新しい情報の出現に伴い、脅威の判定は変化します。最初にファイルが不明または正常として評価されると、ユーザがこのファイルにアクセスできます。新しい情報が利用可能になるのに伴い脅威判定が変更されると、アラートが送信され、ファイルとその新しい判定が [AMP 判定のアップデート（AMP Verdict Updates）] レポートに示されます。脅威の影響に対処する最初の作業として、侵入のきっかけとなったトランザクションを調査できます。

判定が「悪意がある」から「正常」に変更されることもあります。

アプライアンスが同じファイルの後続インスタンスを処理するときに、更新された結果がただちに適用されます。

判定アップデートのタイミングに関する情報は、ファイル基準のドキュメント（ファイル レピュテーションおよび分析サービスでサポートされるファイルを参照）に記載されています。

最初に、ファイルのダウンロード元の Web サイトが Web ベース レピュテーション サービス（WBRS）に対して評価されます。

サイトの Web レピュテーション スコアが「スキャン（Scan）」に設定されている範囲内である場合、アプライアンスはトランザクションをスキャンしてマルウェアがあるかどうかを確認し、同時にクラウドベース サービスに対してファイルのレピュテーションを照会します。（サイトのレピュテーション スコアが「ブロック（Block）」範囲内である場合、トランザクションはブロックされるため、ファイルをさらに処理する必要はありません。）スキャン中にマルウェアが検出されると、ファイルのレピュテーションに関係なくトランザクションはブロックされます。

適応型スキャンもイネーブルになっている場合は、ファイル レピュテーション評価とファイル分析は適応型スキャンに含まれます。

アプライアンスとファイル レピュテーション サービス間の通信は暗号化され、改ざんされないように保護されます。

ファイル レピュテーションの評価後：

• ファイルがファイル レピュテーション サービスに対して既知であり、正常であると判断された場合、ファイルはエンドユーザに対して解放されます。
• ファイル レピュテーション サービスから悪意があるという判定が返されると、このようなファイルに対して指定したアクションが、アプライアンスにより適用されます。
• レピュテーション サービスがファイルを認識しているが、決定的な判定を下すための十分な情報がない場合、レピュテーション サービスはファイルの特性（脅威のフィンガープリントや動作分析など）に基づき、脅威スコアを戻します。このスコアが設定されたレピュテーションしきい値を満たすか、または超過した場合、悪意がある、またはリスクの高いファイルに関するアクセス ポリシーで設定したアクションがアプライアンスによって適用されます。
• レピュテーション サービスにそのファイルに関する情報がなく、そのファイルが分析の基準を満たしていない場合（ファイル レピュテーションおよび分析サービスでサポートされるファイルを参照）、そのファイルは正常と見なされ、エンドユーザに解放されます。

• クラウドベースのファイル分析サービスを有効にしており、レピュテーション サービスにそのファイルの情報がなく、そのファイルが分析できるファイルの基準を満たしている場合（ファイル レピュテーションおよび分析サービスでサポートされるファイルを参照）は、ファイルは正常と見なされ、任意で分析用に送信されます。

• オンプレミスのファイル分析での展開では、レピュテーション評価とファイル分析は同時に実行されます。レピュテーション サービスから判定が返された場合は、その判定が使用されます。これは、レピュテーション サービスにはさまざまなソースからの情報が含まれているためです。レピュテーション サービスがファイルを認識していない場合、そのファイルはユーザに解放されますが、ファイル分析の結果がローカル キャッシュで更新され、そのファイルのインスタンスの以降の評価に使用されます。
• サーバとの接続がタイムアウトしたためにファイル レピュテーションの判定の情報が利用できない場合、そのファイルはスキャン不可と見なされ、設定されたアクションが適用されます。

