脅威検出の使用 – Box Support

Box Shieldでは、ユーザーの普段の業務活動から逸脱した行動について警告するさまざまな脅威検出ルールを設定し、適用することができます。

脅威検出ルールを設定するために、ブロック対象の国やドメインなどのアラート条件のリストを作成し、ルールに追加することができます。また、Shieldアラートを評価するための送信先を指定することもできます。

脅威検出ルールを適用すると、Box Shieldでは、アカウント所有者のアクティビティが監視され、機械学習により、監視対象の各アカウント所有者が通常の状況でダウンロードすると考えられる機密文書の候補が予測されます。アカウント所有者のダウンロードアクティビティがこの予測結果から大きくずれた場合、Shieldでアラートが表示されます。

脅威検出を使用すると、次のことが可能です。

アクセス権限を悪用してデータの窃盗やコンテンツへのアクセスを行ったアカウント所有者を検知する。
場所、アクティビティ、アクセスパターンなどの状況に基づいて侵害されたアカウントを検出する。
会社のBoxアカウントにアップロードされるコンテンツで潜在的なマルウェアを検出し、ダウンロードの制限を適用する。
ルールと行動に基づきセキュリティについて重要な意思決定を行う。

脅威検出ルールを保存し、Shieldアラートを表示する方法は、こちらの動画を参照してください。

脅威検出の設定

Shieldの脅威検出は、以下に示すように簡単に設定できます。

監視対象に含めるか監視対象から除外する場所の名前やその他の情報が記載されたリストを作成します。
検出ルールを選択します。次の中から監視対象を選択できます。
- 異常なダウンロード
- Boxにアップロードされるコンテンツの潜在的なマルウェア
- 不審な場所からのコンテンツへのアクセス
- 不審なオンラインセッションを介したコンテンツへのアクセス
検出ルールを設定します。
- ルールにShieldリストを追加し、リストをルールの対象に含めるか除外するかを選択します。
- Shieldからのアラートの通知方法を選択します。
ルールを開始します。

これで完了です。設定したルールを開始すると、Shieldはそのルールに従い、社内でのアカウントアクティビティのパターンを学習および監視するようになります。

Shieldリストの使用

リストの作成

Box Shieldでは、脅威検出をカスタマイズするために、Shieldリストを作成できます。これは、国、ドメイン、アプリケーション、ホストIPアドレスのリストで、後から脅威検出ルールの対象に含めたりその対象から除外したりできます。

国のリストを作成するには、次の手順に従います。

管理コンソールの左側のペインで、[Shield]をクリックします。
[Shield]ウィンドウの上部にある[リスト]をクリックします。
[リスト]ウィンドウの右上にある[Shieldリストの作成]をクリックし、[場所]を選択します。
[Shieldリスト名]に、Shieldリストの名前を入力します。
[説明]に、リストの用途の概要を入力します。
[国を追加]をクリックします。
国名をコンマ区切りのリストとして入力します。入力内容に応じて、選択可能な国名が表示されます。
ウィンドウの右上で、[次へ]をクリックします。
[リストを作成]をクリックします。更新されたリストを確認するには、ウィンドウの更新が必要になる場合があります。

ドメインのリストを作成するには、次の手順に従います。

管理コンソールの左側のペインで、[Shield]をクリックします。
[Shield]ウィンドウの上部にある[リスト]をクリックします。
[リスト]ウィンドウの右上にある[Shieldリストの作成]をクリックし、[ドメイン]を選択します。
[Shieldリスト名]に、Shieldリストの名前を入力します。
[説明]に、リストの用途の概要を入力します。
[ドメインを入力]に、ドメインをコンマ区切りのリストとして入力します。
ウィンドウの右上で、[次へ]をクリックします。
[リストを作成]をクリックします。更新されたリストを確認するには、ウィンドウの更新が必要になる場合があります。

