Carbon Black Cloud では、最初に新しいファイルをデバイスにコピーしたり、作成したりできます。センサーは、実行状態とデバイスの現在のポリシーで構成された設定に基づいて、迅速な同期方法で新しく作成されたファイルにレピュテーションを割り当てます。

Carbon Black Cloudセンサーが新しいファイルにレピュテーションを割り当てる場合の主な考慮事項は次のとおりです。
  • バックグラウンド スキャン チェックは、新しいファイルには適用されません。
  • ローカル スキャナ チェックは、新しいファイルが Execute で開かれた場合にのみ新しいファイルに適用されます。
  • 不明なレピュテーション (RESOLVING) は、センサーがまだ Carbon Black Cloud バックエンドに到達していないことを意味します。
  • エンドポイントに対して [クラウド スキャンの遅延実行] オプションが有効になっている場合、ローカル スキャナから返されたレピュテーションに関係なく、クラウドは実行ファイルのレピュテーションを考慮します。
  • [クラウド スキャンの遅延実行] オプションは、新しいファイルにのみ適用されます。既存のファイルには適用されません。センサーのインストール前にマシンにマルウェアが存在していた場合、[クラウド スキャンの遅延実行] 機能はマルウェアの実行を妨げません。これは、バックグラウンド スキャンによって対処されます。

新しいファイルに対するレピュテーションの割り当て図

実行なし状態の新しいファイル

ファイルの作成直後に、Carbon Black Cloud センサーは次のチェックイン ウィンドウのレピュテーション ルックアップをキューに入れます。これは 60 秒ごとに発生します。新しいファイルが実行を試みない場合、Carbon Black Cloud は次のウィンドウでレピュテーションを返し、センサーはそれをファイルに適用します。

実行前状態の新しいファイル

新しいファイルが次のチェックイン(60 秒ごとに発生)の前に実行を試みると、[クラウド スキャンの遅延実行][オンアクセス ファイル スキャン モード]、および[不明なバイナリを分析用に送信する] のポリシー設定によって、センサー アクションが決まります。

不明なバイナリの分析を有効にする方法については、「クラウド分析」を参照してください。

注: 上記の設定は Carbon Black Cloud Endpoint Standard 製品に固有です。

[クラウド スキャンの遅延実行] が有効で [オンアクセス ファイル スキャン モード] が無効になっている場合のレピュテーションの割り当て

Carbon Black Cloud センサーは、[クラウド スキャンの遅延実行] オプションが有効になっていて、[オンアクセス ファイル スキャン モード] がデバイスで無効になっている場合、新しいファイルにレピュテーションを割り当てます。

  • Carbon Black Cloud がレピュテーションと一致しない場合、センサーは NOT_LISTED レピュテーションを適用します。
  • Carbon Black Cloud が 15 秒以内にレピュテーションを返さない場合、センサーは、Carbon Black Cloud がレピュテーションを返すまで RESOLVING レピュテーションを新しいファイルに適用します。

[クラウド スキャンの遅延実行] が無効で [オンアクセス ファイル スキャン モード] が有効になっている場合のレピュテーションの割り当て

Carbon Black Cloud センサーは、[クラウド スキャンの遅延実行] オプションが無効になっていて、[オンアクセス ファイル スキャン モード] がデバイスで [標準] または [積極的] に設定されている場合、新しいファイルにレピュテーションを割り当てます。

センサーは、次の送信ウィンドウ中に新しいファイル ハッシュのクラウド レピュテーションを要求します。新しいファイルの実行が試行されると、Carbon Black はファイルの実行を最大 5 秒間遅延させ、ローカル スキャンを実行します。[クラウド スキャンの遅延実行] が無効になっているため、クラウド スキャンの 15 秒の実行遅延は発生しません。

Carbon Black CloudNOT_LISTED レピュテーションを返す場合、センサーはローカル スキャナを最大 5 秒間待機します。ローカル スキャナが 5 秒以内にレピュテーションを返さない場合、センサーは NOT_LISTED レピュテーションを割り当てます。

[クラウド スキャンの遅延実行][オンアクセス ファイル スキャン モード] が有効になっている場合のレピュテーションの割り当て

Carbon Black Cloud センサーは、[クラウド スキャンの遅延実行] オプションが有効になっていて、[オンアクセス ファイル スキャン モード] がデバイスで [標準] または [積極的] に設定されている場合、新しいファイルにレピュテーションを割り当てます。

センサーは同時に、Carbon Black Cloud とローカル スキャナからレピュテーションを要求します。

  • センサーは、ローカル スキャナによって返されたレピュテーションにかかわらず、Carbon Black Cloud によって返されるレピュテーションを待機します。次に、クラウドはレピュテーションを考慮して、階層的な順序で割り当てます。レピュテーションの優先順位の詳細については、レピュテーションの割り当て を参照してください。
  • 両方のリクエストがタイムアウトになると、センサーは RESOLVING レピュテーションを適用します。
  • Carbon Black CloudNOT_LISTED レピュテーションを返し、[分析のために不明なバイナリを送信] オプションが有効になっている場合、センサーはまずクラウドがファイルのアップロードを要求しているかどうかを確認します。「はい」の場合、センサーはファイルのアップロードと分析の実行を合計で最大 45 秒間遅延させます。

[クラウド スキャンの遅延実行][オンアクセス ファイル スキャン モード] が無効になっている場合のレピュテーションの割り当て

Carbon Black Cloud センサーは、[クラウド スキャンの遅延実行] オプションと [オンアクセス ファイル スキャン モード] がデバイスで無効になっている場合、新しいファイルにレピュテーションを割り当てます。

ファイルには、RESOLVING のレピュテーションが割り当てられ、次のウィンドウのクラウド レピュテーション ルックアップをキューに入れます(60 秒ごと)。