低リスク ファイル

当初ファイルが不明で動的コンテンツを含まないと評価された場合、アプライアンスはそのファイルを事前分類エンジンに送信し、事前分類エンジンで低リスクに指定されます。このファイルは分析用にアップロードされません。キャッシュの有効期限内に同じファイルにアクセスした場合、改めて低リスクと評価され、分析用にアップロードされることはありません。キャッシュ タイムアウトの後、同じファイルにもう一度アクセスすると、不明、低リスクと順を追って評価されます。このプロセスは低リスク ファイルに対して繰り返されます。これらの低リスク ファイルはアップロードされないため、ファイル分析レポートには含められません。

ファイルが分析のために送信される場合：

• 分析用にクラウドに送信される場合、ファイルは HTTPS 経由で送信されます。
• 分析には通常、数分かかりますが、さらに時間がかかることもあります。
• ファイル分析で悪意があるとしてフラグ付けされたファイルが、レピュテーション サービスでは悪意があると識別されない場合があります。ファイル レピュテーションは、1 回のファイル分析結果でなく、さまざまな要因によって経時的に決定されます。
• オンプレミスの Cisco AMP Threat Grid アプライアンスを使用して分析されたファイルの結果は、ローカルにキャッシュされます。

判別のアップデートの詳細については、ファイル脅威判定のアップデートを参照してください。

レピュテーション サービスはほとんどのタイプのファイルを評価します。ファイル タイプの識別はファイル コンテンツによって行われ、ファイル拡張子には依存していません。

レピュテーションが不明な一部のファイルは、分析して脅威の特性を調べることができます。ファイル分析機能を設定すると、分析するファイル タイプを選択できます。新しいタイプを動的に追加できます。アップロード可能なファイル タイプのリストが変更された場合はアラートを受け取るので、追加されたファイル タイプを選択してアップロードできます。

ファイル レピュテーションおよび分析サービスでサポートされているファイルの詳細は、登録済みのお客様に限り提供しています。評価と分析の対象となるファイルについて詳しくは、『File Criteria for Advanced Malware Protection Services for Cisco Content Security Products』を参照してください。このドキュメントは、http://www.cisco.com/c/en/us/support/security/web-security-appliance/products-user-guide-list.html から入手できます。ファイル レピュテーションの評価基準、および分析用ファイルの送信基準はいつでも変更できます。

このドキュメントにアクセスするには、シスコの顧客アカウントとサポート契約が必要です。登録するには、https://tools.cisco.com/RPF/register/register.do にアクセスしてください。

[セキュリティサービス（Security Services）] > [マルウェア対策およびレピュテーション（Anti-Malware and Reputation）] ページの [DVSエンジンオブジェクトスキャンの制限（DVS Engine Object Scanning Limits）] の設定も、ファイル レピュテーションと分析の最大ファイル サイズを決定します。

高度なマルウェア防御が対応しないファイルのダウンロードをブロックするには、ポリシーを設定する必要があります。

（注）	どこかのソースからすでに分析用にアップロードしたことのある（着信メールまたは発信メールのいずれかの）ファイルは、再度アップロードされません。このようなファイルの分析結果を表示するには、[ファイル分析（File Analysis）] レポート ページから SHA-256 を検索します。

• クラウド内のレピュテーション サービスには、ファイルを一意に識別する SHA のみが送信されます。ファイル自体は送信されません。
• クラウド内のファイル分析サービスを使用している場合、ファイルが分析の要件を満たしていれば、ファイル自体がクラウドに送信されます。

• 分析用にクラウドに送信されて「悪意がある」と判定されたすべてのファイルに関する情報は、レピュテーション データベースに追加されます。この情報は他のデータと共にレピュテーション スコアを決定するために使用されます。

  オンプレミスの Cisco AMP Threat Grid アプライアンスで分析されたファイルの詳細は、レピュテーション サービスと共有されることはありません。

• これらのサービスを使用するすべての Web セキュリティ アプライアンスは、インターネットを通じてそれらのサービスに直接接続可能である必要があります（オンプレミスの Cisco AMP Threat Grid アプライアンスを使用するように設定されたファイル分析サービスを除く）。

