すべてのプロダクト
Search
ドキュメントセンター

Cloud Firewall:IPS 機能の概要

最終更新日:Jul 01, 2026

Cloud Firewall のデフォルトの侵入防止システム (IPS) は、攻撃、脆弱性の悪用、ブルートフォース攻撃、ワーム、マイニングプログラム、トロイの木馬、DoS 攻撃によって生成される悪意のあるトラフィックをリアルタイムで積極的に検知し、ブロックします。これにより、クラウド上の企業情報システムとネットワークアーキテクチャを攻撃から保護し、不正アクセスやデータ漏えいを防ぎ、業務システムやアプリケーションの損傷や障害を防ぎます。

クラウドベースの一般的なサイバー攻撃

クラウド環境では、企業は開発環境、本番環境、データプラットフォームなど、パブリックインターネットに公開されたり、内部ネットワーク通信を促進したりする重要な業務システムをデプロイすることがよくあります。これらのシステムは、さまざまなサイバーセキュリティの脅威に直面しています。攻撃者はこれらのネットワークチャネルを悪用して侵入や不正アクセスを行い、データ侵害、サーバーリソースの枯渇、サービス中断を引き起こす可能性があります。

一般的なサイバー攻撃の種類は次のとおりです:

  • マルウェア攻撃:攻撃者はユーザーを騙してウイルス、ワーム、トロイの木馬などの悪意のあるソフトウェアをダウンロードさせ、クラウドサーバーに感染させます。これにより、持続的な制御を確立したり、ネットワーク内で水平移動したりすることが可能になります。

  • ポートスキャンとブルートフォース攻撃:攻撃者は自動化ツールを使用してオープンポートをスキャンし、ブルートフォース攻撃によってシステムログイン認証情報を取得しようとします。侵入に成功すると、多くの場合、トロイの木馬のバックドア、マイニングプログラム、またはランサムウェアをデプロイします。

  • Web アプリケーションの脆弱性攻撃:これには、SQL インジェクション、クロスサイトスクリプティング (XSS)、クロスサイトリクエストフォージェリ (CSRF)、リモートコード実行 (RCE) などが含まれます。攻撃者はアプリケーションの欠陥を悪用して、データを盗んだり、コンテンツを改ざんしたり、システム権限を取得したりします。

  • レイヤー 4 プロトコル脆弱性攻撃:これらの攻撃は、トランスポート層 (TCP/UDP など) のプロトコルスタックの脆弱性を標的とし、サービス拒否や権限昇格につながる可能性があります。

  • データベース攻撃:これらの攻撃は、Redis や MySQL などのデータベースサービスの不正アクセスや設定の不備を標的とし、データを盗んだり、悪意のあるコマンドを注入したりします。

  • コマンド実行とリバースシェル:攻撃者はシステムやアプリケーションの脆弱性を悪用して、任意のコマンドを実行したり、アウトバウンドのリバース接続 (リバースシェル) を確立したりして、境界防御をバイパスし、リモートコントロールを実現します。

これらのリスクに効果的に対抗するために、企業は多層防御戦略を実装する必要があります。これには、Cloud Firewall の有効化、ネットワークセキュリティ設定の強化、脆弱性の迅速なパッチ適用などが含まれ、業務システムのセキュリティと可用性を確保します。

Cloud Firewall の IPS 機能

Alibaba Cloud の Cloud Firewall は、侵入防止システム (IPS) を統合しており、リアルタイムのトラフィック検査、仮想パッチ、アウトバウンドの脅威保護、脅威インテリジェンスの相関分析、インテリジェント分析モデルを使用して、クラウドワークロードを効率的かつ正確に保護します。

主な機能は次のとおりです:

  • 脆弱性の悪用ブロック:5,000 を超える組み込みの基本防御ルールと仮想パッチにより、Cloud Firewall は既知の脆弱性の悪用を迅速にブロックし、攻撃ウィンドウを大幅に削減します。

  • 仮想パッチ:パッチが適用されていない業務システムに対して、Cloud Firewall は 3 時間以内に保護ポリシーを提供します。システムパッチのインストールやサービスの再起動は必要ありません。この機能は、高リスクおよびゼロデイ脆弱性からのリスクを軽減するのに役立ちます。

