Criminal IP Splunk 統合アプリケーションリリース、IPインテリジェンスを用いるFDS
今日はCriminal IP、そしてSplunkのユーザーであれば興味深そうなお知らせをお伝えします。ログ分析プラットフォームのSplunkのダッシュボードとCriminal IP FDS(Fraud Detection System、異常金融取引検知システム)API機能が連動されている Criminal IP Splunk 統合アプリケーションがリリースされました。
これから SplunkbaseにてCriminal IP FDSをダウンロードし、企業及び公共機関の異常金融取引とアビュージングユーザーのリアルタイムログをSplunkのダッシュボードでモニタリングできるようになりました。
SplunkbaseでリリースされたCriminal IP Splunk統合アプリケーション
FDS (Fraud Detection System、異常金融取引検知システム) とは?
FDSとは「異常金融取引検知システム」を意味し、既存のパターンと相違な方式で決済などの金融取引を試みるユーザーを職別し、不正行為をブロックするセキュリティシステムです。すなわち、企業で運営中のサービスにアクセスする悪性ユーザーを判別するシステムのことです。ログインと会員登録のように日常的な行為だけでなく、決済および送金のような金融取引でも悪性ユーザーを判別してサービスと顧客を保護するのがFDSの目的です。
Criminal IP FDSの差別化ポイント – IP Intelligenceの活用
このように、FDSは悪性ユーザーと不正行為のリアルタイム検知が重要です。しかし、既存のFDS検知プロセスにはいくつかの問題点がありました。
既存FDSの問題点
- FDSを構築するのに非常に多いログが必要である
- ログを記録するシステム自体が整っていない会社も多い
- ログの分析と学習に長い時間がかかる
IP Intelligenceを活用したFDSの提案
このようなFDSの問題点を補完するために、Criminal IP FDSではIPインテリジェンスを用いる方法を提案しました。結局、悪性ユーザーは感染したIPアドレスあるいはバイパスしたIPアドレスを通じてアクセス・不正行為を試みます。従って、既存のFDSのように複雑なログ分析を行わなくてもアクセスIPアドレス1つだけで決済およびログインを試みるユーザーの悪意の有無を判断できます。実際にCriminal IP FDSは、行為ログ全てを分析する方式に比べてもっと短期間に同一またはそれ以上の検知効果を出しています。
Criminal IPが悪性ユーザーを判別する方法は次の通りです。
例えば、VPN IPアドレスを通じてバイパスアクセスを試みるユーザーがいるとしましょう。このユーザーがCriminal IP FDSを連動したサービスにアクセスする際、自動でCriminal IPのAPIを呼び出します。APIがそれをVPN IPとして判別し、その結果をネットワークのセキュリティデバイスに送ると、当該デバイスはユーザーのアクセスをブロックします。
Criminal IP FDSの悪性ユーザー判別のプロセス
Criminal IP Splunk 統合アプリケーションを通じるリアルタイムのFDSモニタリング
Splunk はウェブインタフェースでビッグデータを検索、モニタリング、分析することができるソフトウェアです。Criminal IP Splunk統合アプリケーションを使用すると、運営中のサービスで検知されるリアルタイムの悪性ユーザーログの現況を一目で確認できます。
1日検知されたIPの数と位置情報
- Today Query Count : 顧客がリクエストしたクエリーの数(下のグラフは変化の推移)を示す
- Today Total Detection : VPN、Tor、Scanner、Hosting, Proxy IPか、ScoreがCritical、Dangerousの場合検知されたIPの数を示す
- Country : 検知されたIPの国家の統計を示す
- Query IP World Map : 検知されたIPの位置情報を示す
Splunkダッシュボードで確認したCriminal IP FDSモニタリングの画面、
1日検知されたIPの数と位置情報を表す
アクセスしたIPの危険レベルと悪性IPの詳細
- Score Table : 検知されたIPのScore、数、比率を表すテーブルグラフを示す
- IP Score : 検知されたIPのScoreパイチャートを示す
- IP Status : 検知されたIPアドレスの中でブラックリストに診断されたIPアドレスの数と比率を示す
- Top 10 AS_Name : 一定時間内にシステムにアクセスしたIPアドレスのAS Name上位10個を示す
- Top 10 Dirty IP : 一定時間の間システムに最小3回以上アクセスした悪性IPアドレスの上位10個の目録を示す
- Dirty IP Detection : 一定時間内に脅威とみなされるIPアドレスに繋がった詳しい情報と一緒に全ての目録を示す
Splunk ダッシュボードで確認したCriminal IP FDSモニタリングの画面、
アクセスしたIPの危険レベルと悪性IPの詳細を表す
アクセスしたIPアドレスに対してフィルタリングした情報
- Search Table:設定された期間で検知された全てのIPアドレスに繋がった詳しい情報が含まれている全体目録を提供、カテゴリー及びキーワードを使用してフィルタリング検索可能
Criminal IP Splunk統合アプリケーションのモニタリング画面、
アクセスしたIPアドレスに対してフィルタリングした情報を確認できる
SplunkダッシュボードとCriminal IP検索エンジンの連動
検知したIPアドレスをCriminal IP Splunk統合アプリケーションのダッシュボードでクリックすると、Criminal IPのページで当該IPアドレスの詳細を確認できます。また、Criminal IPのIPインテリジェンスデータベースの情報によってIPアドレスに指定されたタグがあります。そのタグをクリックすると、Criminal IPのキーワード検索に繋がります。
提供するタグのリスト
mobile : モバイルのIPアドレス
snort : Snortにより悪性に判断されたIPアドレス
vpn : VPN IPアドレス
tor : Tor IPアドレス
scanner : スキャナーIPアドレス
hosting : ホスティングIPアドレス
proxy : プロキシIPアドレス
Criminal IP Splunk統合アプリケーションの設置方法
- Splunkbaseから Criminal IP FDSをダウンロードします。
- 「Restart」メッセージが出るとSplunkを再起動します。
- 「idx_cip_fds」 インデックスを生成します。
- https://www.criminalip.io/ja/ にアクセスして会員登録をした後、APIキーを生成します。
- Criminal IPでAPIを使用し、json形式のログファイルを生成します。
- {“datetime”: “2022-09-28 13:46:34”, “ip_score”: “Moderate”, “IP”: “223.38.40.211”, “country”: “Korea”, “as_name”: “SK Telecom”, “mobile”: true, “tag_category”: “mobile, vpn”, “ip_category”: “ddos (Medium), tor”}
- 詳細な使用法のガイドはこちら ( Criminal IP FDS Usage Guide.pdf )
- Githubリンク: https://github.com/criminalip/CIP-FDS
- ダッシュボードでCriminal IP FDSを確認します。
Criminal IP FDS Splunkアプリケーションの設置または使用に対してご不明な点がございましたら、support@aispera.com よりお問い合わせください。
Criminal IP APIで悪性ユーザーとネットワーク侵入者を検知する機能に関しては VPN検知:悪意的なユーザー及びネットワーク侵入者の職別 の投稿 をご参照ください。
データの提供
Criminal IP
ご参照
https://blog.criminalip.io/ja/2022/07/20/vpn-detected/