InterScan検索の階層 親トピック

管理者は、InterScanでセキュリティリスク検索を設定することにより、多様なレベルのセキュリティを提供できます。仮想アナライザで高度な脅威検索エンジンを有効にすると、不審な不正プログラムの脅威による標的型攻撃を検出および防止できます。
次の表に、InterScanにおける検索エンジンの階層の概要を示します。

検索エンジンの階層

検索エンジン
説明
ウイルス検索エンジンによる検索
ウイルス検索エンジンは、パターンベースのヒューリスティック検索によって、従来型の不正プログラムの脅威を検出します。
ATSEによる検索
ATSEを使用すると、ウイルス検索エンジンで提供される従来型の不正プログラムの脅威に対する保護機能が強化されます。ATSEは、ヒューリスティックアルゴリズムを使用して積極的な検索を実行することにより、ドキュメントの不正利用など標的型攻撃の可能性を識別します。
仮想アナライザにファイルを送信せずにATSEを有効にするという検索設定の場合、InterScanでは、ATSEによって高度な脅威として検出された不審メッセージやファイルを対象として、[高度な脅威] に対して設定されている処理を実行します。
注意
注意
安全なファイルが検出されることもあります。ATSEで検出された不審な脅威については [メッセージ全体の隔離] を選択することをお勧めします。仮想アナライザに送信されなかったファイルについては、評価を実行して、隔離ファイルの実際の脅威を判断してください。
仮想アナライザを登録していない場合は、誤検出を少なくするために検索レベルを [低] に設定し、ATSEで検出された不審な脅威に対して [メッセージ全体の隔離] を選択することをお勧めします。
ATSEと仮想アナライザ
ATSEが不審な不正プログラムの脅威を検出すると、InterScanは詳しい分析のために仮想アナライザにメッセージを送信します。
仮想アナライザは、分離された仮想環境でメッセージのリスクレベルを評価し、InterScanサーバに脅威の評価結果を返します。セキュリティの評価結果が、不審な脅威に対して設定されているセキュリティレベルに違反している場合は、InterScan[高度な脅威] に対して設定されている処理を実行します。
サンドボックスを使用した保護には、トラフィック方向や対象の受信者など、仮想アナライザの設定を適用することができます。たとえば、受信者を経営層や人事担当部門に設定することが可能です。初期設定では、トラフィック方向は受信メッセージのみです。サンドボックスの保護範囲にないメッセージは、検索エンジンやパターンファイルを使用した従来の方法で検索されます。
ATSEと機械学習
高度な脅威検索エンジンでは、Windows の実行可能ファイル (PE) やスクリプトファイルなど、一部のファイルのウイルス検索の実行時に、機械学習型検索を使用します。機械学習型検索では、従来のシグネチャベースの不正プログラム検出に比べ、より多くの不正プログラムの亜種を検出できます。
関連情報