ファイルの検疫が実行されるときに、または Host Ransomware Prevention (HRP) アクションの一環として、TDR Host Sensor でファイルを検疫することができます。Host Sensor でファイルが検疫されると、そのファイルは暗号化されてローカルに保存されます。
Windows Host Sensor の検疫ディレクトリ:
c:\Program Files (x86)\WatchGuard\Threat Detection and Response\quarantine
Mac Host Sensor の検疫ディレクトリ:
/usr/local/watchguard/tdr/quarantine
Linux Host Sensor の検疫ディレクトリ:
/opt/watchguard/tdr/quarantine
暗号化されたファイルは、検疫済みファイルの保存期間 設定で指定されている日数の間ホストの検疫ディレクトリに留まります。詳細については、次を参照してください:検疫済みファイルの保存期間を構成する
検疫済みファイルが脅威でないと判断された場合は、その検疫済みファイルがホストに残っている限り、最大 30 日までであればファイルを検疫から削除することができます。
検疫済みファイルがホストに残っていても、30 日以上を経過すると検疫アクションを元に戻すことができなくなります。これは、30 日後にインシデントが自動的にシステムから削除されるためです。
検疫からファイルを削除するアクションは、Host Sensor でそのファイルがファイルの検疫アクションとして検疫されたのか、Host Ransomware Prevention (HRP) アクションとして検疫されたのかによって異なります。修正ページ、インジケータ ページ、またはホスト ページで、ファイルを検疫から削除するアクションを選択して削除することができます。
検疫からファイルを削除するアクションを実行すると、そのファイルは自動的に許可リストに追加されます。
修正ページで、検疫からファイルを削除する
インジケータを見つけて、検疫からファイルを削除するには、以下の手順を実行します。
- TDR にログインする.
- 監視 > Threat Detection の順に選択します。
- ThreatSync セクションで、インジケータ を選択します。
- 要求されたアクション の列で、ファイルの検疫 アクションのみが表示されるようにフィルタを設定します。
- 修正日 の列で、ファイルが検疫された期間の日付範囲を選択します。
- 検索条件 テキスト ボックスに、ホスト名を入力します。
- 検疫から削除するファイルのインジケータを見つけます。
- インジケータの横にあるチェックボックスを選択します。複数のインジケータを選択することができます。
- 選択したインジケータのファイルを検疫から削除するには、アクション ドロップダウン リストから、実行可能なアクションを選択します。どのアクションを使用できるかは、ファイルが HRP アクションにより検疫されたか、ファイルの検疫アクションにより検疫されたかによって異なります。
- HRP アクションとしてファイルが検疫されている場合は、HRP により検疫されたファイルを元に戻す を選択します。
この操作により、この HRP アクションに関連するすべてのファイルがホストの検疫から削除され、それが許可リストに追加されます。 - ファイルの検疫アクションとしてファイルが検疫されている場合は、検疫されたファイルを元に戻す を選択します。
この操作により、このインジケータのファイルがホストの検疫から削除され、それが許可リストに追加されます。
- HRP アクションとしてファイルが検疫されている場合は、HRP により検疫されたファイルを元に戻す を選択します。
- アクションの実行 をクリックします。
TDR から Host Sensor にメッセージが送信され、ファイルが検疫から削除されます。
インジケータ ページで、検疫からファイルを削除する
インジケータを見つけて、検疫からファイルを削除するには、以下の手順を実行します。
- TDR にログインする.
