VPC環境で利用できます。
WebShell Listメニューは、エージェントが顧客のサーバで検知したウェブシェル行為を確認して管理できるメニューです。
このメニューでは、ウェブシェル行為かどうかを判断して対応する上で参考になる、サーバ情報、検知時間、プロセス情報、攻撃者と疑われる IPアドレス情報などを確認できます。また、検知されたウェブシェル行為を発生させたウェブシェルと疑われるファイルリストとともに隔離したり、隔離されたファイルを復旧でき、検知されたウェブシェル行為をもとに簡単に例外処理できます。
ウェブシェル行為の詳細情報の確認
ウェブシェル行為が検知され通知を受けた場合、NAVERクラウドプラットフォームコンソールのウェブシェル行為リスト(WebShell List)で詳細情報を確認して必要な措置を取ることができます。
ウェブシェル行為の詳細情報を確認する方法は、次の通りです。
- NAVERクラウドプラットフォームコンソールの VPC環境で、
> Services > Security > Webshell Behavior Detectorメニューを順にクリックします。 - Detection List > WebShell Listメニューを順にクリックします。
- 確認するウェブシェル行為項目をクリックします。
- ウェブシェル行為の詳細情報が表示されます。
ウェブシェル行為リスト画面の各項目についての説明は、次の通りです。
| 領域 | 説明 |
|---|---|
| ① 例外処理 | この項目で例外処理ルールを設定 |
| ② ファイル隔離/復旧 | 疑わしいファイルリストを確認 |
| ③ 検知履歴削除 | このウェブシェル行為項目を削除 |
| ④ 検知時間 | 検知時間を基準に項目をフィルタリング |
| ⑤ 検索ボックス | 検索条件の設定後、 [検索] ボタンをクリックして項目を検索 |
| ⑥ Filter | 対応状態を基準に項目をフィルタリング |
| ⑦ ウェブシェル行為項目 | ウェブシェル行為情報の確認と関連機能ボタンの使用 |
| ⑧ 詳細情報 | ウェブシェル行為の詳細情報の確認 |
疑わしいファイルを見る
検知されたウェブシェル行為に関連した疑わしいファイルリストを確認し、ウェブシェルと判断したファイルを隔離したり、隔離されたファイルを復旧できます。
ウェブシェルと疑わしいファイルを確認する方法は、次の通りです。
-
NAVERクラウドプラットフォームコンソールの VPC環境で、
> Services > Security > Webshell Behavior Detectorメニューを順にクリックします。 -
Detection List > WebShell Listメニューを順にクリックします。
-
確認する項目の疑わしいファイル領域で [見る] ボタンをクリックします。
- 項目をクリックした後にリスト上部にある [ファイル隔離/復旧] ボタンをクリックしても構いません。
-
リストのポップアップでファイルをクリックし、詳細情報を確認します。
-
検知した行為をウェブシェルと判断した場合は、隔離/復旧の横にある [ファイル隔離] ボタンをクリックしてファイルを隔離します。
- そのファイルは、同じパスで攻撃者が類推しにくいファイル名で隔離されます。
(例) /var/www/html/uploads/webshell.php.webshell_20200320012000.BC98D127F4) - そのウェブシェル行為項目は確認状態(グレーのアイコンとテキスト)に変わり、隔離されたファイルは疑わしいファイルリスト(Quarantine)に追加されます。
- ファイルが隔離されると、 [ファイル隔離] ボタンが [ファイル復旧] ボタンに切り替わり、必要に応じてファイルを復旧できます。隔離されたファイルを復旧すると、そのページではそれ以上、ファイルの隔離または復旧は行えません。
- そのファイルは、同じパスで攻撃者が類推しにくいファイル名で隔離されます。
正常なファイルを隔離する場合、サービス障害が発生する可能性があります。慎重に行ってください。
疑わしいファイルリストにウェブシェルが存在しない場合があります。ウェブシェルファイル追跡で、ウェブシェルファイルを見つけ出す際に確認または考慮すべき条件と状況をご参照ください。
疑わしい IPアドレスを見る
検知されたウェブシェル行為に関連した攻撃者と疑われる IPアドレスのリストを確認できます。
疑わしい IPアドレスを確認する方法は次の通りです。
