Stealthwatch セキュリティイベントおよびアラームカテゴリ

Size: px

Start display at page:

Download "Stealthwatch セキュリティイベントおよびアラームカテゴリ"

めぐのみやくぼ
5 years ago
Views:

1 セキュリティイベントおよびアラームカテゴリ ( Stealthwatch System v6.9.0 用 )

2 著作権および商標 2017 Cisco Systems, Inc. All rights reserved. NOTICE このマニュアルに記載されている仕様および製品に関する情報は予告なしに変更されることがありますこのマニュアルに記載されている表現情報および推奨事項はすべて正確であると考えていますが明示的であれ黙示的であれ一切の保証の責任を負わないものとしますこのマニュアルに記載されている製品の使用はすべてユーザ側の責任になります対象製品のソフトウェアライセンスおよび限定保証は製品に添付された Information Packet に記載されています添付されていない場合には代理店にご連絡ください The Cisco implementation of TCP header compression is an adaptation of a program developed by the University of California, Berkeley (UCB) as part of UCB's public domain version of the UNIX operating system. All rights reserved. Copyright 1981, Regents of the University of California. ここに記載されている他のいかなる保証にもよらず各社のすべてのマニュアルおよびソフトウェアは障害も含めて現状のままとして提供されますシスコおよびこれら各社は商品性の保証特定目的への準拠の保証および権利を侵害しないことに関する保証あるいは取引過程使用取引慣行によって発生する保証をはじめとする明示されたまたは黙示された一切の保証の責任を負わないものとしますいかなる場合においてもシスコおよびその供給者はこのマニュアルの使用または使用できないことによって発生する利益の損失やデータの損傷をはじめとする間接的派生的偶発的あるいは特殊な損害についてあらゆる可能性がシスコまたはその供給者に知らされていてもそれらに対する責任を一切負わないものとしますこのマニュアルで使用している IP アドレスおよび電話番号は実際のアドレスおよび電話番号を示すものではありませんマニュアル内の例コマンド出力ネットワークトポロジ図およびその他の図は説明のみを目的として使用されています説明の中に実際のアドレスおよび電話番号が使用されていたとしてもそれは意図的なものではなく偶然の一致によるものですハードコピーおよびソフトコピーの複製は公式版とみなされません最新版はオンライン版を参照してくださいシスコは世界各国 200 箇所にオフィスを開設しています各オフィスの住所電話番号 FAX 番号は当社の Web サイト ( をご覧ください

3 目次目次 iii はじめに 1 概要 1 対象読者 1 関連情報 1 略語 1 セキュリティイベント一覧 3 Addr_Scan/tcp 3 Addr_Scan/udp 8 Bad_Flag_ACK** 12 Bad_Flag_All** 16 Bad_Flag_NoFlg** 20 Bad_Flag_Rsrvd 23 Bad_Flag_RST** 27 Bad_Flag_SYN_FIN** 31 Bad_Flag_URG** 35 Beaconing Host 39 Bot Command & Control Server 40 Bot Infected Host - Attempted C&C Activity 41 Bot Infected Host - Successful C&C Activity 43 Brute Force Login 45 Connection from Bogon Address Attempted 46 Connection from Bogon Address Successful 49 Connection from Tor Attempted 51 Connection from Tor Successful 52 Connection to Bogon Address Attempted 53 Connection to Bogon Address Successful 55 Connection to Tor Attempted 57 Connection to Tor Successful 58 Fake Application Detected 60 Flow_Denied 62 Frag: Packet_Too_Long** 64 目次 iii

4 Frag: Packet_Too_Short** 68 Frag: Sizes_Differ** 71 Half Open Attack 75 High File Sharing Index 77 High SMB Peers 78 High Total Traffic 80 High Traffic 82 High Volume 83 Host Lock Violation 84 ICMP Flood 86 ICMP Received 87 ICMP_Comm_Admin* 89 ICMP_Dest_Host_Admin* 90 ICMP_Dest_Host_Unk* 91 ICMP_Dest_Net_Admin* 92 ICMP_Dest_Net_Unk* 94 ICMP_Frag_Needed* 95 ICMP_Host_Precedence* 96 ICMP_Host_Unreach* 97 ICMP_Host_Unreach_TOS* 98 ICMP_Net_Unreach* 99 ICMP_Net_Unreach_TOS* 100 ICMP_Port_Unreach* 102 ICMP_Precedence_Cutoff* 103 ICMP_Proto_Unreach* 104 ICMP_Src_Host_Isolated* 105 ICMP_Src_Route_Failed* 106 ICMP_Timeout 107 Inside Tor Entry Detected 109 Inside Tor Exit Detected 110 Low Traffic 112 MAC Address Violation 113 Mail Rejects 114 Mail Relay 115 Max Flows Initiated 116 Max Flows Served 118 New Flows Initiated 120 目次 iv

5 New Flows Served 122 New Host Active 124 Packet Flood 125 Ping 126 Ping_Oversized_Packet 128 Ping_Scan 129 Port Scan 131 Reset/tcp 134 Reset/udp 136 Scanner Talking 137 Slow Connection Flood 138 Spam Source 140 Src=Des 141 SSH Reverse Shell 143 Stealth_Scan/tcp 145 Stealth_Scan/udp 146 Suspect Data Hoarding 148 Suspect Data Loss 151 Suspect Long Flow 155 Suspect Quiet Long Flow 157 Suspect UDP Activity 159 SYN Flood 160 SYNs Received 162 Talks to Phantoms 164 Target Data Hoarding 166 Timeout/tcp 170 Timeout/udp 171 Touched 172 Trapped Host 173 UDP Flood 174 UDP Received 176 Watch Host Active 178 Watch Port Active 180 Worm Activity 181 Worm Propagation 183 アラームカテゴリ 187 Anomaly 187 目次 v

6 C&C( Command & Control) 189 Exfiltration 189 Data Hoarding 190 Exploitation 190 Concern Index 191 DDoS Source 195 DDoS Target 196 Target Index 196 Policy Violation 200 Recon 201 目次 vi

7 はじめに 1 はじめに概要このドキュメントには StealthWatch Management Console( SMC) を使用する際に表示されることがあるセキュリティイベントとアラームカテゴリを説明する一覧が示されています対象読者このドキュメントは SMC を使用してネットワークを管理保護するネットワーク管理者とセキュリティ担当者を対象としています関連情報この情報は SMC クライアントオンラインヘルプの次のトピックにも収録されていますセキュリティイベント一覧アラームカテゴリについて略語この項では次の用語と略語が使用されます略語 ASA CI Adaptive Security Appliance Concern Index 用語 DNS ドメインネームシステム ( サービスまたはサーバ ) DoS dvport ESX FSI FTP サービス妨害 ( DoS) 分散仮想ポートエンタープライズサーバ X ファイル共有インデックス File Transfer Protocol 1

8 はじめに略語 ICMP IDS IP IRC ISE MAC NAT NTP OS OVF RAID SMC SNMP TCP TI UDP VDS VE VLAN VM VPN 用語 Internet Control Message Protocol; インターネット制御メッセージプロトコル侵入検知システムインターネットプロトコルインターネットリレーチャット Identity Services Engine Media Access Control; メディアアクセスコントロールネットワークアドレス変換ネットワークタイムプロトコルオペレーティングシステム ( Operating System) オープン仮想化フォーマット Redundant Array of Independent Discs Stealthwatch 管理コンソール簡易ネットワーク管理プロトコル伝送制御プロトコルターゲットインデックスユーザデータグラムプロトコル仮想ネットワーク分散スイッチバーチャルエディション仮想ローカルエリアネットワーク仮想マシンバーチャルプライベートネットワーク 2

9 2 セキュリティイベント一覧セキュリティイベントはアラームにインデックスポイントを割り当てるメカニズムですセキュリティイベントを無効にするとそのイベントに関連付けられているアラームに対してインデックスポイントが累積されなくなりますセキュリティイベントは特定のアラームカテゴリにインデックスポイントを加算しますアラームカテゴリとセキュリティイベントはいずれもポリシーで適用されている設定に基づいてアラームをトリガーできます詳細については SMC クライアントインターフェイスオンラインヘルプの Add/Edit Role Policy を参照してくださいセキュリティイベントは特定のサービスおよびホストグループレベルで無効にできます SMC クライアントインターフェイスオンラインヘルプの Host Group Properties を参照してください注 : 現在セキュリティイベント情報の更新および拡張作業が進行中です新しいフォーマットにはイベントの説明イベントがトリガーされる場合の状況詳しい調査のために実行する必要がある手順などの情報が ( 複数の表に ) 含まれていますこの移行作業中このトピックで説明するセキュリティイベントの一部は追加情報が加えられ新しいフォーマットに変換されるまでは元のフォーマットで記載されますセキュリティイベントについては以下の情報を参照してください ** Stealthwatch Flow Collector for NetFlow を Stealthwatch Flow Sensor と組み合わせて使用する場合次のセキュリティイベントだけがサポートされます Addr_Scan/tcp ( 注 ) このセキュリティイベントに関連付けられているアラームに対する緩和策はありません 3

10 これはどのようなセキュリティイベントですかこのこのイベントはどのような動作によって引き起こされますか StealthWatch System は何者かが TCP を使用してネットワークをスキャンしている可能性を示すアクティビティを検出するとそれをスキャンイベントとして記録します多数のホストに影響を及ぼす十分な数のスキャンイベントが検出されると SMC はセキュリティイベントを開始しますスキャンイベントの例としては不正な TCP フラグのさまざまな組み合わせ SYN を送信しながら後続の SYN- ACK にしないなどさまざまな兆候が挙げられますこのイベントがトリガーされる場合何を意味していますか次に実行すべきステップは何ですかホストが特定のサービスを実行して利用する可能性のあるホストの検出を試みていますホストがスキャンしていた内容を判断しますこの調査は幅広い範囲で開始してから絞り込みます [ 最上位ポート ( Top Ports) ]( 発信 ) レポートを実行して開始しますイベントの期間と送信元 IP となるクライアントホストを設定しますリストされている送信先 IP 範囲に関係なく任意の種類のホストをスキャンできるため内部ホスト外部ホストまたはその両方で検索が必要かどうかを判断できます次に [ フィルタ ( Filter) ] ダイアログの [ ホスト ( Host) ] タブで適切なサーバフィルタを設定し [ 詳細 ( Advanced) ] タブで [ 返されるレコードの順序 ( Order the records returned by) ] に [ フロー ( Flows) ] を設定します結果が返されたらピア別に並べ替えると便利です最初はリストの上部をフローまたはピア別に並び替えて所属先を持たないあるいは異常に高い数値を示す突出したポートを検出します IP アドレスを 4

11 この右クリックしてフローにピボットすることでさまざまな IP アドレスを表示したり特定のホストグループが主要なターゲットとなっているかどうかを判断したりしますまた右クリックして [ 最上位ピア ( Top Peers) ] レポートにピボットすることでトラフィックがターゲット全体に均等に行き渡っているかどうかを判断できますスキャンに対応するホストの割合に着目することも可能ですこの時点でホストをスキャンしたユーザとスキャンされたポートを判断できるようにする必要があります非標準のフローデータが必要ですか ( FlowSensor プロキシファイアウォールなど ) 注記場合によっては FlowSensor やファイアウォールから送信されたフラグによってのみ記録されるスキャンもあります ( これはイベントの詳細情報に示されます ) 特に注記がない限りイベントのスキャンには特定のデータは不要です該当なしこのセキュリティイベントに使用できるポリシー設定がありますかこのセキュリティイベントがトリガーされるために必要なポリシー設定は何ですかデフォルトでこのイベントがオンであるポリシーはどれですかデフォルトでこのイベントがオフであるポリシーはどれですかデフォルトでこのアラームがオンであるポリシーはどれですか送信元ホストでイベントを有効にする必要があります [ 内部ホスト ( Inside Hosts) ] [ 外部ホスト ( Outside Hosts) ] [ クライアント IP( Client IP) ] ポリシー [ ウイルス対策および SMS サーバ ( Antivirus & SMS Servers) ] [ ファイアウォールプロキシおよび NAT デバイス ( Firewalls, Proxies, & NAT Devices) ] [ ネットワーク管理およびスキャナ ( Network Management & Scanners) ] なし 5

