セキュアエンドポイントでの誤検出ファイル分析イベントのトラブルシューティング

ダウンロードオプション

PDF (948.2 KB)
Adobe Reader を使ってさまざまなデバイスで表示

Updated: 2026 年 3 月 26 日

Document ID:215993

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポートコンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版（リンクからアクセス可能）もあわせて参照することを推奨します。

はじめに

このドキュメントでは、Cisco Secure EndpointでFalse Positive（誤検出）ファイル分析を収集する方法について説明します。

前提条件

要　件

Secure Endpoint Console(SEC)ダッシュボードに関する知識があることが推奨されます。

使用するコンポーネント

このドキュメントの情報は、Secure Endpointバージョン8.x.x以降に基づくものです。

注：管理者権限を持つアカウントが必要です。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

バックグラウンド情報

セキュアエンドポイント(CE)では、特定のファイル、プロセス、スクリプト、セキュアハッシュアルゴリズム(SHA)256で過剰なアラートが生成される可能性があります。ネットワーク内で誤検出が疑われる場合は、Cisco TACに連絡し、診断チームがより詳細なファイル分析を実行します。 Cisco TACに連絡する際には、次の情報を提供する必要があります。

・ファイルSHA 256ハッシュ
・ファイルのサンプルコピー
・セキュアエンドポイントコンソールからのアラートイベントキャプチャ

・ Secure Endpoint ConsoleからキャプチャされたJSONイベントの詳細
・ファイルに関する情報（ファイルの入手元およびファイルが環境内に存在する必要がある理由）
・ファイル/プロセスが誤検出の可能性があると思われる理由の説明

シスコでは、Secure Endpointテクノロジーの脅威インテリジェンスの向上と拡張に常に努めています。ただし、Secure Endpointソリューションが誤ってアラートをトリガーした場合は、環境にこれ以上の影響を与えないようにするために、何らかの措置を講じることができます。このドキュメントでは、誤検出(False Positive)の問題に関してCisco TACでケースをオープンするために必要なすべての詳細を取得するためのガイドラインを提供します。診断チームのファイル分析に基づき、ファイルの評価を変更してSecure Endpoint Consoleでトリガーされるアラートイベントを停止するか、Cisco TACが環境に問題なくファイル/プロセスを実行するための適切な修正を提供します。

Secure Endpointの誤検出ファイル分析のトラブルシューティング

このセクションでは、Cisco TACで誤検出チケットを開くために必要なすべての詳細情報を取得するために使用できる情報を提供します。

1. ファイルSHA 256ハッシュ

ステップ 1：SHA 256ハッシュを取得するには、Secure Endpoint Console > Dashboard > Eventsの順に移動します。

ステップ 2Alert イベントを選択し、図に示すようにSHA256 をクリックしてCopy を選択します。

Event SHA256 Copy Value

2. ファイルのサンプルコピー

ステップ 1：サンプルのファイルは、Secure Endpoint Consoleから入手できます。Secure Endpoint Console > Dashboard > Eventsの順に選択します。

ステップ 2Alert Eventを選択し、SHA256をクリックし、図に示すようにFile Fetch > Fetch Fileの順に選択します。

Fetch File Menu

ステップ 3次の図に示すように、ファイルが検出されたデバイスを選択し、Fetchをクリックします。

Fetch File Pop-up

注：サンプルファイルを正しく取得するには、デバイスの電源をオンにする必要があります。

ステップ 4次の図に示すような通知を受信します。

Request Fetch

数分後、次の図に示すように、ファイルがダウンロード可能になったときに電子メール通知を受信します。

ステップ 5図に示すように、Secure Endpoint Console > Analysis > File Repositoryの順に移動し、Downloadを選択します。

File Repository List

ステップ 6通知ボックスが表示されたら、図に示すように、Downloadをクリックします。すると、ファイルがZIPファイルとしてダウンロードされます。

Download Notification

3. セキュアエンドポイントコンソールからのアラートイベントキャプチャ

ステップ 1：Secure Endpoint Console > Dashboard > Eventsの順に移動します。

ステップ 2アラートイベントを選択し、図に示すようにキャプチャを取得します。

Event Details

4. Secure EndpointコンソールからのJSONイベントの詳細

ステップ 1：Secure Endpoint Console > Dashboard > Eventsの順に移動します。

ステップ 2アラートイベントを選択し、図に示すように、JSONオプションの横にある表示をクリックします。

Event Details

図に示すように、JSONの詳細を開きます。Downloadをクリックして、コンテンツを保存します。

JSON Content

5. ファイルの情報

ファイルの作成元に関する情報。
ファイルがWebサイトにある場合は、Web URLを共有します。
簡単なファイルの説明を共有し、ファイルの機能を説明します。

6. 説明

ファイルプロセスが誤検出の可能性があると考える理由は何ですか。
ファイルを信頼する理由を共有します。

情報の提供

すべての詳細を収集したら、要求されたすべての情報をhttps://mycase.cloudapps.cisco.com/caseにアップロードします。
サービスリクエスト(SR)番号を参照していることを確認します。

更新履歴

改定	発行日	コメント
3.0	26-Mar-2026	バージョン8.x.x
1.0	02-Sep-2020	初版

シスコエンジニア提供

シスコエンジニア
Cisco TACエンジニア