グローバルホワイトハット共有セキュリティ資産ライブラリに基づき、Log Service はセキュリティ検出関数を提供します。 セキュリティ検出機能にログの IP アドレス、ドメイン名、または URL を渡すだけで、安全であるかどうかを検出することができます。

シナリオ

  1. インターネット、ゲーム、情報などの企業のような、サービスの運用と保守に強い需要がある企業や機関。 これらの業界の IT およびセキュリティ運用保守(O&M)担当者は、セキュリティ検出関数を使用して、疑わしいアクセス、攻撃、および侵入をタイムリーにフィルタリングできます。 セキュリティ検出関数は、さらなる詳細な分析とそれらに対する防御策もサポートします。
  2. 銀行、証券、電子商取引など、内部資産保護に対する強い需要がある企業および機関。 IT とセキュリティの保守人員は、危険な Web サイトへの内部アクセス、トロイの木馬のダウンロードなどの行為を即座に発見し、すぐに行動を起こすことができます。

機能の特徴

  • 信頼性が高い:グローバル共有ホワイトハットセキュリティ資産ライブラリに依存し、タイムリーな更新を行っています。
  • 高速:数百万の IP アドレス、ドメイン名、または URL を検出するのにわずか数秒かかります。
  • 簡単:あらゆるネットワークログをシームレスにサポートします。 security_check_ip、security_check_domain、およびsecurity_check_urlの3つのSQL関数を呼び出すことによってすぐに結果を取得できます。
  • 柔軟性:対話式クエリとレポートビューの構築の両方をサポートします。 アラームを構成して、さらに対策を講じることができます。

関数一覧

関数名 説明
security_check_ip IPアドレスが安全かどうかを確認します。その中でも:
  • 1 が返される場合:命中しました、安全ではないことを示します
  • 0 が返される場合:ミス、安全であることを示します
select security_check_ip(real_client_ip)
security_check_domain ドメインが安全かどうかを確認します。その中でも:
  • 1 が返される場合:命中しました、安全ではないことを示します
  • 0 が返される場合:ミス、安全であることを示します
select security_check_domain(site)
security_check_url URL が安全かどうかを確認します。その中でも:
  • 1 が返される場合:命中しました、安全ではないことを示します
  • 0 が返される場合:ミス、安全であることを示します
select security_check_domain(concat(host, url)

  • 外部の不審なアクセス行動を確認してレポートを生成する

    とある電子商取引は、それが運営する Nginx サーバーのログを収集し、安全でないクライアント IP アドレスが存在するかどうかを確認するためにサーバーにアクセスするクライアントをスキャンします。 この場合、Ngnix ログの ClientIP フィールドを security_check_ip 関数に渡し、戻り値が 1 である IP アドレスを表示し、国、ネットワーク事業者、およびその他の IP アドレスの関連情報を表示します。

    検索分析ステートメントは次のとおりです:

    * | select ClientIP, ip_to_country(ClientIP) as country, ip_to_provider(ClientIP) as provider, count(1) as PV where security_check_ip(ClientIP) = 1 group by ClientIP order by PV desc
    マップビュー表示に設定します:
  • 内部の不審なアクセス動作を確認してアラームを構成する
    たとえば、とある証券運用者は、その内部デバイスがゲートウェイプロキシを通じて外部ネットワークにアクセスしたときに記録されたネットワークトラフィックログを収集します。 誰かが問題のある Web サイトにアクセスしたかどうかを確認するには、次の検索を実行します。
    * | select client_ip, count(1) as PV where security_check_ip(remote_addr) = 1 or security_check_site(site) = 1 or security_check_url(concat(site, url)) = 1 group by client_ip order by PV desc
    このステートメントをクイック検索として保存し、セキュリティアラームを構成することもできます。 とあるクライアントが危険な Web サイトに頻繁にアクセスすると、アラームが発生します。 過去 1 時間に誰かが危険な Web サイトに頻繁に(5 回以上)アクセスしたかどうかを確認するために 5 分ごとにチェックするようアラームを設定します。 必要に応じてパラメータを変更します。 次のとおりに構成します: