ビュー:
攻撃の予兆の検索の検出機能は、潜在的な攻撃またはネットワークの機密情報収集活動の早期警告として機能します。

攻撃の予兆の検出の種類

Deep Securityは、いくつかの種類の攻撃の予兆スキャンを検出できます:
  • OSのフィンガープリント調査::AgentまたはApplianceはコンピュータのOSを見つけようとする動作を検出します。
  • ネットワークまたはポートの検索::AgentまたはApplianceは、リモートIPがポートに対して異常な割合のIPでアクセスしていることを検出した場合、ネットワークまたはポート検索をレポートします。通常、AgentまたはApplianceのコンピュータは、コンピュータ自身宛てのトラフィックのみを監視するため、ポート検索が最も一般的に検出されます。コンピュータまたはポート検索の検出で使用される統計的な分析方法は「TAPS」アルゴリズムから導出されたもので、2006年にIPCCCで発表された「Connectionless Port Scan Detection on the Backbone」で提案されました。
  • TCP Null検索::AgentまたはApplianceはフラグが付いていないパッケージを検出します。
  • TCP SYNFIN検索::AgentまたはApplianceはSYNフラグおよびFINフラグの付いたパケットのみ検出します。
  • TCP Xmas検索::AgentまたはApplianceは、FINフラグ、URGフラグ、およびPSHフラグの付いたパケット、または値0xFF (想定されるすべてのフラグ) を含むパケットを検出します。

推奨処理

攻撃の予兆検出アラートを受信したら、それをダブルクリックしてスキャンを実行しているIPアドレスを含む詳細情報を表示します。その後、以下の推奨アクションのいずれかを試すことができます。
  • アラートは不正ではない検索によって発生する場合もあります。アラートに記載されているIPアドレスがわかっており、トラフィックに問題がない場合は、IPアドレスを偵察許可リストに追加できます。
    1. [コンピュータエディタとポリシーエディタ]で、[ファイアウォール]→ [攻撃の予兆]に移動します。
    2. [検出を実行しないIPリスト]リストにはリスト名を含める必要があります。リスト名がまだ指定されていない場合は、選択してください。
    3. リストを編集するには[ポリシー]→[共通オブジェクト]→[リスト]→[IPリスト]に移動します。編集したいリストをダブルクリックして、IPアドレスを追加します。
  • エージェントとアプライアンスに、一定期間ソースIPからのトラフィックをブロックするよう指示できます。分数を設定するには、[コンピュータエディタとポリシーエディタ]を開き、[ファイアウォール]→ [攻撃の予兆]に移動して、適切なスキャンタイプの[トラフィックのブロック]値を変更します。
  • ファイアウォールまたはセキュリティグループを使用すると、受信IPアドレスをブロックできます。
注意
注意
Deep Security Managerは"攻撃の予兆検出"アラートを自動的にクリアしませんが、Deep Security Managerから手動で問題をクリアすることができます。
攻撃の予兆スキャンの詳細については、ファイアウォール設定を参照してください。