ボットネット C&C通信を検出する

IPレピュテーション機能を搭載したFirewall(UTM)機器では、内部通信から外部への通信をモニタリングし、不正な通信が無いかモニタリングすることができ、不正な宛先への通信が発生した際には、通信を自動でブロックすることができる便利な機能があります。

IPレピュテーション機能とは、悪意のあるサイトやハッキング(クラッキング)を行なった形跡のあるIPアドレスの脅威分析を行い各機器ベンダーあるいはセキュリティベンダーより提供されている情報になりますが、Firewall(UTM)機器へも定期的に情報が配信され最新のIPレピュテーション情報を元に通信先の脅威分析を行なうことができる機能です。 この機能を利用すれば、脅威のあるサイトへアクセスしようとした際に通信を自動的に遮断し、ログとして証跡が残ります。

人(社員)によって起こした不正な通信であれば、対象者に対して注意喚起によって再発防止することが可能ですが、もしマルウェアによる通信であった場合、不正通信は繰り返される可能性があるので、不正な通信をFirewallによって自動的に遮断したからといって、安心してはいけません。不正通信を繰り返す前に、通信元/感染元の端末を検出し、マルウェアを駆除 あるいは OSを初期化する必要がありますが、すぐに通信元/感染元の端末を遮断しなければ、横感染や内部の重要情報が入ったサーバーを完全に乗っ取るなどといった最悪のケースが発生してしまいます。

このような不正な通信があったことをFirewallのログをリアルタイムに監視できるような人的リソースがあればいいのですが、別の業務と兼業であったり十分に人的リソースを割けないようなケースでは、重要イベントが発生した際にアラート通知機能によって把握する仕組みが必要となります。

ManageEngine Firewall Analyzerでは、受信したログが設定したアラート条件にあえばアラートとしてメール通知やプログラム実行を行なうことが可能です。

設定例として、以下のようなログを受信した際にアラートをあげる設定を行います。
Fortigateから出力されたログを例としていますが、actionフィールドの値が blocked 、virusというフィールドが存在し値があった際にアラート通知する設定を行います。

<188>date=2016-10-21 time=21:55:38 devname=FG100Dxxxxx devid=FG100Dxxxxx logid=0202009248 type=utm subtype=virus eventtype=botnet level=warning vd=”root” msg=”Botnet C&C Communication.” action=blocked sessionid=118435 srcip=192.168.xx.xxx dstip=2xx.7x.1xx.2xx srcport=52114 dstport=80 srcintf=”lan” policyid=6 proto=6 direction=outgoing quarskip=No-skip virus=”XXXXX” dtype=”ip-reputation” ref=”http://www.fortinet.com/be?bid=7630162″ virusid=7630162 profile=”default” user=”test” group=”FirewallAnalyzer” analyticssubmit=false crscore=50 crlevel=critical

アラートを定義する際は、Firewall Analyzerへ管理者ユーザーでログイン後、[アラート] > [+追加] をクリックしプロファイルを追加します。　設定内容は以下の図をご参照ください。

図：アラートプロファイル設定

その結果、アラートしては以下のようなメールが送られてきます。

図：アラートメール本文

Firewall Analyzerを使用することで、Firewall(UTM)機器が脅威として検知したログをアラートとして通知することによりネットワーク管理者が次のアクションを迅速に行えるようになります。

もし、ご興味がありましたら、以下のリンクより30日間無料で評価できる評価版をダウンロードできますので、是非お試しください！
評価版ダウンロードURL：https://www.manageengine.jp/products/Firewall_Analyzer/download.html