PUA 警告の対処

PUA 警告に対処する方法について説明します。

対処が必要な場合、または不要と思われるアプリケーション (PUA) の検出を調査する必要がある場合、ソフォスは警告を表示して通知します。PUA のクリーンアップを試行したかどうかもお知らせします。これはデバイスの詳細ページに表示されます。詳細は、デバイスを参照してください。

脅威ケースを生成することもできます。これにより、検出された PUA に関する詳細情報を参照できます。詳細は、脅威ケースを参照してください。

PUA が誤検知であるかの確認

ファイルは、誤ってマルウェアとして検出されることがあります。たとえば、ディープラーニング (検出名: ML/PE-A) 検出は、機械学習を使用して、未知のマルウェアを識別します。これは非常に効果的ですが、正規のアプリケーションがマルウェアとして検出されてしまうこともあります。

検出が正しくない場合は、アプリケーションを許可したり、除外を追加したりできます。

検出が正しい場合は、アプリケーションをクリーンアップするようにしてください。

アプリケーションが、悪意のあるアプリケーションまたは PUA であることが不明の場合は、警告を調査するようにしてください。その後、アプリケーションを適宜、許可またはクリーンアップできます。

誤検知の対処

検出が正しくないと思われる場合は、アプリケーションを許可したり、除外を追加したりできます。

警告 アプリケーションを許可したり除外を追加したりする場合は、十分注意してください。これによって、保護が低下する可能性があります。

たとえば、ディレクトリを除外した後、その場所からマルウェアが実行されると、そのマルウェアはブロックされません。

誤検知に対処するには、次の手順を実行します。

  • アプリケーションを許可するには、次の手順を実行してください。
    1. 概要」を参照した後、「デバイス」をクリックします。
    2. アプリケーションの検出場所に応じて、「コンピュータ」または「サーバー」ページを参照します。
    3. 検知が発生したデバイスを参照して、詳細を表示します。
    4. イベント」タブで、該当する検出イベントの「詳細」をクリックします。
    5. イベントの詳細」ダイアログの「このアプリケーションを許可する」の下にオプションが表示されます。
    6. アプリケーションを許可する方法を選択します。
      • 証明書: これは推奨される方法です。同じ証明書を持つ他のアプリケーションも許可されます。
      • SHA-256: このバージョンのアプリケーションのみが許可されます。アプリケーションを更新した場合は、再び PUA として検出される可能性もあります。
      • パス: この場所にインストールされているアプリケーションが許可されます。コンピュータごとに異なる場所にアプリケーションがインストールされている場合は、変数を使用できます。
    7. 許可」をクリックします。

    アプリケーションの許可に関する詳細は、許可されたアプリケーションを参照してください。

  • 除外を追加する場合は、ポリシーベースの除外を使用することを推奨します。除外対象を絞り込んで、できるだけ具体的に指定することができます。除外を追加するには、次の手順を実行します。
    1. エンドポイントの場合は、「エンドポイントプロテクション > ポリシー」を参照して、除外を設定します。

      詳細は、脅威対策ポリシーを参照してください。

    2. サーバーの場合は、「サーバープロテクション > ポリシー」を参照して、除外を設定します。

      詳細は、サーバーの脅威対策ポリシーを参照してください。

  • エンドポイントでは、「警告」ページでアプリケーションを許可できます。これには、次の手順を実行します。
    1. 概要 > 警告」を参照します。
    2. PUA の警告を参照します。
    3. PUA の承認」をクリックします。
      警告 すべてのコンピュータで、この PUA の実行が承認されます。アプリケーションは、証明書または SHA-256 を使用して許可することを推奨します。

これで、警告を対処済みとしてマークできます。

PUA のクリーンアップ

検出が正しいと思われる場合は、アプリケーションをクリーンアップしてください。

これには、次の手順を実行します。

  • エンドポイントでは、「警告」ページで PUA を削除できます。これには、次の手順を実行します。
    1. 概要 > 警告」を参照します。
    2. PUA のクリーンアップ」をクリックします。

    PUA がネットワーク共有で検出された場合、このアクションは使用できないことがあります。これは、Sophos Endpoint Protection エージェントが、ネットワーク共有でクリーンアップを実行する権限がないためです。

  • 警告」ページで PUA をクリーンアップできない場合は、次の手順を実行します。
    1. アプリケーション、関連するプロセス、およびレジストリキーを削除します。

      関連するプロセスやその他の疑わしいファイルに関する詳細情報を確認できるため、警告を調査すると便利です。

警告の調査

検出された PUA に関する必要な情報のすべてが、警告に表示されないこともあります。検出された PUA が悪意のあるものか、不要なものかどうかわからない場合は、それに関するすべての情報を確認するようにしてください。

これには、次の手順を実行します。

  1. 脅威ケースがあるかどうかを確認します。Sophos Central で、「概要」を参照した後、「脅威解析センター」をクリックします。
  2. 検出された PUA に関連付けられた脅威ケースを探します。

    脅威ケースがある場合は、検出された PUA の詳細が表示されます。実行されたすべてのアクティビティ、および調査すべき疑わしいファイルやプロセスが他にあるかどうかが表示されます。

  3. 脅威ケースがない場合は、作成します。
  4. オプション 必要に応じて、ユーザーに連絡して、感染が発生した時間の前後に何を行っていたかを確認します。たとえば、メール内のリンクをクリックしたか、リムーバブルメディアを接続したか、などです。
  5. 脅威ケースを調査し、問題に対処するために推奨される手順に従います。

    脅威ケースを使用して脅威を調査する方法の詳細は、脅威ケースの解析ページを参照してください。

  6. アプリケーションを許可する場合は、「誤検知の対処」にある手順に従います。
  7. アプリケーションを削除する場合は、「PUA のクリーンアップ」にある手順に従います。

これで、警告を対処済みとしてマークできます。

警告の対処

アプリケーションを許可または削除したら、警告を対処済みとしてマークできます。これには、次の手順を実行します。

  1. 概要 > 警告」を参照します。
  2. 警告を参照します。
  3. 対処済みとしてマーク」をクリックします。