適用対象: ThreatSync+ NDR
ThreatSync+ NDR には、有効化できる 100 超の既定ポリシーが含まれています。各社のネットワークやセキュリティ ポリシーに適さない既定ポリシーもあるため、大半の既定ポリシーは既定で無効化されています。レベル 1 ポリシーのサブセットのみが既定で有効化されています。これにより、アラートが自動的に生成されます。
ネットワークの脅威を監視する際は、レベル 1 ポリシーから開始することが勧められます。
本トピックの各セクションには、以下の内容が含まれています。
- レベル 1 ポリシーの説明
- 脅威を検出するポリシーの仕組み
- ネットワークでより効果的に機能するようにポリシーを調整する方法
特定のレベル 1 ポリシーの詳細については、以下のセクションを参照してください。
- AA21-356A — LDAP または RMI を介した新規組織への潜在的な Log4Shell 攻撃を検出する
- AA21-356A — LDAP または RMI を介した潜在的な Log4Shell 攻撃を検出する
- AA21-356A — 潜在的な Log4Shell 攻撃に起因する異常な量の DNS、LDAP、RMI アクティビティを検出する
- Active Directory から外部へ
- 開発環境と本番環境の間のアクティビティ
- 高リスク国からのアクティビティ
- ブロックリストに登録されている IP アドレスに関連するアクティビティ
- 高リスク国へのアクティビティ
- ソーシャル メディア サイトへのアクティビティ
- 高リスク国からの異常なアクティビティ
- 高リスク国への異常なアクティビティ
- Web API 経由のビーコン
- 不審な AA21-062A IP アドレスとの通信
- ファイル共有サイトに送信された大容量コンテンツの検出
- 内部 LLMNR トラフィック
- 内部 mDNS トラフィック
- 内部 WUDO トラフィック
- ネットワーク境界を超える LLMNR トラフィック
- ネットワーク境界を超える NetBIOS-NS トラフィック
- 外部から内部への RDP 試行
- 新規外部ホストからの RDP接続
- 外部から内部への RDP
- 外部から内部への SSH 試行
- DNS 経由のデータ漏洩の可能性
- 不測の DNS 解決サーバー
- セキュリティで保護されていないインバウンド FTP/TFTP トラフィック
- セキュリティで保護されていないインバウンド IRC トラフィック
- セキュリティで保護されていないインバウンド Telnet トラフィック
- セキュリティで保護されていないインバウンド Web サーバー アクティビティ
- セキュリティで保護されていない内部 Telnet トラフィック
- ネットワーク境界を超える WUDO トラフィック
AA21-356A — LDAP または RMI を介した新規組織への潜在的な Log4Shell 攻撃を検出する
CISA アラート AA21-356A で推奨されているように、このポリシーでは、これまで通信が発生したことのないサイトへの LDAP および RMI アクティビティが特定されます。
仕組み
Log4Shell とも呼ばれる Log4j の脆弱性は、Apache Log4j 2 Java ライブラリの一部のバージョンに影響を及ぼす重大な RCE (リモート コード実行) 脆弱性です。この脆弱性を悪用することで、攻撃者は影響を受けるシステムを完全に制御して、以下を実行できるようになります。
- パスワードとログイン情報を窃盗する
- データを抽出する
- 悪質なソフトウェアでネットワークを感染させる
- ランサムウェアを実行する
この脆弱性は、JNDI (Java Naming and Directory Interface) で変数が解決される方法の欠陥に起因するものです。この脆弱性を悪用することで、攻撃者は特別に細工した要求を脆弱なシステムに送信して、システムに任意のコードを実行させることが可能です。
この細工された要求により、攻撃者のマシンへのリバース シェル接続が確立される可能性があります。ThreatSync+ NDR の監視機能により、LDAP ポートまたは RMI ポート経由で送信されたトラフィックが、送信元アドレスで過去に通信したことのないパブリック インターネット ドメインに送信された場合に、このリバース接続が検出されます。このトラフィックは送信である必要があります。ポリシー定義には、すべての共通の LDAP および RMI ポート (ポート 389、636、1636、1099、1389、3268、3269) が含まれています。
調整方法
パブリック クラウドに LDAP サーバーまたは Active Directory ドメイン サーバーが構築されている場合は、このアラートは誤検出である可能性があります。その場合は、そのパブリック IP アドレスを宛先ゾーン例外リストに追加することで、ポリシーから除外することができます。詳細については、次を参照してください:ThreatSync+ ポリシーを構成する。
AA21-356A — LDAP または RMI を介した潜在的な Log4Shell 攻撃を検出する
CISA アラート AA21-356A で推奨されているように、このポリシーでは、既知の悪質な IP アドレスに対する LDAP および RMI アクティビティが特定されます。
仕組み
