TOP>製品/サービス>カテゴリから探す>ログ分析>BlackDomainSensor>製品情報

BlackDomainSensor

「BlackDomainSensor」は、組織内に存在する既存のログを活用したマルウェア挙動監視システムです。信頼性の高いレポートにより、組織内のマルウェアの侵入と挙動をログから可視化します。

BlackDomainSensor:4種類の提供レポート

BlackDomainSensorは、下記4種類のレポートで標的型攻撃によるマルウェアの侵入と挙動を可視化する、マルウェア挙動監視システムです。

既存環境のファイアウォールやプロキシ、Active Directoryで取得するログに対し、BlackDomainSensorで提供する「BlackDomainリスト(※)」や「トラップアカウント」を突合、分析することで、マルウェア感染の疑いのある端末(IPアドレスまたはホスト名)を抽出することができます。

  • 「BlackDomainリスト」:日々更新される独自のC&Cサーバリスト。C&Cサーバ(command and control server:攻撃者サーバ)のドメインとIPアドレスが記載される。


BlackDomainSensorのレポート一覧
レポートの種類 対象 レポートの内容 想定される
マルウェア侵入フェーズ
1 ファイアウォール
通信レポート(BlackDomain通信)
ファイアウォール通信ログ 通信ログと「BlackDomainリスト」を突き合わせ、C&Cサーバへの通信のみ抽出。

時系列に並べた一覧レポートの他、下記の目的別レポートを提供します。

1)C&Cサーバへの通信があった端末の接続元IPアドレス一覧。
(目的:感染端末の特定)
2)C&Cサーバへの通信一覧。
(目的:悪性なものとしてフィルタリングすべきIPアドレスの特定)
基盤構築
(C&Cサーバへのバックドアが開設された状態)
2 プロキシ通信レポート
(BlackDomain通信)
プロキシ通信ログ
3 CONNECTメソッド通信レポート プロキシ通信ログ BlackDomainリストに未記載のC&Cサーバへのバックドア通信が疑われる通信(CONNECTメソッド通信) を抽出。

時系列に並べた一覧レポートの他、下記の目的別レポートを提供します。

1)未知のC&Cサーバへの通信があったとみられる端末の接続元IPアドレス一覧
2)C&Cサーバと疑われるサーバへの通信一覧。
4 トラップアカウント認証失敗レポート Active Directory認証ログ Active Directoryに特権アカウントに模したトラップアカウントを仕掛け、おとりに引っ掛かったマルウェアの認証失敗を抽出。

マルウェアによる特権ID奪取の挙動があったとみられる端末のホスト名の一覧を提供します。
内部侵入
(Active Directoryの特権ID奪取を試行。攻撃が深部へ到達している状態)

レポートのイメージ

1.ファイアウォール通信レポート(BlackDomain通信)

ファイアウォールの通信ログから、C&Cサーバへの通信のみを抽出したレポートを提供します。
時系列の一覧レポートの他、目的別に2つの視点のレポートを出力します。

時系列の一覧レポート

時系列の一覧レポート

接続元IPアドレス別の一覧レポート

(目的:感染端末の特定)

接続元IPアドレス別の一覧レポート(目的:感染端末の特定)

接続先IPアドレス別の一覧レポート

(目的:悪性なものとしてフィルタリングすべきIPアドレスの特定) ※接続成功のみ抽出

接続先IPアドレス別の一覧レポート

2.プロキシ通信レポート(BlackDomain通信)

プロキシの通信ログから、C&Cサーバへの通信のみを抽出したレポートを提供します。
時系列の一覧レポートの他、目的別に2つの視点のレポートを出力します。

時系列の一覧レポート

時系列の一覧レポート

接続元IPアドレス別の一覧レポート

(目的:感染端末の特定)

接続元IPアドレス別の一覧レポート(目的:感染端末の特定)

接続先のドメイン別の一覧レポート

(目的:悪性なものとしてフィルタリングすべきドメインの特定) ※接続成功のみ抽出

接続先のドメイン別の一覧レポート(目的:悪性なものとしてフィルタリングすべきドメインの特定)