ヒント

作成したドメインリストは、スマートアクセスで外部コラボレーションの制限を定義する際にホワイトリストまたはブラックリストとして使用することもできます。

アプリケーションのリストを作成するには、次の手順に従います。

管理コンソールの左側のペインで、[Shield]をクリックします。
[Shield]ウィンドウの上部にある[リスト]をクリックします。
[リスト]ウィンドウの右上にある[Shieldリストの作成]をクリックし、[アプリケーション]を選択します。
[Shieldリスト名]に、Shieldリストの名前を入力します。
[説明]に、リストの用途の概要を入力します。
[アプリケーションを入力]に、アプリケーション名を入力します。入力内容に応じて、アカウントで現在利用可能なアプリケーションの一覧が表示されます。アプリケーションを選択します。
ウィンドウの右上で、[次へ]をクリックします。
[リストを作成]をクリックします。更新されたリストを確認するには、ウィンドウの更新が必要になる場合があります。

ヒント

作成したアプリケーションリストは、スマートアクセスでアプリケーションの制限を定義する際にホワイトリストまたはブラックリストとして使用することもできます。

ホストIPアドレスのリストを作成するには、次の手順に従います。

管理コンソールの左側のペインで、[Shield]をクリックします。
[Shield]ウィンドウの上部にある[リスト]をクリックします。
[リスト]ウィンドウの右上にある[Shieldリストの作成]をクリックし、[ホストIPアドレス]を選択します。
[Shieldリスト名]に、Shieldリストの名前を入力します。
[説明]に、リストの用途の概要を入力します。
[IPアドレス/CIDRブロック(IPv4)を入力]をクリックします。
ホストIPアドレスをコンマ区切りのリストとして入力します。
ウィンドウの右上で、[次へ]をクリックします。
[リストを作成]をクリックします。更新されたリストを確認するには、ウィンドウの更新が必要になる場合があります。

リストの変更

リストを変更するには、次の手順に従います。

管理コンソールの左側のペインで、[Shield]をクリックします。
[Shield]ウィンドウの上部にある[リスト]をクリックします。
リストの名前をクリックします。
[Shieldリストの詳細]の横にある[編集]をクリックします。
リストの編集が完了したら、ウィンドウの右上にある[保存]をクリックします。

リストの削除

リストを削除するには、次の手順に従います。

管理コンソールの左側のペインで、[Shield]をクリックします。
[Shield]ウィンドウの上部にある[リスト]をクリックします。
リストの名前をクリックします。
ウィンドウの右上で、[削除]をクリックします。

Shieldの検出ルールの使用

検出ルールについて

Box Shieldには、選択、設定、適用可能な一連の検出ルールが用意されています。検出ルールは、アカウント所有者のアクティビティにおける特定のタイプの異常なイベントを監視し、該当するイベントの検出時にShieldの通知をトリガーするルールのことです。検出ルールには次のものがあります。

異常なダウンロード: 機密コンテンツを盗んでいる可能性のあるアカウント所有者を検出します。
マルウェア検出: 会社のBoxアカウントにアップロードされるコンテンツで潜在的なマルウェアを検出します。 Shieldが潜在的なマルウェアを検出すると、Boxでは次の処理が行われます。
- 悪意のあるコンテンツにアクセスしたユーザー全員に警告のバナーを表示する。
- Shieldダッシュボードにアラートを表示する。
- このルールの設定時に選択されたダウンロードの制限を適用する。
不審な場所: 通常とは異なる場所やホストIPアドレスまたは除外対象に指定されている場所やホストIPアドレスからコンテンツにアクセスしていると思われるユーザーを検出します。
不審なセッション: ユーザーエージェント文字列が異常、IDが異常、アプリケーションの種類が一般的ではない、IPアドレスが新しい、ログイン場所が考えられないほど高速に変化しているなどの特徴があるセッションでコンテンツにアクセスしていると思われるユーザーを検出します。

検出ルールの選択

検出ルールを選択するには、次の手順に従います。

管理コンソールの左側のペインで、[Shield]をクリックします。
[Shield]ウィンドウの上部にある[検出ルール]をクリックします。[Shieldルール]ウィンドウが表示されます。
[Shieldルール]ウィンドウの右上にある[Shieldルールの作成]をクリックします。
使用する検出ルールをクリックします。[ステップ1 ルールの詳細]セクションが表示されます。
[ルール名]に、ルールの名前を入力します。
[説明]に、ルールの目的を入力します。
[アラート重要度レベル]をクリックして、重要度を選択します。
次のセクションの説明に従い、ルールを設定して開始してください。

