RANDOMDOMAIN - ランダムなドメイン名

メソッドの説明

ランダムなドメイン名を検知するメソッド。ランダムなドメイン名とは、ランダムに生成された名前で、通常はeqc49iqcxnvmzj26h24cyf22h44atnzisc29pu.comのような不規則な文字列が含まれています。このメソッドでは、セカンドレベルドメイン名の複数のプロパティを分析し、これらのプロパティの重み付けされた値に基づいて、ランダムなドメイン名のパターンが使用される確率を計算します。

このメソッドは、以下のサブメソッドで構成されます。

• 一般: 監視対象ネットワーク内でのランダムなドメイン名の使用をレポートします。

メソッド設定

このメソッドは、監視対象ネットワーク内のIPアドレスの通信全体に適用することをお勧めします。推奨されるトラフィックの監視場所は中央のスイッチまたはインターネット接続回線です。

メソッドパラメータ

• Protocols: ランダムなドメインの検知を有効にする必要があるプロトコルを指定することができます。現在のオプションは、DNSとHTTP(S)です。

このメソッドは、誤検知除外ルールを使用して調整できます。誤検知除外ルールでは、イベントの生成から除外するランダムなドメインを定義できます([高度なフィルタリングパラメータ]セクションの[ホスト名]フィールドを使用します)。詳細については、「誤検知除外」の章を参照してください。

フィルタの割り当て

このフィルタは、送信元IPアドレスを制限するために使用されます。

結果の解釈

この検知メソッドでは、ネットワーク通信で使用されたランダムなドメイン名を検知できます。ランダムなドメイン名が検知された場合は、デバイスがマルウェアに感染し、コマンド&コントロールサーバと通信している可能性が考えられます。