目次

Webshell List

Webshell Listは、エージェントが顧客のサーバで検知したウェブシェル行為を確認して管理できるメニューです。

ウェブシェル行為かどうかを判断して対応するうえで参考になる、ウェブシェル行為が検知されたサーバ情報、検知時間、プロセス情報、攻撃者と疑われるIP情報などを確認できます。

また、検知されたウェブシェル行為を発生させたウェブシェルと疑われるファイルリストとともに、隔離/復旧できる機能と、検知されたウェブシェル行為をもとに簡単に例外処理できる機能を提供します。

詳細内容を見る

security-17-122

  • 検知されたウェブシェル行為の項目をクリックすると、「詳細情報」が表示されます。

  • 「詳細情報」では、親プロセスの情報と実行アカウントなど追加的な内容を確認できます。

確認未確認

security-17-123

  1. 新たに検知されたウェブシェル行為項目は、お客様が簡単に確認できるようにfont colorがredに適用され表記されます。
  2. 「疑わしいファイル」を隔離したり、「確認」項目にcheckを入れると、お客様が確認したという意味でfont colorのredが解除されます。
  3. 「確認」項目のcheckを解除すると、再びfont colorがredに適用されます。 必要に応じて活用できます。

メモを作成する

security-17-124

  • ウェブシェル行為検知項目の「詳細情報」で、項目に対し「メモ」を残すことができます。

疑わしいファイルを見る

security-17-125

security-17-126

  • 検知されたウェブシェル行為と、それに関連したウェブシェルと疑われるファイルリストを確認できます。
  • 「疑わしいファイル」項目の「見る」ボタンをクリックするか、項目を選択した後「ファイル隔離/復旧」ボタンをクリックすると、「疑わしいファイルリスト」を確認できます。

security-17-127

  • 疑わしいファイルリストでファイル項目をクリックすると、当該ファイルの「詳細情報」を確認できます。
  • ファイル名からファイルサイズ、権限、所有者などまで詳しい情報を確認できます。

疑わしいファイルの隔離復旧

security-17-128

  • ウェブシェルと疑われるファイルを、サーバにアクセスせずにコンソールで隔離または復旧できます。

security-17-129

  • 検知されたウェブシェル行為と疑わしいファイルの「詳細情報」を確認してウェブシェルと判断された場合、「ファイル隔離」をクリックしてファイルを隔離できます。
  • 正常なファイルを隔離するとサービス障害が発生する可能性があるため、慎重に行ってください。

security-17-130

  1. ファイル隔離の際は、隔離されたものと同じパスで攻撃者が類推しにくいファイル名で隔離されます。
    例:/var/www/html/uploads/webshell.php.webshell_20200320012000.BC98D127F4
  2. ファイルを隔離すると「ファイル隔離」ボタンは「ファイル復旧」ボタンに変わります。
  3. 隔離されたファイルを復旧すると「復旧時間」が表記され、当該ページではそれ以上、当該ファイルに対してファイルの隔離または復旧は行えません。

疑わしいIPを見る

security-17-131

security-17-132

  • 検知されたウェブシェル行為に関連した攻撃者と疑われるIPリストを確認できます。
  • 「疑わしいIP」項目の「見る」ボタンをクリックすると、「疑わしいIPリスト」でIPと国情報を確認できます。

  • ウェブシェル行為かどうかを判断したり、攻撃者のIP遮断などの対応をする際、「攻撃者と疑われるIPリスト」を活用できます。

検知履歴の削除

security-17-133 security-17-134

  • 検知されたウェブシェル行為を選択してから「検知履歴の削除」ボタンをクリックすると、削除できます。

例外処理

security-17-135

  • 検知されたウェブシェル行為を選択してから「例外処理」ボタンをクリックします。

security-17-136

  • 選択したウェブシェル行為の情報をもとに、簡単に例外ルールが設定できるポップアップを利用できます。

  • 当該機能は、検知されたウェブシェル行為をもとに、簡単かつ正確なルールを追加できるように設定できる条件を制限した機能です。

  • 例外対象は、エージェントがインストールされたサーバを単一選択でき、サーバグループやすべてのサーバを対象に指定することもできます。

  • 例外ルールの条件をすべて満たすウェブシェル行為のみ(AND条件)例外処理されます。
    例外ルールを作成する際に選択できる条件は、以下のように構成されています。

    ==:完全に一致する場合
    START:入力した文字列で始まる場合
    END:入力した文字列で終わる場合
    NOT USE:当該条件を使用しない場合

    ※ NOT USEを使用すると、例外処理される対象の範囲が広がります。 当該条件は慎重に使用することをお勧めします。

  • 細かい例外処理ルールの設定は、Excepted Listメニューを利用して行えます。

に対する検索結果は~件です。 ""

    に対する検索結果がありません。 ""

    処理中...