• デフォルトでは、ファイル レピュテーションおよび分析サービスとの通信は、アプライアンスの管理ポート（M1）経由でルーティングされます。アプライアンスが管理ポートを使用してデータをルーティングしていない場合は、 データ インターフェイス経由でのファイル レピュテーション サーバおよびファイル分析サーバへのトラフィックのルーティングを参照してください。

• デフォルトでは、ファイル レピュテーションとクラウドベースの分析サービスとの通信は、デフォルト ゲートウェイに関連付けられているインターフェイス経由でルーティングされます。トラフィックを異なるインターフェイス経由でルーティングするには、[セキュリティ サービス（Security Services）] > [ファイル レピュテーションと分析（File Reputation and Analysis）] ページの [詳細設定（Advanced）] セクションで、各アドレスにスタティック ルートを作成します。

• 以下のファイアウォール ポートが開いている必要があります。

  ファイアウォール ポート	説明	プロトコル	入力／出力	ホストネーム	アプライアンス インターフェイス
  32137（デフォルト）または 443	ファイル レピュテーション取得のためのクラウド サービスへのアクセス。	TCP	発信	[セキュリティ サービス（Security Services）] > [マルウェア対策とレピュテーション（Anti-Malware and Reputation）] の [詳細設定（Advanced）] セクション：[ファイル レピュテーションの詳細設定（Advanced Settings for File Reputation）] の [クラウド サーバ プール（Cloud Server Pool）] パラメータで設定された名前。	管理（データポート経由でこのトラフィックをルーティングするようにスタティック ルートが設定されている場合を除く）。
  443	ファイル分析のためのクラウド サービスへのアクセス。	TCP	発信	[セキュリティサービス（Security Services）] > [マルウェア対策とレピュテーション（Anti-Malware and Reputation）] の [詳細設定（Advanced）] セクション：[ファイル分析の詳細設定（Advanced Settings for File Analysis）] で設定された名前。

• ファイル レピュテーション機能を設定するときに、ポート 443 で SSL を使用するかどうかを選択します。

プライベート クラウドのファイル分析サーバとして Cisco AMP 仮想プライベート クラウド アプライアンスを使用する場合は、以下のように設定します。

• FireAMP プライベート クラウドのインストールおよび設定に関するガイドを含む、Cisco Advanced Malware Protection 仮想プライベート クラウド アプライアンスのドキュメントは、http://www.cisco.com/c/en/us/support/security/fireamp-private-cloud-virtual-appliance/tsd-products-support-series-home.html [英語] から取得できます。

  この項目に記載されているタスクはこのドキュメントを参照して実行します。

  AMP プライベート クラウド アプライアンスのヘルプ リンクを使用して、その他のドキュメントも入手できます。

• 「プロキシ」モードまたは「エアギャップ」（オンプレミス）モードでの Cisco AMP 仮想プライベート アプライアンスを設定および構成します。
• Cisco AMP 仮想プライベート クラウド アプライアンスのソフトウェア バージョンが、Cisco Web セキュリティ アプライアンスとの統合を可能にするバージョン 2.2 であることを確認します。

• AMP 仮想プライベート クラウドの証明書およびキーをこのアプライアンスにダウンロードして、この Web セキュリティ アプライアンスにアップロードします。

（注）	オンプレミスのファイル レピュテーション サーバを設定した後に、この Web セキュリティ アプライアンスからこのサーバへの接続を設定します。以下ファイル レピュテーションと分析サービスの有効化と設定のステップ 6 を参照してください。

プライベート クラウドのファイル分析サーバとして Cisco AMP Threat Grid アプライアンスを使用する場合は、次のように設定します。

• 『Cisco AMP Threat Grid Appliance Setup and Configuration Guide』および『Cisco AMP Threat Grid Appliance Administration Guide』を入手します。Cisco AMP Threat Grid アプライアンスのドキュメントは、http://www.cisco.com/c/en/us/support/security/amp-threat-grid-appliances/products-installation-guides%20-list.html [英語] から入手できます。

  この項目に記載されているタスクはこのドキュメントを参照して実行します。

  AMP Threat Grid アプライアンスのヘルプ リンクからその他のドキュメントも入手できます。

  管理ガイドでは、別のシスコ アプライアンスとの統合、CSA、Cisco Sandbox API、WSA、Web セキュリティ アプライアンスなどに関する情報を提供しています。