12 デフォルトでこのアラームがオフであるポリシーはどれですかこのイベントは調整可能ですかこのイベントはバリアンスベースまたはしきい値ベースのいずれですか既定値と単位は何ですか許容値最小しきい値最大しきい値バリアンスベースではないパラメータを使用してイベントを調整できますか該当する場合調整可能な属性と単位は何ですか通常のポリシーエディタを使用せずにイベントを調整できますか該当する場合調整可能な値の代替ロケーションは何ですかイベントにデフォルトの緩和策が設定されていますか該当する場合それは何ですか [ 内部ホスト ( Inside Hosts) ] [ 外部ホスト ( Outside Hosts) ] [ クライアント IP( Client IP) ] ポリシー [ ウイルス対策および SMS サーバ ( Antivirus & SMS Servers) ] [ ファイアウォールプロキシおよび NAT デバイス ( Firewalls, Proxies, & NAT Devices) ] [ ネットワーク管理およびスキャナ ( Network Management & Scanners) ] なし ##276-variance-threshold-otherbased## 該当なし該当なし該当なし該当なし該当なし disable_stealth_ probe lc_ threshold.txt の値を使用してステルススキャン検出の一定の事例を無効にできますなし該当なしこのセキュリティイベントはカテゴリにどのように関与しますか 6

13 イベントの送信元は何ですかターゲットは何ですかイベントのトリガーを引き起こすポリシーはどれですか送信元でセキュリティイベントが関与するアラームカテゴリはどれですかターゲットでセキュリティイベントが関与するアラームカテゴリはどれですかスキャンと見なされるアクティビティを実行するホスト送信元ホストによってスキャンされているホスト送信元ホスト ##276-category-contribution-source## ##276-source-quantity## ##276-category-contribution-target## ##276-target-quantity## StealthWatch システムユーザインターフェイスではこのイベントに関してどのような情報が利用可能ですかアラームの詳細にはどのような情報が表示されますかアラームの詳細をクリックすると何が表示されますか関連フローについてどのような情報が表示されますか Web アプリケーションインターフェイス : 詳細情報の表示 SMC クライアントインターフェイス :N/A Web アプリケーションインターフェイス :addr_scan_tcp を示すセキュリティイベント詳細ページが表示されます SMC クライアントインターフェイス :N/A Web アプリケーションインターフェイス :N/A 関連フローは [ 直近 5 分間 ( Time period of last five minutes) ] でフィルタ処理されたフローテーブルを表示しますこのセキュリティイベントのについてどのような情報が利用可能ですか 7

14 イベント ID は何ですかイベントの syslog タイプは何ですかイベントの SNMP タイプは何ですか ##276-event-id-name## ##276-syslog-type## 詳細については Alarm Fields and Rule Types の Host Alarm 列を参照してください ##276-SNMP-type## 詳細については SNMP Alarm Fields の Host Alarm 列を参照してください Addr_Scan/udp ( 注 ) このセキュリティイベントに関連付けられているアラームに対する緩和策はありませんこれはどのようなセキュリティイベントですかこのこのイベントはどのような動作によって引き起こされますか StealthWatch System は何者かが UDP を使用してネットワークをスキャンしている可能性を示すアクティビティを検出するとそれをスキャンイベントとして記録します多数のホストに影響を及ぼす十分な数のスキャンイベントが検出されると SMC はセキュリティイベントを開始しますスキャンイベントの例としてはさまざまなタイプの ICMP 拒否によってされる UDP パケットの送信やファイアウォールフロー拒否メッセージなどのさまざま 8

15 このな兆候が挙げられますこのイベントがトリガーされる場合何を意味していますか次に実行すべきステップは何ですか非標準のフローデータが必要ですか ( FlowSensor プロキシファイアウォールなど ) 注記ホストが特定のサービスを実行して利用する可能性のあるホストの検出を試みていますホストがスキャンしていた内容を判断しますこの調査は幅広い範囲で開始してから絞り込みます [ 最上位ポート ( Top Ports) ]( 発信 ) レポートを実行して開始しますイベントの期間と送信元 IP となるクライアントホストを設定しますリストされている送信先 IP 範囲に関係なく任意の種類のホストをスキャンできるため内部ホスト外部ホストまたはその両方で検索が必要かどうかを判断できます次に [ フィルタ ( Filter) ] ダイアログの [ ホスト ( Host) ] タブで適切なサーバフィルタを設定し [ 詳細 ( Advanced) ] タブで [ 返されるレコードの順序 ( Order the records returned by) ] に [ フロー ( Flows) ] を設定します結果が返されたらピア別に並べ替えると便利です最初はリストの上部をフローまたはピア別に並び替えて所属先を持たないあるいは異常に高い数値を示す突出したポートを検出します IP アドレスを右クリックしてフローにピボットすることでさまざまな IP アドレスを表示したり特定のホストグループが主要なターゲットとなっているかどうかを判断したりしますまた右クリックして [ 最上位ピア ( Top Peers) ] レポートにピボットすることでトラフィックがターゲット全体に均等に行き渡っているかどうかを判断できますスキャンに対応するホストの割合に着目することも可能ですこの時点でホストをスキャンしたユーザとスキャンされたポートを判断できるようにする必要があります場合によっては FlowSensor やファイアウォールから送信されたフラグによってのみ記録されるスキャンもあります ( これはイベントの詳細情報に示されます ) 特に注記がない限りイベントのスキャンには特定のデータは不要です該当なしこのセキュリティイベントに使用できるポリシー設定がありますか 9

16 このセキュリティイベントがトリガーされるために必要なポリシー設定は何ですかデフォルトでこのイベントがオンであるポリシーはどれですかデフォルトでこのイベントがオフであるポリシーはどれですかデフォルトでこのアラームがオンであるポリシーはどれですかデフォルトでこのアラームがオフであるポリシーはどれですかこのイベントは調整可能ですかこのイベントはバリアンスベースまたはしきい値ベースのいずれですか既定値と単位は何ですか許容値最小しきい値最大しきい値バリアンスベースではないパラメータを使用してイベントを調整できますか該当する場合調整可能な属性と単位は何ですか通常のポリシーエディタを使用せずにイベントを調整できますか送信元ホストでイベントを有効にする必要があります [ 内部ホスト ( Inside Hosts) ] [ 外部ホスト ( Outside Hosts) ] [ クライアント IP( Client IP) ] ポリシー [ ウイルス対策および SMS サーバ ( Antivirus & SMS Servers) ] [DHCP サーバ ( DHCP Server) ] [ ファイアウォールプロキシおよび NAT デバイス ( Firewalls, Proxies, & NAT Devices) ] [ ネットワーク管理およびスキャナ ( Network Management & Scanners) ] なし [ 内部ホスト ( Inside Hosts) ] [ 外部ホスト ( Outside Hosts) ] [ クライアント IP( Client IP) ] ポリシー [ ウイルス対策および SMS サーバ ( Antivirus & SMS Servers) ] [DHCP サーバ ( DHCP Server) ] [ ファイアウォールプロキシおよび NAT デバイス ( Firewalls, Proxies, & NAT Devices) ] [ ネットワーク管理およびスキャナ ( Network Management & Scanners) ] なし ##286-variance-threshold-other-based## 該当なし該当なし該当なし該当なし該当なし該当なし 10

17 該当する場合調整可能な値の代替ロケーションは何ですかイベントにデフォルトの緩和策が設定されていますか該当する場合それは何ですか disable_stealth_ probe lc_ threshold.txt の値を使用してステルススキャン検出の一定の事例を無効にできます該当なし該当なしこのセキュリティイベントはカテゴリにどのように関与しますかイベントの送信元は何ですかターゲットは何ですかイベントのトリガーを引き起こすポリシーはどれですか送信元でセキュリティイベントが関与するアラームカテゴリはどれですかターゲットでセキュリティイベントが関与するアラームカテゴリはどれですかスキャンと見なされるアクティビティを実行するホスト送信元ホストによってスキャンされているホスト送信元ホスト ##286-category-contribution-source## ##286-source-quantity## ##286-category-contribution-target## ##286-target-quantity## StealthWatch システムユーザインターフェイスではこのイベントに関してどのような情報が利用可能ですかアラームの詳細にはどのような情報が表示されますかアラームの詳細をクリックすると何 Web アプリケーションインターフェイス : 詳細情報の表示 SMC クライアントインターフェイス :N/A Web アプリケーションインターフェイス :addr_scan_udp 11

18 が表示されますか関連フローについてどのような情報が表示されますかを示すセキュリティイベント詳細ページが表示されます SMC クライアントインターフェイス :N/A Web アプリケーションインターフェイス :N/A 関連フローは [ 直近 5 分間 ( Time period of last five minutes) ] でフィルタ処理されたフローテーブルを表示しますこのセキュリティイベントのについてどのような情報が利用可能ですかイベント ID は何ですかイベントの syslog タイプは何ですかイベントの SNMP タイプは何ですか ##286-event-id-name## ##286-syslog-type## 詳細については Alarm Fields and Rule Types の Host Alarm 列を参照してください ##286-SNMP-type## 詳細については SNMP Alarm Fields の Host Alarm 列を参照してください Bad_Flag_ACK** ( 注 ) このセキュリティイベントに関連付けられているアラームに対する緩和策はありませんこれはどのようなセキュリティイベントですか 12

19 このこのイベントはどのような動作によって引き起こされますかこのイベントがトリガーされる場合何を意味していますか次に実行すべきステップは何ですか非標準のフローデータが必要ですか ( FlowSensor プロキシファイアウォールなど ) 注記パケットに TCP 確認フラグが含まれておらずリセットまたは同期以外のフラグが含まれている場合は送信元ホストでセキュリティイベントがトリガーされます TCP パケットに無効なフラグが設定されていることは通常はあり得ませんそのような事例が見つかった場合はパケットの送信先マシンに関する情報収集を目的として意図的に行われている可能性がありますというのもシステム設定が異なれば異なる組み合わせの異常フラグに対して異なるが行われる可能性があるからですこのイベントのソースが内部ホストである場合これ以外の偵察活動の兆候を探す価値がありますたとえばホストは不正なフラグの組み合わせを複数のホストに送信していないでしょうか同じポートで多数のホストをスキャンしていないでしょうか 1 つのホスト上で多数のポートをスキャンしていないでしょうか内部ホストによる偵察があればそれは望ましくないアクティビティや侵害の兆候として捉えることができます Flow Collector NetFlow エディションでは FlowSensor が必要です Flow Collector sflow では必要な追加コンポーネントは特にありません該当なしこのセキュリティイベントに使用できるポリシー設定がありますかこのセキュリティイベントがトリガーされるために必要なポリシー設定は何ですかデフォルトでこのイベントがオンであるポリシーはどれですかデフォルトでこのイベントがオフであるポリシーはどれですか送信元ホストでセキュリティイベント Bad_Flag_ACK を有効にします [ 内部ホスト ( Inside Hosts) ] [ 外部ホスト ( Outside Hosts) ] [ クライアント IP( Client IP) ] ポリシー [ ウイルス対策および SMS サーバ ( Antivirus & SMS Servers) ] [ ファイアウォールプロキシおよび NAT デバイス ( Firewalls, Proxies, & NAT Devices) ] [ ネットワーク管理およびスキャナ ( Network Management & Scanners) ] 13

20 デフォルトでこのアラームがオンであるポリシーはどれですかデフォルトでこのアラームがオフであるポリシーはどれですかこのイベントは調整可能ですかこのイベントはバリアンスベースまたはしきい値ベースのいずれですか既定値と単位は何ですか許容値最小しきい値最大しきい値バリアンスベースではないパラメータを使用してイベントを調整できますか該当する場合調整可能な属性と単位は何ですか通常のポリシーエディタを使用せずにイベントを調整できますか該当する場合調整可能な値の代替ロケーションは何ですかイベントにデフォルトの緩和策が設定されていますか該当する場合それは何ですかなし [ 内部ホスト ( Inside Hosts) ] [ 外部ホスト ( Outside Hosts) ] [ クライアント IP( Client IP) ] ポリシー [ ウイルス対策および SMS サーバ ( Antivirus & SMS Servers) ] [ ファイアウォールプロキシおよび NAT デバイス ( Firewalls, Proxies, & NAT Devices) ] [ ネットワーク管理およびスキャナ ( Network Management & Scanners) ] なし ##267-variance-threshold-other-based## 該当なし該当なし該当なし該当なし該当なし該当なし該当なし該当なし該当なしこのセキュリティイベントはカテゴリにどのように関与しますか 14