  • アウトバウンドの悪意のあるトラフィックからの保護:侵害されたホストから悪意のある C&C サーバーへの通信、アウトバウンドの暗号資産マイニング接続、異常なデータ窃取を検知してブロックします。これにより、内部脅威の拡散や機密情報の漏えいを防ぎます。

  • 脅威インテリジェンスの相関分析:Alibaba Cloud のグローバルセキュリティ認識システムを活用して、高信頼度の脅威インテリジェンスをリアルタイムで同期します。これには、悪意のある IP アドレスやドメイン名、C&C サーバーのアドレス、スキャンやブルートフォース攻撃のソースが含まれます。これにより、動的かつ精密な保護が可能になります。

  • インテリジェント脅威検知:Alibaba Cloud が蓄積した膨大な量の攻撃サンプルと行動データから構築された機械学習モデルを使用して、未知の脅威や新しい攻撃パターンに対する検知と対応を向上させます。

これらの機能により、Cloud Firewall の IPS は、ビジネス運用を中断することなく、積極的、継続的、かつ自動化されたネットワークおよびアプリケーション層のセキュリティを提供します。image.png

説明

インターネット境界でのアウトバウンドトラフィックについては、Cloud Firewall の侵入防止機能は、暗号化されたトラフィックを復号して検査するための TLS インスペクションをサポートしています。インバウンドトラフィックについては、Web Application Firewall の使用を推奨します。

脅威インテリジェンス機能

Alibaba Cloud は、多次元データフュージョンとインテリジェント分析を通じて脅威インテリジェンスを生成し、インテリジェンスの高い信頼性を確保します。

データソース

  • クラウド全体の攻撃イベント:パブリッククラウドやパートナーネットワークにデプロイされたセンサーから、攻撃トラフィックとサンプルをリアルタイムでキャプチャします。

  • 大量の匿名化されたセキュリティトラフィックログ:サニタイズされたネットワークトラフィックを分析して、攻撃パターンと悪意のある接続を抽出します。

  • グローバルオープンソース脅威インテリジェンス: 権威ある業界組織やセキュリティコミュニティからのオープンソースインテリジェンス (OSINT) を統合し、検証します。

  • パートナーとのインテリジェンス共有:通信事業者、クラウドコンピューティングベンダー、その他のセキュリティ組織との信頼できるデータ交換。

生成方法と識別基準

  • 多次元相関分析:IP アドレス、ドメイン、URL、ファイルハッシュ、攻撃手法などの情報を相関させることで完全な脅威グラフを構築し、誤検知を削減します。

  • インテリジェント分析エンジン

    • ビッグデータと機械学習モデル:行動分析と異常検知モデルを使用して、大規模なデータセットから不審な悪意のあるパターンや新たな脅威ファミリーを自動的に識別します。

    • エキスパートルールシステム:セキュリティ専門家によって洗練された精密な検知ルールを採用し、既知の脅威タイプを迅速かつ正確に照合します。

    • 動的レピュテーションスコアリング:アクティビティ履歴、分布範囲、脅威タイプ、信頼度などの要因に基づいて、各脅威インジケーターの動的なレピュテーションスコアを計算します。

  • 手動分析と検証:価値が高い、または複雑な脅威については、セキュリティアナリストが最終的なレビューを実施し、インテリジェンスの正確性と信頼性を確保します。

脅威インテリジェンスの主要カテゴリ

Alibaba Cloud の脅威インテリジェンスは、ネットワークインタラクションの主要な要素を中心に構成されており、IP 脅威インテリジェンスドメイン脅威インテリジェンスURL 脅威インテリジェンスの 3 つのカテゴリに分類されます。IP 脅威インテリジェンスは、トラフィックの方向に基づいて、さらにアウトバウンドとインバウンドの脅威インテリジェンスに分類されます。

アウトバウンド IP 脅威インテリジェンス

  • 一致ターゲット:内部ネットワークが積極的にアクセスする宛先 IP アドレス。

  • 主な価値:内部ホストが侵害されているか (例:トロイの木馬バックドアに感染している、ボットネットの一部であるなど)、またはコンプライアンスに違反する、あるいは悪意のあるアウトバウンドアクティビティ (例:マイニングプールや C&C サーバーへのアクセス) があるかどうかを検知します。

