2.3.2.1. 脅威検知機能を利用する¶
脅威検知機能についての確認方法とダウンロード方法、検知情報をもとに通信を遮断する手順について説明します。
1. お知らせメールから脅威検知結果を確認する¶
お知らせメールからは、以下の手順で確認できます。
注釈
本手順は前提として、事前にメンテナンスの通知設定を「受信」に設定していただく必要があります。
メンテナンスの通知設定を「受信しない」に設定している場合、「メール通知を設定する 」をご確認の上、「メンテナンス」の通知のチェックボックスにチェックを入れていただき、メンテナンス通知のメールの配信設定を「受信」へ変更をお願いします。
脅威検知を確認した場合に、1時間に1回の頻度でSDPFポータル上にてお客さまが設定したユーザー情報をもとに脅威検知情報をメールにて通知します。配信条件につきましては、リスクレベルが「Critical」、通信方向が「上り」の場合です。
なお、メール通知において「受信しない」設定をした場合、全サービスのメール通知が停止してしまいます(サービスごと(docomo business SIGNのみ受信しない)は不可)のでご注意ください。
1.お知らせメール下部に記載のリンクよりビジネスポータルに遷移します。
2.ビジネスポータルにログイン後、[ご契約中のサービスから選ぶ] > [Smart Data Platform] > [対象のワークスペースを選択] > [メニュー] > [IoT] > [docomo business SIGN] > [セキュリティ管理]>[脅威検知一覧]の順に遷移して、脅威検知一覧をご確認ください。
2. 脅威検知一覧から検知情報を確認する¶
脅威検知一覧画面は、以下の手順で確認することができます。
左のメニューの「セキュリティ管理」から「脅威検知一覧」を選択します。
「脅威検知一覧」が表示されます。
項目 |
説明 |
|---|---|
Value(インターネット) |
Value(インターネット)の脅威検知一覧を表示します。 |
Value(関域) |
Value(関域)の脅威検知一覧を表示します。 |
IP脅威検知 |
IP脅威検知の検索ができます。 |
その他脅威検知 |
その他脅威検知の検索ができます。 |
最新1日 |
直近1日間の脅威検知一覧を表示します。 |
指定期間 |
カレンダーにて指定した期間の脅威検知一覧を表示します。 |
フィルター追加 |
フィルターを追加し、詳細検索ができます。 |
検索 |
指定した検索条件にて検索します。 |
注釈
「フィルター追加」を押下すると、セレクトボックスが表示されます。セレクトボックスでは、「検知回線ID」、「検知脅威度」から選択できます。「検知脅威度」を選択すると、さらに「重大」、「高」、「中」、「低」、「情報」、「その他」から選択できます。また、入力した内容は[削除]を押下すると削除できます。複数選択の場合AND条件での検索となります。
「最新1日」で表示される脅威一覧では、検索した時刻から24時間前までの脅威が表示されます。
3.[検索]を押下すると、検索条件に入力した内容をもとに、脅威検知一覧の詳細情報が表示されます。
項目名 |
説明 |
|---|---|
最新検知日時 |
脅威検知した日時を表示します。
※最新検知日時は、実通信時間から数分程度遅延する場合があります。
|
期間内検知数 |
期間内に検知した数を表示します。 |
検知回線ID(IMSI) |
脅威を検知した回線IDを表示します。 |
回線ステータス |
「未開通」・「利用中」・「中断」・「休止」・「廃止」の5つに分けられています。 |
脅威検知先 |
外部IPリストで検知された場合、IPアドレスを表示します。
ドメインリストから検知された場合、ドメイン/サブドメインを表示します。
脅威検知プロファイルで検知された場合、ファイル名などを表示します。
|
検知脅威度(期間内最高) |
脅威リスクの高さをリスクの高い順に「重大」・「高」・「中」・「低」・「情報」・「その他」の6種類で表示します。指定した期間内で最も高いものが表示されます。 |
