購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
3080
閲覧回数
11
いいね!
0
コメント

Umbrella: 各セキュリティ カテゴリの説明

tkitahar
Cisco Employee
Cisco Employee

‎2017-11-27 05:26 PM ‎2018-05-18 02:09 PM 更新

 

※ 2018 年 5 月 18 日現在の情報をもとに作成しています

 

1. はじめに

 

Umbrella にはマルウェアなど 8 種類のセキュリティ カテゴリが用意されており、個々のカテゴリをブロックするか否かをポリシーの中で設定できます。本記事では、これらのカテゴリでブロックを有効/無効にする際の参考情報を提供します。

 

2. マルウェア (Malware)

 

マルウェアとは、データ、コンピューター、ネットワークなどに悪影響のある不正なコードやソフトウェアの総称です。

 

このカテゴリを有効にすることで、マルウェアを提供しているサーバーやマルウェアに感染している Web サイトへのアクセスをブロックします。なお、マルウェアが通信に使用しているアプリケーション、プロトコル、ポートの種類は問いません。

 

3. Newly Seen Domains

 

最近問い合わせを受けるようになったドメインは、数日の間、Newly Seen Domains のカテゴリに分類されます。このようなドメインは、新たなマルウェア展開やフィッシング詐欺などに使われることがあり、このカテゴリを有効にすることで、そういった攻撃を未然に防ぐことができる可能性があります。

 

ただし、正規に取得されたドメインも検知対象となってしまうため、このカテゴリは既定でブロックが有効になっていません

 

なお、Umbrella の DNS サーバー (208.67.222.222/208.67.220.220) への DNS リクエストの数が膨大なため、一部の DNS リクエストをサンプリングして Newly Seen Domains の判断を行っています。

 

4. Command and Control Callbacks

 

Command and Control Callbacks とは、マルウェアの一種である「ボット」に感染したデバイスが、インターネット上の命令や制御を行うサーバー、いわゆる C&C サーバー (Command and Control Server) と連絡を取る (Callbacks) ことを意味します。

 

このカテゴリを有効にすることで、C&C サーバーとの間で行われる通信 (アプリケーション、プロトコル、ポートの種類を問わない) をブロックできます。

 

また、これまで検知した Command and Control Callbacks イベントを確認することで、ボットに感染したデバイスを組織内で発見できる可能性があります。

 

5. Phishing Attacks

 

Phishing Attacks はいわゆるフィッシング詐欺のことで、偽のウェブサイトを使って個人情報や金銭に関する情報などを盗む攻撃手法です。

 

このカテゴリを有効にすることで、フィッシング サイトへのアクセスをブロックできます。

 

6. Dynamic DNS

 

Dynamic DNS は、IP アドレスが動的に変更される環境において、ドメイン名に紐づく IP アドレスを都度更新する技術です。Dynamic DNS サービスを利用することで、固定 IP アドレス環境と同じように、サーバーをインターネットに公開できます。一方で、悪意のある Web 広告 (Malvertising) や標的型のフィッシング詐欺に使われる場合があります。

 

このカテゴリを有効にすると、Dynamic DNS サービスが使用しているドメインをブロックできます。

 

ただし、正当な目的で使用されているドメインも検知対象となってしまうため、このカテゴリは既定でブロックが有効になっていません

 

7. DNS Tunneling VPN

 

DNS Tunneling VPN とは、DNS プロトコルの中に情報を埋め込み、まるで VPN Tunneling を使っているかのように秘密裏に外部とやり取りをする技術です。アンチウィルス製品がファイルを検査する際など、正当な目的で使用される技術ですが、機密情報の持ち出しや、Command and Control Callbacks の中で悪用されることがあります。

 

このカテゴリを有効にすると、DNS Tunneling VPN サービスが使用しているドメインをブロックできます。

 

ただし、正当な目的で使用されているドメインも検知対象となってしまうため、このカテゴリも既定ではブロックが有効になっていません

 

8. Potentially Harmful Domains

 

悪意をもって作られた可能性が疑われるものの、その確実性が低いドメインは、Potentially Harmful Domains のカテゴリに分類されます。

 

このカテゴリに含まれるドメインの例としては、前述の DNS Tunneling VPN において、まだ使用用途が解明されていないドメインが挙げられます。

 

このカテゴリも正当な目的で使用されているドメインが検知対象となる可能性があるため、既定ではブロックが有効になっていません

 

9. Cryptomining

 

仮想通貨のマイニング プールやマイニングのためのソース コードが格納された Web ページなどが対象となっており、それに関係したマルウェアをブロックできます。

 

ただし、正当な目的で使用されているドメインも検知対象となってしまうため、このカテゴリも既定ではブロックが有効になっていません

 

10. 補足

 

ブロックが無効となっているセキュリティ カテゴリについても、Security Activity レポートなどに検知内容が出力されますので、必要に応じてブロックを有効にするという運用が可能です。

 

11. 参考情報

 

Understanding Security Categories
https://support.umbrella.com/hc/en-us/articles/115004563666-Understanding-Security-Categories

 

Newly Seen Domains Security Category
https://support.umbrella.com/hc/en-us/articles/235971407-New-Security-Category-Newly-Seen-Domains

 

Two New Security Categories: DNS tunneling VPN and Potentially Harmful
https://support.umbrella.com/hc/en-us/articles/115001077988-Two-New-Security-Categories-DNS-tunneling-VPN-and-Potentially-Harmful

 

New Security Category: Cryptomining
https://support.umbrella.com/hc/en-us/articles/360000438283-New-Security-Category-Cryptomining

 

Announcing New Security Categories
https://umbrella.cisco.com/blog/2013/08/08/announcing-new-security-categories/

ラベル:
Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents