COUNTRY – 振る舞いプロファイリング – 国の評判

メソッドの説明

このメソッドでは、監視対象デバイスと特定の国の間の平均を超えるデータ転送を検知します。その国と監視対象デバイスの間で転送されたフロー数およびデータ量を保存します。通信を開始したIPアドレスが監視対象ネットワークの中側か外側かを基準に、トラフィック統計が分けられます。

また、デバイスと特定の国の間の過剰なデータ転送も検知します。検知中は、送信/受信データ量(またはアップロードとダウンロードの比)が監視されます。すべての値が、特定の国と通信している監視対象ネットワークにある他のデバイスの平均と比較されます。

MinimalDataTransferUパラメータで定義された値を超えるデータを特定の国に送信したIPアドレス、またはMinimalDataTransferDパラメータで定義された値を超えるデータをダウンロードしたIPアドレスのみが検知に含まれます。トラフィックがネットワーク平均のn倍を超える場合に、イベントが生成されます。「n」はMinQuotaパラメータで定義します。また、デバイスのアップロード/ダウンロードレートがネットワーク平均のm-倍を超える場合にも、イベントが生成されます。mは、RatioQuotaパラメータの値です。このパラメータが0の場合、比較レートは適用されません。

このメソッドは、以下のサブメソッドで構成されます。

• IncreasedCommunication: 監視対象のネットワーク内のデバイスが通常とは異なる国と通信しているとき、または特定の国との通信が著しく増加したときにレポートします。

メソッド設定

このメソッドは、特定の組織のIPアドレスのみに適用することをお勧めします。トラフィックの適切な監視場所は中央のスイッチまたはインターネット接続回線です。ただし、両方の場所を同時に監視しないでください。

メソッドパラメータ

• MinimalDataTransferU: 1つのIPアドレスから1つの国へ送信される最小データ量の閾値(MiB)。

• MinimalDataTransferD: 1つの国から1つのIPアドレスへ受信される最小データ量の閾値(MiB)。

• MinQuota: 1つのIPアドレスの受信または送信データと監視対象ネットワーク全体に関連する平均値の最小比。

• RatioQuota: 1つのIPアドレスの受信または送信データの比率と監視対象ネットワーク全体の平均値の比の閾値。

• ExcludeCountries: この検知メソッドの適用時、選択した国との通信は無視されます。

• MinimalHistory: 転送済みデータの統計が個々の国とともに収集される学習フェーズの期間(単位: 分)。この期間を経過した後に、イベントが生成されます。

フィルタの割り当て

このフィルタは、送信元IPアドレスの制限に使用されます。

結果の解釈

このメソッドの結果を使って、潜在的な危険性がある宛先と通信を行っているIPアドレスを見つけることができます。これは、潜在的に望まれないソフトウェア(またはデバイス)があるか、あるいはそのデバイスが同じネットワーク内の他のデバイスとは異なる方法で使用されていることを示唆している可能性があります。