分析レポートには、クラウドへのファイル送信の詳細な結果が含まれます。[概要] タブには、ファイル分析の概要が表示されます。[レポート] タブには、ファイルで実行された分析に関する主要な情報が表示されます。
[概要] タブ
概要情報は、次のセクションで編成されています。
- 分析の概要
-
このセクションには、ファイルの分析結果の概要が表示されます。次の情報が表示されます。
- MD5 ハッシュ
- SHA1 ハッシュ
- SHA256 ハッシュ
- MIME タイプ
- 送信タイムスタンプ
- 脅威レベル
-
このセクションは、分析結果の概要から始まります。
例:ファイル md5_hash が悪質なファイルであることが検出されました。
サマリの後に次のデータが表示されます。
- リスク評価
-
- 悪意スコア:100 点満点のスコア。
- リスク見積もり:アーティファクトによって生じるリスクの見積もり。
- 高:アーティファクトには重大なリスクがあり、最優先で対処する必要があります。このようなサブジェクトは通常、トロイの木馬などの攻撃を含むファイルやドキュメントで、感染したシステムに対する深刻な不正侵入につながります。情報漏洩からシステムの機能不全まで、複数のリスクが存在します。これらのリスクは、検出されたアクティビティのタイプから部分的に推測されます。このカテゴリのスコアしきい値は、通常 70 以上です。
- 中:アーティファクトに長期的なリスクが存在し、注意深くモニターする必要があります。これらは不審なコンテンツを含む Web ページで、ドライブバイの試行につながる可能性があります。アドウェアや偽のアンチウイルス製品の場合もあります。緊急性の高い重大な脅威を引き起こすことはありませんが、システムの機能に問題が発生する可能性があります。このカテゴリのスコアしきい値は、通常 30 ~ 69 です。
- 低:このアーティファクトは無視しても問題ありません。このリスク見積もりのスコアしきい値は、通常 30 未満です。
- アンチウイルス クラス:アーティファクトが含まれるアンチウイルスまたはマルウェア クラス。たとえば、トロイの木馬、ワーム、アドウェア、ランサムウェア、スパイウェアなどです。
- アンチウイルス ファミリ:アーティファクトが含まれるアンチウイルスまたはマルウェア ファミリ。たとえば、valyria、darkside などです。
- 分析の概要
-
データは重要度順に並べ替えられ、次のフィールドが含まれます。
- 重要度:アーティファクトの分析中に検出されたアクティビティの悪質性のスコア(0 ~ 100)。その他のアイコンは、対応するアクティビティが分析中に観察されたオペレーティング システムを示します。
- タイプ:アーティファクトの分析中に検出されたアクティビティのタイプ。一般的に次の設定を行います。
- 自動起動:マシンのシャットダウン後に再起動する能力。
- 無効化:システムの重要なコンポーネントを無効にする能力。
- 回避:分析環境を回避する能力。
- ファイル:ファイル システムでの不審なアクティビティ。
- メモリ:システム メモリ内での不審なアクティビティ。
- ネットワーク:ネットワーク レベルでの不審なアクティビティ。
- レピュテーション:既知のソースまたは信頼できる組織によって署名されています。
- 設定:重要なシステム設定を永続的に変更する能力。
- シグネチャ:悪質な対象の識別
- 窃盗:機密情報にアクセスして漏洩する可能性。
- ステルス:ユーザーや分析システムの認識を回避する能力。
- サイレント:無害な対象の識別。
- 説明:アーティファクトの分析中に検出された各タイプのアクティビティに対応する説明。
- ATT&CK TACTICS:MITRE ATT&CK ステージまたは攻撃の段階複数の戦術がある場合は、カンマで区切られます。
- ATT&CK TECHNIQUES:攻撃者が使用する可能性のあるアクションまたはツール。複数の手法がある場合は、カンマで区切られます。
- 追加のアーティファクト
-
このセクションには、送信されたサンプルの分析中に確認され、詳細な分析のために送信された追加のアーティファクト(ファイルと URL)が表示されます。このセクションには、次のフィールドが含まれます。
- 説明:追加のアーティファクトに関する説明。
- SHA1:追加のアーティファクトの SHA1 ハッシュ。
- コンテンツ タイプ:追加のアーティファクトの MIME タイプ。
- スコア:追加のアーティファクトの悪質性のスコア。
- デコードされたコマンド ライン引数
- 分析中に PowerShell スクリプトが実行された場合、システムはこれらのスクリプトをデコードし、引数をより人間が解読可能な形式で使用できるようにします。
- サードパーティ ツール
- VirusTotal ポータルのアーティファクトに関するレポートへのリンク。
[レポート] タブ
[レポート] タブの下矢印をクリックし、表示するレポートを選択します。レポートの情報は、分析されたファイルのタイプによって異なります。
- 分析情報
-
このセクションには、現在のレポートで参照されている分析について次の重要な情報が表示されます。
- 分析対象:ファイルの MD5 ハッシュ。
- 分析タイプ:実行された分析のタイプ。
- Microsoft Windows 10 での動的分析:分析対象は、VMware NSX® Network Detection and Response™ サンドボックスを使用して仮想 Windows 10 環境で実行されています。システムは、ファイルの動作とオペレーティング システムとの相互作用をモニターして、疑わしい指標または悪意のある指標を探します。
- Microsoft Windows 7 での動的分析:分析サブジェクトは、サンドボックスを使用する仮想 Windows 7 環境で実行されました。システムは、ファイルの動作とオペレーティング システムとの相互作用をモニターし、不審または悪質な兆候を探します。
- インストルメント化された Chrome ブラウザでの動的分析:分析対象(HTML ファイル、URL など)は、Google Chrome をベースにインストルメント化されたブラウザを使用して検査されています。インストルメント化されたブラウザは、実際のブラウザの動作を忠実に再現するため、悪意のあるコンテンツによって簡単にフィンガープリントされることはありません。
- エミュレートされたブラウザでの動的分析:分析対象(HTML ファイル、URL など)がエミュレートされたブラウザを使用して検査されています。エミュレートされたブラウザは、さまざまなブラウザのパーソナリティを動的にエミュレートできます(たとえば、ユーザー エージェントの変更、公開する API の変更など)。この機能は、特定のブラウザ タイプまたはバージョンを対象とする悪意のあるコンテンツを分析する場合に役立ちます。この分析タイプの欠点は、このブラウザの現実性が低く、悪質なコンテンツによってフィンガープリントされる可能性があることです。
- シミュレートされたファイル ビューアでの動的分析:分析対象(PDF ファイルなど)が、シミュレートされたファイル ビューアを使用して検査されています。ビューアは組み込みのコンテンツとリンクを検出できます。
- アーカイブの展開:分析対象(アーカイブ)が展開されてコンテンツが抽出されています。該当するタイプの場合は、分析用に送信されています。
- パスワードの使用:使用可能な場合、サンプルを正常に復号するためにバックエンドで使用されたパスワードが提供されます。