検体提出フロー

検体提出フロー
Kaspersky Security Center 10
Kaspersky Endpoint Security 10 for Windows
Ver 1.1
2014/2/24
株式会社カスペルスキー
法人営業本部
PAGE 1 |
セールスエンジニアリング部
1 検体提出について
2 ファイルベース
3 ネットワークベース
1 2 3 4 5 6 7
検体の提出について
検体の提供について
1.
検知されたファイルが誤検知の可能性がある場合
2.
検知されなかったファイルがウイルスの可能性がある場合
コーポレートサポート対応範囲
お問い合わせ内容
誤検知
サポート対応
•
•
•
検知されなかった
ファイル
•
•
•
PAGE 3 |
備考
検体の確認
解析結果(ウイルスorウイルスでない)の
回答
定義データベースの修正
検体の確認
解析結果(ウイルスorウイルスでない)の
回答
定義データベースへの反映
ウイルスの挙動、侵入経
路などのお問い合わせは
別途営業にお問い合わせ
ください。
1 検体提出について
2 ファイルベース
3 ネットワークベース
1 2 3 4 5 6 7
検体の提出フロー
Step1
検体の入手
• 検体を入手します。
「検体の入手方法」を参照
Step2
検体をパスワード付きzipに圧縮
• 途中で駆除・削除されないよう、パスワード付きzipに圧縮します。
• パスワードは「infected」でお願いします。
検体をカスペルスキーコーポレートサポートに提出
• メールでお送りください。[email protected]
メールに添付できない容量の場合、サポート窓口にご相談ください。
• 以下の情報を合わせてお送りください。
Step3
PAGE 5 |




定義データベースの発行日時
OS(バージョン)
カスペルスキー製品の製品名とバージョン(パッチ)
検体があった場所のフルパス
管理サーバーからの検体の提出方法
クライアントコンピュータ上の検体は管理サーバ経由で入手することが可能です。
1. 管理コンソールを開き「リポジトリ」>「隔離」または、「リポジトリ」>「バックアップ」を開きます。
2. 入手したい検体を選択し、右クリック>「Kaspersky Labに送信」をクリックします。保存先フォルダーを選
択し、保存します。
3. 保存先のフォルダーにavp.zipが生
成されます。Avp.zipをそのまま
コーポレートサポート窓口までお
送りください。
• 未知のウイルス、疑わしいファイルについ
ては「隔離」に移動されます。
• 既知のウイルスについては「バックアッ
プ」に移動されます。
PAGE 6 |
管理サーバーからの検体の提出方法
WEBからの提出には、マイカスペルスキーアカウントが必要です。
PAGE 7 |
クライアントからの検体の提出方法
クライアントコンピュータ上で検体を取得する場合
1. KESWindowsのGUIを開き、「隔離」をクリックします。
2. 入手したい検体を選択し右クリック>「Kaspersky Labに送信」をクリックします。メーラーが自動起動しま
す。
3. 宛先を[email protected]に書き換えお送りください。
※メールソフトが無い場合は、「C:¥ProgramData¥Kaspersky Lab¥KES10¥QB」に検体があるのでコピー
してお送りください。
PAGE 8 |
1 検体提出について
2 ファイルベース
3 ネットワークベース
1 2 3 4 5 6 7
ネットワークベース検体の入手方法
http://support.kaspersky.com/772
お客様のコンピュータが未知 (最新の状態に更新されたカスペルスキー製
品を使用しても検知できない) のワームによって攻撃されており、コン
ピュータを保護してよいかわからない場合は、kldump.exe をご利用くだ
さい。このユーティリティはネットワーク攻撃時のダンプファイルを作成
します。そのファイルは、Kaspersky Lab に送信いただければ解析いた
します。
このユーティリティは、以下のリンクからダウンロードできます:
http://support.kaspersky.com/downloads/utils/kldump_x32_x64.zip
また、動作にはWinPcapが必要です。
http://www.winpcap.org/install/default.htm
PAGE 10 |
WinPcapのホームページ
WinPcapのダウンロードページ
ネットワークパケットを
取得するために必要です
PAGE 11 |
ネットワークベース検体の入手方法
① Kldumpを解凍します。
② WinPcapをインストールします。
③ Kaspersky Endpoint Security を一時停止します。
④ kldumpを引数を付けて実行します。
-f – ネットワーク攻撃のダンプとして保存するファイルの名前
-p – キャプチャーするプロトコル:tcp、udp または icmp
-b –ブロードキャストもキャプチャーするか
例: 「kldump.exe -f c:¥temp¥dump139.dmp -p tcp」
ローカルの TCP で受信したパケットが、 c:¥tempの下に、
dump139.dmp という名前でファイルに保存されます。
PAGE 12 |
ネットワークベース検体の入手方法
⑤ ネットワークカードが複数ある場合には、番号を選択しEnterを押します。
⑥ パケットをキャプチャーしたら、CTRL+Cで停止します。
ネットワーク攻撃のダンプファイルを作成したら、
[email protected] 宛に、
New network attack という件名で、
ファイルを添付してメール送付してください。
送っていただいたダンプファイルから未知のネットワーク攻撃が特定される
と、カスペルスキー製品で使用する IDS データベースにデータが追加され
ます。
PAGE 13 |
ありがとうございました。
PAGE 14 |