UPLOAD – データアップロードの異常

メソッドの説明

このメソッドでは、現在通信中のステーション間の転送データ量を監視し、監視対象ネットワークのコンピュータから転送されたデータとその逆方向に転送されたデータの比をチェックします。ユーザ定義の比または絶対閾値を超えると、イベントが生成されます。ExcludeServersパラメータは、検知から除外すべきサーバのIPアドレスを定義するフィルタの名前を指定します。サーバからはクライアントのステーションよりも多くのデータがアップロードされます。

大量のデータアップロードの検知には、2つの方法があります。最初の方法は、2つのデバイス間におけるすべてのトラフィックの統計に基づくものです。この方法では、サーバにデータがアップロードされるだけでなくサーバから他のデータが返されている場合、検知することができません。2番目の方法では、要求と、それに関連する応答を比較します。したがって、同時にダウンロードがあってもアップロードを検知できます。ただし、短い接続を大量に使用したアップロードは検知できない可能性があります。検知モードはPairwiseパラメータを使用して設定できます。

このメソッドは、以下のサブメソッドで構成されます。

• General: 許可されたネットワークセグメントの外側に過剰にデータをアップロードするデバイスについてレポートします。

メソッド設定

このメソッドは、監視対象ネットワークのクライアントステーションに適用することをお勧めします。トラフィックの適切な監視場所はインターネット接続回線です。

メソッドパラメータ

• ExcludeIPs: データのアップロード先とすることが許可されているIPアドレスを定義するフィルタの名前。

• AbsoluteThreshold: 単一のデバイス(Pairwiseが無効の場合)または単一の要求(Pairwiseが有効の場合)から送信された、最小データ量の閾値。このパラメータの値が0の場合、絶対閾値に基づく検知は無効になります。

• RelativeThreshold: 単一のデバイス(Pairwiseが無効の場合)または単一の要求(Pairwiseが有効の場合)からの、送信データと受信データの最小比の閾値。

• MinimalThreshold: AbsoluteThresholdまたはRelativeThresholdを越えたイベントをレポートするための、単一のデバイスから送信された最小データ量。

• ExcludeServers: データの宛先とすることが許可されているデバイスのIPアドレスを定義するフィルタの名前。

• Pairwise: デバイス全体から転送されたデータの分析ではなく、個別の組み合わせの分析(要求と応答のフロー)に基づく検知。

フィルタの割り当て

このフィルタは、送信元IPアドレスを制限するために使用されます。

結果の解釈

このメソッドでは、ファイルのアップロード元となったステーションがレポートされます。これは、機密データ盗難が試みられた可能性を示唆しています。