Deep Discovery InspectorのRetro Scan

Retro Scanは、C&Cサーバへのコールバックやネットワークでのその他の関連アクティビティについて、過去のWebアクセスログを検索するクラウドベースのサービスです。Webアクセスログには、ごく最近検出されたC&Cサーバへの接続 （検出もブロックもされてない）が記録されていることがあります。フォレンジックス調査においては、ネットワークが攻撃の影響を受けていないかどうかを確認するために、このようなログを調べることが重要です。

Retro Scanでは、次のログ情報をSmart Protection Networkに保存します。

• Deep Discovery Inspectorで監視しているエンドポイントのIPアドレス

• エンドポイントがアクセスしたURL

• Deep Discovery InspectorのGUID

その後、保存したログエントリを定期的に検索し、次のリストに含まれるC&Cサーバへのコールバック試行がないかを確認します。

• トレンドマイクログローバルインテリジェンスリスト: トレンドマイクロでは、複数のソースからの情報をリストにまとめ、各C&Cコールバックアドレスのリスクレベルを評価しています。C&Cリストは毎日更新され、有効化されている製品に配信されます。

• ユーザ指定リスト: Retro Scanでは、ログを独自のC&Cサーバリストと照合することもできます。リストを指定するには、テキストファイルにアドレスを保存します。