  • 種類と説明

    種類

    説明

    Tor ノード

    Tor ネットワークの出口、入口、またはリレーノードの既知の IP アドレスに一致します。内部ホストからのアクセスは、データ窃盗やコマンド&コントロールなどの悪意のある活動を隠すための通信の匿名化の試みを示している可能性があります。

    マイニング

    暗号資産マイニングのトロイの木馬通信に使用される IP アドレス、または公開/非公開のマイニングプールの IP アドレスに一致します。このような IP アドレスへのアクセスは、システムがマイニングプログラムに感染し、コンピューティングリソースを消費している可能性があることを示します。

    C&C

    ボットネット、リモートアクセス型トロイの木馬、ランサムウェアなどのマルウェアの C&C サーバーの IP アドレスに一致します。侵害されたホストは、これらの IP アドレスにアクセスして攻撃コマンドを受信したり、データを送り返したりします。

    APT

    持続的標的型攻撃 (APT) グループが所有または使用するインフラストラクチャの IP アドレスに一致します。このような IP アドレスへのアクセスは、標的型で高度な攻撃を強く示唆します。

    リバースシェル

    リバースシェル接続の受信が観測された IP アドレスに一致します。このような IP アドレスにアクセスする内部ホストは、ファイアウォールをバイパスするリバースコントロールチャネルを確立しようとしている可能性があります。

    フィッシング

    フィッシングサイトをホストするために使用されるバックエンドサーバーの IP アドレスに一致します。このような IP アドレスへのアクセスは、ユーザーがフィッシングリンクをクリックして不正なサーバーに接続したことを意味する場合があります。

    悪意のあるダウンロード元

    ウイルス、トロイの木馬、スパイウェアなどのマルウェアを配布するために使用されるサーバーの IP アドレスに一致します。このような IP アドレスへのアクセスは、悪意のあるペイロードのダウンロードまたは更新を示している可能性があります。

インバウンド IP 脅威インテリジェンス

  • 一致ターゲット:外部ネットワークが内部資産に積極的にアクセスするために使用する送信元 IP アドレス。

  • 主な価値:ネットワーク境界、サーバー、アプリケーションシステムを標的とする外部攻撃を検知し、リアルタイムで警告します。

  • 種類と説明

    種類

    説明

    スキャン

    ポートスキャン、サービスプロービング、ネットワークマッピングなどの偵察行為を示す IP アドレスに一致します。これは攻撃前の典型的な準備活動です。

    ブルートフォース攻撃

    SSH、RDP、FTP、データベース、Web ログインポータルなどのサービスに対して多数のログイン試行を行う IP アドレスに一致します。

    脆弱性の悪用

    Apache Log4j2 や EternalBlue などの既知の脆弱性を悪用する攻撃を行う IP アドレスに一致します。特徴として、特定の攻撃ペイロードやエクスプロイトチェーンのトラフィックを送信することが挙げられます。

    SQL インジェクション

    データベースを操作しようとして、Web アプリケーションのパラメーターに悪意のある SQL コードを注入する IP アドレスに一致します。

    コード実行

    Web アプリケーションやサービスの脆弱性を悪用して、リモートでシステムコマンドやコードを実行しようとする IP アドレスに一致します。

    Web シェル

    Web シェルファイルをアップロードしようとしたり、既知の Web シェルバックドアと通信したりする IP アドレスに一致します。

    XSS 攻撃

    Web ページに悪意のあるスクリプトを注入するためにクロスサイトスクリプティング (XSS) 攻撃を行う IP アドレスに一致します。

ドメイン脅威インテリジェンス

  • 一致ターゲット:内部ホストが解決またはアクセスするドメイン名。

  • 主な価値:攻撃者は、ドメイン名を使用して IP アドレスを動的に切り替えることで、ブロックを回避することがよくあります。ドメインインテリジェンスは、ドメインベースの悪意のあるインフラストラクチャへのアクセスを検知するための、より永続的で効果的な方法を提供します。

