2.3.2.1. 脅威検知機能を利用する

脅威検知機能についての確認方法とダウンロード方法、検知情報をもとに通信を遮断する手順について説明します。

2.3.2.1.1. お知らせメールから脅威検知結果を確認する

お知らせメールからは、以下の手順で確認できます。

注釈

本手順は前提として、事前にメンテナンスの通知設定を「受信」に設定していただく必要があります。

メンテナンスの通知設定を「受信しない」に設定している場合、「メール通知を設定する」をご確認の上、「メンテナンス」の通知のチェックボックスにチェックを入れていただき、メンテナンス通知のメールの配信設定を「受信」へ変更をお願いします。

脅威検知を確認した場合に、1時間に1回の頻度でSDPFポータル上にてお客さまが設定したユーザー情報をもとに脅威検知情報をメールにて通知します。配信条件につきましては、リスクレベルが「Critical」、通信方向が「上り」の場合です。

なお、メール通知において「受信しない」設定をした場合、全サービスのメール通知が停止してしまいます（サービスごと（docomo business RINK WANセキュリティのみ受信しない）は不可）のでご注意ください。

1．お知らせメール下部に記載のリンクよりビジネスポータルに遷移します。

[TODO:画像差し込み]

2．ビジネスポータルにログイン後、[ご契約中のサービスから選ぶ] ＞ [Smart Data Platform] ＞ [対象のワークスペースを選択] ＞ [メニュー] ＞ [ネットワーク] ＞ [docomo business SIGN] ＞ [セキュリティ管理]＞[脅威検知一覧]の順に遷移して、脅威検知一覧をご確認ください。

[TODO:画像差し込み]

2.3.2.1.2. 脅威検知一覧から検知情報を確認する

脅威検知一覧画面は、以下の手順で確認することができます。

1. 左のメニューの「セキュリティ管理」から「脅威検知一覧」を選択します。

[TODO:画像差し込み]

2. 「脅威検知一覧」が表示されます。

[TODO:画像差し込み]

検索条件項目表

項目	説明
Value(インターネット)	Value(インターネット)の脅威検知一覧を表示します。
Value(関域)	Value(関域)の脅威検知一覧を表示します。
IP脅威検知	IP脅威検知の検索ができます。
その他脅威検知	その他脅威検知の検索ができます。
最新1日	直近1日間の脅威検知一覧を表示します。
指定期間	カレンダーにて指定した期間の脅威検知一覧を表示します。
フィルター追加	フィルターを追加し、詳細検索ができます。
検索	指定した検索条件にて検索します。

注釈

• 「フィルター追加」を押下すると、セレクトボックスが表示されます。セレクトボックスでは、「検知回線ID」、「検知脅威度」から選択できます。「検知脅威度」を選択すると、さらに「重大」、「高」、「中」、「低」、「情報」、「その他」から選択できます。また、入力した内容は「削除」を押下すると削除できます。

3．画面下部に、脅威検知一覧の詳細情報が表示されます。

[TODO:画像差し込み]

脅威検知一覧項目表

項目名	説明
最新検知日時	脅威検知した日時を表示します。
期間内検知数	期間内に検知した数を表示します。
検知回線ID（IMSI）	脅威を検知した回線IDを表示します。
回線ステータス	「未開通」・「利用中」・「中断」・「休止」・「廃止」の5つに分けられています。
脅威検知先	外部IPリストで検知された場合、IPアドレスを表示します。 ドメインリストから検知された場合、ドメイン／サブドメインを表示します。 脅威検知プロファイルで検知された場合、ファイル名などを表示します。
検知脅威度（期間内最高）	脅威リスクの高さをリスクの高い順に「重大」・「高」・「中」・「低」・「情報」・「その他」の6種類で表示します。指定した期間内で最も高いものが表示されます。
脅威タイプ	脅威タイプの通信を「APT」・「Malware」・「Phishing」・「C2」・「Exploit」・「Other」の6種類に分けて表示します。
詳細	選択することで「脅威検知詳細」画面を表示することができます。 ※「期間内検知数」の数字を選択することでも「脅威検知詳細」画面を表示することができます。

