2.3.2.1. 脅威検知機能を利用する

脅威検知機能についての確認方法とダウンロード方法、検知情報をもとに通信を遮断する手順について説明します。

1. 通知情報から脅威検知結果を確認する

注釈

  • 脅威検知のお知らせメールは「no-reply@sdpf.ntt.com」から送信されます。当該メールアドレスがメール設定等でブロックされていないかご確認ください。

  • 脅威検知を確認した場合に、1日に1回の頻度でSIGNコンソール上にてお客さまが設定したメールアドレス宛に脅威検知情報を通知します。

1.1. お知らせメールの通知先アドレスを設定する

お知らせメールの通知先アドレスは以下の手順で設定できます。

  1. docomo business SIGNのコンソールにログインし、「セキュリティ管理」内の「設定」画面に遷移します。

セキュリティ管理_設定画面

  1. 「脅威検知通知先メールアドレス」内の「変更」ボタンを押下します。

セキュリティ管理_設定画面_アドレス変更ボタン

  1. 「追加」ボタンを押していただくと、メールアドレスの入力欄が表示されるので、通知先に設定したいメールアドレスを入力し、「保存」ボタンを押下します。この時、複数のメールアドレスを通知先に設定したい場合は、「追加」ボタンを繰り返し押下することで入力欄を増やすことができます。

セキュリティ管理_設定画面_アドレス追加ボタン

4. メールアドレスの入力後、「保存」ボタンを押下すると、設定した通知先メールアドレスに確認メールが送信されます。 受信が確認できましたら、設定は完了です。

セキュリティ管理_設定画面_アドレス入力
セキュリティ管理_設定画面_確認メール送信ポップアップ

1.2. お知らせメールの通知先アドレスを削除する

お知らせメールの通知先アドレスは以下の手順で削除できます。

  1. docomo business SIGNのコンソールにログインし、「セキュリティ管理」内の「設定」画面に遷移します。

セキュリティ管理_設定画面

  1. 「脅威検知通知先メールアドレス」内の「変更」ボタンを押下します。

セキュリティ管理_設定画面_アドレス変更ボタン

3. 削除したいメールアドレス欄の右側にあるゴミ箱アイコンを押下していただくと、メールアドレスが削除できます。 その後、有効化された「保存」ボタンを押下すると、メールアドレスの削除が完了します。

セキュリティ管理_設定画面_アドレスごみ箱ボタン

1.3. お知らせメールの通知先アドレスを有効化/無効化する

通知先のメールアドレスを設定している場合、コンソール上の「通知先有効化」ボタンから脅威検知の通知メールの有効化/無効化を切り替えられます。

無効化した場合、通知先に設定されているすべてのメールアドレスへの通知が停止します。

再開する場合は、再度「通知先有効化」ボタンを押下してください。

有効化/無効化の切替時は全ての通知先メールアドレスに確認メールが送信されます。

セキュリティ管理_設定画面_通知先有効化ボタン

1.4. お知らせメールから脅威検知結果を確認する

お知らせメールからは、以下の手順で確認できます。

1.お知らせメール下部に記載のリンクよりビジネスポータルに遷移します。

脅威検知結果お知らせメール

2.ビジネスポータルにログイン後、[ご契約中のサービスから選ぶ] > [Smart Data Platform] > [対象のワークスペースを選択] > [メニュー] > [IoT] > [docomo business SIGN] > [セキュリティ管理]>[脅威検知一覧]の順に遷移して、脅威検知一覧をご確認ください。

脅威検知一覧画面

2. 脅威検知一覧から検知情報を確認する

脅威検知一覧画面は、以下の手順で確認することができます。

  1. 左のメニューの「セキュリティ管理」から「脅威検知一覧」を選択します。

脅威検知一覧画面2

  1. 「脅威検知一覧」が表示されます。

脅威検知一覧画面3
検索条件項目表

項目

説明

Value(インターネット)

Value(インターネット)の脅威検知一覧を表示します。

Value(関域)

Value(関域)の脅威検知一覧を表示します。

Advanced

Advancedの脅威検知一覧を表示します。

IP脅威検知

IP脅威検知の検索ができます。

その他脅威検知

その他脅威検知の検索ができます。

最新24時間

直近1日間の脅威検知一覧を表示します。

指定期間

カレンダーにて指定した期間の脅威検知一覧を表示します。

フィルター追加

フィルターを追加し、詳細検索ができます。

検索

指定した検索条件にて検索します。

注釈

  • 「フィルター追加」を押下すると、セレクトボックスが表示されます。セレクトボックスでは、「検知回線ID」、「検知脅威度」から選択できます。「検知脅威度」を選択すると、さらに「重大」、「高」、「その他」から選択できます。また、入力した内容は[削除]を押下すると削除できます。複数選択の場合AND条件での検索となります。

  • 「最新24時間」で表示される脅威一覧では、検索した時刻から24時間前までの脅威が表示されます。

3.[検索]を押下すると、検索条件に入力した内容をもとに、脅威検知一覧の詳細情報が表示されます。

脅威検知一覧_詳細情報
脅威検知一覧項目表

項目名

説明

最新検知日時
脅威検知した日時を表示します。
※最新検知日時は、実通信時間から数分程度遅延する場合があります。

期間内検知回数

期間内に検知した数を表示します。

検知回線ID(IMSI/MSISDN)
脅威を検知した回線IDを表示します。
Value回線はIMSI、Advanced回線はMSISDNが表示されます。

回線ステータス

「未開通」・「利用中」・「中断」・「休止」・「廃止」の5つに分けられています。

脅威検知先
外部IPリストで検知された場合、IPアドレスを表示します。
ドメインリストから検知された場合、ドメイン/サブドメインを表示します。
脅威検知プロファイルで検知された場合、ファイル名などを表示します。