  • 種類と説明

    種類

    説明

    Dnslog ドメイン

    攻撃の検証やデータ窃取によく使用される DNS ロギングプラットフォームのドメインに一致します。ユーザーが開始したものではない異常なアクセスは、システムの脆弱性 (ブラインド SQL インジェクションやリモートコード実行など) が正常に悪用され、意図しない DNS 解決とデータ漏えいにつながったことを示している可能性があります。

    ダークウェブプロキシ

    Tor などのダークウェブネットワークへのアクセスを提供する Web プロキシドメイン (Tor2web など) に一致します。このようなドメインへのアクセスは、多くの場合、ダークウェブサービスへのアクセスの出発点となります。

    シンクホールドメイン

    悪意のある活動や乱用により、セキュリティベンダーやオペレーターによって DNS レコードが「シンクホール」(無効なアドレス) にリダイレクトされたドメインに一致します。アクセス試行は、内部ネットワーク内にマルウェアや設定ミスが存在することを示唆します。

    マイニング

    マイニングスクリプトやトロイの木馬が接続するマイニングプールドメインまたは更新サーバードメインに一致します。

    C&C

    C&C サーバーに静的 IP アドレスではなくドメイン名を使用するマルウェアファミリーに関連付けられたドメインに一致します。

    APT

    APT グループが長期的なキャンペーンのために登録および使用する排他的なドメインに一致します。

    フィッシング

    銀行やソーシャルメディアプラットフォームなどの正規の組織になりすましたフィッシングサイトのドメインに一致します。

    悪意のあるダウンロード元

    マルウェアを配布するために使用されるドメインに一致します。これらは多くの場合、URL 短縮サービスや CDN によって隠されています。

URL 脅威インテリジェンス

  • 一致ターゲット:内部ホストによってアクセスされる完全な Web アドレス (URL)。

  • 主な価値:アクセス先を正確に特定し、正規のクラウドサービスや共有 IP アドレスでホストされている特定の悪意のあるページを識別するのに役立ちます。

  • 種類と説明

    種類

    説明

    マイニング

    Web ベースのマイニングスクリプト (Coinhive など) やマイニングプールの管理ページを埋め込む特定のページ URL に一致します。

    C&C

    トロイの木馬やボットネットのコントロールパネルまたはデータ交換インターフェイスとして機能する特定の URL パスに一致します。

    APT

    APT キャンペーンで使用される URL に一致します。例えば、武器化されたドキュメントのダウンロードリンクや脆弱性悪用ページなどです。

    フィッシング

    アカウント認証情報や支払い情報を盗むために使用される、非常に現実的なフィッシングページの URL に一致します。

    悪意のあるダウンロード元

    悪意のある実行ファイル (.exe や .dll など)、スクリプト、またはドキュメントに直接リンクするダウンロードリンクに一致します。

Cloud Firewall IPS の仕組み

Cloud Firewall は、クラウドネットワークにシリーズモードでデプロイされます。インターネットとの間のトラフィック、NAT ゲートウェイを通過するトラフィック、内部ネットワーク内の仮想プライベートクラウド (VPC) 間のトラフィック、およびクラウドとオンプレミスデータセンター間のトラフィックを保護します。次の図は、ネットワークアーキテクチャを示しています。

Cloud Firewall は、Cloud Firewall を通過するすべてのネットワークトラフィックを監視し、Cloud Firewall の IPS エンジンと ACL エンジンを使用してトラフィックをフィルタリングし、正常なトラフィックを転送します。

Cloud Firewall は、ディープパケットインスペクション (DPI) エンジンを使用して、ネットワークトラフィックの検出と識別、プロトコルの認識、およびパケットの解析を行います。 IPS 攻撃と脅威インテリジェンスに対して、Cloud Firewall はストリームおよびパケットフィルタリングを実行します。 トラフィックが設定された脅威エンジンモード (観察モードブロックモード - 緩いブロックモード - 中程度、または ブロックモード - 厳格) に一致し、IPS ルールをトリガーした場合、Cloud Firewall はルールのアクションに基づいて悪意のあるパケットをドロップまたは許可します。 これにより、攻撃のリアルタイムアラートとブロックが可能になります。

image.png

Cloud Firewall がサポートする攻撃の種類

説明

脅威検知エンジンのモード設定の詳細については、「IPS 設定」をご参照ください。

攻撃の種類

攻撃の危険性

推奨事項

不審な接続

攻撃者はスキャナーを使用してサーバー上のオープンポートをスキャンする可能性があります。サーバーに不正なデータベースポートや弱いパスワードを持つサービスがある場合、データ損失やデータ漏えいが発生する可能性があります。例えば、Redis への不正アクセスは一般的なリスクです。Redis データベースのセキュリティ設定が適切に構成されていない場合、攻撃者は不正アクセスを実装することで機密データを取得したり、データベースを損傷したりする可能性があります。

