印刷

脅威検出の使用

  • 公開日 更新日

Box Shieldでは、ユーザーの普段の業務活動から逸脱した行動について警告するさまざまな脅威検出ルールを設定し、適用することができます。

脅威検出ルールを設定するために、ブロック対象の国やドメインなどのアラート条件のリストを作成し、ルールに追加することができます。また、Shieldアラートを評価するための送信先を指定することもできます。

脅威検出ルールを適用すると、Box Shieldでは、アカウント所有者のアクティビティが監視され、機械学習により、監視対象の各アカウント所有者が通常の状況でダウンロードすると考えられる機密文書の候補が予測されます。アカウント所有者のダウンロードアクティビティがこの予測結果から大きくずれた場合、Shieldでアラートが表示されます。

 

脅威検出を使用すると、次のことが可能です。

  • アクセス権限を悪用してデータの窃盗やコンテンツへのアクセスを行ったアカウント所有者を検知する。
  • 場所、アクティビティ、アクセスパターンなどの状況に基づいて侵害されたアカウントを検出する。
  • 企業のBoxアカウントにアップロードされるコンテンツで潜在的なマルウェアを検出し、ダウンロードの制限を適用する。
  • ルールと行動に基づきセキュリティについて重要な意思決定を行う。

脅威検出ルールの種類

Box Shieldには、設定および適用可能な検出ルールが数種類用意されています。検出ルールは、アカウント所有者のアクティビティにおける特定のタイプの異常なイベントを監視し、該当するイベントの検出時にShieldの通知をトリガーするルールのことです。検出ルールの種類には以下のものがあります。

  • 異常なダウンロード: 機密コンテンツを盗んでいる可能性のあるアカウント所有者を検出します。
  • 悪意のあるコンテンツ: 企業のBoxアカウントにアップロードされるコンテンツで潜在的なマルウェアを検出します。  悪意のあるコンテンツのルールでは、複数の種類のマルウェア検出が行われます。
    • 自分のファイルとマルウェアを含むことが判明しているファイルを比較して脅威を評価
    • 特定のファイルのコンテンツを評価してそれらのファイルの種類をディープスキャン

    Shieldが潜在的なマルウェアを検出すると、Boxでは次の処理が行われます。
    • Boxウェブアプリから悪意のあるコンテンツにアクセスしたユーザー全員に警告のバナーを表示する。
    • Shieldダッシュボードにアラートを表示する。
    • このルールの設定時に選択されたダウンロードの制限を適用する。 
      • Mac版またはWindows版のBox Driveでは、ダウンロードの制限により、悪意のあるファイルを開いたり、移動したり、コピーしたりすることはできません。  代わりに、警告が表示されます。
  • 不審な場所: 通常とは異なる場所やホストIPアドレスまたは除外対象に指定されている場所やホストIPアドレスからコンテンツにアクセスしていると思われるユーザーを検出します。
  • 不審なセッション: ユーザーエージェント文字列が異常、IDが異常、アプリケーションの種類が一般的ではない、IPアドレスが新しい、ログイン場所が考えられないほど高速に変化しているなどの特徴があるセッションでコンテンツにアクセスしていると思われるユーザーを検出します。

脅威検出ルールを保存し、Shieldアラートを表示する方法は、こちらの動画を参照してください。

脅威検出ルールの種類の上限

最大25件の脅威検出ルールを作成できます。その構成は以下のとおりです。

  • 不審なセッションルール: 1件
  • 異常なダウンロードルール: 1件
  • マルウェア検出ルール: 1件
  • 不審な場所ルール: 最大22件

 

[ルールを開始] をクリックすると、Shieldはルールを使用して社内のアカウントアクティビティを監視します。

 

設定済みルールの変更

設定済みのルールを変更するには、次の手順に従います。

  1. 管理コンソールの左側のペインで、[Shield] をクリックします。
  2. [Shield] ウィンドウの上部にある [検出ルール] をクリックします。
  3. ルールの名前をクリックします。
  4. [検出ルールの詳細] の横にある [編集] をクリックします。
  5. リストの編集が完了したら、ウィンドウの右上にある [ルールを更新] をクリックします。

 

設定済みルールの削除

設定済みのルールを削除するには、次の手順に従います。

  1. 管理コンソールの左側のペインで、[Shield] をクリックします。
  2. [Shield] ウィンドウの上部にある [検出ルール] をクリックします。
  3. ルールの名前をクリックします。
  4. ウィンドウの右上で、[削除] をクリックします。

 

 

Shieldダッシュボードの使用

Shieldアラートの確認

1つ以上の検出ルールの開始後、Shieldダッシュボードでは、検出条件に合致するアカウントアクティビティについてアラートが表示されます。

アラートの内容は次のとおりです。

  • アラートID
  • アラート日時
  • 関連する検出ルールの名前と種類
  • アラートの原因になったアクティビティを行ったアカウント所有者の名前とメールアドレス
  • リスクスコア
  • アラートの原因になったアクセスが行われたIPアドレス

 

Shieldアラートの一覧の確認

Shieldアラートを確認するには、次の手順に従います。

  1. 管理コンソールの左側のペインで、[Shield] をクリックします。
  2. [Shield] ウィンドウの上部にある [ダッシュボード] をクリックします。アラートの一覧表が表示されます。

