目次

開始する前に

Webshell Behavior Detectorサービスを利用するには、検知対象を登録し、エージェントをインストールする必要があります。

サービス利用は以下のような流れで行われます。

  1. サービス利用申請と検知対象登録

  2. エージェントのインストールと実行エージェントのインストールと実行ガイド

  3. サービス利用の案内

    • 通知頻度に合わせてIntervalを設定
    • 検知されたウェブシェル行為への対応と管理
    • サーバ環境に合わせて例外を設定

1. サービス利用申請と検知対象登録

security-17-102

  • コンソールにアクセスしてProducts & Services > Security > Webshell Behavior Detectorメニューに移動し、「商品の利用の申請」をクリックします。

security-17-103

  • 利用規約に同意します。

security-17-104

  • 「検知対象登録」ページに移動します。

security-17-105

  1. 検知対象として登録するサーバを選択します。 (選択できるサーバがない場合、まずサーバを作成してから利用します。)
  2. サーバ環境に合わせて選択します。 二つの環境にすべて該当する場合、両方選択します。

security-17-106

  1. 選択したサーバ環境に合わせてウェブルートとアップロードディレクトリを入力します。
  2. ウェブルートは必須入力要素です。
  3. パスを入力する際、「追加」ボタンをクリックすると入力が完了します。
  4. パスが複数の場合はすべて入力し、パスが重なる場合は上位パスだけ入力します。
  5. 画面の「例」のように絶対パスを入力してください。

security-17-107 security-17-108

  • 検知対象で発生するウェブシェル行為の通知を受け取る対象者と媒体を選択します。

security-17-109

  • 必要に応じて検知対象に対してメモを残します。 追って修正もできます。

security-17-110

  • 正しく入力したか確認した後、検知対象登録を完了します。

    ※ 検知対象登録の際、エージェントは「有効化」に設定されます。
    ※ エージェントをインストールするとエージェントが自動的に実行され、正常に実行された時から課金が始まります。
    ※ 課金を望まない場合は、「Detection Setting > Configuration」で検知対象を選択してから「無効化」に設定します。
    エージェントが無効化した時点から課金は停止します。

2. エージェントのインストールと実行

security-17-111

検知対象登録を完了したら、エージェントのインストールと実行ガイドを参考にしてエージェントをインストールします。

3. サービス利用の案内

通知頻度に合わせてIntervalを設定

security-17-112

  • ウェブシェル行為の特性上、短時間で多くのコマンドが実行される場合があります。 実行されるコマンドごとに通知を送信すると過度な通知が発生することがありますが、Interval設定を通じてそれを防止できます。
  • Intervalで設定した時間内に一回のウェブシェル検知通知のみ送信し、基本値は10分で、サーバ環境に合わせて設定します。
  • サーバ環境に適応する必要のあるサービス利用初期には、比較的たくさんの通知が発生することがあるため、利用期間に応じてIntervalを適切に調整することをお勧めします。
  • Intervalは、ウェブシェル行為検知の通知のみ該当します。

検知されたウェブシェル行為への対応と管理

ウェブシェル行為が検知されると、設定した媒体(Email/SMS)を通じて通知が送信され、詳細情報はコンソールで確認できます。

ウェブシェル行為発生の確認

security-17-113

  1. 新たに検知されたウェブシェル行為に対し、お客様が簡単に確認できるようにfont colorがredで表記されます。
  2. 「確認」処理を通じてfont color設定を解除したり、「疑わしいファイルの隔離」を行うと、font colorが自動的に解除されます。

ウェブシェル行為の詳細情報の確認

security-17-114

  • Webshell Behavior Detectorは、ウェブシェル行為の発生をリアルタイムに確認でき、ウェブシェル攻撃かどうかの判断に参考になる様々な情報を提供します。
  • プロセス実行履歴情報を提供
  • ウェブシェルと疑われるファイル
  • 攻撃者と疑われるIPと国情報

