1.1.2. 脅威検知

脅威検知は悪意のある通信の検知や通知を行います。また、RINKコンソールで脅威検知ログの表示/ダウンロードや簡易に通信を遮断する機能を提供します。

表1.1.2.1. 脅威検知サービス概要

提供機能

脅威検知機能概要

検知機能

  • 複数の脅威情報ソースをもとに、悪意のある通信を検知
    ※検知可能な通信パターンは「表1.1.2.7.~表1.1.2.10.」を参照

通知機能

  • 検知情報をメールで通知
    ※メール通知は、リスクレベルが「 Critical 」かつ上り通信を検知した場合が対象

  • 通知頻度は1時間に1回
    ※検知のタイミングによっては最大2時間後の通知となる可能性あり

ログ保管機能

  • 脅威検知ログの表示/CSV形式でのダウンロード

遮断機能

  • IPアドレス単位で悪性と疑われる上り通信を遮断
    ※遮断機能の対象は、現状検知ソースがIPアドレスの場合のみ
    ドメイン、脅威シグネチャが検知ソースの場合は検知機能のみの提供

注釈

  • 提供データは、JST(日本標準時)を基準としています。

  • 下記の場合、削除した脅威検知ログの修復は行いませんのでご了承ください。

    • 保管期間を経過した脅威検知ログは削除されます。

    • ログ保管の期間をより短い保管期間に変更した場合、お申し込みが完了したタイミングで、ログ保管期間が超過となる脅威検知ログは削除されます。

    • 脅威検知をご利用中にサービス構成(ルータIDまたは回線ID)を変更した場合、変更前の回線で保管していたログは削除されます。 サービス構成変更前に検知ログをダウンロードしてください。

  • 遮断機能はサービスルーターをご利用の場合に限ります。

  • 遮断時に設定するフィルタの上限は100に設定されています。上限に達した場合、新規にフィルタを作成するためには、既存のフィルタを削除する必要があります。

  • 同一IPアドレスを一つのVPN ID(V番)内で複数回線で利用している場合、同一の検知内容が複数回線において表示されることがあります。

  • お客さまのネットワーク構成(例:Proxy経由等)によっては、脅威インテリジェンスとの照合ができず脅威検知が出来ない場合があります。

  • 遮断機能ご利用後も、インターネットからルーターに向けた通信は検知されます。


脅威検知で検知する検知種別は以下のとおりです。

①IPアドレス
②ドメイン
③脅威シグネチャ


脅威検知で検知する脅威タイプは以下のとおりです。
表1.1.2.2. 脅威検知脅威タイプ表

検知種別

脅威タイプ

IPアドレス/ドメイン

APT/Malware/Phishing/C2/Exploit

脅威シグネチャ

脅威として登録されている特徴量やパターンに基づくシグネチャ


脅威検知で検知するリスクレベルは以下のとおりです。
表1.1.2.3. 脅威検知リスクレベル表

検知種別

リスクレベル

IPアドレス/ドメイン

Critical、High、Other

脅威シグネチャ

Critical、High、Medium、Low、Informational

注釈

  • Criticalに近付くほど、リスクレベルが高くなります。


リスクレベルが「 Critical 」かつ上り通信の脅威が検知された場合、悪性の可能性が極めて高い通信であり、最優先で対処が必要です。まず暫定対処として内容の確認と必要に応じて通信を遮断することを推奨します。

