1.1.4. ふるまい検知

ふるまい検知は、普段とは異なる/本来発生すべきでない通信を検知し、同時にお客さまに通知を行います。
ふるまい検知コンソールで分析情報を提供し、お客さまご自身にて今ネットワークで起きている状況を確認できます。

ふるまい検知では、ライトプラン/スタンダードプランを提供しています。
提供プランの詳細については「提供プラン」をご参照ください。


注釈

  • 提供データは、JST(日本標準時)を基準としています。

  • 「利用新設/利用廃止」のお申し込みを短期間で故意に繰り返し行われた場合、お控えいただくよう弊社からご連絡する場合があります。

  • サービスに含まれるアラート機能(AIアラートを含む)は、機械学習または固定の閾値に基づき異常挙動を検知するものですが、
    すべての脅威や不正行為を完全に検知することを保証するものではありません。

  • 検知精度は学習状況または閾値に依存するため、誤検知または未検知が発生する可能性があります。
    弊社は、これらの事象に起因する損害について責任を負いません。

  • ふるまい検知機能に係るトラフィックデータやログ等の削除や欠損があった場合であっても、そのログ等の修復・再生及び補完はしません。

  • AIアラートにおいて、最低1日の学習期間が必要です。


ふるまい検知にて提供しているサービスについては以下のとおりです。

表1.1.4.1. ふるまい検知提供サービス概要

提供機能

機能概要

ふるまい検知機能

普段とは異なる/本来発生すべきでない通信の検知機能を提供します。
※なお検知可能な通信パターンは「サービス共通ルール」をご参照ください。

ふるまい検知コンソール機能

ふるまい検知サービス専用のコンソール画面にてレポートグラフの可視化や通信ログのログ検索機能を提供します。
※なお詳細な提供機能は「ふるまい検知コンソール機能サービス概要」をご参照ください。

ふるまい検知コンソール機能にて提供しているサービスについては以下のとおりです。

表1.1.4.2. ふるまい検知コンソール機能サービス概要

提供機能

機能概要

ライトプラン

スタンダードプラン

ダッシュボード

ホーム画面のダッシュボード上に、レポートグラフ、お気に入りのレポート、
保存済み検索条件などの複数の任意のパネルを追加/削除することができます。

ライト/スタンダード共通

ライト/スタンダード共通

ログ保管

お客さまがご契約している回線の通信ログを保管します。
保管期間のフローデータは、ふるまい検知コンソール上で、ログ検索、レポートグラフなどで可視化することができます。

ログ保管期間最大1ヶ月

ログ保管期間最大3ヶ月

ログ検索

対象期間と検索条件(「検索キーワード」・「対象レポート」・「しきい値」など)を指定してログ検索することができます。

ライト/スタンダード共通

ライト/スタンダード共通

レポート※2

お客さまがご契約している回線の通信ログのレポート条件を設定し、日次/週次/月次の単位でレポートを作成します。

弊社で予め設定されたサービス共通条件

レポート条件の設定変更、レポートの新規作成可能

アラート※2

お客さまがご契約している回線の通信ログのアラート条件を設定し、アラート条件の通信を検知した場合、画面にアラート表示し、指定したメールアドレス宛てにアラート通知します。

弊社で予め設定したサービス共通条件

アラート条件の設定変更可能

AIアラート※1 ※2

お客さまがご契約している回線の通信ログから「通常の通信パターン」をAIがオンライン学習し、異常な通信パターンを検知してアラートを出します。
異常値を検知した場合、画面にアラート表示し、指定したメールアドレス宛てにアラート通知します。

ライト/スタンダード共通

ライト/スタンダード共通

注釈

※1 AIアラートは「サービス共通ルール」の項番4~7でのみ利用可能です。
※2 「サービス共通ルール」の検知項目単位に、「レポート」・「アラート」・「AIアラート」を作成、設定することができます。