このポリシーにより、LDAP または RMI ポート (ポート 389、636、1636、1099、1389、3268、3269) 経由で送信されたトラフィックが、ThreatSync+ NDR の悪質な IP アドレス リストに含まれている IP アドレスのいずれかに送信された場合にアラートが生成されます。このリストは、悪質であると報告されたパブリック インターネット アドレスの脅威フィードを集めたものです。
調整方法
このポリシーでは調整は必要ありません。
AA21-356A — 潜在的な Log4Shell 攻撃に起因する異常な量の DNS、LDAP、RMI アクティビティを検出する
CISA アラート AA21-356A で推奨されているように、このポリシーでは、大量の LDAP および RMI アクティビティが特定されます。
仕組み
このポリシーにより、過剰な量の DNS、LDAP、または RMI トラフィック (ポート 53、389、636、1636、1099、1389、3268、3269) がネットワーク外に送信された場合にアラートが生成されます。これは、Log4J 攻撃を示している可能性があります。
調整方法
パブリック クラウドに LDAP サーバーまたは Active Directory ドメイン サーバーが構築されている場合は、このアラートは誤検出である可能性があります。その場合は、そのパブリック IP アドレスをポリシーから除外することができます。除外するには、そのアドレスを宛先ゾーン例外リストに追加します。詳細については、次を参照してください:ThreatSync+ ポリシーを構成する。
Active Directory から外部へ
このポリシーでは、53、80、123、443 以外のポートで、Active Directory サーバーから外部への不適切な通信が発生した場合にアラートが生成されます。
Microsoft Active Directory ドメイン コントローラは重要なリソースです。これを一般的なユーザー アクティビティに使用するべきではありません。これは、既知の承認済みアクティビティのみの使用に制限する必要があります。それ以外のアクティビティが発生した場合に、アラートが生成されます。
仕組み
このポリシーは、予期される Microsoft Active Directory ドメイン コントローラ機能に通常使用されないポート経由の送信アクティビティを監視するように設定されています。これは、Rogue アプリケーションがインストールされている可能性がある場合、ユーザーがコンソールで未承認アプリケーションを実行している場合、または攻撃者が制御を取得した場合に、アラートが生成されるように設計されています。
調整方法
ThreatSync+ NDR ポート リストと一致しない承認済みアクティビティがサーバーで発生した場合は、誤検出のアラートが発生する可能性があります。許可する特定のアプリケーションがある場合は、それをポリシー定義に追加することができます。自社の環境では決して使用されないと思われるポートが定義に入っている場合は、そのポートをリストから削除することが可能です。
開発環境と本番環境の間のアクティビティ
このポリシーでは、未承認の開発システムから本番システムへの通信が発生した場合にアラートが生成されます。これは、開発環境で作業しているユーザーが同時に本番環境で作業する状態を防止するための典型的なSOD (職務の分離) 制御です。
仕組み
ポリシーでは、開発環境のデバイスと本番環境のデバイスが含まれている内部ネットワークの領域が参照されるように、組み込みゾーンの本番と開発を構成する必要があります。
デバイスを本番ゾーンに含めるには、各デバイスに本番というラベルのタグを付けます。開発ゾーンには、開発というデバイス タグを使用します。
どのデバイスにもタグが付けられていないと、このポリシーによって違反がトリガーされません。本番環境のデバイスと開発環境のデバイスのリストが静的である場合は、そのタグを手動で設定するか、またはデバイス構成の一括インポートで設定することができます。
調整方法
別々のサブネットで開発環境と本番環境を分離する場合は、以下が推奨されます。
- サブネットと組織の構成設定で、そのサブネットを内部組織として構成する
- 組織に「本番」と「開発」のタグを付ける
- ゾーン構成を変更して、それらのタグが付けられているデバイスすべてを組織に含める
詳細については、次を参照してください:サブネットと組織を構成する。
高リスク国からのアクティビティ
このポリシーでは、リスクの高い国から内部デバイスへのトラフィックが発生した場合にアラートが生成されます。
仕組み
このポリシーにより、ThreatSync+ NDR で禁止国ゾーンとして定義されている国から内部デバイスに送信されたトラフィック アクティビティが検出された場合にアラートが生成されます。
禁止国ゾーンには、従来から高リスクの国の初期リストが含まれています。これには、中国、ロシア、および政府がテロを支援している国と指定されている他の国が含まれます。それぞれの環境によって、高リスクの国は異なる場合があります。ゾーンを編集して、禁止国リストの国の追加または国の削除を行うことができます。
調整方法
このゾーンは複数のポリシー間で共有されるため、受信トラフィックと送信トラフィックの高リスク国リストが異なる場合は、それぞれに個別のゾーンを作成し、ポリシー定義で禁止国リストを定義することができます。
詳細については、次を参照してください:ThreatSync+ ゾーンを管理する。
ブロックリストに登録されている IP アドレスに関連するアクティビティ
このポリシーでは、ブロックリストに登録されている IP アドレスと間にトラフィックが発生した場合にアラートが生成されます。
仕組み
