サーバに感染したマルウェアを検知
顧客プロフィール
業種:多国籍メーカー企業
対象エンドポイント:約1,000台(PC、サーバー含む)
課題
・BYODを導入したため、境界防御のアプローチに限界を感じ始めている
・次世代型FWはあるものの、ファイアウォールを経由しない通信には効果的ではないと考えていた。
検知の流れ
OTMはサーバでマルウェアの感染の可能性があることを検知し、アラートを発報
ネットワーク全体へのポートスキャンを検知
ブラックリストに掲載されているC&Cサーバへの通信を検知
サーバへ怪しいログインを検知
Seceon OTM導入後の効果
- ・OTMの行動分析が各デバイスとアプリケーションの通常の使用状況を学習
- ・異常な振舞を示すデバイスを追跡
- サーバがマルウェアに感染した兆候を検知し、アラートを発報
- 感染したサーバが既知のC&Cサイトへの接続を試みると、アラートレベルを“Minor”⇒“Major”へ変更
- C&Cサーバへの接続成功を検知し、アラートレベルを“Major”⇒“Critical”へ変更
- ・アラートが“Major”に進んだ段階で、スイッチ経由でトラフィックのコピーをサンドボックスに転送し、デバイスのマルウェア感染の確認を推奨
- ・アラートレベルが“Critical”に進んだ段階で、スイッチ側のネットワークのアクセスコントロールを設定してデバイスをオフラインにすることを推奨