レポート/アラート/AIアラートにおいてサービス共通で定めているふるまい検知の共通ルールについては以下のとおりです。

表1.1.4.3. サービス共通ルール

項番

共通ルール

説明

レポート/
アラート

AIアラート

1

短時間の大量アクセス

短時間に大量のアクセスが発生した送信元を検知します。
多数のポートに接続する場合はスキャンの疑いがあります。
多数の宛先IPに同一ポートで接続する場合は探索・横展開の準備の可能性があります。
同一宛先へ高頻度で接続する場合はブルートフォースやDoSの前段の可能性があります。
監視・診断ツールやロードバランサのヘルスチェックなど正当なケースもあります。

2

通常使わないプロトコルの通信

一般に広く使われる TCP(Protocol:6)/UDP(Protocol:17)/ICMP(Protocol:1)以外の IP プロトコルをまとめて検知します。
これらに該当する通信は、IP-in-IP(Protocol:4)、GRE(Protocol:47)、IPsecの ESP(Protocol:50)やAH(Protocol:51)など、カプセル化や暗号化を伴うものが多く、意図しないトンネリングやポリシー外通信の可能性があります。

3

海外からのアクセス

日本国外からのアクセスをすべて検知します。
広く兆候を把握したい段階に適しています。
海外拠点や在宅VPN、CDN・クラウド事業者からの正当なアクセスも含まれます。

4

1パケットあたりのデータ量の異常

1パケットあたりのデータ量が、通常の分布から大きく外れた場合に通知します。
極端に小さい場合はSYN/ACKの連打やスキャン・DoSの可能性があり、極端に大きい場合は大容量の塊やトンネリングが疑われます。

5

通信時間が長すぎる/短すぎる

フローの継続時間が、通常パターンに比べて著しく長い、または著しく短い場合に通知します。
長すぎる場合は意図しないトンネルや放置セッションの可能性があり、短すぎる場合は大量切断が繰り返されるDoS前段の可能性があります。

6

普段と異なるIPアドレスからの通信

送信元ごとのフロー数が、通常値から急に増えたり急に減ったりした場合に通知します。
急増はワーム拡散やスキャン開始の兆候になり、急減はC2通信の停止や障害の兆候になることがあります。

7

普段と異なるIPアドレスへの通信

特定の宛先へのフロー数が、通常値から急に増えたり急に減ったりした場合に通知します。
急増はDoSの前兆や一時的なサービス公開の可能性があり、急減はC2終端の停止や障害の兆候になることがあります。

8

平日営業時間外に重要サーバーへ接続

平日業務時間外に、重要サーバーへ向かう通信が5分の間に5件以上観測された場合に通知します。

〇※1

9

休日に重要サーバーへ接続

休日に、重要サーバーへ向かう通信が5分の間に5件以上観測された場合に通知します。

〇※1


注釈

※1 スタンダードプランでのみ利用可能です。


ふるまい検知にて提供しているプランについては以下のとおりです。

表1.1.4.4. 提供プラン

プラン

申込単位

概要

ライト

回線番号(Z番)単位にお申し込み

お客さまがご契約している回線の通信ログをもとに異常なふるまいを検知し、指定したメールアドレス宛てにアラート通知します。
ふるまい検知ルールは、弊社で予め設定したサービス共通ルールとなり、検知ルールの設定変更や新規追加はできません。
通信ログ保管期間は最大1ヶ月です。

スタンダード

回線番号(Z番)単位にお申し込み

お客さまがご契約している回線の通信ログをもとに異常なふるまいを検知し、指定したメールアドレス宛てにアラート通知します。
ふるまい検知ルールは、弊社で予め設定したサービス共通ルール以外にも検知ルールの設定変更や新規追加して、お客さま環境に応じた独自の検知ルール作成が可能です。
通信ログ保管期間は最大3ヶ月です。
1.1.3. フローコレクター
1.1.5. セキュリティヘルプデスク