コマンドおよびコントロールサーバーの概要
コマンドアンドコントロール(C&C)サーバーページには、ネットワーク上のホストに接続して侵害しようとしたサーバーの情報が一覧表示されます。C&Cサーバーは、ボットネット(侵害されたコンピューターのネットワーク)にコマンドを発行し、ボットネットからレポートを受け取る集中型コンピューターです。ボットネットは、アカウント番号やクレジットカード情報などの機密情報を収集したり、分散型サービス拒否(DDoS)攻撃に参加したりするために使用される可能性があります。
C&C および Geo IP フィルタリング フィードは、ATP Cloud プレミアム ライセンスでのみ使用できます。
Security Directorを使用してATPクラウドを管理する場合、使用可能なプルダウンからATPクラウドレルムを選択する必要があります。
ネットワーク上のホストがインターネット上のC&Cサーバー候補との接続を開始しようとすると、SRXシリーズデバイスはトラフィックを傍受し、C&CサーバーのIPアドレスとURLを識別するリアルタイムのインテリジェンスフィード情報に基づいて強制アクションを実行できます。
データのエクスポート - [ エクスポート ] ボタンをクリックして、C&C データを CSV ファイルにダウンロードします。データのダウンロードを選択した時間枠に絞り込むように求められます。
誤検知の報告: FP/FN ボタンをクリックすると新しい画面が表示され、ジュニパーネットワークスにレポートを送信して、誤った立場または偽陰性をジュニパーに通知できます。ジュニパーは報告書を調査しますが、これによって判断が変わることはありません。修正を行う(システムをクリーンとしてマークする)場合は、手動で行う必要があります。
表1 は、C&Cページで入手可能な以下の情報を示しています。
フィールド |
定義 |
---|---|
C&C サーバー |
疑わしいコマンドおよび制御サーバーの IP アドレス。 |
C&C 脅威レベル |
アクションと動作の分析によって決定されるC&Cサーバーの脅威レベル。 |
ヒット |
C&C サーバーがネットワーク上のホストへの連絡を試みた回数。 |
C&Cカントリー |
C&Cサーバーが配置されている国。 |
最終確認日時 |
最新の C&C サーバーがヒットした日時。 |
プロトコル |
C&Cサーバーが通信を試みるために使用したプロトコル(TCPまたはUDP)。 |
クライアント ホスト |
C&Cサーバーが通信を試みたホストのIPアドレス。 |
アクション |
通信に対して実行されたアクション (許可またはブロック)。 |