表1.1.2.4. IP/ドメイン検知の脅威タイプの分類と推奨アクション表(上り通信 ※1

Critical

High

Other

脅威度説明

悪性である可能性が極めて高い通信

悪性である可能性が高い通信

悪性である可能性がある通信

推奨アクション

最優先で検知内容を確認し、調査・対策を実施することを推奨します。

速やかに検知内容を確認し、調査・対策を実施することを推奨します。

検知内容を確認し、調査・対策を実施することを推奨します。


表1.1.2.5. シグネチャ検知 ※2の脅威タイプの分類と推奨アクション表(上り通信 ※1

Critical

High

Medium

Low

Informational

脅威度説明

深刻な脅威。
すでに侵害・攻撃を受けている可能性がある。

深刻になりうる脅威。
システム設定や構成により、Critcalとなりうる。

影響度が小さい脅威や注意するべきイベント。
特定条件下(同LAN内に攻撃元が存在するなど)においてHigh以上になりうる脅威も含む。

影響度が小さい脅威や注意するべきイベント。
特定条件下(同LAN内に攻撃元が存在するなど)においてHigh以上になりうる脅威も含む。

影響度が小さい脅威や注意するべきイベント。
特定条件下(同LAN内に攻撃元が存在するなど)においてHigh以上になりうる脅威も含む。

推奨アクション

最優先で検知内容を確認し、調査・対策を実施することを推奨します。

速やかに検知内容を確認し、調査・対策を実施することを推奨します。

検知内容を確認し、調査・対策を実施することを推奨します。

検知内容を確認し、調査・対策を実施することを推奨します。

検知内容を確認し、調査・対策を実施することを推奨します。

注釈

※1 下り通信はサービスルーター側で防御
※2 シグネチャ検知については遮断機能対象外


脅威を検知した際、RINKコンソール上に表示する検知項目は以下のとおりです。
表1.1.2.6. 脅威検知一覧項目表

項目名

説明

アクション

遮断ボタンの表示

検知日時

脅威検知した日時

ルーターID

脅威を検知したルーターのID

ルーター名

脅威を検知したルーターの名前

検知種別

「IPアドレス」・「ドメイン」・「脅威シグネチャ」の3種類

遮断ステータス

「遮断中」・「未遮断」・「対象外」の3種類

現状フィルター数/MAX

分母は一つのルーター数に掛けられるフィルター数で、上限フィルター数は「100」、分子は現在遮断に使用しているフィルター数

リスクレベル

脅威リスクの高さはリスクの高い順に「Critical」・「High」・「Medium」・「Low」・「Informational」・「Other」の6種類

脅威タイプ

脅威タイプの通信は「APT​」・「Malware​​」・「Phishing​​」・「C2​​」・「Exploit​​」・「Other​」の6種類

脅威検知先

外部IPリストで検知された場合は、IPアドレス
ドメインリストから検知された場合は、ドメイン/サブドメイン
脅威検知プロファイルで検知された場合は、ファイル名など

検知回線ID

脅威を検知した回線ID

脅威検知先ポート

脅威を検知したポート番号

アプリケーション

セッションに関連付けられたアプリケーション

プロトコル

セッションに関連付けられたプロトコル(「tcp」・「udp」・「any」など)

通信方向

上りはお客さま拠点から外部へ向かう通信、下りは外部からお客さま拠点へ向かう通信

送信元IPアドレス

脅威を検知した際の送信元IPアドレス

送信元ポート

脅威を検知した際の送信元IPポート

宛先IPアドレス

脅威を検知した際の宛先IPアドレス

宛先ポート

脅威を検知した際の宛先ポート

アクセス回線種別

脅威を検知した回線種別は「ワイヤレスアクセス」・「ベストエフォートIPoEアクセス」・「ギャランティアクセス」の3種類

接続先ネットワーク

脅威を検知した回線はオープン網(インターネット通信のみ利用/インターネット+VPNオプション)か、
VPN網(VPNのみ/VPN+特定通信ブレークアウト)

接続用途

脅威を検知した回線はメインかバックアップ


通信パターンごとの脅威検知の対応可/不可は以下のとおりです。

表1.1.2.7. インターネット通信(脅威シグネチャ)

送信元

通信方向(両方向)

宛先

非暗号化通信

暗号化通信

ギャランティアクセス

←→

インターネット

対応可

対応不可

ベストエフォートIPoEアクセス

←→

インターネット

対応可

対応不可

ワイヤレスアクセス

←→

インターネット

対応可

対応不可

表1.1.2.8. インターネット通信(IPアドレス/ドメイン)

送信元

通信方向(両方向)

宛先

非暗号化通信

暗号化通信

ギャランティアクセス

←→

インターネット

対応可

対応可

ベストエフォートIPoEアクセス

←→

インターネット

対応可

対応可

ワイヤレスアクセス

←→

インターネット

対応可

対応可

表1.1.2.9. 拠点間通信(脅威シグネチャ)

送信元

通信方向(両方向)

宛先

非暗号化通信

暗号化通信

ギャランティアクセス

←→

ギャランティアクセス

対応可

対応不可

ギャランティアクセス

←→

ベストエフォートIPoEアクセス

対応可

対応不可

ギャランティアクセス

←→

ワイヤレスアクセス

対応可

対応不可

ベストエフォートIPoEアクセス

←→

ベストエフォートIPoEアクセス

対応不可 ※1

対応不可

ベストエフォートIPoEアクセス

←→

ワイヤレスアクセス

対応不可 ※1

対応不可

ワイヤレスアクセス

←→

ワイヤレスアクセス

対応不可 ※1

対応不可

表1.1.2.10. 拠点間通信(IPアドレス/ドメイン)

送信元

通信方向(両方向)

宛先

非暗号化通信

暗号化通信

ギャランティアクセス

←→

ギャランティアクセス

対応可

対応可

ギャランティアクセス

←→

ベストエフォートIPoEアクセス

対応可

対応可

ギャランティアクセス

←→

ワイヤレスアクセス

対応可

対応可

ベストエフォートIPoEアクセス

←→

ベストエフォートIPoEアクセス

対応不可 ※1

対応不可 ※1

ベストエフォートIPoEアクセス

←→

ワイヤレスアクセス

対応不可 ※1

対応不可 ※1

ワイヤレスアクセス

←→

ワイヤレスアクセス

対応不可 ※1

対応不可 ※1

注釈

※1 VPN網に接続する際、網内設備が異なる回線同士の通信は検知される場合があります。