例外行為の確認(Excepted List)

Prev Next

VPC環境で利用できます。

Excepted Listメニューは、例外ルールによって例外処理されたウェブシェル行為を確認できるメニューです。
このメニューでは、ウェブシェル行為が検知されたサーバの情報、検知時間、プロセス情報、攻撃者と疑われる IPアドレス情報などの詳細情報と疑わしいファイル、攻撃者と疑われる IPアドレスを確認できます。また、例外処理された項目に適用された例外ルールを照会したり、例外処理をキャンセルできます。

例外行為の詳細情報の確認

例外処理されたウェブシェル行為の詳細情報が確認できます。

例外行為の詳細情報を確認する方法は、次の通りです。

  1. NAVERクラウドプラットフォームコンソールの VPC環境で、i_menu > Services > Security > Webshell Behavior Detectorメニューを順にクリックします。
  2. Detection List > Excepted Listメニューを順にクリックします。
  3. リストで確認する例外行為項目をクリックします。
    • 例外行為の詳細情報が表示されます。

例外行為リスト画面の各項目についての説明は、次の通りです。
wbd-wbdexcepted-detail-vpc-ko

領域 説明
検知時間 検知時間を基準に項目をフィルタリング
② 検索ボックス 検索条件の設定後、 [検索] ボタンをクリックして項目を検索
③ 例外行為項目 例外行為情報の確認と関連機能ボタンの使用
詳細情報 例外行為の詳細情報の確認

疑わしいファイルを見る

例外処理された行為に関連したウェブシェルと疑わしいファイルのリストを確認し、ウェブシェルと判断したファイルを隔離したり、隔離されたファイルを復旧できます。

ウェブシェルと疑わしいファイルを確認する方法は、次の通りです。

  1. NAVERクラウドプラットフォームコンソールの VPC環境で、i_menu > Services > Security > Webshell Behavior Detectorメニューを順にクリックします。

  2. Detection List > Excepted Listメニューを順にクリックします。

  3. 確認する項目の疑わしいファイル領域で [見る] ボタンをクリックします。

  4. リストのポップアップでファイルをクリックし、ファイルの詳細情報を確認します。
    wbd-wbdwebshell-file-vpc-ko

  5. 検知した行為をウェブシェルと判断した場合は、隔離/復旧の横にある [ファイル隔離] ボタンをクリックしてファイルを隔離します。

    • そのファイルは、同じパスで攻撃者が類推しにくいファイル名で隔離されます。
      (例) /var/www/html/uploads/webshell.php.webshell_20200320012000.BC98D127F4)
    • そのウェブシェル行為項目は確認状態(グレーのアイコンとテキスト)に変わり、隔離されたファイルは疑わしいファイルリスト(Quarantine)に追加されます。
    • ファイルが隔離されると、 [ファイル隔離] ボタンが [ファイル復旧] ボタンに切り替わり、必要に応じてファイルを復旧できます。隔離されたファイルを復旧すると、そのページではそれ以上、ファイルの隔離または復旧は行えません。
注意

正常なファイルを隔離する場合、サービス障害が発生する可能性があります。慎重に行ってください。

参考

疑わしいファイルリストにウェブシェルが存在しない場合があります。ウェブシェルファイル追跡で、ウェブシェルファイルを見つけ出す際に確認または考慮すべき条件と状況をご参照ください。

疑わしい IPアドレスを見る

例外処理されたウェブシェル行為に関連した攻撃者と疑われる IPアドレスリストを確認できます。

疑わしい IPアドレスリストを確認する方法は、次の通りです。

  1. NAVERクラウドプラットフォームコンソールの VPC環境で、i_menu > Services > Security > Webshell Behavior Detectorメニューを順にクリックします。

  2. Detection List > Excepted Listメニューを順にクリックします。

  3. 確認する項目の疑わしい IPアドレス領域で [見る] ボタンをクリックします。

  4. リストのポップアップで疑わしい IPアドレス情報を確認します。
    wbd-wbdwebshell-ip-vpc-ko

参考

ウェブシェル攻撃者 IPアドレスが疑わしい IPアドレスリストで表示されない可能性があります。ウェブシェル攻撃者 IPアドレス追跡で、ウェブシェル攻撃者 IPアドレスを見つけ出す際に確認または考慮すべき条件と状況をご参照ください。

例外ルールの確認

例外処理されたウェブシェル行為項目に適用されたすべての例外ルールを確認できます。

例外ルールを確認する方法は次の通りです。

  1. NAVERクラウドプラットフォームコンソールの VPC環境で、i_menu > Services > Security > Webshell Behavior Detectorメニューを順にクリックします。
  2. Detection List > Excepted Listメニューを順にクリックします。
  3. 確認する項目の例外ルール領域で [見る] ボタンをクリックします。
  4. 情報のポップアップで例外ルール情報を確認した後、 [確認] ボタンをクリックします。

例外処理のキャンセル

ウェブシェル行為項目の例外処理をキャンセルできます。

例外処理をキャンセルする方法は次の通りです。

  1. NAVERクラウドプラットフォームコンソールの VPC環境で、i_menu > Services > Security > Webshell Behavior Detectorメニューを順にクリックします。
  2. Detection List > Excepted Listメニューを順にクリックします。
  3. 例外処理をキャンセルする項目の例外キャンセル領域で [キャンセル] ボタンをクリックします。
  4. 情報のポップアップで例外ルール情報を確認した後、 [例外キャンセル] ボタンをクリックします。
    • この項目に適用されたすべての例外ルールを確認できます。
  5. 確認のポップアップで [はい] ボタンをクリックします。
    • この項目はウェブシェル行為リストに移動し、適用された例外ルールはすべて削除されます。
参考

例外ルールが削除される場合、選択した項目を除いて、削除されるルールによって例外処理された項目はウェブシェル行為リストに再分類されません。

メモの作成

例外処理されたウェブシェル行為項目に簡単な説明や追加情報などのメモを追加できます。

メモを作成する方法は次の通りです。

  1. NAVERクラウドプラットフォームコンソールの VPC環境で、i_menu > Services > Security > Webshell Behavior Detectorメニューを順にクリックします。
  2. Detection List > Excepted Listメニューを順にクリックします。
  3. メモを追加する項目をクリックした後に詳細情報領域で、メモの横にある [変更] ボタンをクリックします。
  4. メモ内容を入力した後、 [保存] ボタンをクリックします。