Deep Discovery Inspector (以下DDI)の管理コンソールの「管理 > ネットワークグループとエンドポイント」画面から以下3つの項目を設定することができます。
・ネットワークグループ
・登録済ドメイン
・登録済サービス
それぞれの設定について以下に記載します。
1) ネットワークグループ
■設定の目的:
ネットワークグループを設定することで、検出した攻撃がネットワーク内部、外部のどちらから来たのかをDDIが判断できるようになり、検知ログやレポートに登録したグループ名の情報が反映されます。
例えば、営業部門や技術部門といった形でネットワークセグメントを分けている場合、それらをグループ名として登録することで検知ログやレポートに情報が反映され、可読性が向上します。
■設定すべき内容:
1. ネットワークゾーンを「信頼する」として登録する:
管理・監視システムや端末といった特権コマンドやアクションが行われても問題のないマシンの所属するネットワークなど、セキュリティで保護されたネットワークは、ネットワークゾーンを「信頼する」に設定して登録します。
DDIは設定したネットワークを「内部ネットワーク」として識別します。
2. ネットワークゾーンを「信頼できない」として登録する:
一般的なイントラネット上のマシンが所属するネットワークなど、セキュリティで完全に保護されていないネットワークは、ネットワークゾーンを「信頼できない」に設定して登録します。
DDIは設定したネットワークを「内部ネットワーク」として識別します。
3. 未登録:
DDIは未登録のネットワークを「外部ネットワーク」として識別します。
■設定によって得られる効果:
・DDI利用ユーザがDDIの検知ログやレポート閲覧した際の可読性が向上します。
・内部→外部、外部→内部等の通信方向を明確化します。
2) 登録済みドメイン
■設定の目的:
登録済みドメインを設定することで、過検知を抑止します。
■設定すべき内容:
組織内で使用しているメールドメインまたは信頼できると見なされるドメインを登録します。
■設定によって得られる効果:
・過検知が抑止されます。
登録したドメインを信頼済みとして扱うため、該当の通信が[Rule ID 29:Unregistered sender and recipient domains - Email]等のルールの検出対象から除外されます。
・検知結果のイベントの種類や検知結果の[注目するIP(関係するホスト)]の判定がより正確になります。
※[注目するIP(関係するホスト)]とは検知結果から調査対象とDDIが判断した
IPアドレスを意味します。
3) 登録済みサービス
■設定の目的:
登録済みサービスを設定することで、DDIは信頼するサーバおよびサービスを判断可能となり、過検知を抑止することができます。
また、DDI利用ユーザがDDIの検知ログやレポートを閲覧した際の可読性を向上させることでがきます。
■設定すべき内容:
ネットワークグループの設定で内部ネットワークとして定義した範囲に存在するサービス提供用サーバを登録します。
管理者ガイドの[登録済みサービスの追加]の項に記載されているものが登録可能なサーバの対象となります。
■設定によって得られる効果:
・過検知が抑止されます。
登録したサーバを信頼済みとして扱うため、該当の通信が[Rule 28 - Unregistered service running on non-standard port]、[Rule ID 40: Unregistered service]、[Rule 52 - Unregistered mail server - Email]等のルールの検出対象から
除外されます。
・検知結果のイベントの種類や検知結果の[注目するIP(関係するホスト)]の判定がより正確になります。
※[注目するIP(関係するホスト)]とは検知結果から調査対象とDDIが判断した
IPアドレスを意味します。
・ネットワークグループ
・登録済ドメイン
・登録済サービス
それぞれの設定について以下に記載します。
1) ネットワークグループ
■設定の目的:
ネットワークグループを設定することで、検出した攻撃がネットワーク内部、外部のどちらから来たのかをDDIが判断できるようになり、検知ログやレポートに登録したグループ名の情報が反映されます。
例えば、営業部門や技術部門といった形でネットワークセグメントを分けている場合、それらをグループ名として登録することで検知ログやレポートに情報が反映され、可読性が向上します。
■設定すべき内容:
1. ネットワークゾーンを「信頼する」として登録する:
管理・監視システムや端末といった特権コマンドやアクションが行われても問題のないマシンの所属するネットワークなど、セキュリティで保護されたネットワークは、ネットワークゾーンを「信頼する」に設定して登録します。
DDIは設定したネットワークを「内部ネットワーク」として識別します。
2. ネットワークゾーンを「信頼できない」として登録する:
一般的なイントラネット上のマシンが所属するネットワークなど、セキュリティで完全に保護されていないネットワークは、ネットワークゾーンを「信頼できない」に設定して登録します。
DDIは設定したネットワークを「内部ネットワーク」として識別します。
3. 未登録:
DDIは未登録のネットワークを「外部ネットワーク」として識別します。
■設定によって得られる効果:
・DDI利用ユーザがDDIの検知ログやレポート閲覧した際の可読性が向上します。
・内部→外部、外部→内部等の通信方向を明確化します。
検出に関する補足
本製品Q&Aに記載のあるとおり、ネットワークグループの「信頼する」ネットワークゾーンは安全なネットワーク、「信頼しない」ネットワークゾーンはセキュリティがある程度疑わしいネットワークを示していますが、DDIの検出機能は進化しており、現在ではこれらのネットワークゾーンをあわせて「内部ネットワーク」と識別して検出ができるようになっています。
2) 登録済みドメイン
■設定の目的:
登録済みドメインを設定することで、過検知を抑止します。
■設定すべき内容:
組織内で使用しているメールドメインまたは信頼できると見なされるドメインを登録します。
■設定によって得られる効果:
・過検知が抑止されます。
登録したドメインを信頼済みとして扱うため、該当の通信が[Rule ID 29:Unregistered sender and recipient domains - Email]等のルールの検出対象から除外されます。
・検知結果のイベントの種類や検知結果の[注目するIP(関係するホスト)]の判定がより正確になります。
※[注目するIP(関係するホスト)]とは検知結果から調査対象とDDIが判断した
IPアドレスを意味します。
3) 登録済みサービス
■設定の目的:
登録済みサービスを設定することで、DDIは信頼するサーバおよびサービスを判断可能となり、過検知を抑止することができます。
また、DDI利用ユーザがDDIの検知ログやレポートを閲覧した際の可読性を向上させることでがきます。
■設定すべき内容:
ネットワークグループの設定で内部ネットワークとして定義した範囲に存在するサービス提供用サーバを登録します。
管理者ガイドの[登録済みサービスの追加]の項に記載されているものが登録可能なサーバの対象となります。
■設定によって得られる効果:
・過検知が抑止されます。
登録したサーバを信頼済みとして扱うため、該当の通信が[Rule 28 - Unregistered service running on non-standard port]、[Rule ID 40: Unregistered service]、[Rule 52 - Unregistered mail server - Email]等のルールの検出対象から
除外されます。
・検知結果のイベントの種類や検知結果の[注目するIP(関係するホスト)]の判定がより正確になります。
※[注目するIP(関係するホスト)]とは検知結果から調査対象とDDIが判断した
IPアドレスを意味します。