Retro Scanは、C&Cサーバへのコールバックやネットワークでのその他の関連アクティビティについて、過去のWebアクセスログを検索するクラウドベースのサービスです。Webアクセスログには、ごく最近検出されたC&Cサーバへの接続 (検出もブロックもされてない)が記録されていることがあります。フォレンジックス調査においては、ネットワークが攻撃の影響を受けていないかどうかを確認するために、このようなログを調べることが重要です。
Retro Scanでは、次のログ情報をSmart Protection Networkに保存します。
-
Deep Discovery Inspectorで監視しているエンドポイントのIPアドレス
-
エンドポイントがアクセスしたURL
-
Deep Discovery InspectorのGUID
その後、保存したログエントリを定期的に検索し、次のリストに含まれるC&Cサーバへのコールバック試行がないかを確認します。
-
トレンドマイクログローバルインテリジェンスリスト: トレンドマイクロでは、複数のソースからの情報をリストにまとめ、各C&Cコールバックアドレスのリスクレベルを評価しています。C&Cリストは毎日更新され、有効化されている製品に配信されます。
-
ユーザ指定リスト: Retro Scanでは、ログを独自のC&Cサーバリストと照合することもできます。リストを指定するには、テキストファイルにアドレスを保存します。
重要:
Deep Discovery InspectorのRetro Scan画面には、トレンドマイクログローバルインテリジェンスリストを使用した検索の情報だけが表示されます。