ウェブシェル攻撃への対応

security-17-115 security-17-117

  • ウェブシェルと疑われる場合、コンソールで「ファイル隔離」機能を通じて、サーバにアクセスせずにファイルを隔離できます。

security-17-116

  • 「疑わしいIP」を参考にして、攻撃者のウェブサービスへのアクセスを遮断するのに参考にできます。
  • ウェブシェル攻撃に対する根本的な防御にはなりませんが、ウェブシェルがアップロードされた経緯を分析して対応する時間を確保する方法の一つとして活用できます。

ウェブシェル行為の履歴管理

ウェブシェル行為の履歴を管理できるように「確認」、「メモ」、「削除」、「例外処理」などの機能を提供します。

security-17-118

  1. 確認機能:「確認する対象」または「確認済みの対象」という意味で使用できる機能です。
  2. メモ機能:検知されたウェブシェル行為に対してメモを作成し、管理するうえで参考にできる機能です。
  3. 削除機能:不要なウェブシェル行為である場合、履歴から削除できる機能です。
  4. 例外処理機能:検知されたウェブシェル行為に対して例外処理が必要な場合、例外ルール作成とともにexcepted listに移動させる機能です。

サーバ環境に合わせて例外を設定

Webshell Behavior Detectorは、強固な行動ベースの検知技法でウェブシェル行為を検知するサービスです。

いろいろな顧客の様々なウェブサービス環境でも高いウェブシェル検知率を発揮できます。しかし、ウェブサービスではありませんがウェブインターフェースを提供する様々なソフトウェアを、ウェブシェル行為と誤検知する場合があります。 また、ウェブサービスを用いた予約作業など、顧客が意図した作業をウェブシェル行為と誤検知する場合があります。

様々な顧客を対象にサービスを提供する立場から、意図した作業の行為とウェブシェル行為を区分するのは簡単ではありませんが、例外設定機能を通じて顧客のサーバに合わせてカスタマイズし、強固なウェブシェル検知サービスを利用できます。

例外設定は、以下のような方法で行うことができます。

  1. 検知されたウェブシェル行為を基盤に例外ルールを作成する
  2. 新しい例外ルールを作成する
  3. 過去に追加した例外ルールを基盤に例外ルールを作成する

1. 検知されたウェブシェル行為を基盤に例外ルールを作成する

security-17-119

  • 例外処理する検知されたウェブシェル行為を選択して、簡単に例外ルールを作成できます。

2. 新しい例外ルールを作成する

security-17-120

  • 新しい例外ルールを作成する方法で、検知されたウェブシェル行為をもとに作成するより手間はかかるかも知れませんが、自由にルールを作成でき、ウェブシェル行為として検知される前に先制的に例外処理できます。

3. 過去に追加した例外ルールを基盤に例外ルールを作成する

security-17-121

  • 同じような例外ルールを複数作成する必要がある場合、過去に作成した例外ルールをコピーして簡単に作成できます。

4. 検知対象の登録解除

security-17-121-1 security-17-121-2

  • 「検知対象の解除」ボタンを通じて、検知対象から解除できます。
  • 検知対象から解除するとウェブシェル攻撃の危険にさらされるため、慎重に行ってください。 エージェントは自動的に終了され、その後は課金されません。
  • 検知対象に対して一時的にサービスを利用しない場合は「無効化」することをお勧めします。 「無効化」すると課金されず、後に簡単に「有効化」できます。

5. サービス利用の解除

security-17-121-3 security-17-121-4

  • 「商品の利用の解除」機能を通じて、商品の利用を解除できます。
  • 商品の利用を解除すると、設定されたすべての検知対象は一括解除され、その後は課金されません。
  • Webshell Behavior Detectorサービスを利用して設定、生産、保存したすべてのデータが削除され、ウェブシェル攻撃の危険にさらされるため、慎重に行ってください。

に対する検索結果は~件です。 ""

    に対する検索結果がありません。 ""

    処理中...