検体提出フロー Kaspersky Security Center 10 Kaspersky Endpoint Security 10 for Windows Ver 1.1 2014/2/24 株式会社カスペルスキー 法人営業本部 PAGE 1 | セールスエンジニアリング部 1 検体提出について 2 ファイルベース 3 ネットワークベース 1 2 3 4 5 6 7 検体の提出について 検体の提供について 1. 検知されたファイルが誤検知の可能性がある場合 2. 検知されなかったファイルがウイルスの可能性がある場合 コーポレートサポート対応範囲 お問い合わせ内容 誤検知 サポート対応 • • • 検知されなかった ファイル • • • PAGE 3 | 備考 検体の確認 解析結果(ウイルスorウイルスでない)の 回答 定義データベースの修正 検体の確認 解析結果(ウイルスorウイルスでない)の 回答 定義データベースへの反映 ウイルスの挙動、侵入経 路などのお問い合わせは 別途営業にお問い合わせ ください。 1 検体提出について 2 ファイルベース 3 ネットワークベース 1 2 3 4 5 6 7 検体の提出フロー Step1 検体の入手 • 検体を入手します。 「検体の入手方法」を参照 Step2 検体をパスワード付きzipに圧縮 • 途中で駆除・削除されないよう、パスワード付きzipに圧縮します。 • パスワードは「infected」でお願いします。 検体をカスペルスキーコーポレートサポートに提出 • メールでお送りください。[email protected] メールに添付できない容量の場合、サポート窓口にご相談ください。 • 以下の情報を合わせてお送りください。 Step3 PAGE 5 | 定義データベースの発行日時 OS(バージョン) カスペルスキー製品の製品名とバージョン(パッチ) 検体があった場所のフルパス 管理サーバーからの検体の提出方法 クライアントコンピュータ上の検体は管理サーバ経由で入手することが可能です。 1. 管理コンソールを開き「リポジトリ」>「隔離」または、「リポジトリ」>「バックアップ」を開きます。 2. 入手したい検体を選択し、右クリック>「Kaspersky Labに送信」をクリックします。保存先フォルダーを選 択し、保存します。 3. 保存先のフォルダーにavp.zipが生 成されます。Avp.zipをそのまま コーポレートサポート窓口までお 送りください。 • 未知のウイルス、疑わしいファイルについ ては「隔離」に移動されます。 • 既知のウイルスについては「バックアッ プ」に移動されます。 PAGE 6 | 管理サーバーからの検体の提出方法 WEBからの提出には、マイカスペルスキーアカウントが必要です。 PAGE 7 | クライアントからの検体の提出方法 クライアントコンピュータ上で検体を取得する場合 1. KESWindowsのGUIを開き、「隔離」をクリックします。 2. 入手したい検体を選択し右クリック>「Kaspersky Labに送信」をクリックします。メーラーが自動起動しま す。 3. 宛先を[email protected]に書き換えお送りください。 ※メールソフトが無い場合は、「C:¥ProgramData¥Kaspersky Lab¥KES10¥QB」に検体があるのでコピー してお送りください。 PAGE 8 | 1 検体提出について 2 ファイルベース 3 ネットワークベース 1 2 3 4 5 6 7 ネットワークベース検体の入手方法 http://support.kaspersky.com/772 お客様のコンピュータが未知 (最新の状態に更新されたカスペルスキー製 品を使用しても検知できない) のワームによって攻撃されており、コン ピュータを保護してよいかわからない場合は、kldump.exe をご利用くだ さい。このユーティリティはネットワーク攻撃時のダンプファイルを作成 します。そのファイルは、Kaspersky Lab に送信いただければ解析いた します。 このユーティリティは、以下のリンクからダウンロードできます: http://support.kaspersky.com/downloads/utils/kldump_x32_x64.zip また、動作にはWinPcapが必要です。 http://www.winpcap.org/install/default.htm PAGE 10 | WinPcapのホームページ WinPcapのダウンロードページ ネットワークパケットを 取得するために必要です PAGE 11 | ネットワークベース検体の入手方法 ① Kldumpを解凍します。 ② WinPcapをインストールします。 ③ Kaspersky Endpoint Security を一時停止します。 ④ kldumpを引数を付けて実行します。 -f – ネットワーク攻撃のダンプとして保存するファイルの名前 -p – キャプチャーするプロトコル:tcp、udp または icmp -b –ブロードキャストもキャプチャーするか 例: 「kldump.exe -f c:¥temp¥dump139.dmp -p tcp」 ローカルの TCP で受信したパケットが、 c:¥tempの下に、 dump139.dmp という名前でファイルに保存されます。 PAGE 12 | ネットワークベース検体の入手方法 ⑤ ネットワークカードが複数ある場合には、番号を選択しEnterを押します。 ⑥ パケットをキャプチャーしたら、CTRL+Cで停止します。 ネットワーク攻撃のダンプファイルを作成したら、 [email protected] 宛に、 New network attack という件名で、 ファイルを添付してメール送付してください。 送っていただいたダンプファイルから未知のネットワーク攻撃が特定される と、カスペルスキー製品で使用する IDS データベースにデータが追加され ます。 PAGE 13 | ありがとうございました。 PAGE 14 |
© Copyright 2024 ExpyDoc