警告: 攻撃の予兆の検出

OSのフィンガープリント調査::AgentまたはApplianceはコンピュータのOSを見つけようとする動作を検出します。

ネットワークまたはポートの検索::AgentまたはApplianceは、リモートIPがポートに対して異常な割合のIPでアクセスしていることを検出した場合、ネットワークまたはポート検索をレポートします。通常、AgentまたはApplianceのコンピュータは、コンピュータ自身宛てのトラフィックのみを監視するため、ポート検索が最も一般的に検出されます。コンピュータまたはポート検索の検出で使用される統計的な分析方法は「TAPS」アルゴリズムから導出されたもので、2006年にIPCCCで発表された「Connectionless Port Scan Detection on the Backbone」で提案されました。

TCP Null検索::AgentまたはApplianceはフラグが付いていないパッケージを検出します。

TCP SYNFIN検索::AgentまたはApplianceはSYNフラグおよびFINフラグの付いたパケットのみ検出します。

TCP Xmas検索::AgentまたはApplianceは、FINフラグ、URGフラグ、およびPSHフラグの付いたパケット、または値0xFF (想定されるすべてのフラグ) を含むパケットを検出します。

アラートは不正ではない検索によって発生する場合もあります。アラートに記載されているIPアドレスがわかっており、トラフィックに問題がない場合は、IPアドレスを偵察許可リストに追加できます。

1. [コンピュータエディタとポリシーエディタ]で、[ファイアウォール]→ [攻撃の予兆]に移動します。
2. [検出を実行しないIPリスト]リストにはリスト名を含める必要があります。リスト名がまだ指定されていない場合は、選択してください。
3. リストを編集するには[ポリシー]→[共通オブジェクト]→[リスト]→[IPリスト]に移動します。編集したいリストをダブルクリックして、IPアドレスを追加します。

エージェントとアプライアンスに、一定期間ソースIPからのトラフィックをブロックするよう指示できます。分数を設定するには、[コンピュータエディタとポリシーエディタ]を開き、[ファイアウォール]→ [攻撃の予兆]に移動して、適切なスキャンタイプの[トラフィックのブロック]値を変更します。

ファイアウォールまたはセキュリティグループを使用すると、受信IPアドレスをブロックできます。