21 イベントの送信元は何ですかターゲットは何ですかイベントのトリガーを引き起こすポリシーはどれですか送信元でセキュリティイベントが関与するアラームカテゴリはどれですかターゲットでセキュリティイベントが関与するアラームカテゴリはどれですか不正なパケットを送信したホスト不正なパケットの宛先としてリストされたホスト送信元のホストポリシー ##267-category-contribution-source## ##267-source-quantity## ##267-category-contribution-target## ##267-target-quantity## StealthWatch システムユーザインターフェイスではこのイベントに関してどのような情報が利用可能ですかアラームの詳細にはどのような情報が表示されますかアラームの詳細をクリックすると何が表示されますか関連フローについてどのような情報が表示されますか Web アプリケーション UI の詳細列に [ 詳細を表示 ( View details) ] が表示されます SMC クライアントインターフェイスには何も表示されません Web アプリケーション UI には送信元ホストのセキュリティイベントが表示されます SMC クライアントインターフェイスには何も表示されません Web アプリケーション UI のインターフェイスには何も表示されません SMC クライアントインターフェイスには直近 5 分間に当該フローを観測したフローコレクタからのフローが表示されますこのセキュリティイベントのについてどのような情報が利用可能ですか 15

22 イベント ID は何ですかイベントの syslog タイプは何ですかイベントの SNMP タイプは何ですか ##267-event-id-name## ##267-syslog-type## 詳細については Alarm Fields and Rule Types の Host Alarm 列を参照してください ##267-SNMP-type## 詳細については SNMP Alarm Fields の Host Alarm 列を参照してください Bad_Flag_All** ( 注 ) このセキュリティイベントに関連付けられているアラームに対する緩和策はありませんこれはどのようなセキュリティイベントですかこのこのイベントはどのような動作によって引き起こされますかこのイベントがトリガーされる場合何を意味していますかすべての TCP フラグ ( 同期確認リセットプッシュ緊急終了 ) が含まれているパケットが見つかった場合送信元ホストでセキュリティイベントがトリガーされます TCP パケットにすべてのフラグのセットが設定されていることは通常はあり得ませんそのような事例が見つかった場合はパケットの送信先マシンに関する情報収集を目的として意図的に行われている可能性がありますというのもシステム設定が異なれば異なる組み合わせの異常フラグに対して異なるが行われる可能性があるからです 16

23 この次に実行すべきステップは何ですか非標準のフローデータが必要ですか ( FlowSensor プロキシファイアウォールなど ) 注記このイベントのソースが内部ホストである場合これ以外の偵察活動の兆候を探す価値がありますたとえばホストは不正なフラグの組み合わせを複数のホストに送信していないでしょうか同じポートで多数のホストをスキャンしていないでしょうか 1 つのホスト上で多数のポートをスキャンしていないでしょうか内部ホストによる偵察があればそれは望ましくないアクティビティや侵害の兆候として捉えることができます Flow Collector NetFlow エディションでは FlowSensor が必要です Flow Collector sflow では必要な追加コンポーネントは特にありません該当なしこのセキュリティイベントに使用できるポリシー設定がありますかこのセキュリティイベントがトリガーされるために必要なポリシー設定は何ですかデフォルトでこのイベントがオンであるポリシーはどれですかデフォルトでこのイベントがオフであるポリシーはどれですかデフォルトでこのアラームがオンであるポリシーはどれですかデフォルトでこのアラームがオフであるポリシーはどれですかこのイベントは調整可能ですかこのイベントはバリアンスベースまたはしきい値ベースのいずれですか送信元ホストでセキュリティイベント Bad_Flag_All を有効にします [ 内部ホスト ( Inside Hosts) ] [ 外部ホスト ( Outside Hosts) ] 該当なし [ 内部ホスト ( Inside Hosts) ] [ 外部ホスト ( Outside Hosts) ] 該当なしなし ##263-variance-threshold-other-based## 既定値と単位は何ですか 17

24 許容値最小しきい値最大しきい値バリアンスベースではないパラメータを使用してイベントを調整できますか該当する場合調整可能な属性と単位は何ですか通常のポリシーエディタを使用せずにイベントを調整できますか該当する場合調整可能な値の代替ロケーションは何ですかイベントにデフォルトの緩和策が設定されていますか該当する場合それは何ですか該当なし該当なし該当なし該当なし該当なし該当なし該当なし該当なし該当なしこのセキュリティイベントはカテゴリにどのように関与しますかイベントの送信元は何ですかターゲットは何ですかイベントのトリガーを引き起こすポリシーはどれですか送信元でセキュリティイベントが関与するアラームカテゴリはどれですかターゲットでセキュリティイベントが関与するアラームカテゴリはどれですか不正なパケットを送信したホスト不正なパケットの宛先としてリストされたホスト送信元のホストポリシー ##263-category-contribution-source## ##263-source-quantity## ##263-category-contribution-target## 18

25 ##263-target-quantity## StealthWatch システムユーザインターフェイスではこのイベントに関してどのような情報が利用可能ですかアラームの詳細にはどのような情報が表示されますかアラームの詳細をクリックすると何が表示されますか関連フローについてどのような情報が表示されますか Web アプリケーション UI の詳細列に [ 詳細を表示 ( View details) ] が表示されます SMC クライアントインターフェイスには何も表示されません Web アプリケーション UI には送信元ホストのセキュリティイベントが表示されます SMC クライアントインターフェイスには何も表示されません Web アプリケーション UI のインターフェイスには何も表示されません SMC クライアントインターフェイスには直近 5 分間に当該フローを観測したフローコレクタからのフローが表示されますこのセキュリティイベントのについてどのような情報が利用可能ですかイベント ID は何ですかイベントの syslog タイプは何ですかイベントの SNMP タイプは何ですか ##263-event-id-name## ##263-syslog-type## 詳細については Alarm Fields and Rule Types の Host Alarm 列を参照してください ##263-SNMP-type## 詳細については SNMP Alarm Fields の Host Alarm 列を参照してください 19

26 Bad_Flag_NoFlg** ( 注 ) このセキュリティイベントに関連付けられているアラームに対する緩和策はありませんこれはどのようなセキュリティイベントですかこのこのイベントはどのような動作によって引き起こされますかこのイベントがトリガーされる場合何を意味していますか次に実行すべきステップは何ですか非標準のフローデータが必要ですか ( FlowSensor プロキシファイアウォールなど ) TCP フラグが含まれていないパケットがあった場合は送信元ホストでセキュリティイベントがトリガーされます TCP パケットに無効なフラグが設定されていることは通常はあり得ませんそのような事例が見つかった場合はパケットの送信先マシンに関する情報収集を目的として意図的に行われている可能性がありますというのもシステム設定が異なれば異なる組み合わせの異常フラグに対して異なるが行われる可能性があるからですこのイベントのソースが内部ホストである場合これ以外の偵察活動の兆候を探す価値がありますたとえばホストは不正なフラグの組み合わせを複数のホストに送信していないでしょうか同じポートで多数のホストをスキャンしていないでしょうか 1 つのホスト上で多数のポートをスキャンしていないでしょうか内部ホストによる偵察があればそれは望ましくないアクティビティや侵害の兆候として捉えることができます Flow Collector NetFlow エディションでは FlowSensor が必要です Flow Collector sflow では必要な追加コンポーネントは特にありません 20

27 この注記該当なしこのセキュリティイベントに使用できるポリシー設定がありますかこのセキュリティイベントがトリガーされるために必要なポリシー設定は何ですかデフォルトでこのイベントがオンであるポリシーはどれですかデフォルトでこのイベントがオフであるポリシーはどれですかデフォルトでこのアラームがオンであるポリシーはどれですかデフォルトでこのアラームがオフであるポリシーはどれですかこのイベントは調整可能ですかこのイベントはバリアンスベースまたはしきい値ベースのいずれですか既定値と単位は何ですか許容値最小しきい値最大しきい値送信元ホストでセキュリティイベント Bad_Flag_NoFlg を有効にします [ 内部ホスト ( Inside Hosts) ] [ 外部ホスト ( Outside Hosts) ] [ クライアント IP( Client IP) ] ポリシー [ ウイルス対策および SMS サーバ ( Antivirus & SMS Servers) ] [ ファイアウォールプロキシおよび NAT デバイス ( Firewalls, Proxies, & NAT Devices) ] [ ネットワーク管理およびスキャナ ( Network Management & Scanners) ] なし [ 内部ホスト ( Inside Hosts) ] [ 外部ホスト ( Outside Hosts) ] [ クライアント IP( Client IP) ] ポリシー [ ウイルス対策および SMS サーバ ( Antivirus & SMS Servers) ] [ ファイアウォールプロキシおよび NAT デバイス ( Firewalls, Proxies, & NAT Devices) ] [ ネットワーク管理およびスキャナ ( Network Management & Scanners) ] なし ##269-variance-threshold-other-based## 該当なし該当なし該当なし 21

28 バリアンスベースではないパラメータを使用してイベントを調整できますか該当する場合調整可能な属性と単位は何ですか通常のポリシーエディタを使用せずにイベントを調整できますか該当する場合調整可能な値の代替ロケーションは何ですかイベントにデフォルトの緩和策が設定されていますか該当する場合それは何ですか該当なし該当なし該当なし該当なし該当なし該当なしこのセキュリティイベントはカテゴリにどのように関与しますかイベントの送信元は何ですかターゲットは何ですかイベントのトリガーを引き起こすポリシーはどれですか送信元でセキュリティイベントが関与するアラームカテゴリはどれですかターゲットでセキュリティイベントが関与するアラームカテゴリはどれですか不正なパケットを送信したホスト不正なパケットの宛先としてリストされたホスト送信元のホストポリシー ##269-category-contribution-source## ##269-source-quantity## ##269-category-contribution-target## ##269-target-quantity## 22

29 StealthWatch システムユーザインターフェイスではこのイベントに関してどのような情報が利用可能ですかアラームの詳細にはどのような情報が表示されますかアラームの詳細をクリックすると何が表示されますか関連フローについてどのような情報が表示されますか Web アプリケーション UI の詳細列に [ 詳細を表示 ( View details) ] が表示されます SMC クライアントインターフェイスには何も表示されません Web アプリケーション UI には送信元ホストのセキュリティイベントが表示されます SMC クライアントインターフェイスには何も表示されません Web アプリケーション UI のインターフェイスには何も表示されません SMC クライアントインターフェイスには直近 5 分間に当該フローを観測したフローコレクタからのフローが表示されますこのセキュリティイベントのについてどのような情報が利用可能ですかイベント ID は何ですかイベントの syslog タイプは何ですかイベントの SNMP タイプは何ですか ##269-event-id-name## ##269-syslog-type## 詳細については Alarm Fields and Rule Types の Host Alarm 列を参照してください ##269-SNMP-type## 詳細については SNMP Alarm Fields の Host Alarm 列を参照してください Bad_Flag_Rsrvd ( 注 ) このセキュリティイベントに関連付けられているアラームに対する緩和策はありません 23

30 これはどのようなセキュリティイベントですかこのこのイベントはどのような動作によって引き起こされますかこのイベントがトリガーされる場合何を意味していますか次に実行すべきステップは何ですか非標準のフローデータが必要ですか ( FlowSensor プロキシファイアウォールなど ) 注記パケットに最初の TCP 標準で予約された TCP フラグが含まれている場合送信元ホストでセキュリティイベントがトリガーされます TCP パケットに無効なフラグが設定されていることは通常はあり得ませんそのような事例が見つかった場合はパケットの送信先マシンに関する情報収集を目的として意図的に行われている可能性がありますというのもシステム設定が異なれば異なる組み合わせの異常フラグに対して異なるが行われる可能性があるからですこのイベントのソースが内部ホストである場合これ以外の偵察活動の兆候を探す価値がありますたとえばホストは不正なフラグの組み合わせを複数のホストに送信していないでしょうか同じポートで多数のホストをスキャンしていないでしょうか 1 つのホスト上で多数のポートをスキャンしていないでしょうか内部ホストによる偵察があればそれは望ましくないアクティビティや侵害の兆候として捉えることができます Flow Collector NetFlow Edition でこのイベントがトリガーされることはありません Flow Collector sflow では必要な追加コンポーネントは特にありません該当なしこのセキュリティイベントに使用できるポリシー設定がありますか 24

