本記事の内容はPAN-OS7.1系をもとに記載しています
PAN-OS4.0から実装されたBotnet(ボットネット)レポート機能、皆さん活用できていますか?
Botnetレポートは、Bot化した可能性があるホストを検出するための機能です(無料で使用可能)。
※Bot化したホストは、C&Cサーバー(Command and Control Server)にコントロールされ、攻撃・情報収集等に利用されます
Botnetレポートの確認
日本語表記の場合、次世代ファイアウォールの管理画面で「Monitor」➔「ボットネット」から確認することができます。
Bot検知の方法
Bot化したホストは、アンチウィルスソフトに検出されないように大量の亜種を生成したり、感染後に自身をアップデートしたりするため、従来の方法ではBotの感染を見つけることが困難でした。
次世代ファイアウォールのWildFire機能でも未知の脅威に対応可能ですが、それでも感染してしまった場合、Botnetレポートを活用し検出・対応を行います。
次世代ファイアウォールは、ホストの振る舞いを検知し、5段階のスコアリングを行います。
値が大きくなるほど、Bot感染の可能性が高いと判断できます。
具体的には下記の振る舞いを見ます。
- 既知のマルウェアサイトへのアクセス
- 動的DNSの使用
- URLではないIPドメインの参照
※名前解決を行わず、IPアドレスを直接指定している通信 - 最近登録されたドメインへの参照
※過去30日以内に登録されたドメインの参照 - 不明サイトからの実行可能ファイル
※未知のURLから実行ファイルをダウンロード - Unknown TCP/UDP
※Botnetトラフィックは暗号化されることが多いため、未知のTCP/UDPと判断される - IRC通信
注意点
Botnetレポートは強力な機能ですが、活用するための注意点があります。
■リアルタイム検知ではない
Botnetレポートは前日24時間分の"脅威ログ"や"URL Filteringログ"、"トラフィックログ"等を集計して結果を出すレポートです。
そのため、当日分のレポートは生成されず、毎日午前2時に生成されるレポートは前日分のレポートになります。
■防御機能はない
Botnetレポートは、"Botnet感染の疑いがあるホスト"をレポートとして出力しています。
レポートのみのため、検出したホストをブロックするといった機能はありません。
別途管理者による対象ホストの調査、対応が必要となります。
■Threat Privention、URL Filtering機能がない場合は能力を最大限活かせない
前述したとおり、"脅威ログ"や"URL Filteringログ"を集計しているため、該当ライセンスがないと精度の高いレポートは生成されません。
この機能を最大限活かすには、別途ライセンスを購入し、機能を有効化してください。
最後に
いかがでしたでしょうか。
Botnetレポートはとても強力な機能ですが、活用できていない人も多いと思います。
無料で使える機能なので、適切な設定、運用を行い、ぜひご活用ください。