平素は格別のご高配を賜り厚く御礼申し上げます。
Infobloxユーザーの皆様、弊社取扱製品であるInfobloxをご利用いただきありがとうございます。今回は、Infoblox セキュリティ強化サービス「sumox」のご案内をさせていただきます。
InfobloxのDNS・DHCPログを利用してインシデント対応を効率化してみませんか?
なんどかこのブログで紹介させていただいておりますが、弊社ではInfobloxのログを利用したセキュリティ強化サービス「sumox」を提供させていただいております。
詳しくはこちら(企業サイトです)
過去記事になります。
主たる機能と導入メリット
以下の機能により、DHCP/DNSのセキュリティ管理を簡単かつ効率化いたします
- ログの長期保管: 見たいときに過去ログを見ることができる
- 可視化⇒詳細解析: ダッシュボードからログ閲覧が容易
- アラート出力: 問題の原因を早期発見によるリスク低減
- メトリクスデータの表示: メトリクスで「何が」ログで「なぜ」を特定
- CrowdStrikeとの連携: 危険なドメイン、問い合わせIPアドレスの特定
- 端末の特定: どの端末がどこに問い合わせを行ったか
DNSのクエリログとDHCPのログは取得しておいてほうがよいかと思います。怪しいサイトのルックアップ履歴の確認だけでなく、端末の特定も必要になってきます。そして、可視化、アラート出力まで少なくともできるようにしたほうがよいかと思います。これは現状把握だけでなく、何か問題が実際に発生した場合の追跡にも必要になってきます。
経験論ですが、結構なお客様、そして弊社でも危険なドメインをルックアップしているログが検出されます。大抵の場合が不適切な広告です。今日日、ウェブ広告は、リアルタイムビッディング(Real Time Bidding)により、コンマ1秒以下の世界で瞬時に応札・入札・落札が行われ、配信されますが、いまだフィッシングサイトに誘導するような悪質な広告が排除されずプッシュ配信されることもあるようです。
また、これはsumoxの機能ではありませんが、そのドメインが本当に危険かどうか、さらに調査するサービスもございます。つまりは、危険なサイトへのルックアップがあった、そのサイトは本当に怪しいサイトなのか、そしてそのサイトにアクセスしていた形跡はあるのか、利用したPCはマルウェア等に汚染されていないか、その周辺にラテラルムーブメントは発生していないか...やることは沢山あります。
Infobloxをご利用になられていない、またはクエリログをONにしてしまうとパフォーマンスが低下し、運用が厳しくなる場合など、弊社製品のmomentum(パケットキャプチャ装置)を使うなどの方法がございますので、こみいったお話が必要であれば、ご紹介差し上げることも可能です。もちろん、Infobloxのご導入や、高性能の上位機種への乗り換えなど大歓迎でございます。
問い合わせフォーム
ご興味がございましたら以下のページよりお気軽にお問い合わせください。
https://cloudsolution.terilogy.com/contact