 

Shieldアラートのフィルタ

アラートの一覧表にフィルタをかけるには、次の手順に従います。

  1. 管理コンソールの左側のペインで、[Shield] をクリックします。
  2. ウィンドウ上部にある [ダッシュボード] をクリックします。
  3. [ダッシュボード] タブの右上で、以下のフィルタ条件を選択します。
    • ルールの種類
    • 優先度
    • 期間
  4. 選択したフィルタ条件に合致するアラートの一覧表が表示されます。

 

Shieldアラートの詳細の確認

アラートの詳細を確認するには、次の手順に従います。

  1. 管理コンソールの左側のペインで、[Shield] をクリックします。
  2. ウィンドウ上部にある [ダッシュボード] をクリックします。
  3. アラートの一覧表で、アラートをクリックします。
  4. アラートの詳細ページが表示されます。

アラートの詳細ページには、次の内容が表示されます。

  • アラートの概要: アラート名、アラートID、アラートタイプ、リスクスコア、当該アラートをトリガーした検出ルールで定義されている条件の情報など、アラートの概要が表示されます。
  • ユーザーの概要: このアラートの対象となるアカウントのメールアドレス、最終ログイン時刻、(Boxで定義されている) 所属グループなどの概要が表示されます。Boxで所属グループの情報が定義されていない場合、このフィールドは空白になります。
  • 地域別アクティビティ: アラート発生時に当該アカウントのアクティビティが行われた場所が地域マップ上に表示されます。
  • アクセスのあったコンテンツ: アラート発生時に当該アカウントによってアクセスされたコンテンツの統計情報が表示されます。
  • ユーザーアクティビティ: アラート発生時の当該アカウントのアクティビティに関する概要が活動の種類別に表示されます。
  • クライアントのアクティビティ: アラート発生時にコンテンツにアクセスしたクライアントに関する情報が表示されます。この情報は、社内ネットワークからのアクセスか、家庭内ネットワークや公共ネットワークからのアクセスかを判断する上で役立ちます。
  • アラートタイムライン: アラートの原因となった当該アカウントの個々のアクティビティが時系列で表示されます。

 

ShieldアラートからのアプリとIPアドレスの除外

アラートの詳細ページで、不審な場所や不審なセッションのアラートから除外したいアプリケーションまたはIPアドレスが表示される場合は、アプリケーション名またはIPアドレスの横にある [除外] をクリックします。

 

 

Shieldリスクスコアの意味

アラートのリスクスコアは、アラートの緊急性と対処の必要性を1から100の範囲で示したものです。アラートのリスクスコアが大きいほど、脅威が検出される可能性が高くなります。

 

異常なダウンロードルールのリスクスコア

異常なダウンロードルールでは、機密の可能性があるコンテンツを通常とは異なる作業目的でダウンロードしたアカウント所有者を特定します。Shieldの機械学習では、その週の業務目的に応じて各ユーザーが必要とする可能性のあるコンテンツを予測します。そして、機密の可能性のあるコンテンツをユーザーがモデルの予測よりもはるかに高い頻度でダウンロードした場合、Shieldから高リスクスコアのアラートが送信されます。

 

不審な場所ルールのリスクスコア

不審な場所ルールでは、設定された優先度に基づいてリスクスコアを生成します。リスクスコアは、不審な場所ルールで定義されている優先度によって次のように決定されます。

 

優先度 リスクスコア
20
参考情報 40
60
80
重要 100

 

不審なセッションルールのリスクスコア

不審なセッションルールでは、地理的に異なる場所で同時に開始されたセッションを検出することで、侵害された可能性のあるユーザーアカウントを特定します。レポートのリスクスコアは、アカウント侵害に対するShieldの信頼性を表します。

 

悪意のあるコンテンツルールのリスクスコア

悪意のあるコンテンツルールでは、Boxにアップロードされたマルウェアを検出できます。このリスクスコアは、ファイルが実際はマルウェアで、安全ではないことに対するShieldの信頼性を表します。

 

 

異常なダウンロードアラートに関するフィードバックの報告

管理者は、異常なダウンロードアラートで異常と見なされた個々のフォルダに関する詳細なフィードバックを報告して、企業での検出精度を高めることができます。

 

Overview_Anomalous_Download_Report.png

フィードバックを報告するには、次の手順に従います。

  1. アラートの [異常なコンテンツのダウンロード] セクションに移動します。
  2. 任意のフォルダをクリックします。
    •  フォルダには以下の2種類の情報が表示されます。
      • Boxの機械学習アルゴリズムによって判定された秘密度レベル。
      • そのフォルダからダウンロードされたファイル数。
  3. 右側のサイドメニューで、以下の統計情報を確認します。
    • 異常と見なされたダウンロードの割合
    • ダウンロードのサイズ 
    • フォルダの所有者
  4. 確認した内容に基づいて、フィードバックを選択します。
    • フォルダに機密データが含まれることはありますか?
      • はい
      • いいえ
      • 不明
    • このユーザーがこのコンテンツをダウンロードすることはありますか?
      • はい
      • いいえ
      • 不明

 

admin_swarm_kb

関連記事