検出ルールの設定と開始

Shield検出ルールを選択したら、そのルールを設定して有効にできます。設定のオプションは、選択した検出ルールによって異なります。以下に例を示します。

Shieldリストを追加して、監視対象に含めたり監視対象から除外したりするドメインやアプリケーションを定義します。
Shieldリストを追加して、許可または禁止する国とホストIPアドレスを定義します。
異常な行動を検知したときにShieldで実行するアクションを選択します。

異常なダウンロードルールを設定するには、次の手順に従います。

[ステップ2 アクションの選択]で、Shieldからアラートを送信する方法を選択します。
- アラートをサードパーティ製ツールに転送するには、[Boxイベントストリームにアラートを発行]をクリックします。
- 特定のユーザーにアラートを発行するには、[通知するユーザー]でユーザーのアカウント名を入力します。
ウィンドウの右上で、[次へ]をクリックします。
[ルールを開始]をクリックして、ルールを有効にします。

マルウェア検出ルールを設定するには、次の手順に従います。

[ステップ2 アクションの選択]で、Shieldからアラートを送信する方法を選択します。
- アラートをサードパーティ製ツールに転送するには、[Boxイベントストリームにアラートを発行]をクリックします。
- 特定のユーザーにアラートを発行するには、[通知するユーザー]でユーザーのアカウント名を入力します。
ダウンロードを制限するには、[コンテンツのダウンロードを制限する]をクリックします。これにより、ユーザーはBoxアプリからファイルをダウンロードできなくなります。プレビューとオンラインでの編集は引き続き可能です。
ウィンドウの右上で、[次へ]をクリックします。
[ルールを開始]をクリックして、ルールを有効にします。

不審な場所ルールを設定するには、次の手順に従います。

[ステップ2 条件の選択]で[監視する場所]に移動し、次のいずれかの手順を実行します。
- [対象にする場所を指定]をクリックする
- [除外する場所を指定]をクリックする
[国]に、使用するShieldリストの名前を入力します。
[IPアドレスまたはCIDR]に、使用するShieldリストの名前を入力します。
[監視する特定のコンテンツ]で、監視対象とするコンテンツおよび分類レベルを選択し、共有公開リンクを監視するかどうかを指定します。
[ステップ3 アクションの選択]で、Shieldからアラートを送信する方法を選択します。
- アラートをサードパーティ製ツールに転送するには、[Boxイベントストリームにアラートを発行]をクリックします。
- 特定のユーザーにアラートを発行するには、[通知するユーザー]でユーザーのアカウント名を入力します。
ウィンドウの右上で、[次へ]をクリックします。
[ルールを開始]をクリックして、ルールを有効にします。

不審なセッションルールを設定するには、次の手順に従います。

[ステップ2 アクションの選択]で、Shieldからアラートを送信する方法を選択します。
- アラートをサードパーティ製ツールに転送するには、[Boxイベントストリームにアラートを発行]をクリックします。
- 特定のユーザーにアラートを発行するには、[通知するユーザー]でユーザーのアカウント名を入力します。
ウィンドウの右上で、[次へ]をクリックします。
[ルールを開始]をクリックして、ルールを有効にします。

[ルールを開始]をクリックすると、Shieldはルールを使用して社内のアカウントアクティビティを監視します。

設定済みルールの変更

設定済みのルールを変更するには、次の手順に従います。

管理コンソールの左側のペインで、[Shield]をクリックします。
[Shield]ウィンドウの上部にある[検出ルール]をクリックします。
ルールの名前をクリックします。
[Shieldルールの詳細]の横にある[編集]をクリックします。
リストの編集が完了したら、ウィンドウの右上にある[保存]をクリックします。

設定済みルールの削除

設定済みのルールを削除するには、次の手順に従います。

管理コンソールの左側のペインで、[Shield]をクリックします。
[Shield]ウィンドウの上部にある[検出ルール]をクリックします。
ルールの名前をクリックします。
ウィンドウの右上で、[削除]をクリックします。