ThreatSync+ NDR には、リスクの高いパブリック IP アドレスのブロックリストが含まれています。このリストは定期的に更新されます。このポリシーにより、すべてのトラフィックの IP アドレスがブロックリストに照らして継続的に比較されます。
このポリシーでは、ThreatSync+ NDR でブロックリストに登録されている IP アドレスとの間のトラフィックが検出された場合にアラートが生成されます。このポリシーにより、内部ネットワーク (内部デバイス ゾーン) からパブリック IP アドレス (すべての外部ドメイン ゾーン) に送信されるすべてのトラフィックが監視されます。
調整方法
ゲスト ネットワークやパブリック アクセスなど、ネットワークの中にこの種のアクティビティを監視する必要のない領域がある場合は、その内部サブネットまたは組織を送信元ゾーンから除外することができます。
ブロックリスト IP アドレス フィードは ThreatSync+ NDR によって管理されるため、これを直接編集すること、または置き換えることはできません。しかし、ポリシーで例外を定義し、独自の高リスク IP アドレスのリストを定義して、その IP アドレスを宛先ゾーンに追加することができます。
また、独自のブロックリストのために同様のポリシーを別途作成することもできます。詳細については、次を参照してください:ThreatSync+ ゾーンを管理する。
高リスク国へのアクティビティ
このポリシーでは、内部デバイスから高リスク国へのトラフィックが発生した場合にアラートが生成されます。
仕組み
このポリシーにより、ThreatSync+ NDR で内部ネットワークから禁止国ゾーンとして定義されている国へのトラフィック アクティビティが検出された場合にアラートが生成されます。
禁止国ゾーンには、従来から高リスクの国の初期リストが含まれています。これには、中国、ロシア、および政府がテロを支援している国と指定されている他の国が含まれます。
調整方法
それぞれの環境によって、高リスクの国は異なる場合があります。ゾーンを編集して、禁止国リストに国を追加または削除することができます。
このゾーンは複数のポリシー間で共有されるため、受信トラフィックと送信トラフィックの高リスク国リストが異なる場合は、それぞれに個別のゾーンを作成し、ポリシー定義で禁止国リストを定義することができます。
詳細については、次を参照してください:ThreatSync+ ゾーンを管理する。
ソーシャル メディア サイトへのアクティビティ
このポリシーでは、禁止されているソーシャル メディア サイトへの通信が発生した場合にアラートが生成されます。
仕組み
このポリシーにより、ThreatSync+ NDR で内部ネットワーク (すべての内部デバイス ゾーン) からソーシャル メディア サイト ゾーンに定義されている Web サイト ドメインへのトラフィックが検出された場合にアラートが生成されます。
調整方法
組織でソーシャル メディア サイトへのアクセス制限が定められていない場合は、このポリシーを非アクティブ化することが勧められます。
事前定義されているソーシャル メディア サイト ゾーンのソーシャル メディア サイトのリストが自社の制限サイトのリストと一致しない場合は、ゾーンを編集して、自社のソーシャル メディア アクセス ポリシーで禁止されているドメインのリストと一致させることができます。また、ファイアウォールでこうしたサイトをブロックすることが勧められます。
一部のネットワークからこうしたソーシャル メディア サイトへの接続が許可されている場合は、そのサブネットを送信元ゾーンから除外します。そうすれば、そのサブネットからのアクティビティに関するアラートが生成されなくなります。
ネットワークの部分によってソーシャル メディア アクセスに関するポリシーが異なる場合は、複数のポリシーを定義して、適切なサブネットと宛先ドメインの組み合わせを完全に構成しなければならない可能性があります。
高リスク国からの異常なアクティビティ
このポリシーでは、高リスク国からの通信で異常イベントが発生した場合にアラートが生成されます。
このポリシーは、高リスク国からのアクティビティに関するポリシーとは異なります。このポリシーの場合は、高リスク国からのトラフィックが確認されるだけでなく、そのトラフィックにおける異常なアクティビティの存在が検出されます。
仕組み
ThreatSync+ NDR によってアラートが生成される異常イベントには、異常な受信接続期間イベント、および禁止国ゾーンで定義されている高リスク国からの受信パケットの割合が高いイベントが含まれますが、これらに限定されるものではありません。
調整方法
禁止国ゾーンに国を追加または削除することができます。また、特定の誤検出のアラートに関する例外を追加することもできます。例外を追加するには、特定の IP アドレス、国、場所、またはドメインを包含または除外するトラフィック フロー ルールを追加します。
このゾーンは複数のポリシー間で共有されるため、受信国と送信国の高リスク国リストが異なる場合は、それぞれに個別のゾーンを作成し、ポリシー定義で高リスク国リストを定義することができます。
高リスク国への異常なアクティビティ
このポリシーでは、高リスク国への通信で異常イベントが発生した場合にアラートが生成されます。
このポリシーは、高リスク国へのアクティビティに関するポリシーとは異なります。このポリシーの場合は、高リスク国へのトラフィックが確認されるだけでなく、そのトラフィックにおける異常なアクティビティの存在が検出されます。
仕組み