- NAVERクラウドプラットフォームコンソールの VPC環境で、 > Services > Security > Webshell Behavior Detectorメニューを順にクリックします。
- Detection List > WebShell Listメニューを順にクリックします。
- 確認する項目の疑わしい IPアドレス領域で [見る] ボタンをクリックします。
- リストのポップアップで疑わしい IPアドレス情報を確認します。
ウェブシェル攻撃者 IPアドレスが疑わしい IPアドレスリストで表示されない可能性があります。ウェブシェル攻撃者 IPアドレス追跡で、ウェブシェル攻撃者 IPアドレスを見つけ出す際に確認または考慮すべき条件と状況をご参照ください。
例外処理
検知されたウェブシェル行為項目が正常な動作である場合、例外処理してその行為が再び検知されないように設定できます。
ウェブシェル行為の項目を例外処理する方法は、次の通りです。
-
NAVERクラウドプラットフォームコンソールの VPC環境で、
> Services > Security > Webshell Behavior Detectorメニューを順にクリックします。 -
Detection List > WebShell Listメニューを順にクリックします。
-
例外処理する項目をクリックした後、 [例外処理] ボタンをクリックします。
-
設定ポップアップでルール名を入力し、必要に応じて入力された値を変更します。
- 例外ルールの条件をすべて満たすウェブシェル行為のみ(AND条件)例外処理されます。
- 例外ルールの作成時に選択できる条件は、次の通りです。
- START: 入力した文字列で始まる場合
- END: 入力した文字列で終わる場合
- NOT USE: 当該条件を使用しない場合
NOT USE条件を使用すると、例外ルールとして処理される対象の範囲が大きくなります。慎重に使用してください。過剰に使用すると、検知漏れになる可能性が高まります。
- 設定が完了したら、 [はい] ボタンをクリックします。
- 例外処理したウェブシェル行為項目は例外ルールリスト(Excepted List)に移動します。
追加された例外ルールは、Exception Setting > Exceptionメニューで確認できます。
確認/未確認処理
新たに検知されたウェブシェル行為項目は、識別できるように赤い色で表示されます。その項目で疑わしいファイルを隔離すると自動で赤い色が解除されますが、隔離の必要ない項目であれば確認状態を直接変更できます。
ウェブシェル行為項目の確認状態を変更する方法は、次の通りです。
- NAVERクラウドプラットフォームコンソールの VPC環境で、 > Services > Security > Webshell Behavior Detectorメニューを順にクリックします。
- Detection List > WebShell Listメニューを順にクリックします。
- 確認処理する項目の確認領域で
をクリックします。
- アイコンとテキストの色がグレーに変わります。
- 未確認状態に戻すには、アイコンをもう一度クリックします。
メモの作成
ウェブシェル行為項目に簡単な説明や追加情報などのメモを追加できます。
メモを作成する方法は次の通りです。
- NAVERクラウドプラットフォームコンソールの VPC環境で、 > Services > Security > Webshell Behavior Detectorメニューを順にクリックします。
- Detection List > WebShell Listメニューを順にクリックします。
- メモを追加する項目をクリックした後に詳細情報領域で、メモの横にある [変更] ボタンをクリックします。
- メモ内容を入力した後、 [保存] ボタンをクリックします。
検知履歴の削除
不要なウェブシェル行為項目を削除できます。
ウェブシェル行為項目を削除する方法は、次の通りです。
- NAVERクラウドプラットフォームコンソールの VPC環境で、 > Services > Security > Webshell Behavior Detectorメニューを順にクリックします。
- Detection List > WebShell Listメニューを順にクリックします。
- 削除するウェブシェル行為項目をクリックした後、 [検知履歴削除] ボタンをクリックします。
- 確認のポップアップで [はい] ボタンをクリックします。