「トロイの木馬」ポートの処理
ネットワークアクティビティを「監視」するSOCがあり、基本的にすべてのファイアウォールからすべてのログを収集し、レポートを作成します。
数百台のサーバーと最大2000人のユーザーがいる巨大なネットワークがあり、すべてのサブネット/ブランチがファイアウォールで保護されています。これらのファイアウォールはSOCでarcsightにフィードし、SOCはレポートとして返されます。
これらのレポートには、すべてのサブネットからのすべてのsource:portおよびdest:port情報が含まれています。
このデータを確認したところ、これらの多くが ポートは「トロイの木馬」、「脅威」などに分類されています であることがわかりました。同時に、これらの多くは日常の使用に必要です。
それでは、これに対処するためのベストプラクティスは何ですか?
報告されたホストがポートで正当なアプリケーションを実行していることを確認します。
たとえば、ポート8080tcpはHTTPのデフォルトの代替ポートです。多くの正当なアプリケーションで使用されています。
構成管理データベースで宛先ホストが実行しているはずのものを調べます(do CMDBがありますか?)。たとえば、Apache Tomcatアプリケーションサーバー(ポート8080を使用)を実行することになっている場合、これは意図された動作であり、無害です。 Tomcatサーバーが実際に機能していることを確認します。その場合、ポートが使用中であり、Tomcatプロセスを強制終了せずにマルウェアが使用できないことを意味します。これにより、ポートを必要とする人は誰でも文句を言うことになります。レポートシステムにフィルタールールを追加して、そのサーバーとポート8080に関するレポートが表示されないようにします。レポートに表示される誤検知は実際の検知の邪魔になるため、このようなフィルタルールは重要です。また、レポートシステムにルールを追加して、そのip:portの組み合わせがnot表示されなくなったときにアラートを生成することもできます。サーバーがダウンしているか、サーバーがそのアプリケーションを実行しなくなったために再利用されたため、フィルタールールとCMDBを更新する必要があることを意味します。
ただし、8080を使用する可能性のあるものを実行することを想定していないホストでそのポートが開いていることがわかった場合は、調査する価値があります。サーバーにログインし、netstatを実行して、どのアプリケーションがそのポートを開いたかを確認します。次に、あなた自身の判断を使用して、それが合法であるかどうかを判断します。