ThreatSync+ NDR によって イベントには、異常な送信接続期間イベント、および禁止国ゾーンで定義されている高リスク国からの送信パケットの割合が高いイベントが含まれますが、これらに限定されるものではありません。 検出時にアラートが生成されます。
調整方法
禁止国ゾーンに国を追加または削除することができます。また、特定の誤検出のアラートに関する例外を追加することもできます。例外を追加するには、特定の IP アドレス、国、場所、またはドメインを包含または除外するトラフィック フロー ルールを追加します。
このゾーンは複数のポリシー間で共有されるため、受信国と送信国の高リスク国リストが異なる場合は、それぞれに個別のゾーンを作成し、ポリシー定義で高リスク国リストを定義することができます。
Web API 経由のビーコン
このポリシーでは、ネットワークの IP アドレスとリモート ロケーションの間に、サードパーティの Web サービス経由で潜在的な自動ビーコン アクティビティが発生した場合にアラートが生成されます。これは、未承認の C2 (コマンド アンド コントロール) アクティビティを示している可能性があります。
仕組み
このポリシーにより、HTTPS 対応の通信チャンネル経由で攻撃者の C2 (コマンド アンド コントロール) サーバーに内部送信元から応答を返す実行可能ファイルまたはプログラムに、ビーコンまたはペイロードが埋め込まれていることが ThreatSync+ NDR で検出された場合にアラートが生成されます。
調整方法
一部のリモート ロケーションで外部サイトへの倫理的な API 接続を実行することが許可されている場合は、その正当な動作が原因でポリシー アラートが生成される可能性があります。そのため、特定の誤検出のアラートに関する例外を追加することができます。例外を追加するには、トラフィック フロー ルールを追加して、環境で承認されているリモート ロケーションを含めます。
不審な AA21-062A IP アドレスとの通信
このポリシーでは、攻撃者が Log4J 攻撃に使用することがよく知られている一連の IP アドレスからの通信が発生した場合にアラートが生成されます。こうしたアドレスは仮想プライベート サーバー (VPS) および仮想プライベート ネットワーク (VPN) に関連付けられますが、応答側はネットワークでこうした IP アドレスを調査する必要があります。
仕組み
RCE 脆弱性である CVE-2021-26857、CVE-2021-26858、CVE-2021-27065 を悪用することで、RCE (リモートコード実行) が可能となります。このポリシーにより、こうした脆弱性の悪用を目的とする不審な AA21-062A IP アドレスからのパッチ未適用の Microsoft Exchange への接続が ThreatSync+ NDR で検出された場合にアラートが生成されます。
調整方法
不審な AA21-062A IP アドレスは悪質な IP アドレスとして認定されているため、このポリシーを調整することはできません。
ファイル共有サイトに送信された大容量コンテンツの検出
このポリシーでは、ファイル共有 Web サイトに大量のデータがアップロードされた場合にアラートが生成されます。
仕組み
このポリシーにより、宛先ゾーンに含まれている Web ファイル共有ドメインに 30 分以内に 4 万バイトを超えるデータがアップロードされた場合にアラートが生成されます。これは、攻撃者または内部脅威アクターによって、データが不正にパブリック ファイル共有サイトに流出したことを示している可能性があります。
調整方法
このポリシーにより、データの流出を防止し、漏洩を監視することができます。ポリシーの宛先ゾーンに別のファイル共有サイトを追加すること、または一部のファイル共有サイトを削除することができます。
ポリシーのトリガー構成でデータ量のしきい値を上げることで、感度を高めることができます。
内部 LLMNR トラフィック
このポリシーでは、LLMNR (リンク ローカル マルチキャスト名前解決) トラフィック (ポート 5355 UDP) が 2 つの内部 Endpoint 間を通過した場合にアラートが生成されます。これは、不要または不測のポート アクティビティです。ランサムウェア攻撃を防ぐために、こうしたアクティビティはブロックする必要があります。
仕組み
このポリシーにより、ThreatSync+ NDR で UDP ポート 5355 への 1 バイト超の内部トラフィックが検出された場合にアラートが生成されます。これは、LLMNR ポイズニング攻撃を特定する上で有用です。LLMNR ポイズニング攻撃では、クライアントから攻撃者のマシンへのトラフィックは 1 バイトを超えることが期待されています。
LLMNR は NetBIOS の後継機能です。NetBIOS (ネットワーク基本入出力システム) は、以前の Windows ネットワーク バージョンで使用されていた古いプロトコルです。NetBIOS over TCP/IP (NBT) のコンポーネントである NBT-NS は、名前の登録と解決を担当するプロトコルです。LLMNR と同様に、NBT-NS は DNS 解決が失敗した場合のフォールバック プロトコルです。このプロトコルでは LAN 環境でのローカル名前解決が可能であるため、Active Directory 環境でこの機能を無効化すると、アラートが減少します。しかし、LLMNR ポートを使用することが許可されているアプリケーションが存在する場合は、その承認済みアプリケーション サーバーを宛先ゾーンから除外することができます。
調整方法