ポート 80、443、または 8080 が有効になっている MySQL や SQL Server アプリケーションなど、多数の非 Web アプリケーションがある場合は、シェルコードや機密操作などの動作に関するルールがヒットしているかどうかに注意してください。これらのルールは、非 Web アプリケーションを対象とした攻撃方法でもあります。

前述の非 Web アプリケーションがない場合は、ブロックモード - 厳格 を有効にすることをお勧めします。

コマンド実行

攻撃者が悪意のあるコマンドを実行すると、深刻な結果が生じる可能性があります。例えば、サーバーの制御権限が取得されたり、機密データが漏えいしたり、他のシステムが攻撃されたりする可能性があります。例えば、攻撃者は Log4j の脆弱性を悪用して悪意のあるコマンドを実行し、セキュリティ上の脅威をもたらす可能性があります。

ほとんどの Web アプリケーションを一般的および非一般的な RCE 攻撃から保護するには、[ブロックモード - 緩い] を使用できます。このモードは、日常的な保護要件も満たします。RCE 攻撃は、さまざまな攻撃の中で最も有害です。RCE 攻撃から保護するために [ブロックモード - 中] を使用する場合は、各モジュールのルールのヒット詳細に注意する必要があります。

お客様のビジネスが複雑で、多数の非 Web アプリケーションが含まれる場合は、ブロックモード - 厳格 を有効にすることをお勧めします。

スキャン

ネットワークスキャンによってマシンやネットワークデバイスが過負荷になると、サービスの中断や安定性の問題が発生する可能性があります。その結果、システムが応答しなくなったり、サービスが利用できなくなったりする可能性があります。

ビジネスでサーバーメッセージブロック (SMB) の名前付きパイプが有効になっているかどうかを確認することを推奨します。SMB 名前付きパイプは、ファイル共有などの機能に使用されます。ビジネスで SMB 名前付きパイプを使用する必要がない場合は、潜在的なセキュリティリスクを軽減するために、SMB 名前付きパイプを無効にすることを推奨します。

SMB 名前付きパイプを使用する必要がある場合は、ブロックモード - 中程度 または ブロックモード - 厳格 を有効にすることをお勧めします。

情報漏えい

情報漏えいは、個人のプライバシー権の侵害や、ID カード番号、連絡先情報、財務情報などの機密情報の不正使用につながる可能性があります。

情報漏洩の定義は、お客様のビジネスによって異なる場合があります。ブロックモード - 中程度 および ブロックモード - 厳格 におけるルールのヒット詳細にご注意ください。

観察モード を有効にして、24 時間、1 週間、1 か月などのビジネスサイクル内でルールのヒット詳細をモニターし、誤検知が報告されるかどうかを確認することをお勧めします。観察モード で誤検知が報告されない場合、通常のトラフィックは脅威として識別されません。この場合、ブロックモード - 中程度 または ブロックモード - 厳格 を有効にできます。

DoS 攻撃

DoS 攻撃によってマシンやネットワークデバイスが過負荷になると、サービスの中断や安定性の問題が発生する可能性があります。その結果、システムが応答しなくなったり、サービスが利用できなくなったりする可能性があります。

DoS 攻撃は被害が少ないです。不明な原因によりサービスが中断または一時停止しているかどうかを確認できます。サービスに影響がない場合は、ブロックモード - 緩い 設定を維持できます。

ビジネスで高いレベルのサービスアップタイムが必要な場合は、ブロックモード - 中程度 または ブロックモード - 厳格 を選択できます。

オーバーフロー攻撃

オーバーフロー攻撃によってマシンやネットワークデバイスが過負荷になると、サービスの中断や安定性の問題が発生する可能性があります。その結果、システムが応答しなくなったり、サービスが利用できなくなったりする可能性があります。

