Akamai Diversity

Akamai Japan ブログ

ETPが誤検知!? その時の対応は?

Enterprise Threat Protector(以下「 ETP」)はサービス開始から2年ほどが過ぎ、国内でも多くのお客様にご利用いただくようになりました。
私も多くのお客様にETPを紹介、提案させていただいていますが、その中で「運用中にもし誤検知があったらどうするの?」というご懸念を持たれ、お問い合わせいただくケースがありましたので、今回はETPの検知の仕組みや、対応方法について紹介いたします。

サイトにアクセスできないのはETPのブロックによるものなのか?

まずは誤検知かどうかを調査する事になるきっかけですが、おそらく管理者の方にユーザーから「○○のサイトにアクセスできないんだけど。」といった連絡が来ることから始まるかと思います。
アクセスできないサイトについてブラウザで確認した際に、実際に図1のようなエラーページが表示されていれば、明らかにETPがブロックしていると判断できます。(ETPのポリシー設定でエラーページを表示させる設定になっている場合)

ETPErrorPage.png
図1:ETPエラーページの例(日本語表示も可能です)

もし、ブラウザ標準のエラー表示画面(「このサイトにアクセスできません」といったメッセージ等)が表示されている場合は、ETPがブロックした可能性の他に、サイト側のサーバーがダウンしている、ネットワークのどこかに問題があるといった可能性も考えられますので、ETPの管理画面で検知されている事を確認する事になります。

ETP管理画面での確認

イベント分析画面には図のように検出された時間、アクション(MonitorまたはBlock)、ドメイン等が表示されていますので、確認対象サイトのドメインがブロックされているログが表示されていれば、ETPによるブロックと判断できます。

ETPEvent.png
図2:イベント分析画面での検知例

なお、イベント分析画面には表示されていないドメインについては、インジケーター検索を使って検索すれば、ETPが脅威のあるドメインと判定しているかどうかを確認する事ができます。

ETPIndicator-Malware.png
図3:脅威ドメインの例(詳細情報が表示される)
ETPIndicator-Normal.png
図4:脅威ドメインではない例(DNSアクティビティのみ表示される)

ETPの脅威検知の仕組み

ここで少し話はそれますが、ETPは誤検知が少ないと言われる根拠の参考情報として、ETPの脅威検知のもとになるデータ、仕組みについて紹介させていただきます。
ETPは以下の図5のようなAkamai Cloud Security Intelligenceを参照しています。
Akamai Cloud Security IntelligenceはWAFソリューションを含む、すべてのアカマイのポートフォリオからのデータを集めたインテリジェンスです。

Akamai Cloud Security Intelligence.png
図5:Alkamai Cloud Security Intelligence

具体的な仕組みは、アカマイサーバーを経由するトラフィックや攻撃情報といったAKAMAI DATA、 外部ベンダーより購入するTHIRD PARTY DATA、そして公開されているPUBLIC DATAをもとに、それらのデータを機械学習も利用しながら総合的に分析し、また必要に応じてアカマイのスペシャリストの判断も含めながら最終的に脅威かどうかを検出、判定し、誤検知を最小化する仕組みを採用しています。

ETPがブロックしていた場合の対応

さて、話を戻しますが、ETP管理画面において、対象サイトがETPによってブロックされたことが判明しても、明らかにETPが正常なサイトをブロックしている(誤検知である)場合や、業務上どうしてもアクセスする必要がある場合については、アクセス可能となるような対応が必要となります。
ETPにおいては、カスタムリストの作成もしくはアカマイに誤検知を報告する事が対応方法となります。

カスタムリストの作成

カスタムリストは20秒~30秒で展開されるので、誤検知かどうかはさておいて、迅速に対応したい場合に有効です。「リスト」画面右上の「+」アイコンから「New Custom Exception List(例外リスト)」を作成し、「Exception List Domains」にアクセスしたいドメインを追加する事で対象ドメインがブロックされなくなります。

ETPCustomlist.PNG
図6:カスタムリストの作成画面

アカマイに報告

対象ドメインについて誤検知だと思われる場合、アカマイのアナリストにEメールにて報告する事が可能です。
インジケータ検索を使用して対象ドメインを検索した際に、何らかの脅威カテゴリーに分類されてしまっている場合は、画面内の「レポート無効」をクリックすると、Eメールを送信するウィンドウが表示されます。もしくは、イベント画面で対象ドメインをクリックした際に表示される「レポート無効」をクリックしても、同様にEメール送信ウィンドウが表示されます。なお、メッセージは英語にて作成していただくようお願いいたします。

ETPReportToAkamai.png
図7:アカマイへの報告画面

最後に

今回はETPにおける検知状況の確認方法と、ETPによってブロックされたサイトに対しアクセスできるようにする方法を紹介させていただきました。
この記事がETP運用の参考となりましたら幸いです。
また、ETPについては以下の記事も非常に有用ですので、合わせてご参照いただければと思います。

AKAMAIの標的型攻撃対策ソリューション ENTERPRISE THREAT PROTECTOR (ETP)のご紹介

アカマイ エンタープライズ ソリューション のアップデート

ETPで脅威を検出したクライアントを特定するには

ETP製品紹介ページ

Leave a comment