検知脅威度(期間内最高)

脅威リスクの高さをリスクの高い順に「重大」、「高」、「その他」の3種類で表示します。指定した期間内で最も高いものが表示されます。

脅威タイプ

脅威タイプの通信を「APT」・「Malware」・「Phishing」・「C2」・「Exploit」・「Other」の6種類に分けて表示します。

詳細
選択することで「脅威検知詳細」画面を表示することができます。
※「期間内検知回数」の数字を選択することでも「脅威検知詳細」画面を表示することができます。

4.脅威検知一覧の詳細情報より、「期間内検知回数」を選択します。

脅威検知一覧_期限内検知数を選択

5.「脅威検知詳細」画面が表示されます。

脅威検知詳細画面
脅威検知詳細項目表

項目名

説明

回線種別

回線種別を「Value(インターネット)」・「Value(関域)」で表示します。

脅威検知種別

脅威検知種別を「IP脅威検知」・「その他脅威検知」で表示します。

検知回線ID(IMSI/MSISDN)
脅威を検知した回線IDを表示します。
Value回線はIMSI、Advanced回線はMSISDNが表示されます。

検知日時

脅威検知した日時を表示します。

脅威度

脅威リスクの高さをリスクの高い順に「重大」、「高」、「その他」の3種類で表示します。

脅威タイプ

脅威タイプの値を「APT」・「Malware」・「Phishing」・「C2」・「Exploit」・「Other」の6種類に分けて表示します。

脅威検知先
外部IPリストで検知された場合、IPアドレスを表示します。
ドメインリストから検知された場合、ドメイン/サブドメインを表示します。
脅威検知プロファイルで検知された場合、ファイル名などを表示します。

APP

セッションに関連付けられたアプリケーションを表示します。

プロトコル

セッションに関連付けられたプロトコル(「tcp」・「udp」・「any」など)を表示します。

通信方向

上りはお客さま拠点から外部へ向かう通信、下りは外部からお客さま拠点へ向かう通信です。

宛先IP

脅威を検知した際の宛先IPアドレスを表示します。

送信元IP

脅威を検知した際の送信元IPアドレスを表示します。

宛先Port

脅威を検知した際の宛先Portを表示します。

送信元Port

脅威を検知した際の送信元Portを表示します。

3. 検知した脅威情報をダウンロードする

検知した脅威情報は、以下の手順で確認することができます。

3.1. 「脅威検知一覧」から検知した脅威情報をダウンロードする

1.左のメニューの「セキュリティ管理」から「脅威検知一覧」を選択します。「脅威検知一覧」が表示されます。

2.[ダウンロード]ボタンを押下すると画面に表示されているデータをCSVファイルにてダウンロードします。

脅威検知一覧_ダウンロード選択

注釈

「脅威検知一覧」からダウンロードしたCSVファイルの各項目の説明は、「脅威検知一覧項目表」をご参照ください。 なお、一回のダウンロードで最大2000件のダウンロードが可能です。

脅威検知一覧_CSVファイル

3.2. 「脅威検知詳細」画面から検知した脅威情報をダウンロードする

1.脅威検知一覧の詳細情報より、「期限内検知数」を選択します。

脅威検知一覧_期限内検知数を選択

2.「脅威検知詳細」画面が表示されます。[ダウンロード]ボタンを押下すると画面に表示されているデータをCSVファイルにてダウンロードします。

脅威検知詳細画面_ダウンロード選択

注釈

「脅威検知詳細」画面からダウンロードしたCSVファイルの各項目の説明は「脅威検知詳細項目表」をご参照ください。 なお、一回のダウンロードで最大2000件のダウンロードが可能です。

脅威検知詳細画面_CSVファイル

4. 検知情報をもとに通信を遮断する

1.通信を遮断するは、以下の手順で確認することができます。

左のメニューの「セキュリティ管理」から「脅威検知一覧」を選択します。「脅威検知一覧」が表示されます。

脅威検知一覧_通信遮断

2.遮断可能な脅威検知がある場合、リストに[遮断]ボタンが表示されるので遮断したいSIMの[遮断]ボタンを押下します。

検索機能を利用し特定の脅威検知に絞って検索も可能です。検索の詳細については「脅威検知一覧から検知情報を確認する - 脅威検知一覧項目表」をご確認ください。

脅威検知一覧_遮断ボタン選択

3.[遮断]ボタンを押下すると、 「遮断設定を適用しますか?」のポップアップが表示されますので、情報に間違いがないことをご確認のうえ、[OK]ボタンを押下します。

遮断適用ポップアップ

注釈

  • Value回線における遮断処理は、OKボタン押下後、数分から数十分程度で完了します。

  • コンソール上の回線ステータス表記が変更されるまでには、上記時間に加えて、さらに数分の遅延が発生する場合があります。

  • ステータス変更処理中の間は、脅威検知による通信の遮断・遮断解除ができません。遮断・遮断解除をする場合は処理完了までお待ちください。

  • 料金プラン変更処理中の間は、脅威検知による通信の遮断・遮断解除ができません。お急ぎの場合は、料金プラン変更を一度キャンセルしたのちに再度お申し込みください。詳しくは プラン変更キャンセル をご参照ください。​

2.3.2. セキュリティ
2.3.2.2. フローコレクターを利用する