印刷

脅威検出の使用

  • 公開日 更新日

この記事の内容:

 

Box Shieldでは、ユーザーの普段の業務活動から逸脱した行動について警告するさまざまな脅威検出ルールを設定し、適用することができます。

脅威検出ルールを設定するために、ブロック対象の国やドメインなどのアラート条件のリストを作成し、ルールに追加することができます。また、Shieldアラートを評価するための送信先を指定することもできます。

脅威検出ルールを適用すると、Box Shieldでは、アカウント所有者のアクティビティが監視され、機械学習により、監視対象の各アカウント所有者が通常の状況でダウンロードすると考えられる機密文書の候補が予測されます。アカウント所有者のダウンロードアクティビティがこの予測結果から大きくずれた場合、Shieldでアラートが表示されます。

 

脅威検出を使用すると、次のことが可能です。

  • アクセス権限を悪用してデータの窃盗やコンテンツへのアクセスを行ったアカウント所有者を検知する。
  • 場所、アクティビティ、アクセスパターンなどの状況に基づいて侵害されたアカウントを検出する。
  • 企業のBoxアカウントにアップロードされるコンテンツで潜在的なマルウェアを検出し、ダウンロードの制限を適用する。
  • ルールと行動に基づきセキュリティについて重要な意思決定を行う。

 

アクセスポリシーを作成する方法は、こちらの動画を参照してください。

脅威検出ルールの上限

次の表では、脅威検出ルールにおける上限について説明します。

項目 上限
名前 80文字
説明 255文字
ルールの数

25。その構成は以下のとおりです。

  • 不審なセッションルール: 1件
  • 異常なダウンロードルール: 1件
  • マルウェア検出ルール: 1件
  • 不審な場所ルール: 22件

Shieldの脅威検出の設定

Shieldの脅威検出は、以下に示すように簡単に設定できます。

  1. 監視対象に含めるか監視対象から除外する場所の名前やその他の情報が記載されたShieldリストを作成します。
  2. 検出ルールを選択します。次の中から監視対象を選択できます。 
    • 異常なダウンロード
    • Boxにアップロードされるコンテンツの潜在的なマルウェア
    • 不審な場所からのコンテンツへのアクセス
    • 不審なオンラインセッションを介したコンテンツへのアクセス
  3. 検出ルールを設定します。
    • ルールにShieldリストを追加し、リストをルールの対象に含めるか除外するかを選択します。
    • Shieldからのアラートの通知方法を選択します。
  4. ルールを開始します。

これで完了です。設定したルールを開始すると、Shieldはそのルールに従い、社内でのアカウントアクティビティのパターンを学習および監視するようになります。

 

 

 

Shieldの検出ルールの使用

検出ルールについて

Box Shieldには、選択、設定、適用可能な一連の検出ルールが用意されています。検出ルールは、アカウント所有者のアクティビティにおける特定のタイプの異常なイベントを監視し、該当するイベントの検出時にShieldの通知をトリガーするルールのことです。検出ルールには次のものがあります。

  • 異常なダウンロード: 機密コンテンツを盗んでいる可能性のあるアカウント所有者を検出します。
  • 悪意のあるコンテンツ: 企業のBoxアカウントにアップロードされるコンテンツで潜在的なマルウェアを検出します。  Shieldが潜在的なマルウェアを検出すると、Boxでは次の処理が行われます。
    • Boxウェブアプリから悪意のあるコンテンツにアクセスしたユーザー全員に警告のバナーを表示する。
    • Shieldダッシュボードにアラートを表示する。
    • このルールの設定時に選択されたダウンロードの制限を適用する。 
      • Mac版またはWindows版のBox Driveでは、ダウンロードの制限により、悪意のあるファイルを開いたり、移動したり、コピーしたりすることはできません。  代わりに、警告が表示されます。
  • 不審な場所: 通常とは異なる場所やホストIPアドレスまたは除外対象に指定されている場所やホストIPアドレスからコンテンツにアクセスしていると思われるユーザーを検出します。
  • 不審なセッション: ユーザーエージェント文字列が異常、IDが異常、アプリケーションの種類が一般的ではない、IPアドレスが新しい、ログイン場所が考えられないほど高速に変化しているなどの特徴があるセッションでコンテンツにアクセスしていると思われるユーザーを検出します。

