ダッシュボードの概要
Shadowserverのダッシュボードは、毎日の活動において作成される100以上のレポートで収集して共有する主要なデータセットを反映するレベルの高い統計となっています。データセットにより、公開されたアタックサーフェス、脆弱性、誤った設定、ネットワーク侵害、攻撃の観測などを特定できます。レポート形式で共有されるデータには、特定のネットワークまたは活動範囲に関する詳細なIPレベル情報が含まれます。Shadowserverのダッシュボードは、このレベルの精度に対応していません。代わりに、これらの活動を反映する高レベルの統計を提供します。これにより、新たに出現する最新の脅威、脆弱性、インシデントなどに関する詳細な情報を提供でき、関係者の匿名性を保持しつつも幅広いコミュニティの状況に関する意識を高めることができます。
ソースおよびタグ
データは、ソースや タグに基づいて整理されます。ソースは、特定のフォームのデータをグループ化したものです。基本のソースには、honeypot
、population
、scan
、sinkhole
があります。人口とスキャンは、いずれもスキャンベースのデータセットで、人口は脆弱性/セキュリティ評価なしの露出エンドポイント数となります。 6
という接尾辞は、IPv6データを表します(接尾辞がないエントリはすべてIPv4データです)。
ソースには、関連するタグがある場合があり、表示されるデータの付加的な情報が提供されます。例えば、scan
のタグには、実際の異なるスキャンタイプ( telnet
、ftp
、 rdp
など、スキャンされるサービス/プロトコル)が含まれます。sinkhole
のタグには、シンクホール(すなわち、adload
、andromeda
、 necurs
などのマルウェアファミリタイプに感染したホスト)に接続する実際のマルウェアファミリがあります。
タグにより、表示されるデータに関する付加的な情報が提供されます。
当組織は、脆弱な、または侵害されたホストの観測を反映できるよう、付加的なソースグループも導入しています。 例えば、http_vulnerable
または compromised_website
などです。これらには、特定のCVE脆弱性、影響を受けるベンダーまたは製品、観測されたバックドア・ウェブシェル・埋め込みに関する情報を反映するタグが含まれます。http_vulnerable
の例として、citrix
またはcve-2023-3519
があります。
データセットに検出をさらに追加する過程で、タグがさらに増加しています。つまり、選択可能な新たなソースカテゴリが表示されるようになるということです。例えば、snmp
はソースscan
に表示されるタグですが、ソースとしての機能もあります。これにより、より精度の高いsnmpスキャン結果を表示できるようになるため、cve-2017-6736
などの脆弱性に関連した特定のsnmpスキャン結果を表示することができます。
データカテゴリへのクイックリンク:左ナビゲーションバー
表示されるデータセットは、シンクホール、スキャン、ハニーポットなど、さまざまな大規模収集方法により収集されます。これらデータセットのメインカテゴリは、左ナビゲーションバーで共有され、各カテゴリタイプには別々のアイコンが割り当てられています。
特定のソースカテゴリを迅速に開くことができるようにするのが目的です。例:
-
シンクホール - ソース
sinkhole
でグループ化されたデータソースの概要を提供します。タグやタググループを選択すると、特定のシンクホールの結果を表示できます。 -
スキャン -
scan
でグループ化されたデータセットの概要を提供します(このカテゴリには関連するセキュリティ問題があるサービスのスキャン結果が含まれており、ソースpopulation
を選択して人口スキャン結果を表示することも可能です)。タグやタググループを選択すると、特定のスキャン結果を表示できます。 -
ハニーポット - ソース
honeypot
でグループ化されたデータソースの概要を提供します。タグやタググループを選択すると、特定のハニーポットの結果を表示できます。 -
DDoS - ソース
honeypot_ddos_amp
でグループ化されたデータソースの概要を提供します。これらは、特定の国/地域の固有の標的に行われたアンプDDoS攻撃です。タグやタググループを選択すると、特定のアンプ攻撃を表示できます。 -
ICS - ソース
ics
(産業制御システムのネイティブプロトコルのスキャン結果)でグループ化されたデータソースの概要を提供します。タグやタググループを選択すると、使用されたネイティブプロトコルを表示できます。 -
Web CVEs -
http_vulnerable
およびexchange
でグループ化されたデータソースの概要を提供します。これらは、当組織のスキャン、一般的にはCVEで特定された脆弱なウェブアプリケーションです。タグやタググループを選択すると、CVEや影響を受ける製品を表示できます。
データセットは、国や国グループ、地域や大陸で分類できます。
各データセットの説明は、「このデータについて」でも確認できます。
ハイライト表示されたデータセット以外の他のでーたセットも利用することができます。例えば、ソースbeacon
