Microsoft Defender (エージェントレス) で Palo Alto ライブラリをマルウェアとして検出

Microsoft Defender Agentless は、Palo Alto の事前構築済みライブラリをマルウェア (Trojan:Linux/Wacatac) として検出します。 アラートで報告されたパスの例を次に示します。

• hdd/s3iy2dlz.qh4/releases/10.1.10/RPMS
• hdd/s0gyzo2f.ueu/releases/10.1.10/RPMS
• hdd/toujmepf.b2o/releases/10.1.10/RPMS
• HDD/yk0rtetk.5ys/base/10.2.0/RPMS
• hdd/yk0rtetk.5ys/releases/10.2.8/RPMS
• hdd/yk0rtetk.5ys/releases/10.2.8-h3/RPMS

• PA-VM Azure

パロアルトネットワークスは、マイクロソフト カスタマー サービスおよびサポート チームから以下の回答を得ています。 

「Microsoftは、行動分析や機械学習など、さまざまな検出方法を利用して、マルウェアの可能性を特定します。 場合によっては、これらの検出により、正当なファイルの誤検出が生成されることがあります。 これらのケースは、多くの場合、Microsoft がまだ未知のマルウェアに対するより優れた保護を強化しようと試みた結果です。修正方法はさまざまですが、多くの場合、マルウェアの指標として探すプロパティと動作を洗練させることになります。」

パロアルトネットワークスでは、お客様にMicrosoftサポートチームによる初期調査を開始することをお勧めします。 正確なファイルを Azure ポータルから抽出し、さらに調査するために Microsoft チケットにアップロードする必要があります。 

これらのマルウェアアラートはパロアルトネットワークスにとって重要であり、調査が真陽性であると結論付けられたらすぐに注意を喚起する必要があることをご承知おきください。