3.CONNECTメソッド通信レポート

BlackDomainリストに未掲載であることによるリスクを低減させる為のレポートです。マルウェアは、プロキシに各種TCPプロトコルを透過的に中継させるCONNECTメソッドを利用してC&Cサーバへ接続する傾向があります。そのため、プロキシの通信ログから、CONNECTメソッド通信のみを抽出したレポートを提供します。時系列の一覧レポートの他、目的別に2つの視点のレポートを出力します。

時系列の一覧レポート

時系列の一覧レポート

接続元IPアドレス別の一覧レポート

(目的:感染が疑われる端末の特定)

接続元IPアドレス別の一覧レポート(目的:感染が疑われる端末の特定)

利用ポートと接続先ドメイン別の一覧レポート

(目的:悪性なものとしてフィルタリングすべきポートとドメインの特定) ※接続成功のみ抽出

利用ポートと接続先ドメイン別の一覧レポート

4.トラップアカウント認証失敗レポート

Active Directroyに特権ID(アカウント)を模したトラップを仕掛け、おとりに引っかかったマルウェアの認証失敗を抽出したレポートです。時系列の一覧レポートの他、接続元IPアドレス毎に集計した一覧を提供します。Active Directoryの特権アカウントを奪取しようとするマルウェアの挙動をあぶり出すことを目的としています。

※前提として、Active Directory上にトラップアカウントを用意する必要があります。また、任意の操作端末(サーバ管理者端末)からトラップアカウントにてドメインログオンし、端末上にログオン履歴を残す必要があります。

時系列の一覧レポート

時系列の一覧レポート

接続元IPアドレス別の一覧レポート

接続元IPアドレス別の一覧レポート

マルウェア発見後の対応策

自組織内での運用による対処

BlackDomainSensorにてマルウェアによる攻撃の挙動を発見したら、自組織内での運用による対処がまず考えられます。レポートにリストされた接続先C&Cサイトをファイアウォールやプロキシのフィルタに設定し、不正通信を遮断したり、マルウェア感染端末としてリストされた端末をLANから切り離します。このとき、マルウェア感染端末が重要サーバにアクセスできるものであれば、攻撃が深部に至っている危険性があるため、一般業務セグメントとサーバ管理用セグメントが厳密に分離されているかどうか、端末とネットワーク構成の見直しも検討する必要があります。これにより、管理端末には重点的にマルウェア対策ソフトを導入するなど、対策範囲の絞り込みがしやすくなり、やみくもに対策コストや工数を費やすことがなくなる、というメリットがあります。

攻撃の難易度をあらかじめ上げておく対策を

根本的な情報漏洩対策として、攻撃者にとっての難易度を上げ、攻撃に費やす時間を増やす対策を実施しておくことも重要です。特権ID管理やアクセス制御、データの暗号化等は、内部犯行に対する対策を主目的として実施されることが多いですが、標的型攻撃対策としても有効です。例えば特権IDは申請承認のワークフローを通さないと利用できないシステムにすることで、攻撃者による特権アカウントの奪取は非常に困難なものとなります。また重要データを攻撃者には解除不能な形で暗号化しておけば、情報を窃取されても利用を阻止できます。
アシストでは、BlackDomainSensorによる監視から多重の情報漏洩対策まで、お客様に最適なあらゆるご提案をさせていただいています。

アシストの標的型攻撃対策ソリューションの全体像

アシストの標的型攻撃対策ソリューションの全体像

BlackDomainSensorを詳しく知りたいお客様へ

支援サービス

導入にあたってのアシストのサービス情報

関連セミナー

全国で開催中の無料セミナー情報

お求めの情報は見つかりましたでしょうか。

資料請求/お問い合わせはこちら(専門の担当者が確認し、ご対応します。)

お客様の状況に合わせて詳しい情報をお届けできます。お気軽にご相談ください。

ログ分析の関連製品/サービス

セキュリティに関するその他の課題

ページの先頭へ戻る