コールバック検出器:検出された高信頼C&CサーバーIPへの接続
現在、McAfee ESMを調整しています。以下はログです
送信元IP = 173.224.123.242宛先IP =内部IP(常に同じ)
送信元ポート= 443宛先ポート= 3740(2502、2442、1208、1118、3526、1175、4499、4466)
アラート2
ソースユーザー= NA、宛先ユーザー= NA
最初のイベント-2016年5月13日19:50:09最後のイベント-2016年5月13日19:50:09イベント数-2
メッセージ-コールバック検出:高信頼C&CサーバーIP検出アプリケーションへの接続-平均重大度= 90署名ID = 305-284
なぜこれらを取得しているのか、またどのようなアクションをとるべきかを理解していただけると助かります。
IPSセンサーは、173.224.123.242がC&Cサーバーであると信じているようです(この情報はMcAfee自体から取得され、サーバーを分析して悪意があるかどうかを判断します)。
C&Cは、たとえばボットネットが侵害され、管理されているサーバーです。これは良い兆候ではありません。
このシグネチャが常に同じ内部ホストに対して表示される場合は、すぐにネットワークから切断し、侵害されているかどうかを確認します(最新のAVを実行する、アクティブなプロセスを確認するなど)。外部IPが会社に属している場合、これは誤検知を示している可能性があります。次に、サーバーが本当に問題ないことを確認し、今後このアラートを無視するフィルターを作成します。
それが役に立てば幸い! :)