Retro Scan 親トピック

クラウドベースサービスのRetro Scanは、ネットワーク内のC&Cサーバへのコールバック試行とその他の関連アクティビティについてWebアクセスの履歴ログを検索します。Webアクセスログには、ごく最近になって発見された、未検出および未ブロックのC&Cサーバへの接続が含まれている場合があります。そのようなログを調査することは、攻撃によってネットワークが影響を受けているかどうかを判断するための、フォレンジック調査の重要な要素です。
Retro Scanは、Trend Micro Smart Protection Networkに次のログ情報を保存します。
  • Deep Discovery Inspectorの監視対象エンドポイントのIPアドレス
  • エンドポイントによってアクセスされたURL
  • このサーバのGUID
その後、Retro Scanは保存されたログエントリを定期的に検索し、次のリストのC&Cサーバへのコールバック回数を確認します。
  • トレンドマイクロのグローバルインテリジェンスリスト: トレンドマイクロは、複数のソースからのリストをコンパイルして、各C&Cコールバックアドレスのリスクレベルを評価しています。C&Cリストは、毎日アップデートされ、グローバルインテリジェンスを使用している製品に配信されます。
  • ユーザ指定リスト: また、Retro Scanは、ユーザ専用のC&Cサーバリストと照合してログを検索できます。アドレスは、テキストファイルで保存する必要があります。
重要
重要
Deep Discovery Inspectorの [Retro Scan] 画面には、トレンドマイクロのグローバルインテリジェンスリストを使用した検索に関する情報のみが表示されます。