オーバーフロー攻撃は、バイナリ表現の入力ポイントが厳密に制御されていない場合に発生します。この場合、パラメーター設定中に境界外アクセスが発生し、コマンド実行や情報漏えいなどの他の攻撃が開始されます。オーバーフロー攻撃から保護する場合は、非 Web アプリケーション攻撃のヒット詳細に注意してください。

ビジネスが主に Web アプリケーションである場合は、ブロックモード - 緩い を選択できます。ビジネスに多数の非 Web アプリケーションが含まれる場合は、ブロックモード - 中程度 または ブロックモード - 厳格 を選択することをお勧めします。

Web 攻撃

Web 攻撃は深刻なセキュリティ上の脅威です。攻撃者は Web 攻撃を開始することで、特定のサーバーの制御権限を取得し、機密データを盗むことができます。これにより、サービスが中断される可能性があります。

一般的な Web 攻撃には、Open Web Application Security Project (OWASP) Top 10 にリストされている SQL インジェクション、XSS 攻撃、任意のファイルなどが含まれます。これらの攻撃を防ぐために、ルールのカナリアリリースおよび正式リリースの際に厳格なテストを実施することを推奨します。また、日常の O&M 中に ブロックモード - 中程度 または ブロックモード - 厳格 を有効にすることを推奨します。

トロイの木馬

トロイの木馬は、被害者のマシンへの継続的な不正アクセスを提供するマルウェアの一種です。システムの脆弱性が修正されても、攻撃者は再びシステムにアクセスする可能性があります。攻撃者は、トロイの木馬を使用して、侵害されたシステムを長期間監視し、機密データを盗むことができます。トロイの木馬によって侵害されたシステムは、法的責任、訴訟、罰金、および評判の低下につながる可能性があります。

ほとんどの場合、トロイの木馬通信では、保護手段を回避するために暗号化、難読化、およびエンコーディングが使用されます。[ブロックモード - 厳格] では、通常、弱い特徴を使用して検知とブロックが行われます。日常の運用では、[ブロックモード - 中] を有効にすることを推奨します。

通常の O&M の際には、ブロックモード - 中程度 または ブロックモード - 厳格 を有効にすることをお勧めします。

ワーム

ワームは、被害者のマシンへの継続的な不正アクセスを提供する永続的なマルウェアの一種です。システムの脆弱性が修正されても、攻撃者は再びシステムにアクセスする可能性があります。攻撃者は、ワームを使用して、侵害されたシステムを長期間監視し、機密データを盗むことができます。同時に、ワームによって侵害されたシステムは、法的責任、訴訟、罰金、および評判の低下につながる可能性があります。

ほとんどの場合、このタイプの攻撃はホストを侵害します。観察モード でルールがヒットした場合、トレーサビリティ分析機能を使用して攻撃のソースを特定し、適切な対策を講じる必要があります。ルールがヒットしない場合、ホストは安全に実行されています。この場合、ブロックモード - 中程度 を有効にすることをお勧めします。

マイニング

マイニングは、マシンの帯域幅リソースと計算能力を占有する悪意のある行為であり、システムのコマ落ちを引き起こし、システムパフォーマンスに影響を与えます。その結果、アプリケーションの実行速度の低下や応答レイテンシーなどの問題が発生し、効率とエクスペリエンスに悪影響を及ぼします。

ほとんどの場合、このタイプの攻撃はホストを侵害します。観察モード でルールがヒットした場合、トレーサビリティ分析機能を使用して攻撃元を特定し、適切な対策を講じる必要があります。ルールがヒットしない場合、ホストは安全に実行されています。この場合、ブロックモード - 中程度 を有効にすることをお勧めします。

リバースシェル

リバースシェルは、被害者のマシンへの継続的な不正アクセスを提供する攻撃ツールです。システムの脆弱性が修正されても、攻撃者は再びシステムにアクセスする可能性があります。攻撃者は、リバースシェルを使用して、侵害されたシステムを長期間監視し、機密データを盗むことができます。同時に、リバースシェルによって侵害されたシステムは、法的責任、訴訟、罰金、および評判の低下につながる可能性があります。

