Box Shieldの脅威検出について
Box Shieldの脅威検出機能を使用すると、ユーザーの普段の業務活動から逸脱した行動について警告する、組織内のさまざまなセキュリティルールを有効化し、設定、適用することができます。 より簡単に脅威検出ルールを設定できるように、Shieldでは、ブロック対象の国やドメインなどのアラート条件のリストを作成し、ルールに追加することができます。 また、Shieldアラートを評価するための送信先を指定することもできます。 脅威検出ルールを適用すると、Box Shieldでは、アカウント所有者のアクティビティが監視され、機械学習により、監視対象の各アカウント所有者が通常の状況でダウンロードすると考えられる機密ドキュメントの候補が予測されます。 アカウント所有者のダウンロードアクティビティがこの予測結果から大きくずれた場合、Shieldでアラートが表示されます。 脅威検出を使用すると、次のことが可能です。- アクセス権限を悪用してデータを盗んだりコンテンツにアクセスしたりしたアカウント所有者を検出する。
- 場所、アクティビティ、アクセスパターンなどの状況に基づいて、侵害されたアカウントを検出する。
- 企業のBoxアカウントにアップロードされるコンテンツで潜在的なマルウェアを検出し、ダウンロードの制限を適用する。
- ルールと行動に基づいて、セキュリティに関する重要な決定を行う。
脅威検出ルール
Box Shieldには、有効化、設定、適用が可能な脅威検出ルールが複数用意されています。 検出ルールは、アカウント所有者のアクティビティにおける特定のタイプの異常なイベントを監視し、該当するイベントの検出時にShieldの通知をトリガーするルールのことです。 ルールは以下のとおりです。- 異常なダウンロード: 機密コンテンツを盗んでいる可能性のあるアカウント所有者を検出します。
- 悪意のあるコンテンツ: 企業のBoxアカウントにアップロードされるコンテンツで潜在的なマルウェアを検出します。悪意のあるコンテンツのルールでは、複数の種類のマルウェア検出が行われます。
- 自分のファイルとマルウェアを含むことが判明しているファイルを比較する、脅威の評価スキャン
- ファイルのコンテンツを評価する、特定のファイルの種類のディープスキャン
Shieldが潜在的なマルウェアを検出すると、Boxでは次の処理が行われます。 - Boxウェブアプリから悪意のあるコンテンツにアクセスしたユーザー全員に警告のバナーを表示する。
- Shieldダッシュボードにアラートを表示する。
- このルールの設定時に選択されたダウンロードの制限を適用する。
- Mac版またはWindows版のBox Driveでは、ダウンロードの制限により、悪意のあるファイルを開いたり、移動したり、コピーしたりすることはできません。代わりに、警告が表示されます。
- 不審な場所: コンテンツにアクセスしている場所、ホストIPアドレス、ユーザーやグループ、ドメインが通常とは異なる、または除外対象に指定されていると思われるユーザーを検出します。 不審な場所のルールでは最大25の異なるルールを定義でき、それぞれのルールは、具体的に監視する特性を定義するように設定します。
- 不審なセッション: ユーザーの位置の急速な変化が特徴として見られる不可能な移動のインスタンスを、異常なユーザーエージェント文字列や新しいIPアドレスと合わせて検出します。
Shieldダッシュボードの使用
Shieldアラートの確認
1つ以上の検出ルールの開始後、Shieldダッシュボードでは、検出条件に合致するアカウントアクティビティについてアラートが表示されます。 アラートの内容は次のとおりです。- アラートID
- アラート日時
- 関連する検出ルールの名前と種類
- アラートの原因になったアクティビティを行ったアカウント所有者の名前とメールアドレス
- リスクスコア
- アラートの原因になったアクセスが行われたIPアドレス
Shieldアラートの一覧の確認
Shieldアラートを確認するには、次の手順に従います。- 管理コンソールの [Shield] に移動します。
- [ダッシュボード] タブをクリックします。
Shieldアラートのフィルタ
アラートの一覧表にフィルタをかけるには、次の手順に従います。- 管理コンソールの [Shield] に移動します。
- [ダッシュボード] タブをクリックします。
- [ダッシュボード] タブの右上で、以下のフィルタ条件を選択します。
- ルールの種類
- 優先度
- 期間
- 選択したフィルタ条件に合致するアラートの一覧表が表示されます。
Shieldアラートの詳細の確認
