署名の衝突とは何ですか?

署名の衝突とは何ですか?

無害なサンプルは、別の 「マルウェア判定」 サンプルに対して最初に作成されたシグネチャをトリガーできます。 これは、Benign サンプルが、パターンベースのシグネチャが生成された以前の 「悪意のある判定」 サンプルと同じバイトオフセットにまったく同じバイト値を含んでいる可能性があるためです。 これが発生すると、これは署名の衝突と呼ばれます。

最初に署名を生成したサンプルの悪意のある判定は、真陽性 (真のマルウェア ファイルがマルウェアの評決を受けた) か、偽陽性 (真の無害なファイルがマルウェアの評決を受けた) になる可能性があります。 この 2 つのシナリオは、シナリオが真陽性の署名との署名の衝突のシナリオか、偽陽性の署名との署名の衝突かを決定します。 どちらのシナリオの解決ルートも異なります。

最初の手順は、最新のウイルス対策パッケージとシグネチャ パッケージを WildFire 動的更新で実行していること、およびダウンロードとインストールの適切なスケジュールが構成されていることを確認することです。 推奨される動的更新のチェック頻度は、ウイルス対策の場合は毎時間、毎分 WildFire PAN-OS (>= 10.0 を実行している場合はリアルタイム) です。

次に、 脅威ヴォールト で ID 、トリガーされているユニバーサル脅威を検索し、署名に関連付けられた sha256 のハッシュを見つけ、検出率に基づいて何らかの概念を得るために VirusTotal で sha256 の検索を行い、これらの (シグネチャに関連付けられたサンプル) が誤検出であるかどうかを判断するのに役立ちます。

偽陽性との署名の衝突の場合は、署名に関連付けられたサンプルの 誤った評決を報告してください(元のサンプルの簡単に入手できる可能性は低いかもしれませんが)、元のサンプルが「誤った評決のオプションを報告する」を通じて報告できなかった場合は、サポートで評決の変更を要求してください。

署名が真陽性と衝突した場合は、ウイルス対策例外を設定することを推奨します。 (リファレンス "ウイルス対策例外" を参照してください。 ウイルス対策の例外が適切でない場合 (パロアルトネットワークスは、サンプルが環境固有のサンプルであるか、多くの顧客に影響を与える広く普及しているファイルであるかどうかを評価します)、 アンチウイルスの誤検知を送信する方法の指示に従ってパロアルトネットワークスサポートにケースを報告することができます。