攻撃の予兆の検索の検出機能は、潜在的な攻撃またはネットワークの機密情報収集活動の早期警告として機能します。
攻撃の予兆の検出の種類
Deep Securityは、いくつかの種類の攻撃の予兆スキャンを検出できます:
-
OSのフィンガープリント調査::AgentまたはApplianceはコンピュータのOSを見つけようとする動作を検出します。
-
ネットワークまたはポートの検索::AgentまたはApplianceは、リモートIPがポートに対して異常な割合のIPでアクセスしていることを検出した場合、ネットワークまたはポート検索をレポートします。通常、AgentまたはApplianceのコンピュータは、コンピュータ自身宛てのトラフィックのみを監視するため、ポート検索が最も一般的に検出されます。コンピュータまたはポート検索の検出で使用される統計的な分析方法は「TAPS」アルゴリズムから導出されたもので、2006年にIPCCCで発表された「Connectionless Port Scan Detection on the Backbone」で提案されました。
-
TCP Null検索::AgentまたはApplianceはフラグが付いていないパッケージを検出します。
-
TCP SYNFIN検索::AgentまたはApplianceはSYNフラグおよびFINフラグの付いたパケットのみ検出します。
-
TCP Xmas検索::AgentまたはApplianceは、FINフラグ、URGフラグ、およびPSHフラグの付いたパケット、または値0xFF (想定されるすべてのフラグ) を含むパケットを検出します。
推奨処理
攻撃の予兆検出アラートを受信したら、それをダブルクリックしてスキャンを実行しているIPアドレスを含む詳細情報を表示します。その後、以下の推奨アクションのいずれかを試すことができます。
-
アラートは不正ではない検索によって発生する場合もあります。アラートに記載されているIPアドレスがわかっており、トラフィックに問題がない場合は、IPアドレスを偵察許可リストに追加できます。
-
[コンピュータエディタとポリシーエディタ]で、[ファイアウォール]→ [攻撃の予兆]に移動します。
-
[検出を実行しないIPリスト]リストにはリスト名を含める必要があります。リスト名がまだ指定されていない場合は、選択してください。
-
リストを編集するには[ポリシー]→[共通オブジェクト]→[リスト]→[IPリスト]に移動します。編集したいリストをダブルクリックして、IPアドレスを追加します。
-
-
エージェントとアプライアンスに、一定期間ソースIPからのトラフィックをブロックするよう指示できます。分数を設定するには、[コンピュータエディタとポリシーエディタ]を開き、[ファイアウォール]→ [攻撃の予兆]に移動して、適切なスキャンタイプの[トラフィックのブロック]値を変更します。
-
ファイアウォールまたはセキュリティグループを使用すると、受信IPアドレスをブロックできます。
![]() |
注意Deep Security Managerは"攻撃の予兆検出"アラートを自動的にクリアしませんが、Deep Security Managerから手動で問題をクリアすることができます。
|
攻撃の予兆スキャンの詳細については、ファイアウォール設定を参照してください。