 

検出ルールの選択

検出ルールを選択するには、次の手順に従います。

  1. 管理コンソールの [Shield] に移動します。
  2. [検出ルール] タブをクリックします。
  3. [ルールの作成] (button_Create_Rule.png) をクリックします。
  4. 使用する検出ルールをクリックします。[ステップ1 ルールの詳細] セクションが表示されます。
  5. [ルール名] に、ルールの名前を入力します。
  6. [説明] に、ルールの目的を入力します。
  7. [アラート優先度レベル] をクリックして、優先度を選択します。
  8. 次のセクションの説明に従い、ルールを設定して開始してください。

 

検出ルールの設定と開始

Shield検出ルールを選択したら、そのルールを設定して有効にできます。設定のオプションは、選択した検出ルールによって異なります。以下に例を示します。

  • Shieldリストを追加して、監視対象に含めたり監視対象から除外したりするドメインやアプリケーションを定義します。
  • Shieldリストを追加して、許可または禁止する国とホストIPアドレスを定義します。
  • 異常な行動を検知したときにShieldで実行するアクションを選択します。

 

異常なダウンロードルールを設定するには、次の手順に従います。

  1. [ステップ3 アクションの選択] で、Shieldからアラートを送信する方法を選択します。
    • アラートをサードパーティ製ツールに転送するには、[Boxイベントストリームにアラートを発行する] をクリックします。  
    • 特定のユーザーにアラートを発行するには、[通知するユーザー] で、ユーザーのアカウント名をコンマ区切りのリストとして入力します。
  2. ウィンドウの右上で、[次へ] をクリックします。
  3. [ルールを開始] をクリックして、ルールを有効にします。

 

悪意のあるコンテンツルールを設定するには、次の手順に従います。

  1. [ステップ2 アクションの選択] で、Shieldからアラートを送信する方法を選択します。
    • アラートをサードパーティ製ツールに転送するには、[Boxイベントストリームにアラートを発行する] をクリックします。  
    • 特定のユーザーにアラートを発行するには、[通知するユーザー] で、ユーザーのアカウント名をコンマ区切りのリストとして入力します。
  2. ダウンロードを制限するには、[コンテンツのダウンロードを制限する] をクリックします。  これにより、ユーザーはBoxアプリからファイルをダウンロードできなくなります。プレビューとオンラインでの編集は引き続き可能です。 
  3. ウィンドウの右上で、[次へ] をクリックします。
  4. [ルールを開始] をクリックして、ルールを有効にします。

 

不審な場所ルールを設定するには、次の手順に従います。

  1. [ステップ2 条件の選択] で
    • [監視する場所] に移動し、
      • [選択した場所のいずれかが確認対象である場合に警告する] をクリックし、国のリストまたは国のShieldリストを入力します。
      • [選択した場所のいずれかが確認対象国である場合に警告しない] をクリックし、国のリストまたは国のShieldリストを入力します。
    • [監視対象のコンテンツ] に移動し、監視する分類ラベルを選択します。
  2. [ステップ3 フィルタの選択 (省略可)] で、以下から1つ以上選択します。
    • [公開共有リンクを除外する]
    • [IPアドレスを除外する]。ルールから除外するIPアドレスまたはIPアドレスのShieldリストをコンマ区切りで入力します。
    • [アプリを除外する]。ルールから除外するアプリケーション名のリストをコンマ区切りで入力します。
  3.  [ステップ4 アクションの選択] で、Shieldからアラートを送信する方法を選択します。
    • アラートをサードパーティ製ツールに転送するには、[Boxイベントストリームにアラートを発行する] をクリックします。
    • 特定のユーザーにアラートを発行するには、[通知するユーザー] で、ユーザーのアカウント名をコンマ区切りのリストとして入力します。
  4. ウィンドウの右上で、[次へ] をクリックします。
  5. [ルールを開始] をクリックして、ルールを有効にします。