31 このセキュリティイベントがトリガーされるために必要なポリシー設定は何ですかデフォルトでこのイベントがオンであるポリシーはどれですかデフォルトでこのイベントがオフであるポリシーはどれですかデフォルトでこのアラームがオンであるポリシーはどれですかデフォルトでこのアラームがオフであるポリシーはどれですかこのイベントは調整可能ですかこのイベントはバリアンスベースまたはしきい値ベースのいずれですか既定値と単位は何ですか許容値最小しきい値最大しきい値バリアンスベースではないパラメータを使用してイベントを調整できますか該当する場合調整可能な属性と単位は何ですか通常のポリシーエディタを使用せずにイベントを調整できますか送信元ホストでセキュリティイベント Bad_Flag_Rsrvd を有効にします [ 内部ホスト ( Inside Hosts) ] [ 外部ホスト ( Outside Hosts) ] [ クライアント IP( Client IP) ] ポリシー [ ウイルス対策および SMS サーバ ( Antivirus & SMS Servers) ] [ ファイアウォールプロキシおよび NAT デバイス ( Firewalls, Proxies, & NAT Devices) ] [ ネットワーク管理およびスキャナ ( Network Management & Scanners) ] なし [ 内部ホスト ( Inside Hosts) ] [ 外部ホスト ( Outside Hosts) ] [ クライアント IP( Client IP) ] ポリシー [ ウイルス対策および SMS サーバ ( Antivirus & SMS Servers) ] [ ファイアウォールプロキシおよび NAT デバイス ( Firewalls, Proxies, & NAT Devices) ] [ ネットワーク管理およびスキャナ ( Network Management & Scanners) ] なし ##265-variance-threshold-other-based## 該当なし該当なし該当なし該当なし該当なし該当なし 25

32 該当する場合調整可能な値の代替ロケーションは何ですかイベントにデフォルトの緩和策が設定されていますか該当する場合それは何ですか該当なし該当なし該当なしこのセキュリティイベントはカテゴリにどのように関与しますかイベントの送信元は何ですかターゲットは何ですかイベントのトリガーを引き起こすポリシーはどれですか送信元でセキュリティイベントが関与するアラームカテゴリはどれですかターゲットでセキュリティイベントが関与するアラームカテゴリはどれですか不正なパケットを送信したホスト不正なパケットの宛先としてリストされたホスト送信元のホストポリシー ##265-category-contribution-source## ##265-source-quantity## ##265-category-contribution-target## ##265-target-quantity## StealthWatch システムユーザインターフェイスではこのイベントに関してどのような情報が利用可能ですかアラームの詳細にはどのような情報が表示されますか Web アプリケーション UI の詳細列に [ 詳細を表示 ( View details) ] が表示されます SMC クライアントインターフェイスには何も表示 26

33 アラームの詳細をクリックすると何が表示されますか関連フローについてどのような情報が表示されますかされません Web アプリケーション UI には送信元ホストのセキュリティイベントが表示されます SMC クライアントインターフェイスには何も表示されません Web アプリケーション UI のインターフェイスには何も表示されません SMC クライアントインターフェイスには直近 5 分間に当該フローを観測したフローコレクタからのフローが表示されますこのセキュリティイベントのについてどのような情報が利用可能ですかイベント ID は何ですかイベントの syslog タイプは何ですかイベントの SNMP タイプは何ですか ##265-event-id-name## ##265-syslog-type## 詳細については Alarm Fields and Rule Types の Host Alarm 列を参照してください ##265-SNMP-type## 詳細については SNMP Alarm Fields の Host Alarm 列を参照してください Bad_Flag_RST** ( 注 ) このセキュリティイベントに関連付けられているアラームに対する緩和策はありません 27

34 これはどのようなセキュリティイベントですかこのこのイベントはどのような動作によって引き起こされますかこのイベントがトリガーされる場合何を意味していますか次に実行すべきステップは何ですか非標準のフローデータが必要ですか ( FlowSensor プロキシファイアウォールなど ) 注記 TCP リセットに加えてプッシュまたは確認以外のフラグが含まれているパケットが見つかった場合送信元ホストでセキュリティイベントがトリガーされます TCP パケットに無効なフラグが設定されていることは通常はあり得ませんそのような事例が見つかった場合はパケットの送信先マシンに関する情報収集を目的として意図的に行われている可能性がありますというのもシステム設定が異なれば異なる組み合わせの異常フラグに対して異なるが行われる可能性があるからですこのイベントのソースが内部ホストである場合これ以外の偵察活動の兆候を探す価値がありますたとえばホストは不正なフラグの組み合わせを複数のホストに送信していないでしょうか同じポートで多数のホストをスキャンしていないでしょうか 1 つのホスト上で多数のポートをスキャンしていないでしょうか内部ホストによる偵察があればそれは望ましくないアクティビティや侵害の兆候として捉えることができます Flow Collector NetFlow エディションでは FlowSensor が必要です Flow Collector sflow では必要な追加コンポーネントは特にありません該当なしこのセキュリティイベントに使用できるポリシー設定がありますかこのセキュリティイベントがトリガーされるために必要なポリシー設定は何ですかデフォルトでこのイベントがオンであるポリシーはどれですかデフォルトでこのイベントがオフであるポリシーはどれですか送信元ホストでセキュリティイベント Bad_Flag_RST を有効にします [ 内部ホスト ( Inside Hosts) ] [ 外部ホスト ( Outside Hosts) ] [ クライアント IP( Client IP) ] ポリシー [ ウイルス対策および SMS サーバ ( Antivirus & SMS 28

35 Servers) ] [ ファイアウォールプロキシおよび NAT デバイス ( Firewalls, Proxies, & NAT Devices) ] [ ネットワーク管理およびスキャナ ( Network Management & Scanners) ] デフォルトでこのアラームがオンであるポリシーはどれですかデフォルトでこのアラームがオフであるポリシーはどれですかこのイベントは調整可能ですかこのイベントはバリアンスベースまたはしきい値ベースのいずれですか既定値と単位は何ですか許容値最小しきい値最大しきい値バリアンスベースではないパラメータを使用してイベントを調整できますか該当する場合調整可能な属性と単位は何ですか通常のポリシーエディタを使用せずにイベントを調整できますか該当する場合調整可能な値の代替ロケーションは何ですかイベントにデフォルトの緩和策が設定されていますか該当する場合それは何ですなし [ 内部ホスト ( Inside Hosts) ] [ 外部ホスト ( Outside Hosts) ] [ クライアント IP( Client IP) ] ポリシー [ ウイルス対策および SMS サーバ ( Antivirus & SMS Servers) ] [ ファイアウォールプロキシおよび NAT デバイス ( Firewalls, Proxies, & NAT Devices) ] [ ネットワーク管理およびスキャナ ( Network Management & Scanners) ] なし ##266-variance-threshold-other-based## 該当なし該当なし該当なし該当なし該当なし該当なし該当なし該当なし該当なし 29

36 かこのセキュリティイベントはカテゴリにどのように関与しますかイベントの送信元は何ですかターゲットは何ですかイベントのトリガーを引き起こすポリシーはどれですか送信元でセキュリティイベントが関与するアラームカテゴリはどれですかターゲットでセキュリティイベントが関与するアラームカテゴリはどれですか不正なパケットを送信したホスト不正なパケットの宛先としてリストされたホスト送信元のホストポリシー ##266-category-contribution-source## ##266-source-quantity## ##266-category-contribution-target## ##266-target-quantity## StealthWatch システムユーザインターフェイスではこのイベントに関してどのような情報が利用可能ですかアラームの詳細にはどのような情報が表示されますかアラームの詳細をクリックすると何が表示されますか Web アプリケーション UI の詳細列に [ 詳細を表示 ( View details) ] が表示されます SMC クライアントインターフェイスには何も表示されません Web アプリケーション UI には送信元ホストのセキュリティイベントが表示されます SMC クライアントインターフェイスには何も表示されません関連フローについてどのような情 Web アプリケーション UI のインターフェイスには 30

37 報が表示されますか何も表示されません SMC クライアントインターフェイスには直近 5 分間に当該フローを観測したフローコレクタからのフローが表示されますこのセキュリティイベントのについてどのような情報が利用可能ですかイベント ID は何ですかイベントの syslog タイプは何ですかイベントの SNMP タイプは何ですか ##266-event-id-name## ##266-syslog-type## 詳細については Alarm Fields and Rule Types の Host Alarm 列を参照してください ##266-SNMP-type## 詳細については SNMP Alarm Fields の Host Alarm 列を参照してください Bad_Flag_SYN_FIN** ( 注 ) このセキュリティイベントに関連付けられているアラームに対する緩和策はありませんこれはどのようなセキュリティイベントですかこのこのイベントはどのような動作に TCP 同期および終了フラグが含まれているパケットが 31

38 このよって引き起こされますかこのイベントがトリガーされる場合何を意味していますか次に実行すべきステップは何ですか非標準のフローデータが必要ですか ( FlowSensor プロキシファイアウォールなど ) 注記あった場合は送信元ホストでセキュリティイベントがトリガーされます TCP パケットに無効なフラグが設定されていることは通常はあり得ませんそのような事例が見つかった場合はパケットの送信先マシンに関する情報収集を目的として意図的に行われている可能性がありますというのもシステム設定が異なれば異なる組み合わせの異常フラグに対して異なるが行われる可能性があるからですこのイベントのソースが内部ホストである場合これ以外の偵察活動の兆候を探す価値がありますたとえばホストは不正なフラグの組み合わせを複数のホストに送信していないでしょうか同じポートで多数のホストをスキャンしていないでしょうか 1 つのホスト上で多数のポートをスキャンしていないでしょうか内部ホストによる偵察があればそれは望ましくないアクティビティや侵害の兆候として捉えることができます Flow Collector NetFlow エディションでは FlowSensor が必要です Flow Collector sflow では必要な追加コンポーネントは特にありません該当なしこのセキュリティイベントに使用できるポリシー設定がありますかこのセキュリティイベントがトリガーされるために必要なポリシー設定は何ですかデフォルトでこのイベントがオンであるポリシーはどれですかデフォルトでこのイベントがオフであるポリシーはどれですか送信元ホストでセキュリティイベント Bad_Flag_SYN_ FIN を有効にします [ 内部ホスト ( Inside Hosts) ] [ 外部ホスト ( Outside Hosts) ] [ クライアント IP( Client IP) ] ポリシー [ ウイルス対策および SMS サーバ ( Antivirus & SMS Servers) ] [ ファイアウォールプロキシおよび NAT デバイス ( Firewalls, Proxies, & NAT Devices) ] [ ネットワーク管理およびスキャナ ( Network Management & Scanners) ] 32

39 デフォルトでこのアラームがオンであるポリシーはどれですかデフォルトでこのアラームがオフであるポリシーはどれですかこのイベントは調整可能ですかこのイベントはバリアンスベースまたはしきい値ベースのいずれですか既定値と単位は何ですか許容値最小しきい値最大しきい値バリアンスベースではないパラメータを使用してイベントを調整できますか該当する場合調整可能な属性と単位は何ですか通常のポリシーエディタを使用せずにイベントを調整できますか該当する場合調整可能な値の代替ロケーションは何ですかイベントにデフォルトの緩和策が設定されていますか該当する場合それは何ですかなし [ 内部ホスト ( Inside Hosts) ] [ 外部ホスト ( Outside Hosts) ] [ クライアント IP( Client IP) ] ポリシー [ ウイルス対策および SMS サーバ ( Antivirus & SMS Servers) ] [ ファイアウォールプロキシおよび NAT デバイス ( Firewalls, Proxies, & NAT Devices) ] [ ネットワーク管理およびスキャナ ( Network Management & Scanners) ] なし ##264-variance-threshold-other-based## 該当なし該当なし該当なし該当なし該当なし該当なし該当なし該当なし該当なしこのセキュリティイベントはカテゴリにどのように関与しますか 33

40 イベントの送信元は何ですかターゲットは何ですかイベントのトリガーを引き起こすポリシーはどれですか送信元でセキュリティイベントが関与するアラームカテゴリはどれですかターゲットでセキュリティイベントが関与するアラームカテゴリはどれですか不正なパケットを送信したホスト不正なパケットの宛先としてリストされたホスト送信元のホストポリシー ##264-category-contribution-source## ##264-source-quantity## ##264-category-contribution-target## ##264-target-quantity## StealthWatch システムユーザインターフェイスではこのイベントに関してどのような情報が利用可能ですかアラームの詳細にはどのような情報が表示されますかアラームの詳細をクリックすると何が表示されますか関連フローについてどのような情報が表示されますか Web アプリケーション UI の詳細列に [ 詳細を表示 ( View details) ] が表示されます SMC クライアントインターフェイスには何も表示されません Web アプリケーション UI には送信元ホストのセキュリティイベントが表示されます SMC クライアントインターフェイスには何も表示されません Web アプリケーション UI のインターフェイスには何も表示されません SMC クライアントインターフェイスには直近 5 分間に当該フローを観測したフローコレクタからのフローが表示されますこのセキュリティイベントのについてどのような情報が利用可能ですか 34