LLMNR ポートを使用することが許可されているアプリケーションが存在する場合は、その承認済みアプリケーション サーバーを宛先ゾーンから除外する必要があります。
内部 mDNS トラフィック
このポリシーでは、2 つの内部 Endpoint 間に mDNS (マルチキャスト ドメイン名サービス) トラフィック (ポート 5353 UDP) が検出された場合にアラートが生成されます。これは、不要または不測のポート アクティビティです。ランサムウェア攻撃を防ぐために、こうしたアクティビティはブロックする必要があります。
仕組み
このポリシーにより、ThreatSync+ NDR で UDP ポート 5353 への 1 バイト超の内部トラフィックが検出された場合にアラートが生成されます。これは、mDNS ポイズニング攻撃を特定する上で有用です。mDNS ポイズニング攻撃では、クライアントから攻撃者のマシンへのトラフィックは 1 バイトを超えることが期待されています。
調整方法
このポリシーには、推奨される調整アクションはありません。
内部 WUDO トラフィック
このポリシーでは、ネットワークにあるデバイス間の WUDO (Windows Update 配信の最適化) トラフィックが検出されます。WUDO は Windows の組み込み機能で、これにより、ピア コンピュータから Windows オペレーティング システムを更新できるようになります。
仕組み
Microsoft Windows では、WUDO 機能を使用して OS 更新プロセスがピア Windows デバイスに配布されます。これにより、未制御のピアツーピア ネットワークを通じて、更新を配布できるようになります。
企業がその配布ツールを使用してオペレーティング システムの更新を制御している場合は、WUDO により、ユーザーが規制を受けずに、未承認の更新や未テストの更新、さらには悪質な更新を自由にインストールできる状況が発生します。
このポリシーにより、プライベート ネットワークのデバイス間におけるポート 7680 経由のアクティビティが ThreatSync+ NDR で特定された場合にアラートが生成されます。このポリシーは、7680 経由のトラフィックすべてに対してアラートを生成するように構成されているため、ネットワークで WUDO の使用が許可されている場合は、アラートが頻繁に生成されます。
調整方法
当社は企業に WUDO を使用しないことを推奨しているため、このポリシーは既定で有効化されています。Windows ソフトウェアの配布方法として WUDO を使用することを正式に承認している場合は、このポリシーを非アクティブ化してください。
分離されたゲスト ネットワークや組織の特定領域といった特定のネットワークで WUDO の使用を許可する場合は、送信元ゾーンと宛先ゾーンを調整して、承認済みのサブネットを除外することができます。
ネットワーク境界を超える LLMNR トラフィック
このポリシーでは、ネットワーク境界を越えて移動する LLMNR (リンク ローカル マルチキャスト名前解決) トラフィック (ポート 5355 UDP) が発生した場合にアラートが生成されます。これは、不要または不測のアクティビティです。ランサムウェア攻撃を防ぐために、こうしたアクティビティはブロックする必要があります。
仕組み
このポリシーにより、内部送信元からポート 5355 経由でエッジ ネットワーク外に送信されるトラフィックまたはそれを回避するトラフィックが ThreatSync+ NDR で検出された場合にアラートが生成されます。
LLMNR トラフィックは企業ネットワーク外に送信されるべきではありません。LLMNR プロトコルにより、ホストは同じローカル ネットワークの他のホストの名前を解決できるようになります。これは、ポート 5355 の UDP 経由で動作します。
LLMNR には認証メカニズムがなく、誰でも LLMNR 要求に応答できるため、これは攻撃を受けやすいプロトコルです。LLMNR を悪用して実行できる攻撃として、以下が挙げられます。
- 名前衝突問題に起因する攻撃
- LLMNR ポイズニング攻撃
調整方法
LLMNR は NetBIOS の後継機能です。NetBIOS (ネットワーク基本入出力システム) は、以前の Windows ネットワーク バージョンで使用されていた古いプロトコルです。NetBIOS over TCP/IP (NBT) のコンポーネントである NBT-NS は、名前の登録と解決を担当するプロトコルです。LLMNR と同様に、NBT-NS は DNS 解決が失敗した場合のフォールバック プロトコルです。このプロトコルでは LAN 環境でのローカル名前解決が可能であるため、Active Directory 環境でこの機能を無効化すると、アラートが減少します。しかし、LLMNR ポートを使用することが推奨されているアプリケーションが存在する場合は、その承認済みアプリケーション サーバーを宛先ゾーンから除外することができます。
ネットワーク境界を超える NetBIOS-NS トラフィック
このポリシーでは、ネットワーク境界を越えた NetBIOS-NS トラフィック (ポート 137 UDP) が検出された場合にアラートが生成されます。これは、不要または不測のポート アクティビティです。ランサムウェア攻撃を防ぐために、こうしたアクティビティはブロックする必要があります。
仕組み