• Cisco AMP Threat Grid アプライアンスをセットアップし、設定します。

• 必要に応じて、Cisco AMP Threat Grid アプライアンス ソフトウェアを Cisco Web セキュリティ アプライアンスとの統合をサポートするバージョン 1.2.1 へ更新します。

  バージョン番号を確認し更新を実行する方法については、AMP Threat Grid のドキュメントを参照してください。

• アプライアンスがネットワーク上で相互に通信できることを確認します。Cisco Web セキュリティ アプライアンスは、AMP Threat Grid アプライアンスの正常な（CLEAN）インターフェイスに接続可能である必要があります。
• 自己署名証明書を展開する場合は、 Web セキュリティ アプライアンスで使用される Cisco AMP Threat Grid アプライアンスから自己署名 SSL 証明書を生成します。SSL 証明書とキーをダウンロードする手順については、AMP Threat Grid アプライアンスの管理者ガイドを参照してください。AMP Thread Grid アプライアンスのホスト名を CN として持つ証明書を生成してください。AMP Threat Grid アプライアンスのデフォルトの証明書は機能しません。
• Threat Grid アプライアンスへの Web セキュリティ アプライアンスの登録は、ファイル レピュテーションと分析サービスの有効化と設定で説明したようにファイル分析の設定を送信したときに自動的に実行されます。ただし、同じ手順に記載されているように、登録をアクティブ化する必要があります。

（注）	オンプレミスのファイル分析サーバを設定した後に、この Web セキュリティ アプライアンスからこのサーバへの接続を設定します。以下のステップ 7 を参照してください。 ファイル レピュテーションと分析サービスの有効化と設定

新しいパブリック クラウド ファイル分析サービスを使用する場合は、次の説明を読み、データセンターの分離を維持するようにしてください。

• 既存のアプライアンスのグループ化情報は、新しいファイル分析サーバには保存されません。新しいファイル分析サーバでアプライアンスを再グループ化する必要があります。

• ファイル分析隔離エリアに隔離されたメッセージは、保存期間が経過するまで保存されます。隔離エリアでの保存期間が経過すると、メッセージはファイル分析隔離エリアから解放され、AMP エンジンによって再スキャンされます。その後、ファイルは分析のために新しいファイル分析サーバにアップロードされますが、メッセージがもう一度ファイル分析隔離エリアに送信されることはありません。

詳細については、http://www.cisco.com/c/en/us/support/security/amp-threat-grid-appliances/products-installation-guides -list.html から Cisco AMP Thread Grid のマニュアルを参照してください。

高度なマルウェア防御に関連するアラートを送信するようにアプライアンスが設定されていることを確認します。

以下の場合にアラートを受信します。

セキュリティ管理アプライアンスでレポートを集約管理する場合は、管理アプライアンスに関するオンライン ヘルプまたはユーザ ガイドの Web レポーティングの章の高度なマルウェア防御に関するセクションで、重要な設定要件を確認してください。

ファイル名は簡単に変更できるため、アプライアンスはセキュア ハッシュ アルゴリズム（SHA-256）を使用して各ファイルの ID を生成します。アプライアンスが名前の異なる同じファイルを処理する場合、すべてのインスタンスが同じ SHA-256 として認識されます。複数のアプライアンスが同じファイルを処理する場合、ファイルのすべてのインスタンスには同じ SHA-256 ID があります。

ほとんどのレポートでは、ファイルはその SHA-256 値でリストされます（短縮形式）。組織のマルウェア インスタンスに関連付けられたファイル名を特定するには、[レポート（Reporting）] > [高度なマルウェア防御（Advanced Malware Protection）] を選択し、テーブルの SHA-256 リンクをクリックします。関連付けられたファイル名が詳細ページに表示されます。

