MSDASQL .dsn MediaCatalogMMW .mmw Microsoft.InformationCard .crd Microsoft.Website .website PKOFile .pko Pfmfile .pfm STLFile .stl Windows.CompositeFont .compositefont
せん。こ の よ う な フ ァ イ ルの フ ァ イ ル分析結果を得 る には、[フ ァ イ ル分析(File Analysis)] レ ポー ト ページか ら SHA-256 を検索 し ま す。 • ア プ ラ イ ア ン ス は、た と えば、接続問題のために フ ァ イ ル を ア ッ プ ロ ー ド で き ない場合な ど 、 ア ッ プ ロ ー ド に失敗 し た場合に、一度だけ フ ァ イ ルの ア ッ プ ロ ー ド を試み ま す。失敗の原因 が フ ァ イ ル分析サーバの過負荷の場合、ア ッ プ ロ ー ド は も う 一度試行 さ れ ま す。 • 特定の フ ァ イ ルが分析のために実際に送信 さ れたか ど う か を判別す る には、[フ ァ イ ル分析
(File Analysis)] レ ポー ト ま たは AMP の ロ グ を参照 し て く だ さ い。
判定更新の タ イ ミ ング(レ ト ロ スペ ク テ ィ ブ判定)
判定が ク ラ ウ ド 内で更新 さ れた後、現在は、レ ト ロ ス ペ ク テ ィ ブ判定が コ ン テ ン ツ セ キ ュ リ テ ィ ア プ ラ イ ア ン ス に反映 さ れ る ま で、約 1 時間かか り ま す。詳細情報
こ の ド キ ュ メ ン ト の情報は、リ リ ー ス ノ ー ト 、お よ び こ れ ら の機能を サポー ト す る E メ ールお よ び Web セ キ ュ リ テ ィ リ リ ー ス のユーザ ガ イ ド を補完 し ま す。お使い リ リ ー ス を確認す る には、 ユーザ ガ イ ド ま たはオ ン ラ イ ン ヘルプの フ ァ イ ル レ ピ ュ テーシ ョ ン フ ィ ル タ リ ン グ と フ ァ イ ル分析に関す る 説明を参照 し て く だ さ い。追加の検索キー ワ ー ド :AMP、VRT、サ ン ド ボ ク シ ン グ、レ ト ロ ス ペ ク テ ィ ブ、AMP Threat Grid
Cisco お よ びシ ス コ ロ ゴ は、シ ス コ ま たはその関連会社の米国お よ びその他の国におけ る 商標 ま たは登録商標です。シ ス コ の商標の一覧 は、www.cisco.com/go/trademarks で ご 確認い た だ け ま す。掲載 さ れて い る 第三者の商標はそれぞれの権利者の財産です。「パー ト ナー」 ま た は「partner」 と い う 用語の使用はシ ス コ と 他社 と の間のパー ト ナーシ ッ プ関係を意味す る も のではあ り ません。(1110R) こ のマ ニ ュ アルで使用 し てい る IP ア ド レ ス お よ び電話番号は、実際のア ド レ ス お よ び電話番号を示す も のではあ り ま せん。マニ ュ アル内 の例、コ マ ン ド 出力、ネ ッ ト ワ ー ク ト ポ ロ ジ図、お よ びその他の図は、説明のみを目的 と し て使用 さ れてい ま す。説明の中に実際のア ド レ ス お よ び電話番号が使用 さ れていた と し て も 、それは意図的な も のではな く 、偶然の一致に よ る も のです。
