適用対象: WatchGuard Advanced EPDR。, WatchGuard EPDR。, WatchGuard EDR。,WatchGuard EDR Core。, WatchGuard EPP。
脅威とみなされるファイルが WatchGuard Endpoint Security で検出されると、そのファイルがユーザーのコンピュータから削除され、ソフトウェアのインストール ディレクトリにある検疫フォルダに保存されます。検疫機能を使用できるのは、Windows、macOS、Linux の Endpoint のみです。
脅威の分類と種類によって、検出されたファイルに対して Endpoint Security で実行されるアクションが決まります。
- 駆除できる悪質なファイル — ファイルが駆除されて、元の場所に復元されます。
- 駆除できない悪質なファイル — ファイルが検疫に移動され、7 日間そこに保存されます。
- 悪質でないアイテム — 誤ってマルウェアとして分類されたファイル (誤検出) がグッドウェアと判定された場合は、そのファイルが自動的に検疫から元の場所に復元されます。
- 疑いのあるアイテム — ファイルは 30 日間検疫に保存されます。グッドウェアと判定された場合は、元の場所に戻されます。
Endpoint Security では、ユーザーのコンピュータからファイルが完全に削除されることはありません。削除されたファイルはすべてバックアップ フォルダに送信されます。
管理ユーザーのロールに応じて、WatchGuard Cloud で表示および実行できる内容が異なります。この機能を表示または構成するには、コンピュータを隔離する 権限のあるロールが付与されている必要があります。詳細については、次を参照してください:WatchGuard Cloud 管理ユーザーとロールを管理する。
検疫済みファイルを確認する
この検疫フォルダは暗号化されており、他のプロセスからアクセスすることはできません。
検疫済みアイテムのリストを確認するには、以下の手順を実行します。
- ステータス > セキュリティ の順に選択します。
- 確認する脅威の種類のタイルをクリックします。
- マルウェア アクティビティ
- PUP アクティビティ
- エクスプロイト アクティビティ
- ウイルス対策で検出された脅威
- フィルタ をクリックします。
- アクション 領域で、検疫済み および 削除済み チェックボックスを選択します。
- フィルタ をクリックします。
検疫からファイルを復元する
検疫フォルダからのファイルの取得に使用できるのは、Endpoint Security 管理 UI のみです。
検疫からファイルを復元するには、以下の手順を実行します。
- ステータス > セキュリティ の順に選択します。
- 復元する脅威の種類のタイルをクリックします。
- マルウェア アクティビティ
- PUP アクティビティ
- エクスプロイト アクティビティ
- ウイルス対策で検出された脅威
- フィルタ をクリックします。
- アクション 領域で、検疫済み および 駆除済み チェックボックスを選択します。
- アクション の横にある情報アイコンをクリックします。
アイテムが検疫に移動された理由が記載されているポップアップが表示されます。 - 復旧し、今後検出しない をクリックします。
ファイルが元の場所に復元されます。ファイルに関連する権限、所有者、レジストリ エントリも復元されます。