Details

EventID: 54
Event Time: Feb. 7, 2021, 1:21 p.m.
Rule: SOC108 - Malicious Remote Access Software Detected
Level: Security Analyst
Source Address 10.15.15.12
Source Hostname MarksPhone
Destination Address 13.95.16.245
Destination Hostname teamviewer.com
Username Mark
Request URL https[:]//www.teamviewer.com
User Agent Chrome - Mobile Agent
Device Action Allowed

playbook

Collection Data

Source Address
10.15.15.12
Destination Address
13.95.16.245
User-Agent
Chrome - Mobile Agent

Search Log

今回のアラートに関連するものはこのログ

#	DATE	TYPE	SOURCE ADDRESS	SOURCE PORT	DESTINATION ADDRESS	DESTINATION PORT
351	Feb, 07, 2021, 01:21 PM	Proxy	10.15.15.12	58425	13.95.16.245	443

Raw Log

Request URL: https://www.teamviewer.com
Request Method: GET
Device Action: Allowed

Analyze URL Address

VirusTotal: https://www.virustotal.com/gui/ip-address/13.95.16.245/detection
AbuseIPDB: https://www.abuseipdb.com/check/13.95.16.245
ip-sc: https://ip-sc.net/ja/r/13.95.16.245
特に過去に問題があったIPではなさそう。そもそも、teamviewerは日本語ページもあるほどちゃんとしているリモートデスクトップのアプリである。
urlscan.io: https://urlscan.io/result/36696ed4-c9cd-4c15-8b61-d41614931464/
今回のアラートはFPで間違いない。

Answer: Non-malicious

Add Artifacts

Value	Type	Comment
13.95.16.245	IP Address	teamviewer.com
https://www.teamviewer.com	URL Address	teamviewer - Remote Connectivity Software

End

f:id:Zarat:20220205012151p:plain — close alert event-id 54

今回検出したアプリは正規で、一般的に使われるアプリであることからFPとしたが、そもそもこのようなアラートを設定するような組織であればリモートデスクトップアプリを禁止している等のポリシーがあるのではないかと考える。
そのような環境であれば、今回のアラートはFPではなくTPのハズだ。

4ensiX

FPと言ったものはFPを選んだが表示はTPになっていることに気づいた。

LetsDefend level 1 alert SOC108 - Malicious Remote Access Software Detected event-id 54