印刷

脅威検出の使用

このトピックのセクションは以下のとおりです。

Box Shieldの脅威検出について

Box Shieldでは、ユーザーの普段の業務活動から逸脱した行動について警告するさまざまな脅威検出ルールを設定し、適用することができます。

脅威検出ルールを設定するために、ブロック対象の国やドメインなどのアラート条件のリストを作成し、ルールに追加することができます。また、Shieldアラートを評価するための送信先を指定することもできます。

脅威検出ルールを適用すると、Box Shieldでは、アカウント所有者のアクティビティが監視され、機械学習により、監視対象の各アカウント所有者が通常の状況でダウンロードすると考えられる機密文書の候補が予測されます。アカウント所有者のダウンロードアクティビティがこの予測結果から大きくずれた場合、Shieldでアラートが表示されます。

脅威検出を使用すると、次のことが可能です。

  • アクセス権限を悪用してデータを盗んだりコンテンツにアクセスしたりしたアカウント所有者を検出する。
  • 場所、アクティビティ、アクセスパターンなどの状況に基づいて、侵害されたアカウントを検出する。
  • 企業のBoxアカウントにアップロードされるコンテンツで潜在的なマルウェアを検出し、ダウンロードの制限を適用する。
  • ルールと行動に基づいて、セキュリティに関する重要な決定を行う。

脅威検出ルールの種類

Box Shieldには、設定および適用可能な検出ルールが数種類用意されています。検出ルールは、アカウント所有者のアクティビティにおける特定のタイプの異常なイベントを監視し、該当するイベントの検出時にShieldの通知をトリガーするルールのことです。検出ルールの種類は以下のとおりです。

  • 異常なダウンロード: 機密コンテンツを盗んでいる可能性のあるアカウント所有者を検出します。
  • 悪意のあるコンテンツ: 企業のBoxアカウントにアップロードされるコンテンツで潜在的なマルウェアを検出します。  悪意のあるコンテンツのルールでは、複数の種類のマルウェア検出が行われます。
    • 自分のファイルとマルウェアを含むことが判明しているファイルを比較する、脅威の評価スキャン
    • ファイルのコンテンツを評価する、特定のファイルの種類のディープスキャン

    Shieldが潜在的なマルウェアを検出すると、Boxでは次の処理が行われます。
    • Boxウェブアプリから悪意のあるコンテンツにアクセスしたユーザー全員に警告のバナーを表示する。
    • Shieldダッシュボードにアラートを表示する。
    • このルールの設定時に選択されたダウンロードの制限を適用する。 
      • Mac版またはWindows版のBox Driveでは、ダウンロードの制限により、悪意のあるファイルを開いたり、移動したり、コピーしたりすることはできません。  代わりに、警告が表示されます。
  • 不審な場所: コンテンツにアクセスしている場所、ホストIPアドレス、ユーザーやグループ、ドメインが通常とは異なる、または除外対象に指定されていると思われるユーザーを検出します。
  • 不審なセッション: ユーザーエージェント文字列が異常、IDが異常、アプリケーションの種類が一般的ではない、IPアドレスが新しい、ログイン場所が考えられないほど高速に変化しているなどの特徴があるセッションでコンテンツにアクセスしていると思われるユーザーを検出します。

脅威検出ルールの種類の上限

最大25件の脅威検出ルールを作成できます。その構成は以下のとおりです。

  • 不審なセッションルール: 1件
  • 異常なダウンロードルール: 1件
  • マルウェア検出ルール: 1件
  • 不審な場所ルール: 最大22件

以下のことが可能です。

[ルールを開始] をクリックすると、Shieldはルールを使用して社内のアカウントアクティビティを監視します。

 

Shieldダッシュボードの使用

Shieldアラートの確認

1つ以上の検出ルールの開始後、Shieldダッシュボードでは、検出条件に合致するアカウントアクティビティについてアラートが表示されます。

アラートの内容は次のとおりです。

  • アラートID
  • アラート日時
  • 関連する検出ルールの名前と種類
  • アラートの原因になったアクティビティを行ったアカウント所有者の名前とメールアドレス
  • リスクスコア
  • アラートの原因になったアクセスが行われたIPアドレス

 

Shieldアラートの一覧の確認

Shieldアラートを確認するには、次の手順に従います。

  1. 管理コンソールの [Shield] に移動します。
  2. [ダッシュボード] タブをクリックします。

 

Shieldアラートのフィルタ

アラートの一覧表にフィルタをかけるには、次の手順に従います。

  1. 管理コンソールの [Shield] に移動します。
  2. [ダッシュボード] タブをクリックします。
  3. [ダッシュボード] タブの右上で、以下のフィルタ条件を選択します。
    • ルールの種類
    • 優先度
    • 期間
  4. 選択したフィルタ条件に合致するアラートの一覧表が表示されます。