41 イベント ID は何ですかイベントの syslog タイプは何ですかイベントの SNMP タイプは何ですか ##264-event-id-name## ##264-syslog-type## 詳細については Alarm Fields and Rule Types の Host Alarm 列を参照してください ##264-SNMP-type## 詳細については SNMP Alarm Fields の Host Alarm 列を参照してください Bad_Flag_URG** ( 注 ) このセキュリティイベントに関連付けられているアラームに対する緩和策はありませんこれはどのようなセキュリティイベントですかこのこのイベントはどのような動作によって引き起こされますかこのイベントがトリガーされる場合何を意味していますか TCP 緊急フラグに加えて確認以外のフラグが含まれているパケットが見つかった場合は送信元ホストでセキュリティイベントがトリガーされます TCP パケットに無効なフラグが設定されていることは通常はあり得ませんそのような事例が見つかった場合はパケットの送信先マシンに関する情報収集を目的として意図的に行われている可能性がありますというのもシステム設定が異なれば異なる組み合わせの異常フラグに対して異なるが行われる可能性があるからです 35

42 この次に実行すべきステップは何ですか非標準のフローデータが必要ですか ( FlowSensor プロキシファイアウォールなど ) 注記このイベントのソースが内部ホストである場合これ以外の偵察活動の兆候を探す価値がありますたとえばホストは不正なフラグの組み合わせを複数のホストに送信していないでしょうか同じポートで多数のホストをスキャンしていないでしょうか 1 つのホスト上で多数のポートをスキャンしていないでしょうか内部ホストによる偵察があればそれは望ましくないアクティビティや侵害の兆候として捉えることができます Flow Collector NetFlow エディションでは FlowSensor が必要です Flow Collector sflow では必要な追加コンポーネントは特にありません該当なしこのセキュリティイベントに使用できるポリシー設定がありますかこのセキュリティイベントがトリガーされるために必要なポリシー設定は何ですかデフォルトでこのイベントがオンであるポリシーはどれですかデフォルトでこのイベントがオフであるポリシーはどれですかデフォルトでこのアラームがオンであるポリシーはどれですかデフォルトでこのアラームがオフであるポリシーはどれですか送信元ホストでセキュリティイベント Bad_Flag_URG を有効にします [ 内部ホスト ( Inside Hosts) ] [ 外部ホスト ( Outside Hosts) ] [ クライアント IP( Client IP) ] ポリシー [ ウイルス対策および SMS サーバ ( Antivirus & SMS Servers) ] [ ファイアウォールプロキシおよび NAT デバイス ( Firewalls, Proxies, & NAT Devices) ] [ ネットワーク管理およびスキャナ ( Network Management & Scanners) ] なし [ 内部ホスト ( Inside Hosts) ] [ 外部ホスト ( Outside Hosts) ] [ クライアント IP( Client IP) ] ポリシー [ ウイルス対策および SMS サーバ ( Antivirus & SMS Servers) ] [ ファイアウォールプロキシおよび NAT デバイス ( Firewalls, Proxies, & NAT Devices) ] [ ネットワーク管理およびスキャナ ( Network Management & Scanners) ] 36

43 このイベントは調整可能ですかこのイベントはバリアンスベースまたはしきい値ベースのいずれですか既定値と単位は何ですか許容値最小しきい値最大しきい値バリアンスベースではないパラメータを使用してイベントを調整できますか該当する場合調整可能な属性と単位は何ですか通常のポリシーエディタを使用せずにイベントを調整できますか該当する場合調整可能な値の代替ロケーションは何ですかイベントにデフォルトの緩和策が設定されていますか該当する場合それは何ですかなし ##268-variance-threshold-other-based## 該当なし該当なし該当なし該当なし該当なし該当なし該当なし該当なし該当なしこのセキュリティイベントはカテゴリにどのように関与しますかイベントの送信元は何ですかターゲットは何ですかイベントのトリガーを引き起こすポリシーはどれですか送信元でセキュリティイベント不正なパケットを送信したホスト不正なパケットの宛先としてリストされたホスト送信元のホストポリシー ##268-category-contribution-source## 37

44 が関与するアラームカテゴリはどれですかターゲットでセキュリティイベントが関与するアラームカテゴリはどれですか ##268-source-quantity## ##268-category-contribution-target## ##268-target-quantity## StealthWatch システムユーザインターフェイスではこのイベントに関してどのような情報が利用可能ですかアラームの詳細にはどのような情報が表示されますかアラームの詳細をクリックすると何が表示されますか関連フローについてどのような情報が表示されますか Web アプリケーション UI の詳細列に [ 詳細を表示 ( View details) ] が表示されます SMC クライアントインターフェイスには何も表示されません Web アプリケーション UI には送信元ホストのセキュリティイベントが表示されます SMC クライアントインターフェイスには何も表示されません Web アプリケーション UI のインターフェイスには何も表示されません SMC クライアントインターフェイスには直近 5 分間に当該フローを観測したフローコレクタからのフローが表示されますこのセキュリティイベントのについてどのような情報が利用可能ですかイベント ID は何ですかイベントの syslog タイプは何です ##268-event-id-name## ##268-syslog-type## 詳細については Alarm Fields 38

45 か and Rule Types の Host Alarm 列を参照してくださいイベントの SNMP タイプは何ですか ##268-SNMP-type## 詳細については SNMP Alarm Fields の Host Alarm 列を参照してください Beaconing Host これはどのようなセキュリティイベントですかこのこのイベントがトリガーされる場合何を意味していますか次に実行すべきステップは何ですかビーコンホストは別のホストからの更新やコマンドを探しますこのトラフィックはキープアライブ ( ハートビート ) などのさまざまな理由で使用でき指揮統制 ( C&C) サーバから新規オーダーを取得したり更新をダウンロードしたりしますマルウェアもこの動作を引き起こす可能性がある点に注意してください目的は外部ホストが本当に C&C サーバであるかどうかを確認することです StealthWatch システムの内外でこのホストを調査すると役立つことがよくあります最初に StealthWatch システム内でターゲットホストの [ 最上位ピア ( Top Peers) ]( 発信 ) レポートを開きますこのレポートには外部ホストと通信されたデータ量を基準に並べ替えられた内部ピアのリストが示されていますこのリストからご使用の環境内でこのホストが一般的なピアであるかどうかを確認できますこのセキュリティイベントに使用できるポリシー設定がありますかこのイベントはバリアンスベースまたはしきい値ベースのいずれですか ##39-variance-threshold-other-based## このセキュリティイベントはカテゴリにどのように関与しますか 39

46 送信元でセキュリティイベントが関与するアラームカテゴリはどれですかターゲットでセキュリティイベントが関与するアラームカテゴリはどれですか ##39-category-contribution-source## ##39-source-quantity## ##39-category-contribution-target## ##39-target-quantity## このセキュリティイベントのについてどのような情報が利用可能ですかイベント ID は何ですかイベントの syslog タイプは何ですかイベントの SNMP タイプは何ですか ##39-event-id-name## ##39-syslog-type## 詳細については Alarm Fields and Rule Types の Host Alarm 列を参照してください ##39-SNMP-type## 詳細については SNMP Alarm Fields の Host Alarm 列を参照してください Bot Command & Control Server これはどのようなセキュリティイベントですかこのこのイベントがトリガーされる場合何を意味していますか使用している環境内のホストが指揮統制 ( C&C) サーバとして動作することにより環境を超えて他のホストの侵害を支援するために使用されていることを示しますこのホスト自体も侵害されている可能性が非常に高いです 40

47 このセキュリティイベントに使用できるポリシー設定がありますかこのイベントはバリアンスベースまたはしきい値ベースのいずれですか ##43-variance-threshold-other-based## このセキュリティイベントはカテゴリにどのように関与しますか送信元でセキュリティイベントが関与するアラームカテゴリはどれですかターゲットでセキュリティイベントが関与するアラームカテゴリはどれですか ##43-category-contribution-source## ##43-source-quantity## ##43-category-contribution-target## ##43-target-quantity## このセキュリティイベントのについてどのような情報が利用可能ですかイベント ID は何ですかイベントの syslog タイプは何ですかイベントの SNMP タイプは何ですか ##43-event-id-name## ##43-syslog-type## 詳細については Alarm Fields and Rule Types の Host Alarm 列を参照してください ##43-SNMP-type## 詳細については SNMP Alarm Fields の Host Alarm 列を参照してください Bot Infected Host - Attempted C&C Activity 41

48 これはどのようなセキュリティイベントですかこのこのイベントがトリガーされる場合何を意味していますか次に実行すべきステップは何ですかネットワーク上のホストが既知の指揮統制 ( C&C) サーバと通信しようとしましたホストはこの操作に失敗しましたが何らかの原因によってホストがこのような操作を試行したことから懸念が残りますマルウェアまたは悪意のあるリダイレクトもこの動作を引き起こす可能性がある点に注意してくださいこのセキュリティイベントが発生した場合一般に製品内での検証はそれほど必要とされませんがイベントのターゲットとその他のホストの間のフローに対してフロークエリを実行し他のホストが疑わしい C&C サーバと対話しているかどうかを確認してくださいクエリの期間をイベント日またはそれより長く設定します通信期間によってはこのクエリを使用して送信元ホストが疑わしい C&C サーバに到達したかどうかを判断することもできますターゲットホストと通信しているホストが多数ある場合または通信履歴を確認する場合は C&C サーバが誤って特定されている可能性がありますこのセキュリティイベントに使用できるポリシー設定がありますかこのイベントはバリアンスベースまたはしきい値ベースのいずれですか ##41-variance-threshold-other-based## このセキュリティイベントはカテゴリにどのように関与しますか送信元でセキュリティイベントが関与するアラームカテゴリはどれですか数量はどの程度で ##41-category-contribution-source## ##41-source-quantity## 42

49 すかターゲットでセキュリティイベントが関与するアラームカテゴリはどれですか ##41-category-contribution-target## ##41-target-quantity## このセキュリティイベントのについてどのような情報が利用可能ですかイベント ID は何ですかイベントの syslog タイプは何ですかイベントの SNMP タイプは何ですか ##41-event-id-name## ##41-syslog-type## 詳細については Alarm Fields and Rule Types の Host Alarm 列を参照してください ##41-SNMP-type## 詳細については SNMP Alarm Fields の Host Alarm 列を参照してください Bot Infected Host - Successful C&C Activity これはどのようなセキュリティイベントですかこのこのイベントがトリガーされる場合何を意味していますか次に実行すべきステップは何ですかネットワーク上のホストが既知の指揮統制 ( C&C) サーバと通信していましたマルウェアまたは悪意のあるリダイレクトによりこの動作が引き起こされたかまたはこの通信がエクスプロイトキットなどによる感染時の試行であった可能性がありますこれはほぼ確実に侵害されたホストの兆候ですこのセキュリティイベントが発生した場合一般に製品内での検証はそれほど必要とされませんがイベントのターゲットとその他のホストの間のフローに対してフロークエリを実行し他のホストが疑わしい C&C サーバと対話しているかどうかを確認してくださいクエリの期間を 43

50 このイベント日またはそれより長く設定します通信期間によってはこのクエリを使用して送信元ホストが疑わしい C&C サーバに到達したかどうかを判断することもできますターゲットホストと通信しているホストが多数ある場合または通信履歴を確認する場合は C&C サーバが誤って特定されている可能性がありますこのセキュリティイベントに使用できるポリシー設定がありますかこのイベントはバリアンスベースまたはしきい値ベースのいずれですか ##42-variance-threshold-other-based## このセキュリティイベントはカテゴリにどのように関与しますか送信元でセキュリティイベントが関与するアラームカテゴリはどれですかターゲットでセキュリティイベントが関与するアラームカテゴリはどれですか ##42-category-contribution-source## ##42-source-quantity## ##42-category-contribution-target## ##42-target-quantity## このセキュリティイベントのについてどのような情報が利用可能ですか 44

