ホワイトブラックリスト作成ツールの操作名“通信(TCP・ACCEPT)”の出力内容について、具体例を挙げて説明してください。
以下の例は、nc.exe(リモート操作ツール)にてポート番号5555を開けるタイミングで、不正な動作と検知(通信 ACCEPT)された際の“通信”の履歴例になります。
履歴例は表示モードが“全て表示する”、リストモードが“分割モード”での表示内容になります。ホワイトブラックリスト作成ツールの[表示]-[表示モード]-[全てを表示]、[表示]-[リストモード]-[分割モード]で切り替わります。
なお、[表示]-[リストモード]-[H4Eモード]で表示すると、“どこから(どのように)”“何が”“どこへ(何を)”“何した”の形式で分かりやくす表示されますので、合わせてご確認ください。
<履歴内容>
項目 | 履歴例 |
アプリ設定 | アプリホワイトリスト(予定) |
動作設定 | 未設定 |
日付 | 2015/04/15 15:48:023 |
親プロセス名 | cmd.exe |
親プロセス種別 | コマンドプロンプト |
パス | C:\Users\<.\*>\Desktop\nc.exe |
ファイル名 | nc.exe |
スクリプト名 | |
インタプリタ名 | |
起動場所 | |
会社名 | Jernej Simoncic - Open Source Developer |
デジタル署名 | 署名有 |
パス説明 | 通信 |
対象パス | 0.0.0.0\5555 |
操作名 | 通信(TCP・ACCEPT) |
種類 | DeP履歴(設定対象):警告パネルが表示される操作が検知されました |
追加情報 | [TCP][ACCEPT][][0.0.0.0]\5555 |
備考 | |
バージョン | |
ファイルサイズ | 36528.0 |
更新日付 | 2015-03-23 11:30:00 +0900 |
ハッシュ値 | b3b207dfab2f429cc352ba125be32a0cae69fe4bf8563ab7d0128bba8c57a71c |
大項目 | |
中項目 | |
小項目 | |
マシン名 | PC0010 |
ユーザ名 | UserID |
<説明>
・不正な動作と検知された(通信 ACCEPT)プログラムのファイル名は、ファイル名欄に表示されます。
→ nc.exe
・パス欄にはnc.exeのパスが表示されます。
→C:\Users\<.\*>\Desktop\nc.exe
・nc.exe(リモート操作ツール)を起動したプロセスは、親プロセス欄に表示されます。
→cmd.exe
・親プロセスについて説明がある場合は、親プロセス種別に表示されます。
→ブラウザー
・nc.exe(リモート操作ツール)の情報(プロパティ情報等)が以下のように表示されます。
会社名:Jernej Simoncic - Open Source Developer
デジタル署名:署名有
バージョン:
ファイルサイズ:36,528 (単位バイト)
更新日付:2015/3/23 11:30:00
ハッシュ値:
・不正な動作と検知されユーザー、マシン、日付は以下のように表示されます。
ユーザ名:UserID
マシン:PC0010
日付:2015/04/15 15:49:051
・操作名欄には、カッコ“()”内に通信方法、通信プロトコル、動作種別が表示されます。
→ 通信(アップロード・TCP・SEND)
書式:通信([通信方法]・[通信プロトコル]・[動作種別])
通信方法…“メール送信”“アップロード”“FTPプロトコル”“SSHプロトコル”“telnetプロトコル”“DNSプロトコル”
“DHCPプロトコル”“IMAP4プロトコル”“SMBプロトコル”“FTPSプロトコル”または“POP3プロトコル”
“遠隔操作関連”
通信プロトコル…TCPまたはUDP
動作種別…CONNECT、SENDまたはACCEPT
CONNECT…クライアントがサーバに接続するタイミングで出力されます。
SEND…実際にデータが送信されるタイミングで出力されます。
ACCEPT…ポートを開けて待機中またはポートに対して接続があったタイミングで出力されます。
・追加情報欄には、通信プロトコル、動作種別、ドメイン名、IPアドレスおよびポート番号が表示されます。
→[TCP][ACCEPT][][0.0.0.0]\5555
IPアドレスが"0.0.0.0"で動作種別が"ACCEPT"の場合、ポート(5555)をオープンした意味になります。Local Address("0.0.0.0")以外のIPアドレスが表示されている場合は、そのIPアドレスから接続があったという意味になります。
例: オープンしている5555ポートに対して、IPアドレス192.168.1.135が接続
[TCP][ACCEPT][][192.168.1.135]\5555
書式:[通信プロトコル][動作種別][ドメイン名][IP アドレス]\[ポート番号]
通信プロトコル…TCPまたはUDP
動作種別…CONNECT、SENDまたはACCEPT
CONNECT…クライアントがサーバに接続するタイミングで出力されます。
SEND…実際にデータが送信されるタイミングで出力されます。
ACCEPT…ポートを開けて待機中またはポートに対して接続があったタイミングで出力されます。
・対象パス欄には、ホワイトブラックリストに登録する際の"IPアドレス\ポート番号"が表示されます。
→0.0.0.0\5555
・パス説明欄には、ホワイトブラックリストに登録する際の対象パスの値が表示されます。
→通信
・ホワイトブラックリストへ追加するべきかの補足情報については以下に表示されます。
アプリ設定:アプリホワイトリスト(予定)
動作設定:未設定
種類 :DeP履歴(設定対象):警告パネルが表示される操作が検知されました
更新日時:2016/04/01
NO:DB00130115