4．脅威検知一覧の詳細情報より、「期限内検知数」を選択します。

[TODO:画像差し込み]

5．「脅威検知詳細」画面が表示されます。

[TODO:画像差し込み]

脅威検知詳細項目表

項目名	説明
回線種別	回線種別を「Value(インターネット)」・「Value(関域)」で表示します。
脅威検知種別	脅威検知種別を「IP脅威検知」・「その他脅威検知」で表示します。
回線ID	脅威を検知した回線IDを表示します。
検知日時	脅威検知した日時を表示します。
脅威度	脅威リスクの高さをリスクの高い順に「重大」・「高」・「中」・「低」・「情報」・「その他」の6種類で表示します。
脅威タイプ	脅威タイプの値を「APT」・「Malware」・「Phishing」・「C2」・「Exploit」・「Other」の6種類に分けて表示します。
脅威検知先	外部IPリストで検知された場合、IPアドレスを表示します。 ドメインリストから検知された場合、ドメイン／サブドメインを表示します。 脅威検知プロファイルで検知された場合、ファイル名などを表示します。
APP	[TODO:内容確認中]
プロトコル	セッションに関連付けられたプロトコル（「tcp」・「udp」・「any」など）を表示します。
通信方向	上りはお客さま拠点から外部へ向かう通信、下りは外部からお客さま拠点へ向かう通信です。
宛先IP	脅威を検知した際の宛先IPアドレスを表示します。
送信元IP	脅威を検知した際の送信元IPアドレスを表示します。
宛先Port	脅威を検知した際の宛先Portを表示します。
送信元Port	脅威を検知した際の送信元Portを表示します。

2.3.2.1.3. 検知した脅威情報をダウンロードする

検知した脅威情報は、以下の手順で確認することができます。

1. 左のメニューの「WANセキュリティ」から「脅威検知一覧」を選択します。 「脅威検知一覧」が表示されます。

2. [ダウンロード]ボタンを押下すると画面に表示されているデータをCSVファイルにてダウンロードします。

[TODO:画像差し込み]

ダウンロードしたCSVファイルの各項目の詳細については、以下をご確認ください。

[TODO:画像差し込み検討中]

2.3.2.1.4. 検知情報をもとに通信を遮断する

[TODO:小林さんにて執筆予定]

目次

• 1. docomo business SIGNの基本（1階層目）
  • 1.1. 始める前の準備
  • 1.2. docomo business SIGNコンソールとは
• 2. docomo business SIGNを利用する（1階層目）
  • 2.1. 初期設定をする（2階層目）
  • 2.2. IoTカタログ（2階層目）
  • 2.3. 各サービス（2階層目）
• 3. docomo business SIGNの利用状況を確認する（1階層目）
  • 3.1. 各サービス（2階層目）
• 4. お問い合わせ（1階層目）
  • 4.1. お問い合わせについて（2階層目）
• 5. 改訂履歴（1階層目）
  • 5.1. 改訂履歴 詳細
• 6. sample表示　完成時は消す
  • 6.1. 第一レベル
  • 6.2. 箇条書きリスト
  • 6.3. 箇条書き(パターンその2)
  • 6.4. 箇条書き力技
  • 6.5. 箇条書き(番号付き)
  • 6.6. 箇条書き(番号付き)最初固定
  • 6.7. ハイバーリンク
  • 6.8. リンクにしたくない
  • 6.9. 図
  • 6.10. 図
  • 6.11. 図　（グリッドバージョン
  • 6.12. 本文強制改行
  • 6.13. 注釈
  • 6.14. ワーニング
• 7. テスト用ページA　完成時は消す
  • 7.1. PaaS＋ICMS＋ICGW
• 8. 2.3.8.1.1. 新規利用申込み（Things Cloud）
  • 8.1. ・アプリケーション情報入力画面
• 9. テスト用ページK　完成時は消す
  • 9.1. 脅威検知

---

2.3.2. セキュリティ（3階層目）

2.3.2.2. セキュリティヘルプデスクを利用する