キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
告知

JTAC-Mid-Career-Recruitment-2021.3

CSC-campaign.JPG

 

Stealthwatch: UseCase - ボゴン(Bogon)トラフィック検出(7.0)

137
閲覧回数
0
いいね!
0
コメント

はじめに

ボゴンとは、Internet Assigned Number Authority (IANA) や地域のインターネット登録機関によって正式に割り当てられていない IPアドレスのセットであるボゴン空間から出てきた偽の IP アドレスのことです。ボゴン IP アドレスは、ハッキングや悪意のある行為で一般的であり、スパマー(スパムを送り付ける人)や DDoS 攻撃を仕掛ける人に利用されています。Stealthwatch は、フローデータをグローバルな脅威フィードと相関させ、ボゴンアクティビティを含む高度なマルウェアの検出機能を強化します。犯罪組織からの脅威に関するリアルタイムのインテリジェンスと、不審なネットワークアクティビティを組み合わせることで、Stealthwatch は、独自の観点から完全なセキュリティインシデント情報を提供します。

最小要件

Stealthwatch のシステム構成の最小要件は以下の通りです。
・ すべてのホスト間のトラフィックが可視化できるようにコア/ディストリビューション上でネットフローが有効であること
・ 脅威インテリジェンスライセンス(Threat Intelligence License)
・ Stealthwatch バージョン 7.0 以降

脅威インテリジェンスライセンス

脅威インテリジェンスライセンス(Threat Intelligence license)は、ネットワークに対する脅威に関する最新の情報を提供します。脅威インテリジェンスライセンスの脅威フィードは、マルウェア、コマンド アンド コントロール (C&C) サーバー、およびその他のホストに関するデータを提供します。ボゴン(bogon) や Tor のような興味深いものがあります。Stealthwatch は、脅威のフィードを使用して、潜在的に悪意のあるネットワーク活動を検出します。脅威フィードには、IPアドレス、ポート番号、プロトコル、ホスト名、悪意のあるアクティビティを使用しています。脅威フィードにはボゴンホストグループが含まれており、ボゴントラフィックの侵入地点と出口地点を識別します。脅威フィードに含まれる脅威ホストによって、以下のボゴンセキュリティイベントをトリガすることができます。これらの各セキュリティ イベントは、設定されている場合、ステルスウォッチ管理コンソール(SMC)でアラームをトリガーします。
これらのイベントは をクリックして、SMC Web ユーザー・インタフェース(UI)のポリシー管理ツールを起動します。トリガされると、アラームはセキュリティ インサイトダッシュボード。

ボゴンのアラームの説明

・ ボゴンアドレスからの接続が試行されました: 外部のボゴンホストがネットワーク内のホストサーバーと通信しようとして失敗したことを示します。
・ ボーゴンアドレスからの接続が成功しました: 外部のボゴンホストがクライアントとして、ネットワーク内のサーバーとの通信に成功したことを示します。
・ ボゴンアドレスへの接続が試行されました: 内部のホストが外部ボゴンホストとの通信を試みようとして失敗したことを示します。
・ ボゴンアドレスへの接続が成功しました: 内部のホストが外部ボゴンホストとの通信に成功したことを示します。
※ 上記のすべてのアラームでは、ボゴンプレフィックス(ボンゴ IP アドレス)はインターネットルーティングテーブルに通常では表示されないルートです。

ボゴンのトラフィック検出を有効にする

ボゴントラフィック検出を有効にするには、Inside Hosts ポリシーを構成します。Security Insight ダッシュボードから、[構成] をクリックし、[ポリシー管理] を選択します。
image.png

コアイベントのセクションをクリックして、ボゴンを検索します。
image.png

Bogon イベントが表示されます。各イベントを選択し、ソースとターゲットの両方で On + Alarm の Inside Hosts ポリシーを構成します。[Save] をクリックします。
image.png

ボゴントラフィック アラームがセキュリティ インサイト ダッシュボードに表示されるようになりました。詳細については、目的のボゴンイベントのバーまたは円グラフをクリックしてください。
image.png

そのイベントのアラームのリストが表示されます。ホストレポートを取得するには、IP アドレスをクリックすることができます。

image.png

その他のレポートについては、イベントの楕円をクリックしてください。この例では、関連するフローを表示したいので、アクション列の丸いアイコンをクリックして、フローの表示を選択します。
image.png
フロー検索結果ページが表示され、詳細が表示されます。
image.png

この情報を入手したセキュリティ管理者は、このリスクを軽減するためにさらなる対策を講じることができます。

参考情報

本記事は、以下の英語の記事を翻訳したものとなります。
Detecting Bogon Traffic (7.0)