アラートの詳細を確認するには、次の手順に従います。- 管理コンソールの [Shield] に移動します。
- [ダッシュボード] タブをクリックします。
- アラートの一覧表で、アラートをクリックします。
- アラートの詳細ページが表示されます。
- アラートの概要: アラート名、アラートID、アラートタイプ、リスクスコア、当該アラートをトリガーした検出ルールで定義されている条件の情報など、アラートの概要が表示されます。
- ユーザーの概要: このアラートの対象となるアカウントのメールアドレス、最終ログイン時刻、(Boxで定義されている) 所属グループなどの概要が表示されます。 Boxで所属グループの情報が定義されていない場合、このフィールドは空白になります。
- 地域別アクティビティ: アラート発生時に当該アカウントのアクティビティが行われた場所が地域マップ上に表示されます。
- アクセスのあったコンテンツ: アラート発生時に当該アカウントによってアクセスされたコンテンツの統計情報が表示されます。
- ユーザーアクティビティ: アラート発生時の当該アカウントのアクティビティに関する概要がアクティビティタイプ別に表示されます。
- クライアントのアクティビティ: アラート発生時にコンテンツにアクセスしたクライアントに関する情報が表示されます。 この情報は、社内ネットワークからのアクセスか、家庭内ネットワークや公共ネットワークからのアクセスかを判断する上で役立ちます。
- アラートタイムライン: アラートの原因となった当該アカウントの個々のアクティビティが時系列で表示されます。
Shieldアラートからの除外
アラートの詳細ページで、不審な場所や不審なセッションのアラートから除外したいアプリケーション、IPアドレス、ユーザー、またはグループが表示される場合は、アプリケーション名またはIPアドレスの横にある [除外] をクリックします。注: 除外を使用する場合は、通知が重複して送信されないように、適用されているアラートルールを変更する必要があります。 例えば、2つのルールが構成されていて、1つはすべてのユーザーに対するアラート、もう1つはすべてのユーザーから一部のユーザーを除いたユーザーに対するアラートの場合、1つ目のルールの設定に基づいて、除外されたユーザーに対するアラートを受信することになります。
Shieldリスクスコアの意味
アラートのリスクスコアは、アラートの緊急性と対処の必要性を1から100の範囲で示したものです。 アラートのリスクスコアが大きいほど、脅威が検出される可能性が高くなります。 異常なダウンロードルールのリスクスコア 異常なダウンロードルールでは、機密の可能性があるコンテンツを通常とは異なる作業目的でダウンロードしたアカウント所有者を特定します。 Shieldの機械学習では、その週の業務目的に応じて各ユーザーが必要とする可能性のあるコンテンツを予測します。 そして、機密の可能性のあるコンテンツをユーザーがモデルの予測よりもはるかに高い頻度でダウンロードした場合、Shieldから高リスクスコアのアラートが送信されます。 不審な場所ルールのリスクスコア 不審な場所ルールでは、設定された優先度に基づいてリスクスコアを生成します。 リスクスコアは、不審な場所ルールで定義されている優先度によって次のように決定されます。| 優先度 | リスクスコア |
|---|---|
| 低 | 20 |
| 参考情報 | 40 |
| 中 | 60 |
| 高 | 80 |
| 重要 | 100 |
異常なダウンロードアラートに関するフィードバックの報告
管理者は、異常なダウンロードアラートで異常と見なされた個々のフォルダに関する詳細なフィードバックを報告して、企業での検出精度を高めることができます。
- アラートの [異常なコンテンツのダウンロード] セクションに移動します。
- 任意のフォルダをクリックします。
- フォルダには以下の2種類の情報が表示されます。
- Boxの機械学習アルゴリズムによって判定された秘密度レベル。
- そのフォルダからダウンロードされたファイル数。
- フォルダには以下の2種類の情報が表示されます。
- 右側のサイドメニューで、以下の統計情報を確認します。
- 異常と見なされたダウンロードの割合
- ダウンロードのサイズ
- フォルダの所有者
- 確認した内容に基づいて、フィードバックを選択します。
- フォルダに機密データが含まれることはありますか?
- はい
- いいえ
- 不明
- このユーザーがこのコンテンツをダウンロードすることはありますか?
- はい
- いいえ
- 不明
- フォルダに機密データが含まれることはありますか?