このポリシーでは、ポート 137 経由で内部ホストから外部ネットワークに送信されたトラフィックが ThreatSync+ NDR で検出された場合にアラートが生成されます。LLMNR ポイズニング攻撃と同様に、NTB-NS の場合は DNS サーバーからの適切な応答が使用されません。つまり、ローカル ネットワークに侵入される可能性があるということです。通常、ユーザーがネットワーク リソースの検索時に入力ミスをした場合、正しいネットワークにアクセスしていない場合、DNS サーバーを構成していない場合、または VPN への接続を忘れて目的のネットワーク リソースに到達できない場合などに、この状況が発生します。
こうした場合、攻撃者がネットワーク リソースの IP アドレスを知っていれば、攻撃者は応答としてクライアントに別の IP アドレスを送信することができます。ユーザーが応答すれば、この IP アドレスが攻撃者によってホストされているサーバーに到達します。
調整方法
NetBIOS。NetBIOS (ネットワーク基本入出力システム) は、以前の Windows ネットワーク バージョンで使用されていた古いプロトコルです。NetBIOS over TCP/IP (NBT) のコンポーネントである NBT-NS は、名前の登録と解決を担当するプロトコルです。LLMNR と同様に、NBT-NS は DNS 解決が失敗した場合のフォールバック プロトコルです。このプロトコルでは LAN 環境でのローカル名前解決が可能であるため、Active Directory 環境でこの機能を無効化すると、アラートが減少します。しかし、NBT-NS ポートを使用することが推奨されているアプリケーションが存在する場合は、その承認済みサイトを宛先ゾーンから除外することができます。
外部から内部への RDP 試行
このポリシーでは、ネットワークに対して外部 IP アドレスから RDP (リモート デスクトップ プロトコル) セッションの確立が試みられて失敗した場合にアラートが生成されます。
仕組み
ネットワークへの RDP トラフィックは少数のエントリ ポイントに制限し、企業外からのアクセスを制御および監視する必要があります。認証が成功するにはそれなりの時間を要します。そのため、外部ネットワーク送信元からの非常に短時間の試みで失敗した RDP セッションが検出された場合は、このポリシーによってアラートが生成されます。
このポリシーは、失敗した RDP 接続すべてに対してアラートを生成するように初期構成されています。これは、企業への RDP 接続を許可していない組織に適しています。
調整方法
DMZ (非武装地帯) に配置されている特定のサーバー経由で RDP トラフィックをネットワークに接続することを許可する場合は、そのサーバーを宛先ゾーンから除外します。このポリシーを使用して、未承認の RDP サーバーへのアクセスが発生した場合にそれを特定します。
新規外部ホストからの RDP接続
このポリシーでは、外部送信元 IP アドレスから初めて内部 IP アドレスへの接続が発生した場合に、インターネットからの受信 RDP 接続に関するアラートが生成されます。
仕組み
受信 RDP 接続が許可されている場合は、通常、RDP でアクティブに接続するのはよく知られたユーザーのみで、その数も制限されているはずです。このポリシー アラートにより、新しい場所からの接続が発生した際にアラートが発信されるため、新たな RDP ユーザーが接続した時期を把握することができます。
調整方法
外部ドメインで、または ISP (インターネット サービス プロバイダ) によって IP アドレスが頻繁に変更されることに起因してこのポリシーのアラートが多発する場合は、ポリシーを変更して、他の異常イベントを使用することができます。たとえば、新たな IP からの接続イベントの代わりに、新たなドメインからの接続、新たな組織からの接続、新たな場所からの接続などのイベントを使用することが可能です。
また、特定のドメイン、組織、国を送信元ゾーンから除外することもできます。そうすれば、こうした領域に起因するアラートが生成されなくなります。
外部から内部への RDP
このポリシーでは、外部 IP アドレスからのインバウンド RDP 接続が発生した場合にアラートが生成されます。
ユーザーが正常に接続して正しい認証情報を入力したことを示す十分なアクティビティがセッションで検出された場合にのみアラートが生成されるという点で、このポリシーは外部から内部への RDP 試行ポリシーと異なります。
仕組み
ネットワークへの RDP トラフィックは少数のエントリ ポイントに制限し、企業外からのアクセスを制御および監視する必要があります。このポリシーにより、外部ネットワーク送信元から 5 KB 超のデータが含まれている RDP セッションが開始されたことが ThreatSync+ NDR で検出されるたびにアラートが生成されます。
調整方法
DMZ に配置されている特定のサーバー経由で RDP トラフィックをネットワークに接続することを許可する場合は、そのサーバーを宛先ゾーンから除外します。このポリシーを使用して、未承認の RDP サーバーへのアクセスが発生した場合にそれを特定します。
外部から内部への SSH 試行
このポリシーでは、ネットワークにおいて外部 IP アドレスからの SSH セッション確立の試みが発生して失敗した場合にアラートが生成されます。
仕組み
ネットワークへの承認済み SSH トラフィックは稀にしか発生しません。したがって、このトラフィックは少数のエントリ ポイントに制限し、企業外からのアクセスを制御および監視する必要があります。このポリシーにより、ThreatSync+ NDR で外部ネットワーク送信元からの SSH トラフィックが検出されるたびにアラートが生成されます。
このポリシーは、SSH 接続すべてに対してアラートを生成するように初期構成されています。これは、企業への SSH 接続を許可していない組織に適しています。
