Loading...

ナレッジセンター


Global Threat Intelligence を使用したアルテミス誤検知について
技術的な記事 ID:  KB78993
最終更新:  2014/02/12
評価:


環境

McAfee Global Threat Intelligence

概要

アップデート情報があり次第、より詳細な情報確認を掲載する予定です。

問題

アルテミス/GTIファイルレピュテーションがサーバの問題により、いくつかの誤検知を発生させていることを確認しました。

重要 McAfee DATファイルではこの問題は発生しません。 

原因

この問題の原因は特定のGlobal Threat Intelligenceサーバによって引き起こされます。

解決策

現在、この問題の原因を調査中です。
アップデートがあり次第、本KBにて情報公開をいたします。

重要: ファイルが不正に検出された場合はシステムを再起動しないでください。システムを再起動するとファイルを復元できなくなることがあります。

この問題から復旧するためには以下の回避策をご参照ください。
 

回避策 1

不正に検出され隔離されたファイルを復元するためにQuarantine Restore Tool を利用します。このツールは、中断期間のオンアクセスとオンデマンドスキャンログに含まれている検出を復元します。

スタンドアロンおよびePolicy Orchestrator デプロイパッケージは本記事の添付セクションをご参照ください。また、ログ手順および既知の問題に関しても添付文書をご参照ください。

注意: 広範囲にわたるデプロイメントの場合、タスクスケジュールがランダムに設定されていることをご確認ください。また、小さな差分デプロイメントをスケジュールすることもできます。

スタンドアロンツールの実行方法:

  1. Quarantine_Restore_Standalone.zip をダウンロードします。
  2. ツールを実行するには、Setup--v7.0--VSE--Quarantine--Restore.exe を解答してダブルクリックするか、またはコマンドラインからスイッチを付けずに実行します。
 
ePOデプロイメントツールの実行方法:

  1. TIER3APP0070.zip をダウンロードします。
  2. ツールをソフトウエアパッケージとしてePOにチェックインします。
  3. タスクをエンドのノードに配備するためのデプロイメントタスクを作成します。
警告: ePOから同時に何千ものノードにデプロイするとエージェントーサーバー間のコミュニケーションに大きな影響を与えるため、マカフィーはランダム設定を利用して段階的にデプロイすることを推奨しています。


Restore Toolの既知の制限:
  • Restore Tool はOAS または ODS スキャンログにログされていない誤検知を隔離から復元しません。
  • Restore Tool はWindowsのファイル保護により既に修復された誤検知を隔離から復元しません。
  • Restore Tool は検出時のソースフォルダがツール実行時にアクセスできない場合、誤検知を隔離から復元しません。以下は問題が発生すると想定されるシナリオです。
    • ネットワーク共有が無効
    • ローカルフォルダーが削除
    • ボータブル大容量ストレージデバイスが接続されていない
  • アーカイブから隔離されたファイルを復元する場合、ファイルは実際のアーカイブではなく、隔離が発生した時にアーカイブがあったフォルダーに復元されます。これらのファイルは実際のアーカイブに手動で追加し直す必要があります。
  • アクセス保護ルールは隔離されたマカフィー製品のファイルが復元されるのを妨げる可能性があります。
  • ファイル復元場所のパーミッションは復元の妨げになる可能性があります。

全てのファイルが復元されない場合
ツール実行後も全てのファイルが復元されない場合は、VirusScan コンソールから手動での復元を試みてください。 

“アクセス拒否” エラーが発生した場合:
  • ターゲットフォルダーのパーミッションが“システム”への“書き込み”許可になっていることを確認してください。
     
  • アクセス保護が復元をブロックしていないかをアクセス保護のログで確認してください。書き込みをブロックしている場合は、以下の手順に従い除外設定を行ってください。:

    • VirusScan コンソールでの除外設定方法:
       
      1. アクセス保護 をダブルクリックします。
      2. 以下のルールを選択して編集をクリックします:

