検体提出フロー Kaspersky Security Center 10 Kaspersky Endpoint Security 10 for Windows Ver 1.1 2014/2/24 株式会社カスペルスキー法人営業本部 PAGE 1 | セールスエンジニアリング部１検体提出について２ファイルベース３ネットワークベース 1 2 3 4 5 6 7 検体の提出について検体の提供について 1. 検知されたファイルが誤検知の可能性がある場合 2. 検知されなかったファイルがウイルスの可能性がある場合コーポレートサポート対応範囲お問い合わせ内容誤検知サポート対応 • • • 検知されなかったファイル • • • PAGE 3 | 備考検体の確認解析結果(ウイルスorウイルスでない)の回答定義データベースの修正検体の確認解析結果(ウイルスorウイルスでない)の回答定義データベースへの反映ウイルスの挙動、侵入経路などのお問い合わせは別途営業にお問い合わせください。１検体提出について２ファイルベース３ネットワークベース 1 2 3 4 5 6 7 検体の提出フロー Step1 検体の入手 • 検体を入手します。「検体の入手方法」を参照 Step2 検体をパスワード付きzipに圧縮 • 途中で駆除・削除されないよう、パスワード付きzipに圧縮します。 • パスワードは「infected」でお願いします。検体をカスペルスキーコーポレートサポートに提出 • メールでお送りください。[email protected] メールに添付できない容量の場合、サポート窓口にご相談ください。 • 以下の情報を合わせてお送りください。 Step3 PAGE 5 |     定義データベースの発行日時 OS(バージョン) カスペルスキー製品の製品名とバージョン(パッチ) 検体があった場所のフルパス管理サーバーからの検体の提出方法クライアントコンピュータ上の検体は管理サーバ経由で入手することが可能です。 1. 管理コンソールを開き「リポジトリ」＞「隔離」または、「リポジトリ」＞「バックアップ」を開きます。 2. 入手したい検体を選択し、右クリック＞「Kaspersky Labに送信」をクリックします。保存先フォルダーを選択し、保存します。 3. 保存先のフォルダーにavp.zipが生成されます。Avp.zipをそのままコーポレートサポート窓口までお送りください。 • 未知のウイルス、疑わしいファイルについては「隔離」に移動されます。 • 既知のウイルスについては「バックアップ」に移動されます。 PAGE 6 | 管理サーバーからの検体の提出方法 WEBからの提出には、マイカスペルスキーアカウントが必要です。 PAGE 7 | クライアントからの検体の提出方法クライアントコンピュータ上で検体を取得する場合 1. KESWindowsのGUIを開き、「隔離」をクリックします。 2. 入手したい検体を選択し右クリック＞「Kaspersky Labに送信」をクリックします。メーラーが自動起動します。 3. 宛先を[email protected]に書き換えお送りください。 ※メールソフトが無い場合は、「C:¥ProgramData¥Kaspersky Lab¥KES10¥QB」に検体があるのでコピーしてお送りください。 PAGE 8 | １検体提出について２ファイルベース３ネットワークベース 1 2 3 4 5 6 7 ネットワークベース検体の入手方法 http://support.kaspersky.com/772 お客様のコンピュータが未知 (最新の状態に更新されたカスペルスキー製品を使用しても検知できない) のワームによって攻撃されており、コンピュータを保護してよいかわからない場合は、kldump.exe をご利用ください。このユーティリティはネットワーク攻撃時のダンプファイルを作成します。そのファイルは、Kaspersky Lab に送信いただければ解析いたします。このユーティリティは、以下のリンクからダウンロードできます: http://support.kaspersky.com/downloads/utils/kldump_x32_x64.zip また、動作にはWinPcapが必要です。 http://www.winpcap.org/install/default.htm PAGE 10 | WinPcapのホームページ WinPcapのダウンロードページネットワークパケットを取得するために必要です PAGE 11 | ネットワークベース検体の入手方法 ① Kldumpを解凍します。 ② WinPcapをインストールします。 ③ Kaspersky Endpoint Security を一時停止します。 ④ kldumpを引数を付けて実行します。 -f – ネットワーク攻撃のダンプとして保存するファイルの名前 -p – キャプチャーするプロトコル：tcp、udp または icmp -b –ブロードキャストもキャプチャーするか例: 「kldump.exe -f c:¥temp¥dump139.dmp -p tcp」ローカルの TCP で受信したパケットが、 c:¥tempの下に、 dump139.dmp という名前でファイルに保存されます。 PAGE 12 | ネットワークベース検体の入手方法 ⑤ ネットワークカードが複数ある場合には、番号を選択しEnterを押します。 ⑥ パケットをキャプチャーしたら、CTRL+Cで停止します。ネットワーク攻撃のダンプファイルを作成したら、 [email protected] 宛に、 New network attack という件名で、ファイルを添付してメール送付してください。送っていただいたダンプファイルから未知のネットワーク攻撃が特定されると、カスペルスキー製品で使用する IDS データベースにデータが追加されます。 PAGE 13 | ありがとうございました。 PAGE 14 |