51 イベント ID は何ですかイベントの syslog タイプは何ですかイベントの SNMP タイプは何ですか ##42-event-id-name## ##42-syslog-type## 詳細については Alarm Fields and Rule Types の Host Alarm 列を参照してください ##42-SNMP-type## 詳細については SNMP Alarm Fields の Host Alarm 列を参照してください Brute Force Login これはどのようなセキュリティイベントですかこのこのイベントがトリガーされる場合何を意味していますか次に実行すべきステップは何ですかこれにより別途システムへのアクセスを試みてログインクレデンシャルを推測しようとしているホストも検出できる可能性がありますまた何度も接続を試みながら認証に失敗しているクライアント上の誤設定されたアプリケーションを検出することも可能です目的はサーバに対する接続試行が正当であるかどうかを確認することですクライアントが外部ホストの場合クライアントのアドレスはこれらの接続を開始する予定の既知で信頼できるネットワークまたはビジネスパートナーのネットワークにあるでしょうかその場合はアプリケーションの誤設定の可能性がありますまた ( ターゲットホストの ) DShield に対して外部参照を実行しセキュリティイベントアラームでターゲット IP の所有者を確認する必要もありますクライアントが内部ホストの場合このホストは問題のサーバへの接続を試行する可能性があるでしょうか送信元ホストの [ 最上位ピア ( Top Peers) ] レポートを実行することでそのホストが同様のバイト数またはフローの多いネットワーク上の他のホストに接続しているかどうかがわかりますまた [ 最上位ポート ( Top Ports) ] レポートを実行してセキュリティイベントアラームがトリガーされたポート ( おそらく SSH) を介して送信元 IP が接続している他のホストを見つけます 45

52 このセキュリティイベントに使用できるポリシー設定がありますかこのイベントはバリアンスベースまたはしきい値ベースのいずれですか ##58-variance-threshold-other-based## このセキュリティイベントはカテゴリにどのように関与しますか送信元でセキュリティイベントが関与するアラームカテゴリはどれですかターゲットでセキュリティイベントが関与するアラームカテゴリはどれですか ##58-category-contribution-source## ##58-source-quantity## ##58-category-contribution-target## ##58-target-quantity## このセキュリティイベントのについてどのような情報が利用可能ですかイベント ID は何ですかイベントの syslog タイプは何ですかイベントの SNMP タイプは何ですか ##58-event-id-name## ##58-syslog-type## 詳細については Alarm Fields and Rule Types の Host Alarm 列を参照してください ##58-SNMP-type## 詳細については SNMP Alarm Fields の Host Alarm 列を参照してください Connection from Bogon Address Attempted 46

53 これはどのようなセキュリティイベントですかこのこのイベントがトリガーされる場合何を意味していますか次に実行すべきステップは何ですか Bogon アドレスは未割り当ての使用できない IP アドレスです一方からの単方向通信は心配ありませんが通常の使用ではあり得ません実際この種のトラフィックはネットワークの境界でブロックされる可能性が高いです一括表示を検索する特定の種類の動作は攻撃者が送信元 IP アドレスをスプーフィングするサービス妨害 ( DoS) 攻撃を示します Bogon アドレスからの単方向トラフィックを調査する際に最初に確認すべき 2 つの事項がありますまず 1) その Bogon アドレス ( または他の Bogon アドレス ) はネットワーク内の他のホストと通信しようとしていますか 2) Bogon アドレスからのトラフィックの送信先ホストが異常に多い量のトラフィックを受信していますか最初の質問に答えるには Bogon ホストグループに対して最上位ホストクエリまたはフロークエリを実行できます特にセキュリティイベントから Bogon IP に対してクエリを実行できますがスプーフィングされたトラフィックの場合は攻撃者が簡単に多くの異なる Bogon IP を使用できてしまう可能性がありますクエリから返される結果を評価し DoS 攻撃の一部であるかまたはネットワーク上の不良構成 / 未分類ホストによるものであるかを判断します一般に大量のデータまたはパケットは DoS 攻撃の兆候です 2 番目の質問に答えるにはセキュリティイベントの送信先ホストでのクエリに着目しますここでの目的は異常に大量のトラフィックがあるかどうかそれが Bogon アドレスから発生しているかどうかを判断することです簡単に有用な情報を確認する方法としてターゲットホストのその他のセキュリティイベントを表示し SYNs Received や New Flows Served などの DoS イベントであるかまたは Bogon からの大量通信であるかを確認しますさらに詳しく調べるには [ フロートラフィック ( Flow Traffic) ] レポートを実行します Bogon 通信の時刻とこの時刻から遡った 2 時間を含めるため日付 / 日時フィルタを設定します期間が長いほどクエリも長くなりますがより適切なコンテキストを得ることができますまた内部から開始された DoS 攻撃を懸念していない場合は外部ホストからのトラフィックだけを含めるよ 47

54 このうにホストをフィルタ処理できます大規模なスパイクや徐々に増加する大量トラフィックは DoS 攻撃を示している可能性がありますこのセキュリティイベントに使用できるポリシー設定がありますかこのイベントはバリアンスベースまたはしきい値ベースのいずれですか ##519-variance-threshold-other-based## このセキュリティイベントはカテゴリにどのように関与しますか送信元でセキュリティイベントが関与するアラームカテゴリはどれですかターゲットでセキュリティイベントが関与するアラームカテゴリはどれですか ##519-category-contribution-source## ##519-source-quantity## ##519-category-contribution-target## ##519-target-quantity## このセキュリティイベントのについてどのような情報が利用可能ですかイベント ID は何ですかイベントの syslog タイプは何ですか ##519-event-id-name## ##519-syslog-type## 詳細については Alarm Fields and Rule Types の Host Alarm 列を参照してください 48

55 イベントの SNMP タイプは何ですか ##519-SNMP-type## 詳細については SNMP Alarm Fields の Host Alarm 列を参照してください Connection from Bogon Address Successful これはどのようなセキュリティイベントですかこのこのイベントがトリガーされる場合何を意味していますか次に実行すべきステップは何ですか Bogon アドレスは未割り当ての使用できない IP アドレスです Bogon アドレスとの双方向通信は発生しないはずですこの動作はネットワーク内または Stealthwatch 導入環境内の不良構成を示している可能性がありますご使用の環境で特定の Bogon IP アドレス範囲を内部で実際に使用しているかどうかまたはキャリアグレード NAT を使用しているかどうかを確認します Bogon 範囲を内部で使用しているか使用する可能性がある場合はその範囲を内部ホストグループに追加します Stealtwatch システムでこれを確認するには Bogon の /24 でアクティブなフローを検索します範囲の大部分がアクティブな場合その範囲は環境内で意図的に使用されている可能性が高いです Bogon の IP が /10 内にある場合はキャリアグレード NAT で予約された IP 空間を使用しており使用している環境が背後にあるかどうかは問題ではありませんいずれにも該当しない場合はホストスナップショット ( SMC クライアントインターフェイス内でアクセス ) にホストの特定に役立つ情報が含まれています例えば [ エクスポータインターフェイス ( Exporter Interface) ] タブにホストのフローを監視しているエクスポータとインターフェイスが表示されるためデバイスがどこでホストされているかを確認できますさらに [ セキュリティイベント ( Security Events) ] タブ [ アラーム ( Alarms) ] タブおよび [ 識別 ( Identification) ] タブを確認しますこれらのタブには Bogon ホストが関与している可能性のあるその他の動作が表示されます最後に Bogon ホストのセキュリティイベントを調べ Bogon ホストが対話した他のホストがあるかどうかを確認します 49

56 このセキュリティイベントに使用できるポリシー設定がありますかこのイベントはバリアンスベースまたはしきい値ベースのいずれですか ##517-variance-threshold-other-based## このセキュリティイベントはカテゴリにどのように関与しますか送信元でセキュリティイベントが関与するアラームカテゴリはどれですかターゲットでセキュリティイベントが関与するアラームカテゴリはどれですか ##517-category-contribution-source## ##517-source-quantity## ##517-category-contribution-target## ##517-target-quantity## このセキュリティイベントのについてどのような情報が利用可能ですかイベント ID は何ですかイベントの syslog タイプは何ですかイベントの SNMP タイプは何ですか ##517-event-id-name## ##517-syslog-type## 詳細については Alarm Fields and Rule Types の Host Alarm 列を参照してください ##517-SNMP-type## 詳細については SNMP Alarm Fields の Host Alarm 列を参照してください 50

57 Connection from Tor Attempted ToR 終了ノードからネットワーク内のホストへ接続しようとする試みを検出しますこのセキュリティイベントに使用できるポリシー設定がありますかこのイベントはバリアンスベースまたはしきい値ベースのいずれですか ##317-variance-threshold-other-based## このセキュリティイベントはカテゴリにどのように関与しますか送信元でセキュリティイベントが関与するアラームカテゴリはどれですかターゲットでセキュリティイベントが関与するアラームカテゴリはどれですか ##317-category-contribution-source## ##317-source-quantity## ##317-category-contribution-target## ##317-target-quantity## このセキュリティイベントのについてどのような情報が利用可能ですかイベント ID は何ですかイベントの syslog タイプは何ですかイベントの SNMP タイプは何ですか ##317-event-id-name## ##317-syslog-type## 詳細については Alarm Fields and Rule Types の Host Alarm 列を参照してください ##317-SNMP-type## 詳細については SNMP Alarm Fields の Host Alarm 列を参照してください 51

58 Connection from Tor Successful ToR 終了ノードからネットワーク内のホストへの接続が成功した事例を検出しますこのセキュリティイベントに使用できるポリシー設定がありますかこのイベントはバリアンスベースまたはしきい値ベースのいずれですか ##318-variance-threshold-other-based## このセキュリティイベントはカテゴリにどのように関与しますか送信元でセキュリティイベントが関与するアラームカテゴリはどれですかターゲットでセキュリティイベントが関与するアラームカテゴリはどれですか ##318-category-contribution-source## ##318-source-quantity## ##318-category-contribution-target## ##318-target-quantity## このセキュリティイベントのについてどのような情報が利用可能ですかイベント ID は何ですかイベントの syslog タイプは何ですかイベントの SNMP タイプは何ですか ##318-event-id-name## ##318-syslog-type## 詳細については Alarm Fields and Rule Types の Host Alarm 列を参照してください ##318-SNMP-type## 詳細については SNMP Alarm Fields の Host Alarm 列を参照してください 52

59 Connection to Bogon Address Attempted これはどのようなセキュリティイベントですかこのこのイベントがトリガーされる場合何を意味していますか次に実行すべきステップは何ですか Bogon アドレスは未割り当ての使用できない IP アドレスです一方からの単方向通信は希で何者かがネットワークでホストを操作している可能性がありますこれはサービス妨害 ( DoS) 攻撃からのバックスキャッタの可能性がありますこれは攻撃者が分散型サービス妨害 ( DDoS) 攻撃の一環として無作為の送信元アドレスにパケットを送信しユーザがそれらの無作為のアドレスにすると発生します攻撃者は IP 空間全体をランダム化しこれらのいくつかが Bogon アドレスになります Bogon IP への単方向通信もまた偵察や設定が誤っているホストの可能性がありますご使用の環境で特定の Bogon IP アドレス範囲を内部で実際に使用しているかどうかまたはキャリアグレード NAT を使用しているかどうかを確認します Bogon 範囲を内部で使用しているか使用する可能性がある場合はその範囲を内部ホストグループに追加します Stealtwatch システムでこれを確認するには Bogon の /24 でアクティブなフローを検索します範囲の大部分がアクティブな場合その範囲は環境内で意図的に使用されている可能性が高いです Bogon の IP が /10 内にある場合はキャリアグレード NAT で予約された IP 空間を使用しており使用している環境が背後にあるかどうかは問題ではありませんどちらにも当てはまらない場合はイベントの送信元の他のセキュリティイベントを確認します Bogons への大量の通信か SYNs Received または New Flows Served のようなサービス妨害 ( DoS) イベントかどうかを判断しますまた Ping スキャンや Addr_Scan などの偵察関連イベントも検索します潜在的な DDoS をより徹底的に調べるには [ フロートラフィック ( Flow Traffic) ] レポートを実行します Bogon 通信の時刻とこの時刻から遡った 2 時間を含めるため日付 / 日時フィルタを設定します期間が長いほどクエリも長くなりますがより適切なコンテキストを得ることができますまた内部から開始された DoS 攻撃を懸念していない場合は外部ホストからのトラフィックだけを含めるようにホストをフィルタ処理できます大規模なスパイク 53