では、スキャンで観測されたPost-Explitation(ポストエクスプロイト、攻撃を成功させた後の振る舞い)フレームワークC2を、またソースcompromised_website
では、スキャンで観測された侵害されたウェブエンドポイントを検索できます。
上部ナビゲーションバー
上部ナビゲーションバーでは、データ表示のさまざまな視覚化オプション、およびデバイス識別や攻撃観測データセットの視覚化を選択できます。
統計全般
統計全般では、ソースや タグを選択して視覚化できます:
- 世界地図 - 選択されたソースおよびタグを示す世界地図です。以下の機能があります:ソースごと国ごとに最も一般的なタグ表示に切り換える機能、人口・GDP・接続ユーザーでの正規化、など。地図上でマーカーを選択して、国ごとの値を表示することもできます。
- 地域地図 - 国を地域や州・省・県に分割した国レベルの地図です。
- 比較地図 - 2つの国の比較地図です。
- 時系列 - 長期間に渡るソースおよびタグの組み合わせを示すチャートです。(国ごとだけでなく)さまざまなデータグループを選択できます。
- 視覚化 - 長期間の平均値など、データセットを掘り下げて調べるさまざまなオプションを提供します。表、棒グラフ、バブルダイアグラムなど、さまざまな形式でデータを表示できます。
IoTデバイス統計(デバイス識別統計)
このデータセットおよび関連する視覚化により、公開エンドポイントの毎日のスナップショットを確認できます。スキャンにより特定された公開ベンダーおよびその製品ごとにグループ化されます。データは、ベンダー、モデル、デバイスタイプで分類されます。これらは、ウェブページコンテンツ、SSL/TLS、表示されるパーナーなど、さまざまな方法で特定されます。データセットに含まれるのは人口データのみです。公開エンドポイントに関連した脆弱性の評価は行われません(それらの脆弱性検索するには、(例えば「統計全般」のhttp_vulnerable
などのソースを選択してください)。
「統計全般」と似た視覚化チャートで、ソースおよびタグを使用する代わりに、ベンダー、モデル、デバイスタイプ(でグループ化して)表示できるチャートもあります。
攻撃統計:脆弱性
このデータセットおよび関連する視覚化では、ハニーポットセンサーネットワークで観測された攻撃の毎日のスナップショットを確認できます。エクスプロイトで利用された脆弱性に焦点が当てられています。頻繁に攻撃されている製品を表示したり、どのように攻撃されているか(どの脆弱性が悪用され、どの特定のCVEが含まれるか)を調べたりできます。攻撃のソースや宛先ごとにチャートを表示することも可能です。
「統計全般」と似た視覚化チャートで、ソースおよびタグを使用する代わりに、ベンダー、脆弱性、および攻撃のソースや宛先(でグループ化して)表示できるチャートもあります。
その他の視覚化カテゴリ - モニタリングも追加されています:
最も多く悪用される脆弱性の表で、毎日更新されます。攻撃が観測された(または接続試行統計オプションを選択している場合は、攻撃の試みが観測された)固有のソースIPでグループ化されます。データのソースは、当組織のハニーポットセンサーネットワークです。データは、悪用された脆弱性でグループ化されます。CISAの「既知の悪用された脆弱性(KEV)」マッピング(ランサムウェアグループに悪用されることが知られているかどうかも含まれる)、および攻撃がサーバーアプリケーションではなくIoTデバイスを標的としているかどうかも含まれます。
デフォルトでは、世界全体で最も多く悪用される脆弱性が表示されますが、特定の国やグループでフィルタリングしたり、異常の表を表示したりすることも可能です。
攻撃統計:デバイス
このデータセットおよび関連する視覚化は、ハニーポットセンサーネットワークで観測された攻撃元デバイスのタイプに関する毎日のスナップショットを提供します。これらのデバイスのフィンガープリンティングは、当組織が毎日実行するスキャンで行われます。データセットにより、特定の攻撃タイプ、デバイスベンダーまたはモデルのトラッキングが行えるほか、国ごとにフィルタリングすることも可能です。
「統計全般」と似た視覚化チャートで、ソースおよびタグを使用する代わりに、攻撃タイプ、デバイスベンダーまたはモデル(でグループ化して)表示できるチャートもあります。
その他の視覚化カテゴリ - モニタリングも追加されています:
攻撃が観測された(または接続試行統計オプションを選択している場合は、攻撃の試みが観測された)固有のソースIPで観測された、最も多く攻撃されるデバイスの表で、毎日更新されます。このカテゴリに表示されるすべてのデータセットと同様に、このデータのソースもハニーポットセンサーネットワークです。観測された攻撃タイプ、ベンダーおよびモデル(該当する場合)でグループ化されます。観測されたIPと、毎日実行するデバイススキャンフィンガープリンティングの結果の相互関係を調べることで、攻撃元デバイスを特定します(「IoTデバイス統計」セクションを参照してください)。
デフォルトでは、攻撃が観測された最も多い攻撃元デバイス(ソースごと)を表示します(例えば、ベンダーのみが特定され、デバイスが特定できなかったケースも含まれます)。特定の国やグループでフィルタリングしたり、異常の表を表示したりできます。