- 監視 > Threat Detection の順に選択します。
- ThreatSync セクションで、インジケータ を選択します。
- 既定のフィルタをクリアするには、
をクリックします。クリア を選択します。 - 直近の検出日 の列で、ファイルが検疫された期間の日付範囲を選択します。
- 要求されたアクション の列で、ファイルの検疫 アクションのみが表示されるようにフィルタを設定します。
- 結果 の列で、成功 アクションのみが表示されるようにフィルタを設定します。
- 検索条件 テキスト ボックスに、ホスト名を入力します。
- 検疫から削除するファイルのインジケータを見つけます。
- インジケータの横にあるチェックボックスを選択します。複数のインジケータを選択することができます。
- 選択したインジケータのファイルを検疫から削除するには、アクション ドロップダウン リストから、実行可能なアクションを選択します。どのアクションを使用できるかは、ファイルが HRP アクションにより検疫されたか、ファイルの検疫アクションにより検疫されたかによって異なります。
- HRP アクションとしてファイルが検疫されている場合は、HRP により検疫されたファイルを元に戻す を選択します。
この操作により、この HRP アクションに関連するすべてのファイルがホストの検疫から削除され、それが許可リストに追加されます。 - ファイルの検疫アクションとしてファイルが検疫されている場合は、検疫されたファイルを元に戻す を選択します。
この操作により、このインジケータのファイルがホストの検疫から削除され、それが許可リストに追加されます。
- HRP アクションとしてファイルが検疫されている場合は、HRP により検疫されたファイルを元に戻す を選択します。
- アクションの実行 をクリックします。
TDR から Host Sensor にメッセージが送信され、ファイルが検疫から削除されます。
ホスト ページで、検疫からファイルを削除する
インジケータを見つけて、検疫からファイルを削除するには、以下の手順を実行します。
- TDR にログインする.
- 監視 > Threat Detection の順に選択します。
- ThreatSync セクションで、ホスト を選択します。
- ファイルが検疫された日が含まれる日付範囲を選択します。
- 検索条件 テキスト ボックスに、ホスト名を入力します。
- スコア別にインシデントを表示するには、 をクリックします。クリア を選択します。
既定のスコア フィルタがクリアされます。 -
をクリックして、インシデントの詳細を展開します。
ホストのインジケータ リストが開きます。
- インシデントのインジケータ リストの スコア 列の上部で、スコア 1 のインシデントのみを表示するようにフィルタを設定します。適用 をクリックします。
正常に完了されたアクションのインジケータが表示されます。 - 正常に検疫されたファイルのインジケータを見つけます。
- 手動アクション 列で、アクションを選択する をクリックします。
手動アクションのダイアログ ボックスが開きます。
検疫ファイル インジケータの手動アクション ダイアログ ボックスには、元に戻す チェックボックスが含まれています。
HRP インジケータの手動アクション ダイアログ ボックスには、検疫されたファイルを元に戻す チェックボックスが含まれています。
- 手動アクションのダイアログ ボックスでは、以下のアクションを選択することができます。
- 検疫からファイルを削除するには、そのファイルの 元に戻す チェックボックスを選択します。
このオプションにより、このインジケータで指定されているファイルがホストの検疫から削除され、それが許可リストに追加されます。 - Host Ransomware Prevention インジケータの場合に、このインジケータに含まれているすべての検疫済みファイルを検疫から削除するには、HRP により検疫されたファイルを元に戻す チェックボックスを選択します。
このオプションにより、HRP アクションに関連するすべてのファイルが検疫から削除され、ファイルが許可リストに追加されます。
- 検疫からファイルを削除するには、そのファイルの 元に戻す チェックボックスを選択します。
- 選択したアクションを実行するには、選択したアクションを実行する をクリックします。
TDR から Host Sensor にメッセージが送信され、ファイルが検疫から削除されます。 - 閉じる をクリックします。
検疫からファイルを削除するアクションを実行すると、要求されたアクション/結果 列に、アクション:検疫されたファイルを元に戻す および結果:進行中 が表示されます。ファイルが検疫から削除されると、結果が 成功 に変わります。
検疫からファイルを削除する操作を実行すると、そのファイルの MD5 値が署名上書きとして自動的に許可リストに追加されます。ファイルがホストに存在していないために検疫アクションが失敗した場合も、そのファイルの MD5 値が許可リストに追加されます。許可リストに関する詳細については、TDR の署名上書きを構成する を参照してください。