該当する場合は、ファイル レピュテーションおよびファイル分析のデータを他のレポートでも使用できます。デフォルトでは、[高度なマルウェア防御でブロック（Blocked by Advanced Malware Protection）] 列はアプライアンス レポートに表示されません。追加列を表示するには、テーブルの下の [列（Columns）] リンクをクリックします。

[ユーザの場所別のレポート（Report by User Location）] には [高度なマルウェア防御（Advanced Malware Protection）] タブがあります。

Web トラッキングでファイル脅威情報を検索するときには、以下の点に注意してください。

• ファイル レピュテーション サービスにより検出された悪意のあるファイルを検索するには、Web メッセージ トラッキングの [詳細設定（Advanced）] セクションの [マルウェア脅威（Malware Threat）] エリアの [マルウェア カテゴリでフィルタ（Filter by Malware Category）] オプションで [既知の悪意のある、リスクが高いファイル（Known Malicious and High-Risk Files）] を選択します。

• Web トラッキングには、ファイル レピュテーション処理に関する情報と、トランザクションメッセージの処理時点で戻された元のファイル レピュテーション判定だけが含まれます。たとえば最初にファイルがクリーンであると判断され、その後、判定のアップデートでそのファイルが悪質であると判断された場合、クリーンの判定のみがトラッキング結果に表示されます。

  クリーンな添付ファイルおよびスキャンできない添付ファイルの情報は表示されません。

  検索結果の [ブロック - AMP（Block - AMP）] は、ファイルのレピュテーション判定が原因でトランザクションがブロックされたことを意味します。

  トラッキングの詳細に表示される [AMP 脅威スコア（AMP Threat Score）] は、ファイルを明確に判定できないときにクラウド レピュテーション サービスが提示するベスト エフォート型のスコアです。この場合、スコアは 1 ~ 100 です。（AMP 判定が返された場合、またはスコアがゼロの場合は [AMP脅威スコア（AMP Threat Score）] を無視してください）。アプライアンスはこのスコアをしきい値スコア（[セキュリティサービス（Security Services）] > [マルウェア対策とレピュテーション（Anti-Malware and Reputation）] ページで設定）と比較して、実行するアクションを決定します。デフォルトでは、スコアが 60 ～ 100 の場合に悪意のあるファイルと見なされます。デフォルトのしきい値スコアの変更は推奨されません。WBRS スコアは、ファイルのダウンロード元サイトのレピュテーションであり、ファイル レピュテーションとは関係ありません。

• 判定のアップデートは [AMP判定のアップデート（AMP Verdict Updates）] レポートだけに表示されます。Web トラッキングの元のトランザクション の詳細は、判定の変更によって更新されません。特定のファイルに関連するトランザクションを確認するには、判定アップデート レポートで SHA-256 リンクをクリックします。

• 分析結果や分析用にファイルが送信済みかどうかといった、ファイル分析に関する情報は [ファイル分析（File Analysis）] レポートにのみ表示されます。

  分析済みファイルのその他の情報は、クラウドまたはオンプレミスのファイル分析サーバーから入手できます。ファイルについて使用可能なすべてのファイル分析情報を確認するには、[レポート（Reporting）] > [ファイル分析（File Analysis）] を選択し、ファイルで検索する SHA-256 を入力するか、または Web トラッキングの詳細で SHA-256 リンクをクリックします。ファイル分析サービスによってソースのファイルが分析されると、その詳細を表示できます。分析されたファイルの結果だけが表示されます。

  分析目的で送信されたファイルの後続インスタンスがアプライアンスにより処理される場合、これらのインスタンスは、Web トラッキング検索結果に表示されます。

ログの説明：

• AMP と amp は、ファイル レピュテーション サービスまたはエンジンを示しています。
• Retrospective は判定のアップデートを示しています。
• VRT と sandboxing はファイル分析サービスを示しています。

ファイル分析を含む高度なマルウェア防御に関する情報は、アクセス ログまたは AMP エンジンのログに記録されます。詳細については、ログによるシステム アクティビティのモニタリングに関する章を参照してください。

