キャンセル
次の結果を表示 
表示  限定  | 次の代わりに検索 
もしかして: 

[MWG] ウイルス検知時に検体を隔離する方法

Environment
McAfee Web Gateway 7.2 or later

Summary
ウイルスサンプル送信の際には検体が必要です。McAfee Web Gateway で、ウイルスを検知した際に検体をアプライアンス内に隔離する手順をご案内します。この手順はウイルスサンプルを McAfee Labs へ送信する必要がある場合にのみ、有効にしてください。

Solution
Contents & Security Portal の Online Rule Library から Write Virus Samples to Files ルールをダウンロードします。

onlinerule.png

 

MWGの管理コンソールへログインし、Ruleset from Library から Import from file でダウンロードしたルールセットをインポートします。ルールセットのインポート手順については、KB80745 をご参照ください。

インポートしたルールセットを、Gateway Anti-MalwareルールセットのBlock if Virus was found の手前に設定します。

rule.png

ルールの条件として、特定のIPアドレスレンジのクライアントからの接続である場合にのみルールが動作するよう条件が設定されていますので、適宜、Rule Criteria を設定します。

ウイルス検知を再現します。

検知が発生すると、検知した検体が /opt/mwg/logs/debug/BodyFilterDumps ディレクトリに保存されます。管理コンソールからも Troubleshooting, Log files から確認することができます。

bodyfilter.png

検体は拡張子を除いた特定のファイル名で保存されていますが、念のため、ダウンロードする前に、アプライアンス内でパスワード付ZIPファイルに圧縮します。

アプライアンスにSSHでログインしてファイルの格納されたディレクトリ(/opt/mwg/logs/debug/BodyFilterDumps)へ移動します。

以下のコマンドで検体ファイルをパスワード付ZIPファイルとして圧縮します(パスワードはinfected)。

[root@mwgappl BodyFilterDumps]# zip -me QUARANTINE.172.16.247.41.eicar.zip_eicar.com._EICAR_test_file_.1415945422.zip QUARANTINE.172.16.247.41.eicar.zip_eicar.com._EICAR_test_file_.1415945422 -P infected
 adding: QUARANTINE.172.16.247.41.eicar.zip_eicar.com._EICAR_test_file_.1415945422
(stored 0%)

[root@mwgappl BodyFilterDumps]# ls -al
total 4
-rw-r--r-- 1 root root 392 Nov 14 15:18
QUARANTINE.172.16.247.41.eicar.zip_eicar.com._EICAR_test_file_.1415945422.zip

圧縮後、管理コンソールから検体をダウンロードするか、コマンドラインからSCPなどで検体を移動し、McAfee Labsへ検体調査を依頼してください。
※保存されている検体がアプライアンス内部で動作することはありませんが、検体調査依頼を実施したら、念のためアプライアンスに保存されているファイルは必ず削除してください。
bodyfliter2.png

ウイルスサンプルの送信手順についてはKB62662 をご参照ください。

注意: MWG では検知したスキャンエンジンによって検体の提出手順が異なります。KB62662に詳細な手順が記載されていますので、検知したエンジンごとに正しい手順で検体のご提出をお願いいたします。

ラベル(1)
寄稿者:
バージョン履歴
改訂番号
2/2
最終更新:
‎09-30-2019 02:48 AM
更新者:
 

Community Help Hub

    New to the forums or need help finding your way around the forums? There's a whole hub of community resources to help you.

  • Find Forum FAQs
  • Learn How to Earn Badges
  • Ask for Help
Go to Community Help

Join the Community

    Thousands of customers use the McAfee Community for peer-to-peer and expert product support. Enjoy these benefits with a free membership:

  • Get helpful solutions from McAfee experts.
  • Stay connected to product conversations that matter to you.
  • Participate in product groups led by McAfee employees.
Join the Community
Join the Community