Powered by Zoomin Software. For more details please contactZoomin

Flowmon ADS User Guide

Table of Contents

ブラックリスト

Save PDF
Save selected topicSave selected topic and subtopicsSave all topics
Share
Share to emailCopy topic URL
Print
  • Last Updated: April 5, 2026
  • 15 minute read
    • Flowmon Products
    • Flowmon Anomaly Detection System
    • Documentation

この設定は、[設定] → [ブラックリスト]にあります。

このページでは、検知メソッドBLACKLISTで使用されるブラックリストを管理できます。2種類のブラックリストがあります。これらのブラックリストについては、以下のセクションで説明します。

Flowmonブラックリスト

補足:

BotnetDomainsおよびPhishingDomainsブラックリストは、StandardまたはExtended Supportのライセンスが有効である場合のみ利用できます。

このタイプのブラックリストは、Progress Software社によって直接更新されます。このタイプのブラックリストは、Flowmonデバイスがインターネットに接続されている場合にFlowmonサービスポータルから定期的(6時間ごと)に更新されます。このFlowmonブラックリストは以下の悪意あるアクティビティを検出するよう設計されています。

  • 既知の攻撃者のIPアドレスを使用した通信(AttackerActivitiesブラックリスト)

  • 既知のボットネットコマンドおよびコントロールサーバのIPアドレスを使用した通信(BotnetActivitiesブラックリスト)

  • 既知のSPAMソースのIPアドレスを使用した通信(SpammerActivitiesブラックリスト)

  • 既知のマルウェアドメインを使用した通信(MalwareDomainsブラックリスト)

  • 既知のボットネットドメインを使用した通信(BotnetDomainsブラックリスト)

  • 既知のフィッシングドメインを使用した通信(PhishingDomainsブラックリスト)

カスタムブラックリスト

補足:

ローカルカスタムブラックリストファイルはADS設定ファイルに含まれておらず(これらは、Flowmon Configuration Center[システム][メンテナンス]でエクスポートできます)、設定をインポートすると内容が失われます。インポート実行後、オリジナルのブラックリストファイルを各ローカルカスタムブラックリストに手動でアップロードする必要があります。

また、カスタムブラックリストを追加して、その内容をBLACKLIST検知メソッドで使用して、指定されているIPアドレス、ドメイン、または指定IPアドレスでのサービスを使用する通信を検知することもできます。カスタムブラックリストのソースはローカルファイル(ローカルカスタムブラックリスト - [新しいローカルブラックリスト]をクリックして追加できます)またはリモートサーバにあるファイルへのURL (リモートカスタムブラックリスト -- [新しいリモートブラックリスト]をクリックして追加できます)です。どちらの場合も、ファイルはCSV形式であり、内容が以下のいずれかのタイプと正確に一致する必要があります。

ホスト(IPアドレス)

リストに含まれているIPアドレスを使用した通信が検知されると、BLACKLISTイベントが生成されます。このタイプのブラックリストの個々のエントリは、2つの項目で構成されています。

  • IPアドレス: IPv4アドレスのみに対応しています。

  • コメント: ASCII文字のみで構成されています。この項目はオプションであり、最大長は256文字に制限されています。

補足:

ホストブラックリストタイプの例

1.1.1.1

2.2.2.2,

3.3.3.3,悪意あるSSHサーバ

Webまたはドメイン(ホスト名、パス、コメント)

このタイプのカスタムブラックリストでは、指定されたドメインおよびこのドメイン内のパスを使用した通信が検知されます。フローで検知されたドメインおよびパスが指定ブラックリスト内のエントリと一致すると、BLACKLISTイベントが生成されます。このタイプのブラックリストのエントリは、カンマで区切られている3つの項目で構成されています。

  • ドメイン名(ホスト名): ASCII文字のみで構成されています。最大長は、DNSクエリからの検知については63文字、HTTP hostフィールドからの検知については31文字に制限されています。

  • このドメイン内のパス(パス): ASCII文字のみで構成されています。最大長は63文字に制限されています。有効なパスではなくスラッシュ記号が入っている場合、ドメイン内のすべてのパスが一致していると見なされます。

  • コメント: ASCII文字のみで構成されています。この項目はオプションであり、最大長は256文字に制限されています。

補足:

Webまたはドメインのブラックリストタイプの例

myfirstdomain.com,/,このドメイン内のすべてのパスに対してBLACKLISTイベントを生成する

Myseconddomain.com,/path/to/any/file,このドメイン内のパス**/path/to/any/file**のみに対してイベントを生成する

mythirddomain.com,/,

myfourthdomain.com,/,前のエントリにはコメントがありません

サービス(IPアドレス、ポート、プロトコル、コメント)

このタイプのカスタムブラックリストでは、指定されたIPアドレスでの指定されたサービスの使用が検知されます。このタイプのブラックリストのエントリは、カンマで区切られている4つの項目で構成されています。