ログ メッセージ「ファイル レピュテーション クエリーに対する受信応答（Response received for file reputation query）」の「アップロード アクション（upload action）」の値は以下のようになります。

• 1：送信。（1: SEND.）この場合、ファイル分析のためにファイルを送信する必要があります。
• 2：送信しない。（2: DON’T SEND.）この場合は、ファイル分析用にファイルを送信しません。
• 3：メタデータのみを送信。（3: SEND ONLY METADATA.）この場合、ファイル分析のためにファイル全体ではなく、メタデータのみを送信します。
• 0：アクションなし。（0: NO ACTION.）この場合、他のアクションは不要です。

問題

ファイル レピュテーション サービスまたは分析サービスへの接続の失敗に関するアラートをいくつか受信した。（単一のアラートは一時的な問題のみを示していることがあります。）

解決方法

• ファイル レピュテーションと分析サービスとの通信の要件に記載されている要件を満たしていることを確認します。
• アプライアンスとクラウド サービスとの通信を妨げている可能性があるネットワークの問題を確認します。

• [クエリー タイムアウト（Query Timeout）] の値を大きくします。

  [セキュリティサービス（Security Services）] > [マルウェア対策とレピュテーション（Anti-Malware and Reputation）] を選択します。[高度なマルウェア防御サービス（Advanced Malware Protection Services）] セクションの [詳細設定（Advanced settings）] エリアの [クエリ タイムアウト（Query Timeout）] の値。

問題

ファイル分析レポートの詳細を表示しようとした場合や、分析用ファイルをアップロードするのに Web セキュリティ アプライアンスを AMP Threat Grid サーバに接続できない場合は、API キーのアラートを受信します。

解決方法

このエラーは、AMP Threat Grid サーバのホスト名を変更し、AMP Threat Grid サーバの自己署名証明書を使用する場合に発生します。また、他の状況でも発生する可能性があります。この問題を解決するには、次の手順を実行します。

• 新しいホスト名がある AMP Threat Grid アプライアンスから新しい証明書を生成します。
• Web セキュリティ アプライアンスに新しい証明書をアップロードします。
• AMP Threat Grid アプライアンスの API キーをリセットします。手順については、AMP Threat Grid アプライアンスのオンライン ヘルプを参照してください。

問題

ファイルが予想どおりに評価または分析されていません。アラートまたは明らかなエラーはありません。

解決方法

以下の点に注意してください。

• ファイルが他のアプライアンスによる分析用に送信されているために、すでにファイル分析サーバ、またはそのファイルを処理するアプライアンスのキャッシュに存在している可能性があります。

• [セキュリティ サービス（Security Services）] > [マルチウェア対策とレピュテーション（Anti-Malware and Reputation）] ページの [DVS エンジン オブジェクト スキャンの制限（DVS Engine Object Scanning Limits）] ページで設定した最大ファイルサイズの制限を確認します。この制限は、高度なマルウェア防御機能に適用されます。

問題

パブリック クラウド内の完全なファイル分析結果は、組織のその他の Web セキュリティ アプライアンスからアップロードされたファイルでは取得できません。

解決方法

ファイルの分析結果データを共有するすべてのアプライアンスをグループ化してください。（パブリック クラウド ファイル分析サービスのみ）アプライアンス グループの設定を参照してください。この設定は、グループの各アプライアンスで実行する必要があります。

問題

ファイル分析のために送信できるファイル タイプに関する重大度情報のアラートを受け取れます。

解決方法

このアラートは、サポート対象のファイル タイプが変更された場合や、アプライアンスがサポート対象のファイル タイプを確認した場合に送信されます。これは、以下の場合に発生する可能性があります。

• 自分または別の管理者が分析用に選択されているファイル タイプを変更した。
• サポート対象のファイル タイプがクラウド サービスでの可用性に基づいて一時的に変更された。この場合、アプライアンスで選択されたファイル タイプのサポートは可能な限り迅速に復旧されます。どちらのプロセスも動的であり、ユーザによる操作は必要ありません。
• アプライアンスが再起動した（たとえば、AsyncOS のアップグレードの一環として）。