脅威タイプ |
脅威タイプの通信を「APT」・「Malware」・「Phishing」・「C2」・「Exploit」・「Other」の6種類に分けて表示します。 |
詳細 |
選択することで「脅威検知詳細」画面を表示することができます。
※「期間内検知数」の数字を選択することでも「脅威検知詳細」画面を表示することができます。
|
4.脅威検知一覧の詳細情報より、「期限内検知数」を選択します。
5.「脅威検知詳細」画面が表示されます。
項目名 |
説明 |
|---|---|
回線種別 |
回線種別を「Value(インターネット)」・「Value(関域)」で表示します。 |
脅威検知種別 |
脅威検知種別を「IP脅威検知」・「その他脅威検知」で表示します。 |
回線ID |
脅威を検知した回線IDを表示します。 |
検知日時 |
脅威検知した日時を表示します。 |
脅威度 |
脅威リスクの高さをリスクの高い順に「重大」・「高」・「中」・「低」・「情報」・「その他」の6種類で表示します。 |
脅威タイプ |
脅威タイプの値を「APT」・「Malware」・「Phishing」・「C2」・「Exploit」・「Other」の6種類に分けて表示します。 |
脅威検知先 |
外部IPリストで検知された場合、IPアドレスを表示します。
ドメインリストから検知された場合、ドメイン/サブドメインを表示します。
脅威検知プロファイルで検知された場合、ファイル名などを表示します。
|
APP |
セッションに関連付けられたアプリケーションを表示します。 |
プロトコル |
セッションに関連付けられたプロトコル(「tcp」・「udp」・「any」など)を表示します。 |
通信方向 |
上りはお客さま拠点から外部へ向かう通信、下りは外部からお客さま拠点へ向かう通信です。 |
宛先IP |
脅威を検知した際の宛先IPアドレスを表示します。 |
送信元IP |
脅威を検知した際の送信元IPアドレスを表示します。 |
宛先Port |
脅威を検知した際の宛先Portを表示します。 |
送信元Port |
脅威を検知した際の送信元Portを表示します。 |
3. 検知した脅威情報をダウンロードする¶
検知した脅威情報は、以下の手順で確認することができます。
3.1. 「脅威検知一覧」から検知した脅威情報をダウンロードする¶
1.左のメニューの「セキュリティ管理」から「脅威検知一覧」を選択します。「脅威検知一覧」が表示されます。
2.[ダウンロード]ボタンを押下すると画面に表示されているデータをCSVファイルにてダウンロードします。
注釈
「脅威検知一覧」からダウンロードしたCSVファイルの各項目の説明は、「脅威検知一覧項目表」をご参照ください。 なお、一回のダウンロードで最大2000件のダウンロードが可能です。
3.2. 「脅威検知詳細」画面から検知した脅威情報をダウンロードする¶
1.脅威検知一覧の詳細情報より、「期限内検知数」を選択します。
2.「脅威検知詳細」画面が表示されます。[ダウンロード]ボタンを押下すると画面に表示されているデータをCSVファイルにてダウンロードします。
注釈
「脅威検知詳細」画面からダウンロードしたCSVファイルの各項目の説明は「脅威検知詳細項目表」をご参照ください。 なお、一回のダウンロードで最大2000件のダウンロードが可能です。
4. 検知情報をもとに通信を遮断する¶
1.通信を遮断するは、以下の手順で確認することができます。
左のメニューの「セキュリティ管理」から「脅威検知一覧」を選択します。「脅威検知一覧」が表示されます。
2.遮断可能な脅威検知がある場合、リストに[遮断]ボタンが表示されるので遮断したいSIMの[遮断]ボタンを押下します。
検索機能を利用し特定の脅威検知に絞って検索も可能です。検索の詳細については「脅威検知一覧から検知情報を確認する - 脅威検知一覧項目表」をご確認ください。
3.[遮断]ボタンを押下すると、 「遮断設定を適用しますか?」のポップアップが表示されますので、情報に間違いがないことをご確認のうえ、[OK]ボタンを押下します。
