IBM Support

QRadar EDR: アンチマルウェア・モジュールによって削除されたファイルがダッシュボード上の Quarantine ページに表示されない事象について

Troubleshooting


Problem

アンチマルウェア・モジュールによって削除された特定のアプリケーションの実行ファイルが、ダッシュボード上の Quarantine ページに表示されません。
※アンチマルウェア・モジュール: QRadar® EDR エージェントがすでにインストールされている Windows 64 ビット・エンドポイントにインストールするオンデマンド・モジュールです。

Symptom

Quarantine ページにファイルが表示されないため、そのページから削除されたファイルを復元させることができません。

Environment

  • QRadar EDR v3.x.x
  • Windows エージェント v3.x.x
  • アンチマルウェア・モジュール v1.5.7

Diagnosing The Problem

  • 削除されたファイルが Administration => Quarantine ページに存在するかどうか確認します。
    image-20240402155409-1
  • 「 Endpoint Details 」内にある Quarantine タブから、削除されたファイルが存在するかどうか確認します。
    image-20240402160559-1

Resolving The Problem

アンチマルウェア・モジュールによってファイルが削除されたにもかかわらず、Quarantine ページ(あるいはタブ)にファイルが存在しない場合は、以下の回避策を行ってください。
  • ファイルの復元
    1. ダッシュボード上の「スレットハント」機能を使用し、ファイル名やハッシュ値の情報から削除されたファイルを検索します。image-20240402162802-1
      image-20240402162903-2
    2. ファイルが存在するエンドポイント上から、該当ファイルをコピーします。
    3. 該当ファイルのバックアップを行い、ファイルが保管されていた場所に復元させます。
  • Exception リストの作成
    1. アンチマルウェア・モジュールによってファイルが削除されることを回避させるため、削除されたファイルの Exception リストを作成します。
      パスの例: <process>C:\full\path\application.exe あるいは C:\\full\path\*
      image-20240402163403-1
    2. 数日間様子を見て、ファイルが削除されないことを確認します。

Document Location

Worldwide

本文書は、米国 IBM 社の資料を翻訳した参考文書です。翻訳元の文書は、Related Information の翻訳元 (英語) リンクよりご参照ください。
 

[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU048","label":"IBM Software"},"Product":{"code":"SSVOEH","label":"IBM Security ReaQta"},"ARM Category":[{"code":"a8m3p000000hBSAAA2","label":"Administrative Tasks"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]

Document Information

Modified date:
14 April 2024

UID

ibm17145774

Page Feedback