        一般標準プロテクト: McAfee Common Management Agentのファイルと設定を変更させない
         
      3. 除外するプロセス テキストボックスの中をクリックして以下のアイテムを追加します:

        • Setup—v*--VSE--Quarantine—Restore.exe
        • scan32.exe 
           
      4. OKをクリックしてルールの詳細を閉じます。
      5. OKをクリックしてアクセス保護プロパティを閉じます。
         
    • ePOでの除外設定方法:
       
      1. ePO コンソールにログオンします。
      2. メニュー, ポリシー, ポリシーカタログをクリックします。
      3. 製品エントリーでVirusScan Enterprise 8.x を選択します。
      4. カテゴリーテントりーでアクセス保護ポリシーを選択します 
      5. 変更するポリシー名をクリックするか、または複製をクリックして新規ポリシーを作成します。

        注意: 新規ポリシーを作成した場合は新規ポリシー名フィールドに名前を入れてOKをクリックします。
         
      6. アクセス保護タブをクリックします。

        注意: 設定 フィールドで適切なシステムタイプが設定されていることを確認します: Workstation or Server。
         
      7. 以下のルールを選択して編集をクリックします:

        一般標準プロテクト: McAfee Common Management Agentのファイルと設定を変更させない
         
      8. 除外するプロセス テキストボックスの中をクリックして以下のアイテムを追加します:

        • Setup—v*--VSE--Quarantine—Restore.exe
        • scan32.exe
           
      9. OKをクリックし、保存をクリックします。
      10. システムツリーをクリックし、新ポリシーを必要とするシステムにポリシーアサインします。
      11. これらのコンピューターに対してエージェントウエイクアップコールを実施します。

それでもなお隔離から復元されないファイルがある場合は、以下の情報を収集してサポートにご連絡ください:
  • Minimum Escalation Requirements (MER) の結果ファイルを収集してください。MERの収集手順については KB59385 をご参照ください。
  • C:\!McAfee.log\ ディレクトリにあるすべてのファイルを収集してください。

回避策 2

この問題を引き起こしたGTIサーバにつきましては、全てのサービスを停止しているため、この問題は発生しません。

重要 アルテミス関連の検知が発生している場合、ファイルをリストアできなくなる可能性があるため、コンピュータを再起動しないでください。

GTI Proxyをご利用中の場合、GTI Proxyのキャッシュ内に誤検出情報が残っている場合がありますので、以下の手順でキャッシュをクリアしてください。

  1. 管理者権限のあるアカウントを使用して、ePolicy Orchestrator(ePO)サーバへログオンします。
  2. GTI Proxy Appliance Managementインターフェイスを開きます。

    • ePO 4.6.4 以降の場合、メニューからシステム->GTI Proxy Appliance Management
    • ePO 5.0の場合、メニューをクリックしてシステムエリアのGTI Proxy Appliance Management.をクリックします。
       
  3. ConfigurationからGTI Proxy Applianceを選択して、Stop, Restart またはForce-Stopを実施します

回避策 3

VirusScan Enterprise (VSE) 8.x コンソールからファイルを復元させます。
  1. VSE 8.xコンソールを開きます。
  2. 隔離マネージャポリシーをダブルクリックします。
  3. マネージャタブをクリックします。
  4. 隔離されたアイテムを右クリックして、復元を選択します。

回避策 4

ePolicy Orchestrator (ePO)で作成したタスクを使って、隔離されたアイテムを復元させる場合には、KB80434を参照してください。

重要 ePO で作成されたタスクを使用する場合、1度に複数の隔離アイテムを復元させることができません。

以前のドキュメント ID

AR13080101

このドキュメントを評価する

この記事によって問題が解決されましたか?

ご意見がありましたら以下にご記入ください

言語:

この記事は以下の言語でご利用になれます。

English United States
Japanese
Japan - 日本 (Japanese)
© 2003-2013 McAfee, Inc.