 

不審なセッションルールを設定するには、次の手順に従います。

  1. [ステップ2 条件の選択] でルールの説明を確認します。
  2. [ステップ3 フィルタの選択 (省略可)] で、このルールから除外するコンテキストタイプを選択します。  以下から1つ以上選択します。
    • [IPアドレスを除外する]。ルールから除外するIPアドレスのリストをコンマ区切りで入力します。
    • [アプリを除外する]。ルールから除外するアプリケーション名のリストを入力します。
  3. [ステップ4 アクションの選択] で、Shieldからアラートを送信する方法を選択します。
    • アラートをサードパーティ製ツールに転送するには、[Boxイベントストリームにアラートを発行する] をクリックします。
    • 特定のユーザーにアラートを発行するには、[通知するユーザー] で、ユーザーのアカウント名をコンマ区切りのリストとして入力します。
  4. ウィンドウの右上で、[次へ] をクリックします。
  5. [ルールを開始] をクリックして、ルールを有効にします。

 

[ルールを開始] をクリックすると、Shieldはルールを使用して社内のアカウントアクティビティを監視します。

 

設定済みルールの変更

設定済みのルールを変更するには、次の手順に従います。

  1. 管理コンソールの左側のペインで、[Shield] をクリックします。
  2. [Shield] ウィンドウの上部にある [検出ルール] をクリックします。
  3. ルールの名前をクリックします。
  4. [検出ルールの詳細] の横にある [編集] をクリックします。
  5. リストの編集が完了したら、ウィンドウの右上にある [ルールを更新] をクリックします。

 

設定済みルールの削除

設定済みのルールを削除するには、次の手順に従います。

  1. 管理コンソールの左側のペインで、[Shield] をクリックします。
  2. [Shield] ウィンドウの上部にある [検出ルール] をクリックします。
  3. ルールの名前をクリックします。
  4. ウィンドウの右上で、[削除] をクリックします。

 

 

Shieldダッシュボードの使用

Shieldアラートの確認

1つ以上の検出ルールの開始後、Shieldダッシュボードでは、検出条件に合致するアカウントアクティビティについてアラートが表示されます。

アラートの内容は次のとおりです。

  • アラートID
  • アラート日時
  • 関連する検出ルールの名前と種類
  • アラートの原因になったアクティビティを行ったアカウント所有者の名前とメールアドレス
  • リスクスコア
  • アラートの原因になったアクセスが行われたIPアドレス

 

Shieldアラートの一覧の確認

Shieldアラートを確認するには、次の手順に従います。

  1. 管理コンソールの左側のペインで、[Shield] をクリックします。
  2. [Shield] ウィンドウの上部にある [ダッシュボード] をクリックします。アラートの一覧表が表示されます。

 

Shieldアラートのフィルタ

アラートの一覧表にフィルタをかけるには、次の手順に従います。

  1. 管理コンソールの左側のペインで、[Shield] をクリックします。
  2. ウィンドウ上部にある [ダッシュボード] をクリックします。
  3. [ダッシュボード] タブの右上で、以下のフィルタ条件を選択します。
    • ルールの種類
    • 優先度
    • 期間
  4. 選択したフィルタ条件に合致するアラートの一覧表が表示されます。

 

Shieldアラートの詳細の確認

アラートの詳細を確認するには、次の手順に従います。

  1. 管理コンソールの左側のペインで、[Shield] をクリックします。
  2. ウィンドウ上部にある [ダッシュボード] をクリックします。
  3. アラートの一覧表で、アラートをクリックします。
  4. アラートの詳細ページが表示されます。