調整方法
DMZ に配置されている特定のサーバー経由で SSH トラフィックをネットワークに接続することを許可する場合は、そのサーバーを宛先ゾーンから除外します。このポリシーを使用して、未承認の SSH サーバーへのアクセスが発生した場合にそれを特定します。
DNS 経由のデータ漏洩の可能性
このポリシーでは、DNS プロトコルを介して、内部 Endpoint から外部の場所に異常に大量のトラフィックが送信された場合にアラートが生成されます。これは、ランサムウェアに関連する一般的な C2 (コマンド アンド コントロール) アクティビティである DNS トンネリングによるデータ漏洩を示している可能性があります。
仕組み
ThreatSync+ NDR により、DNS トラフィックが監視され、予想よりもペイロードの大きいセッションが特定されます。そして、内部 IP アドレスと外部 IP アドレス間の DNS トンネルが検出されると、アラートが生成されます。
調整方法
時には、通常の DNS アクティビティで、検出に設定されている制限が超過する場合もあります。この問題を解決するために、このポリシーの宛先として、既知の DNS サービスのメンバーではない外部 IP アドレスを定義します。
一般的な高信頼性の DNS サービスを利用していて、それが宛先ゾーンに含まれていない場合は、ゾーンを編集して、追加の外部 DNS サービス ドメインを含めることができます。
不測の DNS 解決サーバー
このポリシーでは、内部 Endpoint からのトラフィックが不測の外部 DNS 解決サーバーに送信された場合にアラートが生成されます。これは、DNS プロトコルがランサムウェアに関連する C2 (コマンド アンド コントロール) アクティビティに使用されている兆候である可能性があります。
仕組み
このポリシーにより、DNS トラフィック (ポート 53) が、これまで送信されたことのない新たなドメインに接続された場合にアラートが生成されます。
自己学習型であるという点で、これは強力なポリシーです。これは、新たなドメインへの接続時に 1 度のみトリガーされます。それが未承認のドメインである場合は、ファイアウォールでブロックしてください。
調整方法
このポリシーの場合、アラートの発信を望まない送信元ゾーンにある内部サブネットすべてを除外することが、実行できる唯一の調整となります。例として、ゲスト ネットワークなどが挙げられます。
セキュリティで保護されていないインバウンド FTP/TFTP トラフィック
このポリシーでは、FTP または TFTP トラフィックが外部送信元から内部デバイスに送信された場合にアラートが生成されます。インターネットから非暗号化アプリケーション ポート経由のアクティビティが企業ネットワークに侵入できる状態では、組織がランサムウェアなどの攻撃に脆弱になる可能性があります。
仕組み
このポリシーにより、ポート 21 経由の FTP トラフィックまたはポート 69 経由の TFTP トラフィックによる双方向通信が内部ネットワークで発生した場合にアラートが生成されます。
FTP と TFTP は非暗号化プロトコルであるため、こうしたプロトコルを介したネットワークへのアクセスは厳密に制御する必要があります。FTP トラフィックを別の暗号化プロトコルに移動すること、または暗号化 VPN 経由でルーティングすることができない場合は、そうしたデータのエントリ ポイントを制御することが重要となります。
調整方法
FTP または TFTP を使用しなければならない場合は、DMZ に限定的な踏み台サーバー (ジャンプ サーバー) 一式を設置して FTP または TFTP 接続を受け入れ、このポリシーでこうしたサーバーの例外を作成する必要があります。
こうしたサーバーを、ポリシーの宛先ゾーンに例外として追加します。
セキュリティで保護されていないインバウンド IRC トラフィック
このポリシーでは、IRCトラフィックが外部送信元から内部デバイスに送信された場合にアラートが生成されます。インターネットから非暗号化アプリケーション ポート経由のアクティビティが企業ネットワークに侵入できる状態では、組織がランサムウェアなどの攻撃に脆弱になる可能性があります。
仕組み
このポリシーにより、IRC トラフィックによる双方向通信が内部ネットワークで発生した場合にアラートが生成されます。
IRC は非暗号化プロトコルであるため、このプロトコルを介したネットワークへのアクセスは厳密に制御する必要があります。IRC トラフィックを別の暗号化プロトコルに移動すること、または暗号化 VPN 経由でルーティングすることができない場合は、そうしたデータのエントリ ポイントを制御することが重要となります。
調整方法
IRC を使用しなければならない場合は、DMZ に限定的な踏み台サーバー一式を設置して IRC 接続を受け入れ、このポリシーでこうしたサーバーの例外を作成する必要があります。
こうしたサーバーを、ポリシーの宛先ゾーンに例外として追加します。
セキュリティで保護されていないインバウンド Telnet トラフィック
このポリシーでは、Telnet トラフィック (ポート 23 TCP) が外部送信元から内部デバイスに送信された場合にアラートが生成されます。インターネットから非暗号化アプリケーション ポート経由のアクティビティが企業ネットワークに侵入できる状態では、組織がランサムウェアなどの攻撃に脆弱になる可能性があります。
仕組み
このポリシーにより、Telnet トラフィックによる双方向通信が内部ネットワークで発生した場合にアラートが生成されます。
