LetsDefend level 1 alert SOC108 - Malicious Remote Access Software Detected event-id 54
Details
EventID: 54
Event Time: Feb. 7, 2021, 1:21 p.m.
Rule: SOC108 - Malicious Remote Access Software Detected
Level: Security Analyst
Source Address 10.15.15.12
Source Hostname MarksPhone
Destination Address 13.95.16.245
Destination Hostname teamviewer.com
Username Mark
Request URL https[:]//www.teamviewer.com
User Agent Chrome - Mobile Agent
Device Action Allowed
playbook
Collection Data
- Source Address
10.15.15.12 - Destination Address
13.95.16.245 - User-Agent
Chrome - Mobile Agent
Search Log
今回のアラートに関連するものはこのログ
# | DATE | TYPE | SOURCE ADDRESS | SOURCE PORT | DESTINATION ADDRESS | DESTINATION PORT |
---|---|---|---|---|---|---|
351 | Feb, 07, 2021, 01:21 PM | Proxy | 10.15.15.12 | 58425 | 13.95.16.245 | 443 |
Raw Log Request URL: https://www.teamviewer.com Request Method: GET Device Action: Allowed
Analyze URL Address
VirusTotal: https://www.virustotal.com/gui/ip-address/13.95.16.245/detection
AbuseIPDB: https://www.abuseipdb.com/check/13.95.16.245
ip-sc: https://ip-sc.net/ja/r/13.95.16.245
特に過去に問題があったIPではなさそう。そもそも、teamviewerは日本語ページもあるほどちゃんとしているリモートデスクトップのアプリである。
urlscan.io: https://urlscan.io/result/36696ed4-c9cd-4c15-8b61-d41614931464/
今回のアラートはFPで間違いない。
Answer: Non-malicious
Add Artifacts
Value | Type | Comment |
---|---|---|
13.95.16.245 | IP Address | teamviewer.com |
https://www.teamviewer.com | URL Address | teamviewer - Remote Connectivity Software |
End
今回検出したアプリは正規で、一般的に使われるアプリであることからFPとしたが、そもそもこのようなアラートを設定するような組織であればリモートデスクトップアプリを禁止している等のポリシーがあるのではないかと考える。
そのような環境であれば、今回のアラートはFPではなくTPのハズだ。