プロセスの詳細

脅威グラフ内の影響を受けたファイルをクリックすると、「プロセスの詳細」ペインにファイルの最新の詳細が表示されます。

これには、ファイルのレピュテーション、パス、名前、コマンドライン、プロセス ID、実行ユーザー、SHA256、開始/終了時刻、期間などが含まれます。以下のスクリーンショットは、Internet Explorer 11 に関連するプロセスの詳細を示しています。

iexplore.exe の「プロセスの詳細」ペイン

最新の解析情報を要求

追加で解析を行うためにファイルがSophosに送信されていない場合、「このファイルに関する最新の解析情報はありません。」というテキストが表示されます。ファイルがまだ送信されていない場合、または脅威解析情報が更新されているかを確認する場合は、「最新の解析情報を要求」をクリックします。これによって、ファイルを SophosLabs にアップロードすることを要求するメッセージがコンピュータに送信されます。

ファイルの解析が完了すると、ファイルのグローバルレピュテーションに関する最新情報、および調査が必要かどうかが表示されます。

レピュテーションと拡散状況を示す「プロセスの詳細」ペイン

レピュテーションスコアはファイルの信頼性を示します。Sophosでは、ファイルのレピュテーションを赤 (不正) から緑色 (正規) の間で示します。既知のクリーンファイルは、緑色の領域に、既知の悪意のあるファイルは赤の領域に表示されます。

レピュテーションスコアは、ファイルがどこで何回Sophosによって確認されたか、およびファイルの属性や動作に関するプロパティなど、多くの要因によって変化します。はじめて確認されたファイルは、新しいファイルであるために、オレンジ色の領域 (不明) に表示される場合があります。Sophosによる解析後、ファイルのスコアは、既知の不正または正規の領域に移動することがあります。

Intercept X Advanced with XDR、または Intercept X Advanced for Server with XDR を導入している場合は、次のような、より詳しい情報およびオプションが表示されます。

レポートのサマリー

レポートのサマリー」で、ファイルのレピュテーションと拡散状況、およびソフォスの機械学習分析の結果の概要が表示されます。これは、ファイルの脅威レベルを示します。

設定

説明

拡散状況

SophosLabs がファイルを検出した頻度。

初回表示

SophosLabs が実環境で最初にファイルを検出した日時。

最終表示

SophosLabs が実環境で前回ファイルを検出した日時。

機械学習分析

ファイルの疑わしさの概要を表示。

機械学習分析

機械学習分析」で、解析の詳細な結果を表示できます。

属性: ファイルの属性と、何百万もの既知の不正および正規ファイルの属性との比較を示します。これにより、各属性がどの程度疑わしいかを判断し、ファイルが正規または不正であるかを判断できます。次のような属性が表示されます。

  • Imports: ファイルが外部の DLL から使用する機能。
  • Strings: ファイル内の最も重要な文字列。
  • Compilers: C、Delphi、Visual Basic、.NET など、ソースコードのコンパイルに使用されたコンパイラ。
  • Mitigation: エクスプロイトの防止にファイルで使用されるテクニック。
  • Resources: 圧縮または暗号化されている可能性のあるリソース。
  • Summary: ビルドの日付やコンパイルの日付などに関連した情報。
  • Packer: ファイルの特定のセクションに関する情報。たとえば、疑わしいセクション名、またはセクションが書き込み可能で実行可能であることなど。
  • Peid: PEiD の出力。PEiD は、さまざまなマルウェアシグネチャに対して PE ファイルをスキャンするサードパーティ製ツールです。
  • Btcaddress : ファイル内で検出された、有効なビットコインアドレス。
  • Findcrypt: 疑わしい暗号化の定数。

コードの類似性: ファイルと、何百万もの既知の不正および正規ファイルとの比較を示し、最も近い一致項目を一覧表示します。他の類似しているファイルも考慮され、ファイルの評価に影響を与える場合があります。より多くの不正ファイルに一致し、より類似性が高いと、疑わしいファイルである可能性が高くなります。

ファイル/パス: ファイルのパスと、何百万もの既知の不正および正規ファイルのパスとの比較を示します。ファイルのパスが、既知の不正ファイルのパスにより類似している場合は、疑わしいファイルの可能性が高いと判断します。比較に使用されるパスおよびファイル名は、ご使用のパスおよびファイル名 (最新の脅威解析情報をリクエストした場合)、または前回ソフォスにファイルを送信した他のユーザーが使用したパスおよびファイル名です。他の顧客が使用したパスに含まれる機密情報は表示されません。

ファイルのプロパティ

ファイルのプロパティ」で、製品、タイプ、著作権情報、バージョン、会社名、サイズ、タイムスタンプなど、ファイル自体に関する重要な情報を表示できます。

ファイルの内訳

PE ファイルのセクション: コード、データ、リソースなど、ファイルの各セクションに関する情報を表示します。セクション名は、特定のパッカー、コンパイラ、機能などを示します。マルウェアは、不正なファイルであることを明確に示すように、罵りの言葉、機能、スラングなどの文字列を使用します。

また、ディスクおよびメモリ上でのセクションの大きさを説明する情報も記載されています。セクションの大きさは非常に小さい場合も非常に大きい場合もあり、ディスクまたはメモリ上のみに存在する場合もあります。セクションのエントロピーに関する情報や、読み取り可能、書き込み可能、コードを含むかどうかの情報も提供されます。これらすべては、セクションがパックされているかどうか、データやコード含まれているかどうか、異常ではないかどうかなどを判断するのに役立ちます。

ファイルのセクションの詳細は、セクションテーブル (セクションヘッダ)を参照してください。

PE インポート: ファイルが使用する DLL を表示します。また、各 DLL を展開すると、そこからインポートされる API も表示されます。ネットワークアクティビティに使用される DLL や、パスワードの解凍に活用される API を確認できます。DLL 名は、非常に一般的な名前であることがあります。また、名前が稀なため、インターネット検索で疑わしいまたは悪意のあることが特定され、その結果、そこからインポートされたファイルも同様であることを特定できる場合があります。PE インポートの詳細は、ライブラリフォーマットのインポートを参照してください。

また、他のファイルが利用できるようにコードを表示している「PE エクスポート」も確認できます。これは、一見無害であるように見えたり、明らかに不正であるように見えたりすることがあります。PE エクスポートの詳細は、.edata セクション (イメージのみ)を参照してください。

検索

検索」をクリックして、ネットワーク上の他のファイルを検索します。

クリーン&ブロック

疑わしいファイルがある場合は、「クリーン&ブロック」を使用できます。

実行すると、疑わしいファイルとそれに関連するファイルやレジストリキーが、すべてのデバイスからクリーンアップされます。また、他のデバイスで実行されることがないように、ファイルはブロックリストにも追加されます。ブロックされた項目は、「概要 > グローバル設定 > ブロックリスト」で確認できます。