感染したホストの表示と処理
感染したホストを表示するには、[感染したホスト>緩和] タブに移動します。
感染したホストとは、攻撃者が不正アクセスした可能性が高いシステムのことです。ホストが侵害されると、攻撃者はコンピューターに対して次のようないくつかのことを実行できます。
迷惑メールやスパムメールを送信して、他のシステムを攻撃したり、違法なソフトウェアを配布したりします。
パスワードやアカウント番号などの個人情報を収集します。
コンピュータのセキュリティ設定を無効にして、簡単にアクセスできるようにします。
[感染したホスト>緩和] タブでは、感染したホストを表示し、調査と緩和のステータスを設定できます。
感染したホストのリストを表示しているときに、そのホストの [ 調査の状態] 列のリンクをクリックすると、プルダウンを含むポップアップ ウィンドウが表示されます。[オープン]、[処理中]、[解決済み - 誤検知]、[解決済み - 修正済み]、および [解決済み - 無視] のいずれかを選択できます。
メモ:解決済みとしてマークされた感染したホストは、[感染したホスト] タブに 60 日間残りますが、脅威レベルのスコアは 0 になります。
[ 送信] ボタンをクリックします。
感染したホストを軽減するには、[ インシデント] タブでイベントを見つけます。インシデントごとに、脅威に関する情報を含む [ 概要 ] タブと [ ダウンロード] タブを表示できます。[ダウンロード]タブでは、次の操作を実行できます。
VirusTotal で検索 - VirusTotal は、疑わしいファイルと URL を分析してマルウェアの種類を検出する Web サイトです。URL、IPアドレス、ドメイン、またはファイルハッシュを入力して、このサイトのマルウェアを検索することもできます。
PCAPトレースのダウンロード—SRXシリーズファイアウォールによって収集されたpcap(パケットキャプチャ)ファイルデータをダウンロードするには、このリンクをクリックします。ファイルを保存するように求められます。(現時点では、SRXシリーズのコレクターダッシュボードはありません)。
サンプルのダウンロード:このリンクをクリックして、マルウェアを含むパスワードで保護された zip ファイルをダウンロードします。zip ファイルのパスワードは、問題のファイルの [ダウンロード] タブに表示されるマルウェア exe ファイル (64 文字の長さの英数字文字列) の SHA256 ハッシュです。
[挙動ログのダウンロード(Download Behavior Log)]:このリンクをクリックすると、マルウェアに関するログ情報を含む zip ファイルをダウンロードできます。ファイルを保存するように求められます。
ホワイトリストに追加 - ファイルが誤ってマルウェアとして分類されたと思われる場合は、このリンクをクリックしてファイルを許可リストに追加し、ブロックされないようにします。
誤検知の報告:誤検知を報告するには、このリンクをクリックします。チケットを作成し、問題を説明するための情報を入力するように求められます。
感染したホストに関する詳細情報
感染したホストは、データフィード(情報源とも呼ばれます)としてリストされます。フィードには、ホストの IP アドレスまたは IP サブネットが、脅威レベル(xxx.xxx.xxx.133 や脅威レベル 1 など)と共に表示されます。識別されると、ATP Applianceはアクションを推奨し、SRXシリーズファイアウォールでセキュリティポリシーを作成して、これらの感染したホストのインバウンドおよびアウトバウンドトラフィックに対して強制アクションを実行できます。ATP Applianceは、C&Cサーバーへの接続を試みているクライアントや、マルウェアをダウンロードしようとしているクライアントなど、複数のインジケータを使用します。
感染したホストを特定し、その決定に基づいて行動するプロセスは次のとおりです。
ステップ |
説明 |
---|---|
1 |
IPアドレス10.1.1.1のクライアントは、SRXシリーズファイアウォールの内側に配置され、インターネットからファイルをダウンロードするように要求します。 |
2 |
SRXシリーズファイアウォールは、インターネットからファイルを受信し、セキュリティポリシーをチェックして、ファイルをクライアントに送信する前に何かアクションが必要かどうかを確認します。 |
3 |
SRXシリーズファイアウォールにはATPアプライアンスポリシーがあり、ダウンロードしたばかりの同じタイプのファイルをATPアプライアンスに送信して検査する必要があります。 このファイルはATP Applianceにキャッシュされません。つまり、この特定のファイルが検査のためにATP Applianceに送信されるのは今回が初めてであるため、ATP Applianceが検査を実行している間、SRXシリーズファイアウォールはファイルをクライアントに送信します。 |
4 |
この例では、ATP Applianceの分析により、ファイルの脅威レベルがマルウェアであることを示すしきい値を超えていると判断され、この情報をSRXシリーズファイアウォールに送り返します。 クライアントは感染したホストリストに登録されます。 |
5 |
SRXシリーズファイアウォールは、ATP Applianceからの感染したホストフィードを使用して、クライアントによるインターネットへのアクセスをブロックします。 クライアントは、管理者が詳細な分析を実行して安全であると判断するまで、感染したホストリストに残ります。 |