重要: この記事に記載されている手順は、サポートポータルのマルウェア提出プロセスを介して提出できない場合にのみ実行する必要があります。 この簡単なプロセスでサンプルを提出するプロセスは、
KB68030に記載されています。(マルウェアの検出に失敗した疑い(ウイルスが見つからない)または検出されたマルウェアのクリーンな障害について、 McAfee Labs にサンプルを提出する方法。
この記事では、次の FTP サーバーを使用してサンプルを送信できる場合の、使用可能なユースケースのシナリオについて説明します。
FTP server location |
コメント |
サポート ftp.mcafee.com |
標準の FTP |
サポート sftp.mcafee.com |
セキュリティで保護された FTP |
なぜ FTP で提出するのですか? McAfee Labs は、以下の2つのユースケースシナリオで FTP サイトを通じてマルウェアの送信を受け付けます。
- 顧客のサンプルは、標準的な提出方法(ウェブまたは電子メール)を使用して提出するには、大きすぎるか、または多すぎる(および簡単に分割できない)かのいずれかです。
ServicePortal と MailImmune の提出の制限は、サイズが 10MB で、 .zip ファイルごとに 30 個以下です。
- ServicePortal サイトと電子メール送信に関する技術的な問題があり、これらの方法を使用してサンプルを送信することはできません。
McAfee Labs は、このサービスが FTP サイトよりも優れたエクスペリエンスを提供するため、
ServicePortal を介して標準的な提出方法を使用する必要があります。
FTP に対する標準的な送信方法次のリストは、 FTP を介した標準的な送信方法の利点の概要を示しています。
- 監視: FTP サイトは監視されません。 提出されたファイルはテクニカルサポートに連絡するまでアクセスされず、サンプルが既知で Extra.DAT がすでに利用可能であっても、分析のためにケースを手動でエスカレートします。 ケースのエスカレーション後に手動でサンプルを確認するまで、返答はありません。 この ftp メソッドは、プロセスにかなりの遅延を追加し、応答時間を増加させる可能性があります。
- 提出の承認 : 標準的な方法で送信すると、送信されたことを確認する電子メールの返信が届きます。 システムは、サンプルの現在の分類を通知します。 (クリーン、悪意のある、潜在的に望ましくないプログラム (PUP) 、不確定または Extra.DAT で検出されました。) FTP を使用してサンプルを送信すると、電子メールは受信されず、すべての応答は自動システムではなくテクニカルサポートから手動で送信されます。
- Deletion policy: FTP サーバーポリシーは、 2 週間後にすべてのサンプルを削除します。 サンプルが別の場所に保存されていない場合、エスカレートが終了する前に、サーバーからパージ可能性があります。
- Delays:オートメーションが使用される標準のサブミットメソッドの代わりに、 FTP サイト経由でサンプルを送信すると、多くの遅延や手作業があります。 FTP サイトは、標準の方法でファイルを送信できない場合にのみ使用してください。
- 優先度:マルウェアコレクションとバルク送信は、毎日 McAfee Labs で受信された何十万ものサンプルを占めています。 自動化されたシステムを使用して処理される顧客サンプルよりも低い優先度で処理されます。 マルウェアコレクションと一括送信 顧客サンプル(最優先事項)を最初に処理するため、サンプルの優先順位は低くなります。 ServicePortal または電子メールを使用してサンプルを送信すると、サンプルは収集処理の前に進み、優先順位分析を取得します。 FTP を使用してサンプルを提出し、バルク提出でしか見られなかった場合は、標準的な方法を使用して提出された場合よりも遅い速度で処理されます。
- 自動化されたドライバオーサリング:オートメーションがサンプル用のドライバを生成できる場合は、それが実行されます。 しかし、優先順位の低いコレクションのためにサンプルが生成された場合、より低い優先順位でマージまたは解放するように設定されます。 顧客から受け取った投稿は常に最高の優先順位を受け取り、マージまたはリリースにも反映されます。 顧客サンプルの自動化によって作成されたドライバは、バルク収集の前に DAT に格納されます。
- Driver Release:オートメーションからのドライバ、特に顧客の提出により生成されたドライバは、実績のあるテスト済みのテンプレートを使用して構築されています。 自動化されたドライバは、人間が生成したドライバよりも速く DAT に解放されます。
- Sample Reprocessing:McAfee Labs では、サンプルにできるだけ多くの最新データを保存しようとしていますが、コレクションには数十億のファイルが存在するためです。 したがって、 1 日に非常に多くのサンプルを再処理するだけで、データが正確であることを保証することができます。 ただし、現時点での検出を持たない、またはクリーンであるとは知られていない、顧客から提出されたサンプルは、毎日再処理され、サンプル・データベースでデータを更新できるようにします。 このように、サンプルの新しいデータがあれば、自動化されたドライバを作成する機会が複数あります。
- Automatic Addition to Operational Tasks: McAfee Labs には、 SampleDB または Automation を特定の特性を持つ顧客のサンプルに対して自動的に監視するシステムがあります。 これらのサンプルは、新しいジェネリック検出に取り組み、リリーステストにこれらのサンプルを使用するために、ハイライトされ、ジェネリックシグネチャオーサリングチームに提出されます。
- Samples for Machine Learning:顧客が提出したすべてのサンプルは、 Machine Learning システムによって処理され、これらのシステムの改善、 Real Protect などの製品の分類または検出率が向上します。
- ATD Submissions: バックエンド自動化システムには、顧客サンプルの処理の一部として使用される ATD システムがあります。 この事実は、 McAfee Labs にファイルに関する知見を提供し、 ATD の研究チームのサンプルを提供して ATD の機能を向上させます。
- Generic.TRA:これらの Extra.DAT は、オートメーションシステムによって作成されるのではなく、ワークフローによって作成されます。
ノート:
- 作成される generic.tra は SED です。 SED は Signed Extra.DAT の略で、ドライバで追加の動詞を使用できるようにします。
- generic.tra に使用される修理またはクリーニングルーチンは、 DAT のほとんどのドライバ(および SED )で使用されるのと同じ一般的なクリーニングルーチンです。 同じ修復機能があります。
- この機能に加えて、 generic.tra を提供することによって、サンプルは人間が見るためにキューに移動し、 generic.tra 応答を取得します。