Shieldダッシュボードの使用

Shieldアラートの確認

1つ以上の検出ルールの開始後、Shieldダッシュボードでは、検出条件に合致するアカウントアクティビティについてアラートが表示されます。

アラートの内容は次のとおりです。

アラートID
アラート日時
関連する検出ルールの名前と種類
アラートの原因になったアクティビティを行ったアカウント所有者の名前とメールアドレス
リスクスコア
アラートの原因になったアクセスが行われたIPアドレス

アラートの確認

Shieldアラートを確認するには、次の手順に従います。

管理コンソールの左側のペインで、[Shield]をクリックします。
[Shield]ウィンドウの上部にある[ダッシュボード]をクリックします。アラートの一覧表が表示されます。

アラートのフィルタ

アラートの一覧表にフィルタをかけるには、次の手順に従います。

管理コンソールの左側のペインで、[Shield]をクリックします。
ウィンドウ上部にある[ダッシュボード]をクリックします。
[ダッシュボード]タブの右上で、以下のフィルタ条件を選択します。
- ルールの種類
- 優先順位
- 期間
選択したフィルタ条件に合致するアラートの一覧表が表示されます。

アラートの詳細の確認

アラートの詳細を確認するには、次の手順に従います。

管理コンソールの左側のペインで、[Shield]をクリックします。
ウィンドウ上部にある[ダッシュボード]をクリックします。
アラートの一覧表で、アラートをクリックします。
アラートの詳細ページが表示されます。

アラートの詳細ページには、次の内容が表示されます。

アラートの概要: アラート名、アラートID、アラートタイプ、リスクスコア、当該アラートをトリガーした検出ルールで定義されている条件の情報など、アラートの概要が表示されます。
ユーザーの概要: このアラートの対象となるアカウントのメールアドレス、最終ログイン時刻、(Boxで定義されている)所属グループなどの概要が表示されます。Boxで所属グループの情報が定義されていない場合、このフィールドは空白になります。
地域別アクティビティ: アラート発生時に当該アカウントのアクティビティが行われた場所が地域マップ上に表示されます。
アクセスのあったコンテンツ: アラート発生時に当該アカウントによってアクセスされたコンテンツの統計情報が表示されます。
ユーザーのアクティビティ: アラート発生時の当該アカウントのアクティビティに関する概要が活動の種類別に表示されます。
クライアントのアクティビティ: アラート発生時にコンテンツにアクセスしたクライアントに関する情報が表示されます。この情報は、社内ネットワークからのアクセスか、家庭内ネットワークや公共ネットワークからのアクセスかを判断する上で役立ちます。
アラートタイムライン: アラートの原因となった当該アカウントの個々のアクティビティが時系列で表示されます。

Shieldリスクスコアの意味

アラートのリスクスコアは、アラートの緊急性と対処の必要性を1から100の範囲で示したものです。アラートのリスクスコアが大きいほど、脅威が検出される可能性が高くなります。

異常なダウンロードルールのリスクスコア

異常なダウンロードルールでは、機密の可能性があるコンテンツを通常とは異なる作業目的でダウンロードしたアカウント所有者を特定します。Shieldの機械学習では、その週の業務目的に応じて各ユーザーが必要とする可能性のあるコンテンツを予測します。そして、機密の可能性のあるコンテンツをユーザーがモデルの予測よりもはるかに高い頻度でダウンロードした場合、Shieldから高リスクスコアのアラートが送信されます。

不審な場所ルールのリスクスコア

不審な場所ルールでは、設定された重要度に基づいてリスクスコアを生成します。リスクスコアは、不審な場所ルールで定義されている重要度によって次のように決定されます。

優先順位	リスクスコア
低	20
情報	40
中	60
高	80
重要	100

不審なセッションルールのリスクスコア

不審なセッションルールでは、地理的に異なる場所で同時に開始されたセッションを検出することで、侵害された可能性のあるユーザーアカウントを特定します。レポートのリスクスコアは、アカウント侵害の確信度を表します。