Ameba Ownd

アプリで簡単、無料ホームページ作成

【公式】Criminal IP Japanブログ

Criminal IP Splunk 統合アプリケーションリリース、IPインテリジェンスを用いるFDS

2022.12.15 06:25

今日はCriminal IP、そしてSplunkのユーザーであれば興味深そうなお知らせをお伝えします。ログ分析プラットフォームのSplunkのダッシュボードとCriminal IP FDS(Fraud Detection System、異常金融取引検知システム)API機能が連動されている Criminal IP Splunk 統合アプリケーションがリリースされました。

これから SplunkbaseにてCriminal IP FDSをダウンロードし、企業及び公共機関の異常金融取引とアビュージングユーザーのリアルタイムログをSplunkのダッシュボードでモニタリングできるようになりました。

SplunkbaseでリリースされたCriminal IP Splunk統合アプリケーション


FDS (Fraud Detection System、異常金融取引検知システム) とは?

FDSとは「異常金融取引検知システム」を意味し、既存のパターンと相違な方式で決済などの金融取引を試みるユーザーを職別し、不正行為をブロックするセキュリティシステムです。すなわち、企業で運営中のサービスにアクセスする悪性ユーザーを判別するシステムのことです。ログインと会員登録のように日常的な行為だけでなく、決済および送金のような金融取引でも悪性ユーザーを判別してサービスと顧客を保護するのがFDSの目的です。


Criminal IP FDSの差別化ポイント – IP Intelligenceの活用

このように、FDSは悪性ユーザーと不正行為のリアルタイム検知が重要です。しかし、既存のFDS検知プロセスにはいくつかの問題点がありました。


既存FDSの問題点


IP Intelligenceを活用したFDSの提案

このようなFDSの問題点を補完するために、Criminal IP FDSではIPインテリジェンスを用いる方法を提案しました。結局、悪性ユーザーは感染したIPアドレスあるいはバイパスしたIPアドレスを通じてアクセス・不正行為を試みます。従って、既存のFDSのように複雑なログ分析を行わなくてもアクセスIPアドレス1つだけで決済およびログインを試みるユーザーの悪意の有無を判断できます。実際にCriminal IP FDSは、行為ログ全てを分析する方式に比べてもっと短期間に同一またはそれ以上の検知効果を出しています。


Criminal IPが悪性ユーザーを判別する方法は次の通りです。

例えば、VPN IPアドレスを通じてバイパスアクセスを試みるユーザーがいるとしましょう。このユーザーがCriminal IP FDSを連動したサービスにアクセスする際、自動でCriminal IPのAPIを呼び出します。APIがそれをVPN IPとして判別し、その結果をネットワークのセキュリティデバイスに送ると、当該デバイスはユーザーのアクセスをブロックします。

Criminal IP FDSの悪性ユーザー判別のプロセス


Criminal IP Splunk 統合アプリケーションを通じるリアルタイムのFDSモニタリング

Splunk はウェブインタフェースでビッグデータを検索、モニタリング、分析することができるソフトウェアです。Criminal IP Splunk統合アプリケーションを使用すると、運営中のサービスで検知されるリアルタイムの悪性ユーザーログの現況を一目で確認できます。


1日検知されたIPの数と位置情報

Splunkダッシュボードで確認したCriminal IP FDSモニタリングの画面、
1日検知されたIPの数と位置情報を表す


アクセスしたIPの危険レベルと悪性IPの詳細

Splunk ダッシュボードで確認したCriminal IP FDSモニタリングの画面、
アクセスしたIPの危険レベルと悪性IPの詳細を表す


アクセスしたIPアドレスに対してフィルタリングした情報

Criminal IP Splunk統合アプリケーションのモニタリング画面、
アクセスしたIPアドレスに対してフィルタリングした情報を確認できる


SplunkダッシュボードとCriminal IP検索エンジンの連動

検知したIPアドレスをCriminal IP Splunk統合アプリケーションのダッシュボードでクリックすると、Criminal IPのページで当該IPアドレスの詳細を確認できます。また、Criminal IPのIPインテリジェンスデータベースの情報によってIPアドレスに指定されたタグがあります。そのタグをクリックすると、Criminal IPのキーワード検索に繋がります。


提供するタグのリスト

mobile : モバイルのIPアドレス
snort : Snortにより悪性に判断されたIPアドレス
vpn : VPN IPアドレス
tor : Tor IPアドレス
scanner : スキャナーIPアドレス
hosting : ホスティングIPアドレス
proxy : プロキシIPアドレス


Criminal IP Splunk統合アプリケーションの設置方法

  1. Splunkbaseから Criminal IP FDSをダウンロードします。
  2. 「Restart」メッセージが出るとSplunkを再起動します。
  3. 「idx_cip_fds」 インデックスを生成します。
  4. https://www.criminalip.io/ja/ にアクセスして会員登録をした後、APIキーを生成します。
  5. Criminal IPでAPIを使用し、json形式のログファイルを生成します。
  6. {“datetime”: “2022-09-28 13:46:34”, “ip_score”: “Moderate”, “IP”: “223.38.40.211”, “country”: “Korea”, “as_name”: “SK Telecom”, “mobile”: true, “tag_category”: “mobile, vpn”, “ip_category”: “ddos (Medium), tor”}
  7. 詳細な使用法のガイドはこちら ( Criminal IP FDS Usage Guide.pdf )
  8. Githubリンク: https://github.com/criminalip/CIP-FDS
  9. ダッシュボードでCriminal IP FDSを確認します。


Criminal IP FDS Splunkアプリケーションの設置または使用に対してご不明な点がございましたら、support@aispera.com よりお問い合わせください。

Criminal IP APIで悪性ユーザーとネットワーク侵入者を検知する機能に関しては VPN検知:悪意的なユーザー及びネットワーク侵入者の職別 の投稿 をご参照ください。


データの提供

Criminal IP

https://www.criminalip.io/ja


ご参照

https://blog.criminalip.io/ja/2022/07/20/vpn-detected/