Shieldアラートの詳細の確認

アラートの詳細を確認するには、次の手順に従います。

  1. 管理コンソールの [Shield] に移動します。
  2. [ダッシュボード] タブをクリックします。
  3. アラートの一覧表で、アラートをクリックします。
  4. アラートの詳細ページが表示されます。

アラートの詳細ページには、次の内容が表示されます。

  • アラートの概要: アラート名、アラートID、アラートタイプ、リスクスコア、当該アラートをトリガーした検出ルールで定義されている条件の情報など、アラートの概要が表示されます。
  • ユーザーの概要: このアラートの対象となるアカウントのメールアドレス、最終ログイン時刻、(Boxで定義されている) 所属グループなどの概要が表示されます。Boxで所属グループの情報が定義されていない場合、このフィールドは空白になります。
  • 地域別アクティビティ: アラート発生時に当該アカウントのアクティビティが行われた場所が地域マップ上に表示されます。
  • アクセスのあったコンテンツ: アラート発生時に当該アカウントによってアクセスされたコンテンツの統計情報が表示されます。
  • ユーザーアクティビティ: アラート発生時の当該アカウントのアクティビティに関する概要が活動の種類別に表示されます。
  • クライアントのアクティビティ: アラート発生時にコンテンツにアクセスしたクライアントに関する情報が表示されます。この情報は、社内ネットワークからのアクセスか、家庭内ネットワークや公共ネットワークからのアクセスかを判断する上で役立ちます。
  • アラートタイムライン: アラートの原因となった当該アカウントの個々のアクティビティが時系列で表示されます。

Shieldアラートからの除外

アラートの詳細ページで、不審な場所や不審なセッションのアラートから除外したいアプリケーション、IPアドレス、ユーザー、またはグループが表示される場合は、アプリケーション名またはIPアドレスの横にある [除外] をクリックします。

注: 除外を使用する場合は、通知が重複して送信されないように、適用されているアラートルールを変更する必要があります。例えば、2つのルールが構成されていて、1つはすべてのユーザーに対するアラート、もう1つはすべてのユーザーから一部のユーザーを除いたユーザーに対するアラートの場合、1つ目のルールの設定に基づいて、除外されたユーザーに対するアラートを受信することになります。

 

Shieldリスクスコアの意味

アラートのリスクスコアは、アラートの緊急性と対処の必要性を1から100の範囲で示したものです。アラートのリスクスコアが大きいほど、脅威が検出される可能性が高くなります。

 

異常なダウンロードルールのリスクスコア

異常なダウンロードルールでは、機密の可能性があるコンテンツを通常とは異なる作業目的でダウンロードしたアカウント所有者を特定します。Shieldの機械学習では、その週の業務目的に応じて各ユーザーが必要とする可能性のあるコンテンツを予測します。そして、機密の可能性のあるコンテンツをユーザーがモデルの予測よりもはるかに高い頻度でダウンロードした場合、Shieldから高リスクスコアのアラートが送信されます。

 

不審な場所ルールのリスクスコア

不審な場所ルールでは、設定された優先度に基づいてリスクスコアを生成します。リスクスコアは、不審な場所ルールで定義されている優先度によって次のように決定されます。

 

優先度 リスクスコア
20
参考情報 40
60
80
重要 100

 

不審なセッションルールのリスクスコア

不審なセッションルールでは、地理的に異なる場所で同時に開始されたセッションを検出することで、侵害された可能性のあるユーザーアカウントを特定します。レポートのリスクスコアは、アカウント侵害に対するShieldの信頼性を表します。

 

悪意のあるコンテンツルールのリスクスコア

悪意のあるコンテンツルールでは、Boxにアップロードされたマルウェアを検出できます。このリスクスコアは、ファイルが実際はマルウェアで、安全ではないことに対するShieldの信頼性を表します。

 

異常なダウンロードアラートに関するフィードバックの報告

管理者は、異常なダウンロードアラートで異常と見なされた個々のフォルダに関する詳細なフィードバックを報告して、企業での検出精度を高めることができます。

 

Overview_Anomalous_Download_Report.png

フィードバックを報告するには、次の手順に従います。

  1. アラートの [異常なコンテンツのダウンロード] セクションに移動します。
  2. 任意のフォルダをクリックします。
    •  フォルダには以下の2種類の情報が表示されます。
      • Boxの機械学習アルゴリズムによって判定された秘密度レベル。
      • そのフォルダからダウンロードされたファイル数。
  3. 右側のサイドメニューで、以下の統計情報を確認します。
    • 異常と見なされたダウンロードの割合
    • ダウンロードのサイズ 
    • フォルダの所有者
  4. 確認した内容に基づいて、フィードバックを選択します。
    • フォルダに機密データが含まれることはありますか?
      • はい
      • いいえ
      • 不明
    • このユーザーがこのコンテンツをダウンロードすることはありますか?
      • はい
      • いいえ
      • 不明

 

関連記事