System Center 2012 Endpoint Protection がマルウェアを検出した際に通知されるメールについて

Article
06/17/2013

こんにちは。システムセンターサポート担当の本田です。
今回は、System Center 2012 Endpoint Protection がマルウェアを検出した際に、アラートをもとに発報するメールの内容についてご案内します。

System Center 2012 Configuration Manager では、コレクションにアラートを定義することで、閾値を超えた場合にアラートを発報することができます。
発報したアラートは、サブスクリプションを設定することで、指定した送信先にメール通知を行うことが可能です。

また、System Center 2012 Endpoint Protection がマルウェアを検知した際に発報するアラートは、以下の 4 種類あります。

A. コレクションのマルウェア検出アラート (マルウェア検出)
B. コレクションのマルウェアの繰り返し検出アラート (マルウェア連続検出)
C. コレクションの複数のマルウェア検出のアラート (複数のマルウェア検出)
D. コレクションのマルウェア大量感染アラート (マルウェア大量感染)

上記 4 つのアラートにサブスクリプションを設定した場合、メール通知されますが、その内容はアラートによって異なります。各アラートで通知されるメール内容のサンプルを以下にご案内しますので、今後の運用にお役立ちいただけると幸いです。
※ サンプルメールは、System Center 2012 Configuration Manager RTM 版のものとなります。「すべてのシステム」コレクションに設定したアラートに対して、サブスクリプションを設定した場合の例となります。

A. コレクションのマルウェア検出アラート (マルウェア検出)

- 件名
Configuration Manager マルウェア検出アラート: コレクションのマルウェア検出のアラート: すべてのシステム

- 本文
----------------------------------------
Configuration Manager Endpoint Protection は、組織内の 1 台以上のコンピューターにマルウェアを検出しました

コレクション名: All Systems

マルウェアの名前: Exploit:JS/ShellCode.gen
感染した数: 15
最終検出時刻 (UTC 時間): 2012/09/21 1:29:19

このマルウェアの感染があります:
1. コンピューター名: Client02.contoso.com
ドメイン: CONTOSO
検出時刻 (UTC 時間): 2012/09/21 1:29:19
マルウェアのファイルパス: file:_C:\Users\admin\Desktop\Exploit.txt
修復措置: 検疫
アクションステータス: 成功

2. コンピューター名: Client02.contoso.com
…<中略>…
組織内でのマルウェアの状況をさらに詳しく確認するには、マルウェアの詳細レポートを実行します。

注意: 今後 24 時間以内に新しい感染が見つからない場合、これらのコンピューターに対してマルウェア検出アラートがさらに生成されることはありません。
----------------------------------------

B. コレクションのマルウェアの繰り返し検出アラート (マルウェア連続検出)

- 件名
Configuration Manager マルウェア連続検出アラート: コレクションのマルウェアの繰り返し検出のアラート: すべてのシステム

- 本文
----------------------------------------
Configuration Manager Endpoint Protection は、組織内の 1 台以上のコンピューターで同じマルウェアを複数回検出しました。

コレクション名: All Systems
マルウェア連続検出しきい値: 2 回

マルウェアの名前: Exploit:JS/ShellCode.gen
感染したコンピューターの台数: 3
最終検出時刻 (UTC 時間): 2012/09/21 1:29:19
複数回にわたりマルウェアが検出されたコンピューター:
1. コンピューター名: Client02.contoso.com
最終検出時刻 (UTC 時間): 2012/09/21 1:29:19
検出間隔 (分): 21
感染数: 5

2. コンピューター名: Client01.contoso.com
…<中略>…
組織内でのマルウェアの状況をさらに詳しく確認するには、マルウェアの詳細レポートを実行します。

C. コレクションの複数のマルウェア検出のアラート (複数のマルウェア検出)

- 件名
Configuration Manager 複数マルウェア検出アラート: コレクションの複数のマルウェア検出のアラート: すべてのシステム

- 本文
----------------------------------------
Configuration Manager Endpoint Protection は、組織内の 1 台以上のコンピューターで複数の種類のマルウェアを検出しました

コレクション名: All Systems
複数マルウェアのしきい値: 2
複数のマルウェアに感染したコンピューターの数: 2
最終検出時刻 (UTC 時間): 2012/09/21 1:29:19

複数回にわたりマルウェアが検出されたコンピューター:

1. コンピューター名: Client02.contoso.com
マルウェアの名前: Exploit:JS/ShellCode.gen, MagicThreat_7fff000b, MagicThreat_7fff200b, MagicThreat_7fff400b
最終検出時刻 (UTC 時間): 2012/09/21 1:29:19
検出間隔 (分): 21
感染数: 4

D. コレクションのマルウェア大量感染アラート (マルウェア大量感染)

- 件名
Configuration Manager マルウェア大量感染アラート: コレクションのマルウェア大量感染のアラート: すべてのシステム

- 本文
----------------------------------------
Configuration Manager Endpoint Protection は、組織内のコンピューターがマルウェアに大量感染していることを検出しました。

コレクション名: All Systems
大量感染のしきい値: 1 パーセント

1. マルウェアの名前: MagicThreat_7fff000b
プライマリサイトコード: A01
感染したコンピューターの台数: 2
このプライマリサイトのコレクション内のコンピューターの台数: 3
感染率: 66.00%
検出間隔 (分): 1436

2. マルウェアの名前: MagicThreat_7fff080b
…<中略>…
組織内でのマルウェアの状況をさらに詳しく確認するには、マルウェアの詳細レポートを実行します。

～参考情報～
Endpoint Protection に関するアラートの設定方法やサブスクリプションの設定方法は、以下の技術情報が参考になります。検証される際は、是非ご確認ください。

How to Configure Alerts for Endpoint Protection in Configuration Manager
https://technet.microsoft.com/en-us/library/f717363b-5bac-4681-b6e9-fafffa24bcdc (英語版)
https://technet.microsoft.com/ja-jp/library/f717363b-5bac-4681-b6e9-fafffa24bcdc (日本語機械翻訳版)

Configuring Alerts in Configuration Manager
- How to Configure Email Subscriptions for Alerts
https://technet.microsoft.com/en-us/library/hh427334#BKMK_Sub (英語版)
https://technet.microsoft.com/ja-jp/library/hh427334#BKMK_Sub (日本語機械翻訳版)

System Center 2012 Endpoint Protection がマルウェアを検出した際に通知されるメールについて

Additional resources