  • IPアドレス: IPv4アドレスタイプのみに対応しています。

  • ポート: 範囲0~65535の整数値。

  • プロトコル:値TCPUDP、またはANYの文字列。

  • コメント: ASCII文字のみで構成されています。この項目はオプションであり、最大長は256文字に制限されています。

補足:

サービスブラックリストタイプの例

1.1.1.1,53,ANY,悪意あるDNSサーバ

2.2.2.2,443,TCP,フィッシングWebページ

3.3.3.3,22,TCP,悪意あるSSHサーバ

4.4.4.4,162,UDP, 悪意あるSNMPサーバ。

フィンガープリント(JA3フィンガープリント、コメント)

このタイプのカスタムブラックリストでは、特定のJA3フィンガープリントを持つネットワークアプリケーションが検出されます。これらのフィンガープリントは、特定のアプリケーションのネットワーク通信を識別するために使用されます(Webブラウザやリモートアクセスソフトウェアなど)。また、JA3フィンガープリントを使うと、悪意ある活動も検知できます(ネットワーク内でのマルウェアの活動など)。このタイプのブラックリストのエントリは、カンマで区切られている2つの項目で構成されています。

  • JA3フィンガープリント: 長さが32 ASCII文字のテキストストリング。

  • コメント: ASCII文字のみで構成されています。この項目はオプションであり、最大長は256文字に制限されています。

補足:

フィンガープリントブラックリストタイプの例

b32309a26951912be7dba376398abc3b,Chromeブラウザ

aa7744226c695c0b2e440419848cf700,Mozilla Firefoxブラウザ

アプリケーション

このタイプのカスタムブラックリストは、ブラックリストに登録されているアプリケーションがホストされているIPアドレスとの通信を検出するように設計されています。ブラックリストに登録されているアプリケーションは、ブラックリストファイルを必要とせず、[新しいローカルブラックリスト]フォームを使用して直接指定されます。設定ファイルを使用して、アプリケーションのブラックリストをエクスポート/インポートできます。

新規カスタムブラックリストの追加

新しいカスタムブラックリストを追加するには、ブラックリストのソースに従って[新しいリモートブラックリスト]または[新しいローカルブラックリスト]のいずれかのボタンを使用します。

新しいカスタムブラックリストを追加した後、それをBLACKLISTメソッドインスタンスに割り当てて検知メソッドで適切に評価されるようにする必要があります。これを行うには、カスタムブラックリストのある行の[割り当て]をクリックして、ブラックリストを割り当てるメソッドインスタンスを選択します。また、BLACKLISTメソッドの設定で、ActiveBlacklistsパラメータを使用することもできます。詳細については、「BLACKLIST – ブラックリストに登録されているホストとの通信」のセクションで説明します。

カスタムブラックリストの内容を表示するには、ブラックリストの行を展開して[ブラックリストの内容]をクリックします。

ローカルブラックリスト

ローカルブラックリストを追加するには、以下のフィールドに入力する必要があります。

  • ブラックリスト名: カスタムブラックリストの一意の名前。

  • 説明: カスタムブラックリストの説明。この説明は、BLACKLIST検知メソッドの詳細に使用されます。このパラメータは任意です。説明を記入しない場合、イベント詳細にはブラックリスト名が使用されます。

  • 割り当て済みのインスタンス: ブラックリストが割り当てられているBLACKLISTメソッドのインスタンス。

  • アップロード対象のファイル: ブラックリストに入れる内容のソースとなるローカルファイル。

  • データフォーマット: カスタムブラックリストのタイプ(これらのタイプについては、前述の通りです)。

ローカルブラックリストの内容は、ブラックリストに追加した後すぐにユーザインターフェースに反映されます。

リモートブラックリスト

リモートブラックリストには、次の2つのタイプがあります。

  • CSV: CSVファイルでブラックリストエントリを指定します。CSVファイルの正しい形式については、この章の始めに説明があります。

  • MISP: MISP (オープンソースの脅威インテリジェンスプラットフォームおよび脅威情報共有のオープン標準)からブラックリストエントリを生成します。

リモートブラックリストを追加するには、以下のフィールドに入力する必要があります。

  • ブラックリスト名: カスタムブラックリストの一意の名前。

  • 説明: カスタムブラックリストの説明。この説明は、BLACKLIST検知メソッドの詳細に使用されます。このパラメータは任意です。説明がない場合、イベント詳細にはブラックリスト名が使用されます。

  • 割り当て済みのインスタンス: ブラックリストが割り当てられているBLACKLISTメソッドのインスタンス。

  • ブラックリストのタイプ: リモートブラックリストのタイプ。

選択したブラックリストのタイプによっては、さらにオプションが表示されます。

CSV

設定フィールド:

  • リモートURL: ブラックリストに入れる内容のソースとなるリモートURL。

  • データフォーマット: カスタムブラックリストのタイプ(これらのタイプについては、前述の通りです)。

リモートCSVブラックリストの内容は、ブラックリストに追加した後すぐにユーザインターフェースに反映されます。内容が空である原因としては、ダウンロード実行中のエラーが考えられます。このエラーは、通知領域にレポートされます(ベル型のアイコン)。

MISP

リモートMISPサーバをブラックリストとして使用できます。以下で、変換の実行とブラックリストのライフサイクルについて説明します。

設定フィールド:

  • リモートURL: MISPサーバのリモートURL。

  • API鍵: 指定したMISPサーバへの認証に使用するAPI鍵。

  • 有効レコードの最大日数: 1~365の整数。この数字は、ダウンロードが必要なMISPフィード内のレコードの最大日数を指定します。

  • 侵入検知システムのレコードのみ含める: MISPサーバで「侵入検知システムのレコードのみ」とマークされているレコードのみがダウンロードされます。

リモートMISPブラックリストの実行は、追加後すぐに開始します。新しいブラックリストを追加するときに一部のMISPブラックリストが更新中である場合、更新中のブラックリストは次の更新実行でダウンロードされます(最大30分)。サーバの速度とレコード数によっては、初回実行に長時間かかることがあります。ブラックリストの内容は、実行完了後すぐに反映されます。内容が空である原因としては、ダウンロード実行中のエラーが考えられます。このエラーは、通知領域にレポートされます(ベル型のアイコン)。

変換の実行

MISPサーバからダウンロードされたデータは、Flowmon対応のブラックリスト形式に変換されます(ホスト、Webまたはドメイン、サービス、およびフィンガープリント)。

変換するには、以下のタイプを持つMISP属性をフェッチすればよいだけです。

  • domain

  • domain|ip

  • hostname

  • hostname|port

  • ip-dst

  • ip-dst|port

  • ip-src

  • port

  • url

  • uri

  • ja3-fingerprint-md5

同じオブジェクトIDを持つip-dstportのタイプは集約され、ip-dst|portペアが作成されます。

後から属性を使用して、次の4つのブラックリスト形式が作成されます。

  • Webまたはドメイン

    • このブラックリスト形式の生成に使用される属性タイプを以下に示します。

      • domain

      • domain|ip (domainのみ使用)

      • hostname

      • hostname|port (hostnameのみ使用)

      • url

      • uri

    • 属性IDとそれに対応するイベントIDからコメントが作成されます。

  • サービス

    • このブラックリスト形式の生成に使用される属性タイプを以下に示します。

      • ip-dst|port

    • 属性IDとそれに対応するイベントIDからコメントが作成されます。

  • ホスト

    • このブラックリスト形式の生成に使用される属性タイプを以下に示します。

      • ip-src

      • ip-dst

  • フィンガープリント

    • このブラックリスト形式の生成に使用される属性タイプを以下に示します。

      • ja3-fingerprint-md5

    • 属性IDとそれに対応するイベントIDからコメントが作成されます。

ブラックリストのライフサイクル

ブラックリストを作成すると、サーバから更新が定期的(30分ごと)にダウンロードされ、ユーザの介入を必要とせずにレコードが最新の状態に保たれます。

サーバの速度とレコード数によっては、MISP APIからのレコードダウンロード実行に長時間かかることがあります。このため、新しい属性のダウンロードのみを許可するキャッシュシステムを導入して、フェッチ処理の速度向上を図りました。しかし、このような更新では、削除された属性に関する情報を受け取れません。この振る舞いに起因する問題を回避するために、24時間後にすべてのキャッシュが削除されます。これにより、指定した日数範囲内のすべてのレコードが再びダウンロードされます。また、これにより、新しいMISPブラックリストの追加時に入力した[有効レコードの最大日数]パラメータで指定された期間のレコードのみ所有することが保証されます。

ブラックリスト変更を設定するときにも、キャッシュが削除されます。

ブラックリストの管理

ブラックリスト設定ページの左上で、名前または説明を基準にしてブラックリストをフィルタできます。また、右上のチェックボックスでは、表示するブラックリストを(発生源に基づいて)選択することもできます。既存のブラックリストを編集するには、[編集]ボタンを使用できます。コンテキストメニューを使用してカスタムブラックリストを削除することもできます。コンテキストメニューは、カスタムブラックリストのある行の末尾にある3点アイコンから有効化します。歯車のシンボルと感嘆符の付いたオレンジのアイコンがブラックリスト名の左に表示される場合、そのブラックリストはどのBLACKLISTメソッドにも割り当てられていません。つまり、そのブラックリストは処理されません。

TitleResults for “How to create a CRG?”Also Available inAlert