Red Hat Summit3.2. マルウェアシグネチャーの無効化
マルウェアシグネチャーには、重要でないものが含まれている場合があります。その原因としては、意図的な設定やテストスキャンが挙げられるほか、マルウェア検出サービスによって組織のセキュリティー優先事項に該当しない一致が報告されるため、ノイズが多いという状況も考えられます。
たとえば、シグネチャー XFTI_EICAR_AV_Test および XFTI_WICAR_Javascript_Test は、EICAR Anti Malware Testfile および WICAR Javascript Crypto Miner テストマルウェアを検出するために使用されます。これらは意図的なテストシグネチャーであり、実際のマルウェアの脅威を表すものではありません。このようなシグネチャーを無効にして、それらとの一致が Red Hat Hybrid Cloud Console で報告されないようにすることができます。
シグネチャーを無効にすると、マルウェア検出サービスはそのシグネチャーとの既存の一致を Hybrid Cloud Console から削除し、以後のスキャンでそのシグネチャーを無視します。シグネチャーを再度有効にすると、マルウェア検出サービスは以後のマルウェア検出スキャンでそのシグネチャーを再度検索し、一致結果を表示します。
シグネチャーを無効にしても、そのシグネチャーに対する以前の一致の履歴は消去されません。
前提条件
- Malware detection administrator ロールを持つ Hybrid Cloud Console User Access グループのメンバーである。このロールを持つユーザーのみがシグネチャーを無効化および再有効化できます。
シグネチャーを無効にする手順
- Security > Malware > Signatures に移動します。
- 無効にするシグネチャーを探します。
シグネチャー行の最後にあるオプションアイコン (⋮) をクリックし、Disable signature from malware analysis を選択します。
シグネチャーを無効にする別の手順
シグネチャー情報ページからシグネチャーを無効にすることもできます。
- Security > Malware > Signatures に移動します。
- 無効にするシグネチャーを探します。
- シグネチャー名をクリックします。
シグネチャーの詳細ページで、Actions ドロップダウンをクリックし、Disable signature from malware analysis を選択します。
複数のシグネチャーを同時に無効にする
複数のシグネチャーを同時に無効にするには、各シグネチャー行の先頭にあるボックスにチェックを入れ、フィルターフィールドの横にあるオプションアイコン (⋮) をクリックして Disable signatures from malware analysis を選択します。
無効化されたマルウェアシグネチャーの表示
すべてのユーザーは、無効化されたマルウェアシグネチャーを表示できます。
- Security > Malware > Signatures に移動します。ページ上部のダッシュボードで無効化されたマルウェアシグネチャーの数を確認します。
無効化されたシグネチャーを表示するようにフィルターを設定します。
- プライマリーフィルターを Signatures included in malware analysis に設定します。
- セカンダリーフィルターを Disabled signatures に設定します。
マルウェアシグネチャーの再有効化
上記と同様の手順に従って、以前に無効にしたシグネチャーを再度有効にします。
