GetSusp は、検出されていないマルウェアを検索してログに記録し、サンプルを Trellix Advanced Research Center に自動的に送信するための無料ツールです。疑わしいファイルを見つけるために、GetSusp はヒューリスティックを使用して、既知のクリーンなファイルの McAfee Global Threat Intelligence (GTI) データベースとサンプルを比較します。疑わしいコンピュータを分析するときは、まず GetSusp を使用します。
重要: GetSusp の ePO 展開可能なバージョンと ePO 拡張レポート パッケージを
GetSusp ランディング ページ からダウンロードします。
ePO を使用して GetSusp をデプロイするには:
- ePO コンソールにログオンします。
- GetSusp パッケージと GetSusp 拡張機能をチェックインします。
- GetSusp パッケージをチェックインします。
- メニュー、ソフトウェア、マスター リポジトリ をクリックします。
- アクション、パッケージをチェックイン をクリックします。
- [ファイルを選択] をクリックして GetSusp パッケージを探し、Next (次へ) をクリックします。
- 保存 をクリックします。
- GetSusp 拡張機能をチェックインします。
- メニュー、ソフトウェア、拡張ファイルの順にクリックします。
- 拡張ファイルのインストール をクリックします。
- [ファイルを選択]をクリックし、 GetSusp 拡張機能パッケージを見つけて [OK]をクリックします。
- OK をクリックします。
- GetSusp が正しくチェックインされているかどうかを確認します。
- 製品配備タスクを作成します:
- クライアント タスク セクションで、メニュー、クライアント タスク カタログ をクリックします。
- Trellix Agent を選択し、製品の配備 をクリックします。
- 複製 を選択します。このアクションは、x64 または x86 GetSusp タスク テンプレートを複製します。
- 新しい GetSusp スキャン タスクの名前を指定し、新しく作成した GetSusp スキャン タスクを選択します。
- コマンドライン フィールドには、さまざまなパラメータを配置できます。使用可能なパラメータについては、この記事の最後に記載されています。
例
--email=myemail@example.com --zippath=C:\
注: GetSusp が配置されているファイル パスに読み取りおよび書き込みアクセスがあることを確認してください。
追加情報:
- --SILENT オプションはパッケージに組み込まれているため、指定する必要はありません。
- 追加のパラメータを指定しない場合、プログラムは GetSusp を実行したまま終了します。
- 保存 をクリックします。
- 製品導入タスクを実行します。
-
システム ツリー をクリックします
- GetSusp を展開するシステムを選択します。
- アクション メニューをクリックし、 エージェント、今すぐクライアント タスクを実行 の順に選択します。
- Trellix Agent、Product Deployment をクリックし、新しく作成した GetSusp 導入タスク を選択します。
- クライアント タスクを今すぐ実行 をクリックします。
- GetSusp スキャン結果を確認します。
- GetSusp デプロイメント タスクが完了するまで待ちます。
- クエリとレポート をクリックし、Trellix グループ と GetSusp を選択します。
- 過去 7 日間のスキャン結果 を実行します。
- 完了した GetSusp 導入タスクのスキャン結果をクリックします。
- 関連する脅威イベント ログに移動 をクリックします。
- GetSusp 検出リスト で検出されたファイルを確認します。
GetSusp デプロイメント タスク内のコマンド ライン フィールドで使用できるパラメータ
- --offline
GetSusp 結果の自動送信はありません。
- --emailid=myemail@example.com
電子メール アドレスを使用した GetSusp 送信は、追跡目的で Trellix からアイテム ID を含む確認応答を受け取ります。このアイテム ID は、サポート チームへのフォローアップに使用できます。
- --zippath=C:\GetSusp_Results
GetSusp が GetSusp スキャンの結果を含む ZIP を作成する場所。
- --comment=
GetSusp レポートで追跡可能なコメントを残します。たとえば、サービス リクエスト (SR) や顧客の内部インシデント番号などです。