アラートの詳細ページには、次の内容が表示されます。

  • アラートの概要: アラート名、アラートID、アラートタイプ、リスクスコア、当該アラートをトリガーした検出ルールで定義されている条件の情報など、アラートの概要が表示されます。
  • ユーザーの概要: このアラートの対象となるアカウントのメールアドレス、最終ログイン時刻、(Boxで定義されている) 所属グループなどの概要が表示されます。Boxで所属グループの情報が定義されていない場合、このフィールドは空白になります。
  • 地域別アクティビティ: アラート発生時に当該アカウントのアクティビティが行われた場所が地域マップ上に表示されます。
  • アクセスのあったコンテンツ: アラート発生時に当該アカウントによってアクセスされたコンテンツの統計情報が表示されます。
  • ユーザーアクティビティ: アラート発生時の当該アカウントのアクティビティに関する概要が活動の種類別に表示されます。
  • クライアントのアクティビティ: アラート発生時にコンテンツにアクセスしたクライアントに関する情報が表示されます。この情報は、社内ネットワークからのアクセスか、家庭内ネットワークや公共ネットワークからのアクセスかを判断する上で役立ちます。
  • アラートタイムライン: アラートの原因となった当該アカウントの個々のアクティビティが時系列で表示されます。

 

ShieldアラートからのアプリとIPアドレスの除外

アラートの詳細ページで、不審な場所や不審なセッションのアラートから除外したいアプリケーションまたはIPアドレスが表示される場合は、アプリケーション名またはIPアドレスの横にある [除外] をクリックします。

 

 

Shieldリスクスコアの意味

アラートのリスクスコアは、アラートの緊急性と対処の必要性を1から100の範囲で示したものです。アラートのリスクスコアが大きいほど、脅威が検出される可能性が高くなります。

 

異常なダウンロードルールのリスクスコア

異常なダウンロードルールでは、機密の可能性があるコンテンツを通常とは異なる作業目的でダウンロードしたアカウント所有者を特定します。Shieldの機械学習では、その週の業務目的に応じて各ユーザーが必要とする可能性のあるコンテンツを予測します。そして、機密の可能性のあるコンテンツをユーザーがモデルの予測よりもはるかに高い頻度でダウンロードした場合、Shieldから高リスクスコアのアラートが送信されます。

 

不審な場所ルールのリスクスコア

不審な場所ルールでは、設定された優先度に基づいてリスクスコアを生成します。リスクスコアは、不審な場所ルールで定義されている優先度によって次のように決定されます。

 

優先度 リスクスコア
20
参考情報 40
60
80
重要 100

 

不審なセッションルールのリスクスコア

不審なセッションルールでは、地理的に異なる場所で同時に開始されたセッションを検出することで、侵害された可能性のあるユーザーアカウントを特定します。レポートのリスクスコアは、アカウント侵害に対するShieldの信頼性を表します。

 

悪意のあるコンテンツルールのリスクスコア

悪意のあるコンテンツルールでは、Boxにアップロードされたマルウェアを検出できます。このリスクスコアは、ファイルが実際はマルウェアで、安全ではないことに対するShieldの信頼性を表します。

 

 

異常なダウンロードアラートに関するフィードバックの報告

管理者は、異常なダウンロードアラートで異常と見なされた個々のフォルダに関する詳細なフィードバックを報告して、企業での検出精度を高めることができます。

 

Overview_Anomalous_Download_Report.png

フィードバックを報告するには、次の手順に従います。

  1. アラートの [異常なコンテンツのダウンロード] セクションに移動します。
  2. 任意のフォルダをクリックします。
    •  フォルダには以下の2種類の情報が表示されます。
      • Boxの機械学習アルゴリズムによって判定された秘密度レベル。
      • そのフォルダからダウンロードされたファイル数。
  3. 右側のサイドメニューで、以下の統計情報を確認します。
    • 異常と見なされたダウンロードの割合
    • ダウンロードのサイズ 
    • フォルダの所有者
  4. 確認した内容に基づいて、フィードバックを選択します。
    • フォルダに機密データが含まれることはありますか?
      • はい
      • いいえ
      • 不明
    • このユーザーがこのコンテンツをダウンロードすることはありますか?
      • はい
      • いいえ
      • 不明

 

admin_swarm_kb

関連記事