キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
告知

 

244
閲覧回数
0
いいね!
0
返信
cja56910tf
Participant

StealthwatchのFake Application Detectedについて

Stealthwatch 7.3.2 を使用しています。

先日、Flowデータを送信するCatalyst 9Kのflow recordの設定を従来のレガシーなものから有線 AVC(match application nameがあるもの)に変更しました。

 

その後、Stealthwatchのダッシュボード画面で「コマンドアンドコントロール:C&C」が検出されるようになりました。

しかし、その詳細をよく見てみると、全て「Fake Application Detected 」なるものでした。各行の詳細は下記のように表示されています。

・1 台のホストが123/UDP(ntp)でDNSを使用しています.

・1 台のホストが138/UDP(netbios-dg)でDNSを使用しています.

・1 台のホストが139/TCP(netbios-ss)でDNSを使用しています.

・1 台のホストが53/UDP(dns)でWebを使用しています.

 

これは本当にコマンドアンドコントロール:C&Cに該当すると思われますでしょうか。

また、仮に誤検知であるならば、これをパラメータチューニングなどの設定で回避出来るものでしょうか。

 

Stealthwatchの経験者あるいは詳しい方からのご回答をお待ちしております。

0件の返信0