60 このや徐々に増加する大量トラフィックは DoS 攻撃を示している可能性があります DDoS または大量の偵察アクティビティのいずれの可能性もない場合は Bogon IP のセキュリティイベントを調べ Bogon ホストとの対話を試行した他のホストがあるかどうかを確認します多数のホストが特定の Bogon と対話を試行している場合はアプリケーションで不適切な構成がプッシュアウトされたかまたは Bogon 範囲でホストされているアプリケーションが消失したことを示唆していますこの点をさらに詳しく調査するには Bogon のトラフィック履歴を調べますこのセキュリティイベントに使用できるポリシー設定がありますかこのイベントはバリアンスベースまたはしきい値ベースのいずれですか ##518-variance-threshold-other-based## このセキュリティイベントはカテゴリにどのように関与しますか送信元でセキュリティイベントが関与するアラームカテゴリはどれですかターゲットでセキュリティイベントが関与するアラームカテゴリはどれですか ##518-category-contribution-source## ##518-source-quantity## ##518-category-contribution-target## ##518-target-quantity## このセキュリティイベントのについてどのような情報が利用可能ですか 54

61 イベント ID は何ですかイベントの syslog タイプは何ですかイベントの SNMP タイプは何ですか ##518-event-id-name## ##518-syslog-type## 詳細については Alarm Fields and Rule Types の Host Alarm 列を参照してください ##518-SNMP-type## 詳細については SNMP Alarm Fields の Host Alarm 列を参照してください Connection to Bogon Address Successful これはどのようなセキュリティイベントですかこのこのイベントがトリガーされる場合何を意味していますか次に実行すべきステップは何ですか Bogon アドレスは未割り当ての使用できない IP アドレスです Bogon アドレスとの双方向通信は発生しないはずですこの動作はネットワーク内または Stealthwatch 導入環境内の不良構成を示している可能性がありますご使用の環境で特定の Bogon IP アドレス範囲を内部で実際に使用しているかどうかまたはキャリアグレード NAT を使用しているかどうかを確認します Bogon 範囲を内部で使用しているか使用する可能性がある場合はその範囲を内部ホストグループに追加します Stealtwatch システムでこれを確認するには Bogon の /24 でアクティブなフローを検索します範囲の大部分がアクティブな場合その範囲は環境内で意図的に使用されている可能性が高いです Bogon の IP が /10 内にある場合はキャリアグレード NAT で予約された IP 空間を使用しており使用している環境が背後にあるかどうかは問題ではありませんいずれにも該当しない場合はホストスナップショット ( SMC クライアントインターフェイス内でアクセス ) にホストの特定に役立つ情報が含まれています例えば [ エクスポータインターフェイス ( Exporter Interface) ] タブにホストのフローを監視しているエクスポータとインターフェイスが表示されるためデバイスがどこでホストされているかを確認できますさらに [ セキュリティイベント ( Security Events) ] タブ [ アラーム ( Alarms) ] タブおよ 55

62 このび [ 識別 ( Identification) ] タブを確認しますこれらのタブには Bogon ホストが関与している可能性のあるその他の動作が表示されます最後に Bogon ホストのセキュリティイベントを調べ Bogon ホストが対話した他のホストがあるかどうかを確認しますこのセキュリティイベントに使用できるポリシー設定がありますかこのイベントはバリアンスベースまたはしきい値ベースのいずれですか ##516-variance-threshold-other-based## このセキュリティイベントはカテゴリにどのように関与しますか送信元でセキュリティイベントが関与するアラームカテゴリはどれですかターゲットでセキュリティイベントが関与するアラームカテゴリはどれですか ##516-category-contribution-source## ##516-source-quantity## ##516-category-contribution-target## ##516-target-quantity## このセキュリティイベントのについてどのような情報が利用可能ですかイベント ID は何ですかイベントの syslog タイプは何です ##516-event-id-name## ##516-syslog-type## 詳細については Alarm Fields 56

63 か and Rule Types の Host Alarm 列を参照してくださいイベントの SNMP タイプは何ですか ##516-SNMP-type## 詳細については SNMP Alarm Fields の Host Alarm 列を参照してください Connection to Tor Attempted これはどのようなセキュリティイベントですかこのこのイベントがトリガーされる場合何を意味していますか ToR( 正式には Onion ルータ ) はインターネット接続の匿名化に使用するネットワークであり ToR ネットワークを終了する前に複数のリレーを経由して接続を送信することで機能します ToR エントリノードは ToR 接続が ToR ネットワークを移動し終了する前に通過する最初のサーバですこのセキュリティイベントには StealthWatch システムによりモニタされており ToR エントリノードと通信しようとしたが接続の確立が成功したことが観測されていないホストが関わっていますユーザまたはマルウェアが指揮統制トラフィックを検出しようとした可能性がありますユーザによる操作の場合ユーザのトラフィックの宛先またはユーザの閲覧元のロケーションを難読化しようとしていた可能性があります ToR エントリノードの一部は他のサービスも動作するサーバで動作すると認識することが重要ですたとえば DuckDuc kgo は検索実行のためにアクセスするサーバで ToR エントリノードを実行しますこのセキュリティイベントに使用できるポリシー設定がありますかこのイベントはバリアンスベースまたはしきい値ベースのいずれですか ##513-variance-threshold-other-based## 57

64 このセキュリティイベントはカテゴリにどのように関与しますか送信元でセキュリティイベントが関与するアラームカテゴリはどれですかターゲットでセキュリティイベントが関与するアラームカテゴリはどれですか ##513-category-contribution-source## ##513-source-quantity## ##513-category-contribution-target## ##513-target-quantity## このセキュリティイベントのについてどのような情報が利用可能ですかイベント ID は何ですかイベントの syslog タイプは何ですかイベントの SNMP タイプは何ですか ##513-event-id-name## ##513-syslog-type## 詳細については Alarm Fields and Rule Types の Host Alarm 列を参照してください ##513-SNMP-type## 詳細については SNMP Alarm Fields の Host Alarm 列を参照してください Connection to Tor Successful これはどのようなセキュリティイベントですかこのこのイベントがトリガーされる場合何を意味していますか ToR( 正式には Onion ルータ ) はインターネット接続の匿名化に使用するネットワークであり ToR ネットワークを終了する前に複数のリレーを経由して接続を送信することで機能します ToR エントリノードは ToR 接 58

65 この続が ToR ネットワークを移動し終了する前に通過する最初のサーバですこのセキュリティイベントには StealthWatch システムによりモニタされており ToR エントリノードと通信しているホストが関わっていますユーザまたはマルウェアが指揮統制トラフィックを検出しようとした可能性がありますユーザによる操作の場合ユーザのトラフィックの宛先またはユーザの閲覧元のロケーションを難読化しようとしていた可能性があります ToR エントリノードの一部は他のサービスも動作するサーバで動作すると認識することが重要ですたとえば DuckDuc kgo は検索実行のためにアクセスするサーバで ToR エントリノードを実行しますこのセキュリティイベントに使用できるポリシー設定がありますかこのイベントはバリアンスベースまたはしきい値ベースのいずれですか ##514-variance-threshold-other-based## このセキュリティイベントはカテゴリにどのように関与しますか送信元でセキュリティイベントが関与するアラームカテゴリはどれですかターゲットでセキュリティイベントが関与するアラームカテゴリはどれですか ##514-category-contribution-source## ##514-source-quantity## ##514-category-contribution-target## ##514-target-quantity## このセキュリティイベントのについてどのような情報が利用可能ですか 59

66 イベント ID は何ですかイベントの syslog タイプは何ですかイベントの SNMP タイプは何ですか ##514-event-id-name## ##514-syslog-type## 詳細については Alarm Fields and Rule Types の Host Alarm 列を参照してください ##514-SNMP-type## 詳細については SNMP Alarm Fields の Host Alarm 列を参照してください Fake Application Detected これはどのようなセキュリティイベントですかこのこのイベントがトリガーされる場合何を意味していますか次に実行すべきステップは何ですかこの動作は多くの場合意図されたサービスではないサービスを使用して一般に許可されたポートからトラフィックを送信することにより人物またはアプリケーションが出力フィルタリングを回避しようとしている兆候ですまた TCP 8022 経由の SSH のようにセカンダリポートを使用するアプリケーションで起動する可能性がある標準以外のポートを使用する標準アプリケーションも見つかります調査の目的は関連フローを見つけ漏洩または指揮統制の兆候があるかどうかを判断することですこのイベントの調査の最初のステップはイベントに関連付けられているポートと関連するホストを検討することですたとえばターゲットホストがオフサイトバックアップサーバでありポート 8022 でイベントがトリガーされた場合懸念することはありません一方ターゲットホストになじみがなくポート 53 UDP 経由の非 DNS トラフィックが確認される場合詳しく調べる価値がありますこれはいくつかの方法で調査できますこのセキュリティイベントでは関連ポートがリストされますこのリストを使用して非常に限定的なフィルタを設定できますたとえば関係するポートを経由する関係する 2 つのホスト間のフローを抽出し適切なアプリケーションを使用するフローを除外する場合 ( 非 DNS のポート 53 UDP 経由のフローを検索するなど ) イベント発生の 60

67 この原因となったフローが見つかりますまた代わりにより一般的なクエリを実行しイベント日におけるイベントの送信元およびターゲットホストだけをフィルタ処理することが役立つ場合もありますこれによりポート / アプリケーションの不一致があるフロー以外のフローも見つかることがありますがそのようなフローの存在が調査において価値を持つ場合があります対象のフローを特定したら誤使用の兆候がないか宛先ホスト履歴およびデータボリュームを確認しますこのセキュリティイベントに使用できるポリシー設定がありますかこのイベントはバリアンスベースまたはしきい値ベースのいずれですか ##62-variance-threshold-other-based## このセキュリティイベントはカテゴリにどのように関与しますか送信元でセキュリティイベントが関与するアラームカテゴリはどれですかターゲットでセキュリティイベントが関与するアラームカテゴリはどれですか ##62-category-contribution-source## ##62-source-quantity## ##62-category-contribution-target## ##62-target-quantity## このセキュリティイベントのについてどのような情報が利用可能ですか 61

68 イベント ID は何ですかイベントの syslog タイプは何ですかイベントの SNMP タイプは何ですか ##62-event-id-name## ##62-syslog-type## 詳細については Alarm Fields and Rule Types の Host Alarm 列を参照してください ##62-SNMP-type## 詳細については SNMP Alarm Fields の Host Alarm 列を参照してください Flow_Denied ( 注 ) このセキュリティイベントに関連付けられているアラームに対する緩和策はありませんこれはどのようなセキュリティイベントですかこのこのイベントがトリガーされる場合何を意味していますか次に実行すべきステップは何ですかこれはコンテキストに大きく依存しますたとえばインターネット上のホストからのフロー拒否はたいてい特に単一のイベントとして興味深いものではありません内部ホストから内部ホストへのフロー拒否は内部から外部とは異なりますまた何度も繰り返し行われる同じホスト / ポートペアリングの試行はさまざまな宛先に対してブロックされることとは大きく異なります内部ホストで 1 つのポートを経由して別の内部ホストと対話する多数のフローが拒否されている場合は不良構成の可能性がありますさまざまなポートまたは内部ホストへのフローが多数拒否される場合は偵察である可能性がありますそれとは別にこれは興味深いものではないと判断していることをホストが実行している兆候ですインターネット上の内部ホストからブロックされたフローではどの規則を違反しようとしているのかというコンテキストが必要になりますがそれとは関係なくホストはセキュリティポリシーで実行すべきではないと決定していることを実行していますフロー否定を調査するための適切な方法はイベントの送信元ホストでセキュリティイベントクエリを実行することですイベント日に対してクエリを実行し最初のフロー拒否イベントの送信元になる送信元ホストを設定しその他のフロー拒否イベントのみを含めるタイプを設 62

69 この定しますこれによりホストのすべてのフロー拒否イベントが表示されるようになります返された結果からこれが 1 つの拒否フローであるのか同一ポートを経由する同一ホストへの多数の拒否フローであるのか同一ポートを経由する異なるホストへの多数の拒否フローであるのか同じホストグループへの多数の拒否フローであるのかなどを確認できますこれによりホストが実際に行っている動作を確認できますこのセキュリティイベントに使用できるポリシー設定がありますかこのイベントはバリアンスベースまたはしきい値ベースのいずれですか ##310-variance-threshold-other-based## このセキュリティイベントはカテゴリにどのように関与しますか送信元でセキュリティイベントが関与するアラームカテゴリはどれですかターゲットでセキュリティイベントが関与するアラームカテゴリはどれですか ##310-category-contribution-source## ##310-source-quantity## ##310-category-contribution-target## ##310-target-quantity## このセキュリティイベントのについてどのような情報が利用可能ですか 63