ほとんどの場合、このタイプの攻撃はホストを侵害します。観察モード でルールがヒットした場合、トレーサビリティ分析機能を使用して攻撃のソースを特定し、適切な対策を講じる必要があります。ルールがヒットしない場合、ホストは安全に実行されています。この場合、ブロックモード - 中程度 を有効にすることをお勧めします。

Bash リバースシェルの検知はポート 80 を対象外としています。一般的な攻撃・防御シナリオにおいて、ポート 80 はリバースシェル操作には使用されず、この目的で監視すると正規のビジネストラフィックに影響を与える誤検知が発生する可能性があるためです。

その他

不正なアウトバウンド接続に使用される攻撃や、アウトバウンド接続によって引き起こされる攻撃が含まれます。分類できない攻撃も含まれます。

  • お客様の業務でアウトバウンド接続が存在しない場合は、ブロックモード - 緩い を選択できます。

  • ホストに様々なブラウザやアプリケーションがインストールされており、アウトバウンド接続が管理されていない場合、攻撃者はアウトバウンドダウンロードや C2 通信を使用して、容易に攻撃を開始できます。これは、インバウンドトラフィックを介した攻撃は比較的開始が困難であるためです。前述の攻撃を防ぐために、ブロックモード - 厳格 を有効にすることをお勧めします。

脅威検知エンジンのモード

脅威検知エンジンのモードには、監視モードとブロックモードがあります。基本防御ポリシーと仮想パッチポリシーのアクションは、脅威検知エンジンのモードによって異なります。例えば、脅威検知エンジンを「ブロック - 厳格」モードに設定した場合、基本防御ポリシーと仮想パッチポリシーのアクションは「ブロック」になります。以下に、脅威検知エンジンの各モードについて説明します。

カテゴリ

シナリオ

説明

監視

保護はサポートされていません。

監視モードでは、システムは攻撃を記録してアラートを生成するだけです。一方、ブロックモードでは、システムは攻撃をインターセプトします。

Apache Tomcat のリモート DoS 脆弱性 (CVE-2014-0075)、Atlassian Jira SSRF 脆弱性 (CVE-2019-16097)、および Godlua バックドアソフトウェア通信

ブロック

緩い

システムは、高い誤検知率を防ぐルールを使用し、緩やかな基準で攻撃をブロックします。このレベルは、誤検知率を最小限に抑える必要があるビジネスに適しています。

このレベルでは、システムは攻撃パケットと動作における脆弱性悪用のキーワードと主要なパラメーターを検知します。誤検知は生成されません。

Apache Struts 2 の RCE 脆弱性 (CVE-2018-11776)、Spark REST API への不正アクセス (CVE-2018-11770)、および Jenkins RCE 脆弱性 (CVE-2018-1000861)

システムは標準的な方法で攻撃をブロックします。このレベルは、日常の O&M に適しています。

このレベルでは、システムは一般的なルールを使用して、脆弱性悪用のさまざまな種類の検知方法に基づいて、さまざまな種類の攻撃を包括的に検知します。このレベルは、緩いレベルよりも低い誤検知率を提供します。

Oracle WebLogic Server の RCE 脆弱性 (CVE-2020-2551)、Microsoft Windows RDP Client の RCE 脆弱性 (CVE-2020-1374)、および SMBv1 DoS 攻撃 (CVE-2020-1301)

厳格

システムはすべてのルールを使用して厳格な方法で攻撃をブロックします。このレベルは、偽陰性率を最小限に抑える必要があるビジネスに適しています。このレベルは、中レベルよりも高い誤検知率を引き起こす可能性があります。

このレベルでは、システムはスタックオーバーフローやバッファオーバーフローなどの高リスクの脆弱性を検知します。そのほとんどはレイヤー 4 プロトコル脆弱性です。システムは、プロトコル分析、キーワード一致、複数リダイレクト、キーワードオフセットなど、さまざまな方法に基づいて攻撃を識別します。

Squid Proxy HTTP Request Processing バッファオーバーフロー (CVE-2020-8450)、Nginx 0-Length Headers Leak サービス拒否 (CVE-2019-9516)、および Oracle WebLogic rda_tfa_ref_date コマンドインジェクション (CVE-2018-2615)。