ビュー:
攻撃の予兆の検索の検出機能は、潜在的な攻撃またはネットワークの機密情報収集活動の早期警告として機能します。

攻撃の予兆の検出の種類

Server & Workload Protection 、いくつかの種類の偵察検索を検出できます。
  • [OSのフィンガープリント調査:] エージェントは、コンピュータのOSを検出しようとしていることを検出しました。
  • [ネットワークまたはポートの検索:] エージェントは、リモートIPがポートに対するIPの比率が異常に高いことを検出した場合、ネットワークまたはポートの検索をレポートします。通常、エージェントコンピュータは自分宛のトラフィックのみを検出するため、検出されるプローブの種類としてはポート検索が最も一般的です。コンピュータまたはポートスキャンの検出で使用される統計分析方法は、2006年にIPCCCで発表された論文「Connectionless Port Scan Detection on the Backbone」で提案された「TAPS」アルゴリズムに基づいています。
  • [TCP Null検索:] エージェントは、フラグが設定されていないパッケージを検出します。
  • [TCP SYNFIN検索:] エージェントは、SYNフラグとFINフラグのみが設定されたパケットを検出します。
  • [TCP Xmas検索:] エージェントは、FIN、URG、およびPSHフラグのみが設定されているパケット、または値が0xFF (すべてのフラグが設定されている) のパケットを検出します。

推奨される処理

[Reconnaissance Detected] アラートを受信した場合は、アラートをダブルクリックすると、検索を実行しているIPアドレスなどの詳細情報が表示されます。次に、推奨される処理のいずれかを実行します。
  • このアラートは、不正な検索によって表示された可能性があります。アラートにリストされているIPアドレスが既知であり、トラフィックに問題がない場合は、そのIPアドレスを偵察許可リストに追加できます。
    1. コンピュータエディタまたはポリシーエディタで、[ファイアウォール] [攻撃の予兆]
    2. [検出を実行しないIPリスト] リストにはリスト名を含める必要があります。リスト名がまだ指定されていない場合は、名前を選択します。
    3. リストを編集するには、[Policies] [共通オブジェクト] [リスト] [IPリスト] 。編集するリストをダブルクリックし、IPアドレスを追加します。
  • 一定期間、送信元IPからのトラフィックをブロックするようにAgentとApplianceに指示できます。分数を設定するには、コンピュータエディタまたはポリシーエディタを開き、[ファイアウォール] [攻撃の予兆]適切な検索タイプの [阻止通信] 値を変更します。
  • ファイアウォールまたはセキュリティグループを使用すると、受信IPアドレスをブロックできます。
注意
注意
Server & Workload Protection では、「Reconnaissance Detected」アラートが自動的に消去されることはありませんが、 Server & Workload Protectionから手動で問題を消去できます。
偵察検索の詳細については、次を参照してください。ファイアウォール設定