イベント ID は何ですかイベントの syslog タイプは何ですかイベントの SNMP タイプは何ですか ##310-event-id-name## ##310-syslog-type## 詳細については Alarm Fields and Rule Types の Host Alarm 列を参照してください ##310-SNMP-type## 詳細については SNMP Alarm

70 イベント ID は何ですかイベントの syslog タイプは何ですかイベントの SNMP タイプは何ですか ##310-event-id-name## ##310-syslog-type## 詳細については Alarm Fields and Rule Types の Host Alarm 列を参照してください ##310-SNMP-type## 詳細については SNMP Alarm Fields の Host Alarm 列を参照してください Frag: Packet_Too_Long** ( 注 ) このセキュリティイベントに関連付けられているアラームに対する緩和策はありませんこれはどのようなセキュリティイベントですかこのこのイベントはどのような動作によって引き起こされますかこのイベントがトリガーされる場合何を意味していますか次に実行すべきステップは何ですか最大パケット長を超えるようなフラグメント値を伴うパケットが見つかった場合送信元ホストでセキュリティイベントがトリガーされます IP パケットのフラグメンテーション値が無効であることは通常はありませんそのような事例が見つかった場合はパケットの宛先のマシンに関する情報収集を目的として意図的に行われている可能性がありますというのもオペレーティングシステムやバージョンが異なればが異なる可能性があるからですこのイベントのソースが内部ホストである場合これ以外の偵察活動の兆候を探す価値がありますたとえ 64

71 このばホストは無効なフラグメントを複数のホストに送信していないでしょうか同じポートで多数のホストをスキャンしていないでしょうか 1 つのホスト上で多数のポートをスキャンしていないでしょうか内部ホストによる偵察があればそれは望ましくないアクティビティや侵害の兆候として捉えることができます非標準のフローデータが必要ですか ( FlowSensor プロキシファイアウォールなど ) 注記 Flow Collector NetFlow エディションでは FlowSensor が必要です Flow Collector sflow では必要な追加コンポーネントは特にありません該当なしこのセキュリティイベントに使用できるポリシー設定がありますかこのセキュリティイベントがトリガーされるために必要なポリシー設定は何ですかデフォルトでこのイベントがオンであるポリシーはどれですかデフォルトでこのイベントがオフであるポリシーはどれですかデフォルトでこのアラームがオンであるポリシーはどれですかデフォルトでこのアラームがオフであるポリシーはどれですかこのイベントは調整可能ですか送信元ホストでセキュリティイベント Frag:Packet_ Too_Long を有効にする必要があります [ 内部ホスト ( Inside Hosts) ] [ 外部ホスト ( Outside Hosts) ] [ クライアント IP( Client IP) ] ポリシー [ ウイルス対策および SMS サーバ ( Antivirus & SMS Servers) ] [ ファイアウォールプロキシおよび NAT デバイス ( Firewalls, Proxies, & NAT Devices) ] [ ネットワーク管理およびスキャナ ( Network Management & Scanners) ] なし [ 内部ホスト ( Inside Hosts) ] [ 外部ホスト ( Outside Hosts) ] [ クライアント IP( Client IP) ] ポリシー [ ウイルス対策および SMS サーバ ( Antivirus & SMS Servers) ] [ ファイアウォールプロキシおよび NAT デバイス ( Firewalls, Proxies, & NAT Devices) ] [ ネットワーク管理およびスキャナ ( Network Management & Scanners) ] なし 65

72 このイベントはバリアンスベースまたはしきい値ベースのいずれですか既定値と単位は何ですか許容値最小しきい値最大しきい値バリアンスベースではないパラメータを使用してイベントを調整できますか該当する場合調整可能な属性と単位は何ですか通常のポリシーエディタを使用せずにイベントを調整できますか該当する場合調整可能な値の代替ロケーションは何ですかイベントにデフォルトの緩和策が設定されていますか該当する場合それは何ですか ##282-variance-threshold-other-based## 該当なし該当なし該当なし該当なし該当なし該当なし該当なし該当なし該当なしこのセキュリティイベントはカテゴリにどのように関与しますかイベントの送信元は何ですかターゲットは何ですかイベントのトリガーを引き起こすポリシーはどれですか送信元でセキュリティイベントが関与するアラームカテゴリはどれですか不正なパケットを送信したホスト不正なパケットの宛先としてリストされたホスト送信元ホストポリシー ##282-category-contribution-source## 66

73 ターゲットでセキュリティイベントが関与するアラームカテゴリはどれですか ##282-source-quantity## ##282-category-contribution-target## ##282-target-quantity## StealthWatch システムユーザインターフェイスではこのイベントに関してどのような情報が利用可能ですかアラームの詳細にはどのような情報が表示されますかアラームの詳細をクリックすると何が表示されますか関連フローについてどのような情報が表示されますか Web アプリケーション UI の詳細列に [ 詳細を表示 ( View details) ] が表示されます SMC クライアントインターフェイスには何も表示されません Web アプリケーション UI には送信元ホストのセキュリティイベントが表示されます SMC クライアントインターフェイスには何も表示されません Web アプリケーション UI のインターフェイスには何も表示されません SMC クライアントインターフェイスには直近 5 分間に当該フローを観測したフローコレクタからのフローが表示されますこのセキュリティイベントのについてどのような情報が利用可能ですかイベント ID は何ですかイベントの syslog タイプは何ですかイベントの SNMP タイプは何ですか ##282-event-id-name## ##282-syslog-type## 詳細については Alarm Fields and Rule Types の Host Alarm 列を参照してください ##282-SNMP-type## 詳細については SNMP Alarm Fields の Host Alarm 列を参照してください 67

74 Frag: Packet_Too_Short** ( 注 ) このセキュリティイベントに関連付けられているアラームに対する緩和策はありませんこれはどのようなセキュリティイベントですかこのこのイベントはどのような動作によって引き起こされますかこのイベントがトリガーされる場合何を意味していますか次に実行すべきステップは何ですか非標準のフローデータが必要ですか ( FlowSensor プロキシファイアウォールなど ) フラグメンテーションの長さが非常に短いためプロトコルヘッダーが切り捨てられているパケットが見つかった場合送信元ホストでセキュリティイベントがトリガーされます IP パケットのフラグメンテーション値が無効であることは通常はありませんそのような事例が見つかった場合はパケットの宛先のマシンに関する情報収集を目的として意図的に行われている可能性がありますというのもオペレーティングシステムやバージョンが異なればが異なる可能性があるからですこのイベントのソースが内部ホストである場合これ以外の偵察活動の兆候を探す価値がありますたとえばホストは無効なフラグメントを複数のホストに送信していないでしょうか同じポートで多数のホストをスキャンしていないでしょうか 1 つのホスト上で多数のポートをスキャンしていないでしょうか内部ホストによる偵察があればそれは望ましくないアクティビティや侵害の兆候として捉えることができます Flow Collector NetFlow エディションでは FlowSensor が必要です Flow Collector sflow では必要な追加コンポーネントは特にありません 68

75 この注記該当なしこのセキュリティイベントに使用できるポリシー設定がありますかこのセキュリティイベントがトリガーされるために必要なポリシー設定は何ですかデフォルトでこのイベントがオンであるポリシーはどれですかデフォルトでこのイベントがオフであるポリシーはどれですかデフォルトでこのアラームがオンであるポリシーはどれですかデフォルトでこのアラームがオフであるポリシーはどれですかこのイベントは調整可能ですかこのイベントはバリアンスベースまたはしきい値ベースのいずれですか既定値と単位は何ですか許容値最小しきい値最大しきい値送信元ホストでセキュリティイベント Frag:First_Too_ Short を有効にする必要があります [ 内部ホスト ( Inside Hosts) ] [ 外部ホスト ( Outside Hosts) ] [ クライアント IP( Client IP) ] ポリシー [ ウイルス対策および SMS サーバ ( Antivirus & SMS Servers) ] [ ファイアウォールプロキシおよび NAT デバイス ( Firewalls, Proxies, & NAT Devices) ] [ ネットワーク管理およびスキャナ ( Network Management & Scanners) ] なし [ 内部ホスト ( Inside Hosts) ] [ 外部ホスト ( Outside Hosts) ] [ クライアント IP( Client IP) ] ポリシー [ ウイルス対策および SMS サーバ ( Antivirus & SMS Servers) ] [ ファイアウォールプロキシおよび NAT デバイス ( Firewalls, Proxies, & NAT Devices) ] [ ネットワーク管理およびスキャナ ( Network Management & Scanners) ] なし ##281-variance-threshold-other-based## 該当なし該当なし該当なし 69

76 バリアンスベースではないパラメータを使用してイベントを調整できますか該当する場合調整可能な属性と単位は何ですか通常のポリシーエディタを使用せずにイベントを調整できますか該当する場合調整可能な値の代替ロケーションは何ですかイベントにデフォルトの緩和策が設定されていますか該当する場合それは何ですか該当なし該当なし該当なし該当なし該当なし該当なしこのセキュリティイベントはカテゴリにどのように関与しますかイベントの送信元は何ですかターゲットは何ですかイベントのトリガーを引き起こすポリシーはどれですか送信元でセキュリティイベントが関与するアラームカテゴリはどれですかターゲットでセキュリティイベントが関与するアラームカテゴリはどれですか不正なパケットを送信したホスト不正なパケットの宛先としてリストされたホスト送信元ホストポリシー ##281-category-contribution-source## ##281-source-quantity## ##281-category-contribution-target## ##281-target-quantity## StealthWatch システムユーザインターフェイスではこのイベントに関してどのような情報が利用可能ですか 70

77 アラームの詳細にはどのような情報が表示されますかアラームの詳細をクリックすると何が表示されますか関連フローについてどのような情報が表示されますか Web アプリケーション UI の詳細列に [ 詳細を表示 ( View details) ] が表示されます SMC クライアントインターフェイスには何も表示されません Web アプリケーション UI には送信元ホストのセキュリティイベントが表示されます SMC クライアントインターフェイスには何も表示されません Web アプリケーション UI のインターフェイスには何も表示されません SMC クライアントインターフェイスには直近 5 分間に当該フローを観測したフローコレクタからのフローが表示されますこのセキュリティイベントのについてどのような情報が利用可能ですかイベント ID は何ですかイベントの syslog タイプは何ですかイベントの SNMP タイプは何ですか ##281-event-id-name## ##281-syslog-type## 詳細については Alarm Fields and Rule Types の Host Alarm 列を参照してください ##281-SNMP-type## 詳細については SNMP Alarm Fields の Host Alarm 列を参照してください Frag: Sizes_Differ** ( 注 ) このセキュリティイベントに関連付けられているアラームに対する緩和策はありません 71

これはどのようなセキュリティイベントですかこのこのイベントはどのような動作によって引き起こされますかこのイベントがトリガーされる場合何を意味していますか次に実行すべきステップは何ですか非標準のフローデータが必要ですか ( FlowSensor プロキシファイアウォールなど ) 注記パケットのフラグメンテーションサイズがセグメント間で異なる場合

78 これはどのようなセキュリティイベントですかこのこのイベントはどのような動作によって引き起こされますかこのイベントがトリガーされる場合何を意味していますか次に実行すべきステップは何ですか非標準のフローデータが必要ですか ( FlowSensor プロキシファイアウォールなど ) 注記パケットのフラグメンテーションサイズがセグメント間で異なる場合送信元ホストでセキュリティイベントがトリガーされます IP パケットの各セグメントのフラグメンテーションサイズが異なることは通常はありませんそのような事例が見つかった場合は経路上のパケット検査ツールを回避する目的で意図的に行われている可能性がありますこのイベントのソースが内部ホストである場合これ以外の偵察活動の兆候を探す価値がありますたとえばホストは無効なフラグメントを複数のホストに送信していないでしょうか同じポートで多数のホストをスキャンしていないでしょうか 1 つのホスト上で多数のポートをスキャンしていないでしょうか内部ホストによる偵察があればそれは望ましくないアクティビティや侵害の兆候として捉えることができます Flow Collector NetFlow エディションでは FlowSensor が必要です Flow Collector sflow では必要な追加コンポーネントは特にありません該当なしこのセキュリティイベントに使用できるポリシー設定がありますか 72

Stealthwatch セキュリティ イベントおよびアラーム カテゴリ

Stealthwatch セキュリティイベントおよびアラームカテゴリ