บทนำ
หน้า Outbound Server Access แสดงการเชื่อมต่อออกไปภายนอกของ Server ภายใน ซึ่งมักจะเป็นสัญญาณของ C2 (Command & Control) Communication หรือการเชื่อมต่อที่ไม่ควรเกิดขึ้นสำหรับ Server ที่ควรให้บริการเฉพาะภายในประเทศ
ขั้นตอนการเข้าถึง
- ไปที่ Detection > Anomalies > Outbound Server Access
- ระบุ Server, Region และช่วงเวลาตามต้องการ
การอ่าน Overall Display
- Application Traffic: แสดง Top 5 Application Traffic ของ Server ตามช่วงเวลา สลับเป็น Distribution View ได้จากมุมขวาบน
- Protocol (Port) Traffic: แสดง Top 5 Protocol/Port ของ Server สลับเป็น Distribution View ได้เช่นกัน
- Server Scope: เลือก All Servers, Critical Servers, Servers ที่ Outbound > Inbound หรือ Servers ที่มีการเข้าถึงช่วงกลางคืน (ปรับ Overnight Period ได้จากไอคอน Settings)
Detailed Analysis
มีสองมุมมองหลัก:
- Regions: ดูสถิติจากมุมภูมิภาค — Region, Src IPs, Bidirectional Bytes, Outbound/Inbound Bytes, Top 10 Apps, Top 10 Protocols (port), Last Access คลิกค่าในคอลัมน์ Region/Top 10 Apps/Top 10 Protocols เพื่อดูรายละเอียด
- Servers: ดูจากมุมของ Server — Server, Top 5 Dst Regions, Bidirectional Bytes, Outbound/Inbound Bytes, Top 10 Apps, Top 10 Protocols (port), Last Access คลิกค่า Server/App/Protocol เพื่อดูรายละเอียดบน GoldenEye
การตรวจจับ C2
สิ่งบ่งชี้ C2 ที่ควรตรวจสอบบนหน้า Outbound Server Access:
- Server ที่ไม่ควรมีการเชื่อมต่อออก Internet แต่มี Outbound Traffic เกิดขึ้น
- Server ที่มีการเชื่อมต่อไปยังภูมิภาค (Region) ที่ไม่เกี่ยวข้องกับธุรกิจ
- การเชื่อมต่อเกิดขึ้นในช่วง Overnight Period ที่ไม่มีการทำงานปกติ
- การใช้ Application/Protocol ที่ไม่รู้จัก หรือเป็น Dynamic DNS / Tor
หมายเหตุ
- สามารถค้นหาด้วย Keyword และ Export ข้อมูลเป็น Excel จากมุมซ้ายบน
- เมื่อพบการเชื่อมต่อที่น่าสงสัย ควรตรวจสอบใน Security Alerts และ Detection Logs เพิ่มเติมเพื่อยืนยันว่าเป็น C2 จริง
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น