ビュー:
攻撃の予兆の検索の検出機能は、潜在的な攻撃またはネットワークの機密情報収集活動の早期警告として機能します。

攻撃の予兆の検出の種類

Workload Securityはいくつかの種類の攻撃の予兆を検出できます。
  • OSのフィンガープリント調査: エージェントは、コンピュータのOSの検出試行を検出しました。
  • ネットワークまたはポート検索: リモートIPがポートに対するIPの比率が異常に高いことを検出した場合、エージェントはネットワークまたはポート検索をレポートします。通常、エージェントコンピュータは自分宛のトラフィックのみを検出するため、検出されるプローブの種類としてはポート検索が最も一般的です。コンピュータまたはポートスキャンの検出で使用される統計分析方法は、2006年にIPCCCで発表された論文Connectionless Port Scan Detection on the Backboneで提案されたTAPSアルゴリズムに基づいています。
  • TCP Null検索: エージェントは、フラグが設定されていないパッケージを検出します。
  • TCP SYNFIN Scan: エージェントは、SYNおよびFINフラグのみが設定されたパケットを検出します。
  • TCP Xmas検索: エージェントは、FIN、URG、およびPSHフラグのみが設定されたパケット、または0xFFの値を持つパケットを検出します (フラグが設定されるたびに)。

推奨処理

攻撃の予兆の検出アラートを受信したら、このアラートをダブルクリックして、検出を実行しているIP アドレスなどの詳細を表示します。次に、上記の推奨処理のいずれかを実行できます。
  • アラートは不正ではない検索によって発生する場合もあります。アラートに記載されているIPアドレスがわかっており、トラフィックに問題がない場合は、IPアドレスを偵察許可リストに追加できます。
    1. [コンピュータ] または [ポリシー] エディターで、[ファイアウォール][攻撃の予兆] に移動します。
    2. [からのトラフィックの検出を実行しない]リストには、リスト名を含める必要があります。リスト名がまだ指定されていない場合は、リスト名を選択します。
    3. [ポリシー][共通オブジェクト][リスト][IPリスト] を選択すると、リストを編集できます。編集するリストをダブルクリックし、IPアドレスを追加します。
  • 特定の期間、ソースIPからのトラフィックをブロックするようにAgentおよびApplianceに指示できます。時間を分単位で設定するには、コンピュータエディタまたはポリシーエディタを開き、[ファイアウォール][攻撃の予兆]の順に選択し、適切な検索の種類に応じて[ブロックトラフィック]の値を変更します。
  • ファイアウォールまたはセキュリティグループを使用すると、受信IPアドレスをブロックできます。
Workload Securityは「攻撃の予兆の検出」アラートを自動的に消去しませんが、 Workload Securityから手動で消去できます。
攻撃の予兆スキャンの詳細については、ファイアウォール設定を参照してください。