- 印刷する
- PDF
例外行為の確認(Excepted List)
- 印刷する
- PDF
VPC環境で利用できます。
Excepted Listメニューは、例外ルールによって例外処理されたウェブシェル行為を確認できるメニューです。
このメニューでは、ウェブシェル行為が検知されたサーバの情報、検知時間、プロセス情報、攻撃者と疑われるIP情報などの詳細情報と疑わしいファイル、攻撃者と疑われるIPを確認できます。また、例外処理された項目に適用された例外ルールを照会したり、例外処理をキャンセルすることもできます。
例外行為の詳細情報の確認
例外処理されたウェブシェル行為の詳細情報が確認できます。
例外行為の詳細情報を確認する方法は以下のとおりです。
- NAVERクラウドプラットフォームコンソールのVPC環境でServices > Security > Webshell Behavior Detectorメニューを順にクリックします。
- Detection List > Excepted Listメニューを順にクリックします。
- リストで、確認する例外行為項目をクリックします。
- 例外行為の詳細情報が表示されます。
例外行為リスト画面の各項目についての説明は以下のとおりです。
領域 | 説明 |
---|---|
① 検知時間 | 検知時間を基準に項目をフィルタリング |
② 検索画面 | 検索条件を設定し、[検索] ボタンをクリックして項目を検索 |
③ 例外行為項目 | 例外行為情報の確認と関連機能ボタンの使用 |
④ 詳細情報 | 例外行為の詳細情報の確認 |
疑わしいファイルを見る
例外処理された行為に関連したウェブシェルと疑われるファイルのリストを確認し、ウェブシェルと判断したファイルを隔離したり、隔離されたファイルを復旧することができます。
ウェブシェルと疑われるファイルを確認する方法は以下のとおりです。
NAVERクラウドプラットフォームコンソールのVPC環境でServices > Security > Webshell Behavior Detectorメニューを順にクリックします。
Detection List > Excepted Listメニューを順にクリックします。
確認する項目の 疑わしいファイル 領域で [見る] ボタンをクリックします。
リストのポップアップでファイルをクリックし、ファイルの詳細情報を確認します。
検知した行為をウェブシェルと判断した場合は、隔離/復旧 の横にある [ファイル隔離] ボタンをクリックしてファイルを隔離します。
- そのファイルは、同じパスで攻撃者が類推しにくいファイル名で隔離されます。
(例:/var/www/html/uploads/webshell.php.webshell_20200320012000.BC98D127F4) - そのウェブシェル行為項目は確認状態(グレーのアイコンとテキスト)に変わり、隔離されたファイルは疑わしいファイルリスト(Quarantine)に追加されます。
- ファイルが隔離されると、[ファイル隔離] ボタンが [ファイル復旧] ボタンに切り替わり、必要に応じてファイルを復旧できます。隔離されたファイルを復旧すると、そのページではそれ以上、ファイルの隔離または復旧は行えません。
- そのファイルは、同じパスで攻撃者が類推しにくいファイル名で隔離されます。
正常なファイルを隔離するとサービス障害が発生する可能性があります。慎重に行ってください。
疑わしいファイルリストにウェブシェルが存在しない場合があります。ウェブシェルファイルの追跡で、ウェブシェルファイルを見つけ出す際に確認または考慮すべき条件と状況をご参照ください。
疑わしいIPを見る
例外処理されたウェブシェル行為に関連した攻撃者と疑われるIPリストを確認できます。
疑わしいIPリストを確認する方法は以下のとおりです。
NAVERクラウドプラットフォームコンソールのVPC環境でServices > Security > Webshell Behavior Detectorメニューを順にクリックします。
Detection List > Excepted Listメニューを順にクリックします。
確認する項目の 疑わしいIP 領域で [見る] ボタンをクリックします。
リストのポップアップで疑わしいIP情報を確認します。
ウェブシェルの攻撃者IPが、疑わしいIPリストで表示されない場合があります。ウェブシェル攻撃者のIP追跡で、ウェブシェル攻撃者IPを見つけ出す際に確認または考慮すべき条件と状況をご参照ください。
例外ルールの確認
例外処理されたウェブシェル行為項目に適用されたすべての例外ルールを確認できます。
例外ルールを確認する方法は以下のとおりです。
- NAVERクラウドプラットフォームコンソールのVPC環境でServices > Security > Webshell Behavior Detectorメニューを順にクリックします。
- Detection List > Excepted Listメニューを順にクリックします。
- 確認する項目の 例外ルール 領域で [見る] ボタンをクリックします。
- 情報のポップアップで例外ルール情報を確認し、[確認] ボタンをクリックします。
例外処理のキャンセル
ウェブシェル行為項目の例外処理をキャンセルできます。
例外処理をキャンセルする方法は以下のとおりです。
- NAVERクラウドプラットフォームコンソールのVPC環境でServices > Security > Webshell Behavior Detectorメニューを順にクリックします。
- Detection List > Excepted Listメニューを順にクリックします。
- 例外処理をキャンセルする項目の 例外キャンセル 領域で [キャンセル] ボタンをクリックします。
- 情報のポップアップで例外ルール情報を確認し、[例外キャンセル] ボタンをクリックします。
- この項目に適用されたすべての例外ルールを確認できます。
- 確認のポップアップで [はい] ボタンをクリックします。
- この項目はウェブシェル行為リストに移動し、適用された例外ルールはすべて削除されます。
例外ルールが削除される場合、選択した項目を除いて、削除されるルールによって例外処理された項目はウェブシェル行為リストに再分類されません。
メモの作成
例外処理されたウェブシェル行為項目に簡単な説明や追加情報などのメモを追加できます。
メモを作成する方法は以下のとおりです。
- NAVERクラウドプラットフォームコンソールのVPC環境でServices > Security > Webshell Behavior Detectorメニューを順にクリックします。
- Detection List > Excepted Listメニューを順にクリックします。
- メモを追加する項目をクリックし、詳細情報領域で メモ の横にある [修正] ボタンをクリックします。
- メモの内容を入力し、[保存] ボタンをクリックします。