どのような偽陽性の場合には、ウイルス対策の衝突は、どのように対処することができますか?

どのような偽陽性の場合には、ウイルス対策の衝突は、どのように対処することができますか?

44080
Created On 09/25/18 19:21 PM - Last Modified 04/29/24 16:49 PM


Resolution


ウイルス対策の衝突とは、1つのマルウェアファイルまたは1つのマルウェアファミリに対して作成された署名が、署名が作成された元のファイルとは無関係の、他の良性のファイルでトリガする場合です。それを少し良く理解するために、ここにいくつかの背景情報があります:

 

 

ウイルス対策署名はどこから来るのですか?

ウイルス対策データベースには、以前の24時間に作成されたすべてのワイルドファイア署名が含まれています。山火事の署名は、毎日の営業時間の終わりに収集され、単一のデータベースに詰め込まれ、それらがすべてのプラットフォームにインストール可能であることを確認するためにテスト。要するに、ウイルス対策パッケージは、我々はそれを配布する前に、我々はチェックを行った山火事のパッケージの最後の24時間のコレクションです。


ウイルス対策署名とは

パロアルトネットワークソフトウェアによって使用されるウイルス対策の署名は、それがファイアウォールを横断している間にファイルにオーバーレイされるバイトの組み合わせです。これらのバイトが前述のファイルのバイト順と一致する場合、アンチウイルス保護プロファイルのアクションプリセットがトリガされます。

 

下の画像に見られるように、アクションの2つのタイプがあります: 野火アクションとアクション;前者は、ファイアウォールのアクションが山火事データベースから署名が一致した場合にどのような動作をするかを決定するために使用され、後者のアクションは、ウイルス対策データベースから署名が一致した場合にファイアウォールのアクションを決定するために使用されます。

 

スクリーンショット2017-02-21 で16.09.30

 

 

 

実際には、ウイルス対策シグネチャは、悪意のあるファイルから選択されたバイトのコレクションを表す静的文字列です。バイトの選択は、ファイルの種類によって異なります。PE (ポータブル実行可能ファイル) の署名は、PDF または MS Office の種類に使用される署名と同じではありません。通常、同じファイルの種類に対して同じ位置 (同じオフセット) からバイトを取得するため、これを静的選択と呼びます。

 

すべてのファイルに共通のバイトが署名に含まれていないことを確認するなど、シグネチャの特定のバイトを選択する明白な理由があります-その場合、すべてのファイルは常に私たちの署名をトリガします。それに加えて、特定のバイトの選択は、ポリモーフィックなマルウェアのサンプルは、単一の署名でキャッチすることができるように行われるので、マルウェアが自動的に使用するファイルの一部を変更する場合、我々の署名はまだそれをキャッチします。

 

それで、衝突とは何ですか?

前述のように、シグネチャは、悪意のあるファイルから選択されたバイトのコレクションを表す静的文字列です。場合によっては、この選択は、良性のファイルのバイトの順序と重複することができます。それは我々が署名の衝突 と呼ぶものです。実際には、いくつかのオカレンスがあります。パーセンテージは、我々は毎日、どのように多くの署名我々は毎日/毎月/年間ベースで公開参照してくださいどのように多くのファイルを考慮して最小限に抑えられます。彼らはまだ、残念ながら発生します。

 

衝突の対処法は?

ファイルの種類によっては、シグネチャを拡張して、署名のバイトをオーバーレイする際の精度を向上させることができます。これは多くの場合、衝突を解決できます。これが不可能な場合、我々は、マルウェアのネットワークを横断/ファイアウォールは、オートフォーカスに報告するの発生に基づいて教育を受けた決定を下す。最近、またはそのマルウェアを見ていない場合、我々は署名がトリガされた良性のファイルを支持して署名を無効にします。これは、エンジニアリングの決定です。我々は、エンドユーザーに利益を重み付けしている-マルウェアは、最近見ていない場合、良性のファイルは、ビジネス継続性のために必要な場合は、我々は、良性のファイルを支持して署名を無効にします。

 

ビジネス継続性と言うと、ここでは厳密な行ではありませんが、ケースごとに評価されますが、ビジネス・ファイルの交換には、ビジネス継続性のための正当な資格があります。一方、衝突するファイルが、例えば、いくつかの flash ベースのビデオゲームである場合、我々は、その良性のファイルに衝突しているにもかかわらず、我々の署名を維持することがあります。また、無効にしたシグネチャが再びアクティブになる必要がある場合は、衝突に関係なく署名を再度有効にする可能性があります。

注意すべきもう一つの重要なこと: まれな機会で行われている間、署名の無効化と有効化の両方は、我々のシニアエンジニアは、ビジネスの重要性とスコープとエンドユーザーへの中断の程度を評価する、ケースごとに行われ、それを比較する署名を削除する可能性のあるリスク。このような決定は軽く細工されておらず、念頭に置いてすべてのユーザーの最善の利益で行われます。 

 

再有効化された署名に関する問題が発生しているにもかかわらず、衝突の問題があり、署名が (まだ) 無効になっていない場合は、この記事を参照して AV プロファイルに例外を作成してください: https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Use-Exceptions-to-Block-Threats/ta-p/66099

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClWICA0&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language