Telnet は非暗号化プロトコルであるため、このプロトコルを介したネットワークへのアクセスは厳密に制御する必要があります。Telnet トラフィックを SSH などの別の暗号化プロトコルに移動すること、または暗号化 VPN 経由でルーティングすることができない場合は、そうしたデータのエントリ ポイントを制御することが重要となります。
調整方法
Telnet を使用しなければならない場合は、DMZ に限定的な踏み台サーバー一式を設置して Telnet 接続を受け入れ、このポリシーでこうしたサーバーの例外を作成する必要があります。
こうしたサーバーを、ポリシーの宛先ゾーンに例外として追加します。
セキュリティで保護されていないインバウンド Web サーバー アクティビティ
このポリシーでは、セキュリティで保護されていない HTTP Web サーバー トラフィック (ポート 80 TCP) が外部送信元から内部デバイスに送信された場合にアラートが生成されます。インターネットから非暗号化アプリケーション ポート経由のアクティビティが企業ネットワークに侵入できる状態では、組織がランサムウェアなどの攻撃に脆弱になる可能性があります。
仕組み
このポリシーにより、HTTP トラフィックによる双方向通信が内部ネットワークで発生した場合にアラートが生成されます。
HTTP は非暗号化プロトコルであるため、このプロトコルを介したネットワークへのアクセスは厳密に制御する必要があります。HTTP トラフィックを HTTPS などの別の暗号化プロトコルに移動すること、または暗号化 VPN 経由でルーティングすることができない場合は、そうしたデータのエントリ ポイントを制御することが重要となります。
調整方法
HTTP を使用しなければならない場合は、DMZ に限定的な踏み台サーバー一式を設置して HTTP 接続を受け入れ、このポリシーでこうしたサーバーの例外を作成する必要があります。
こうしたサーバーを、ポリシーの宛先ゾーンに例外として追加します。
セキュリティで保護されていない内部 Telnet トラフィック
このポリシーでは、Telnet トラフィック (ポート 23 TCP) が内部デバイス間で送信された場合にアラートが生成されます。インターネットから非暗号化アプリケーション ポート経由のアクティビティが企業ネットワークに侵入できる状態では、組織がランサムウェアなどの攻撃に脆弱になる可能性があります。
仕組み
このポリシーにより、Telnet トラフィックによる双方向通信が内部ネットワークで発生した場合にアラートが生成されます。
Telnet は非暗号化プロトコルであるため、その使用は厳格に制御する必要があります。Telnet トラフィックを SSH などの別の暗号化プロトコルに移動すること、または暗号化 VPN 経由でルーティングすることができない場合は、その使用状況を注意深く監視することが重要となります。
調整方法
Telnet を使用しなければならない場合は、ネットワークに限定的なサーバー一式を設置して Telnet 接続を受け入れ、このポリシーでこうしたサーバーの例外を作成する必要があります。
こうしたサーバーを、ポリシーの宛先ゾーンに例外として追加します。
ネットワーク境界を超える WUDO トラフィック
このポリシーでは、WUDO トラフィックがネットワークにあるデバイスとパブリック インターネットの間で送信された場合にアラートが生成されます。このポリシーでは、アウトバウンド WUDO トラフィックに焦点が当てられています。
Microsoft Windows では、WUDO 機能を使用して OS 更新プロセスが Windows デバイスに配布されます。これにより、未制御のピアツーピア ネットワークを通じて、更新を配布できるようになります。
企業がその配布ツールを使用してオペレーティング システムの更新を制御している場合は、WUDO により、ユーザーが未承認の更新や未テストの更新、さらには悪質な更新を自由にインストールできる状況が発生します。
仕組み
このポリシーにより、ポート 7680 経由でプライベート ネットワークにあるデバイスからインターネットのパブリック IP アドレスへのアクティビティが発生したことが ThreatSync+ NDR で検出された場合にアラートが生成されます。
組織内でのユーザーによる WUDO の使用が許可されている場合でも、WUDO を使用して、信頼できないインターネットの外部の場所から更新プログラムをインストールすることは望ましくないと考えられます。
調整方法
このポリシーは、7680 経由のトラフィックすべてに対してアラートを生成するように構成されているため、ネットワークで WUDO の使用が許可されている場合は、アラートが頻繁に生成されます。
当社は企業に外部への WUDO 通信による更新を行わないことを推奨しているため、このポリシーは既定で有効化されています。ソフトウェア配布サービスを使用して、インストールを許可する更新プログラムを制御することが勧められます。
しかし、Windows オペレーティング システム ソフトウェアの配布方法として外部への WUDO 通信を使用することを正式に承認している場合は、このポリシーを非アクティブ化する必要があります。
分離されたゲスト ネットワークや組織の特定領域といった特定のネットワークで外部への WUDO 通信の使用を許可する場合は、送信元ゾーンを調整して、承認済みのサブネットを除外することができます。
限定された外部ドメイン一式での WUDO の使用を許可する場合は、宛先ゾーンでそのドメインを構成することができます。