偵察掃瞄檢測功能可作為對網路潛在攻擊或情報收集行動的早期警告。
偵察掃描類型
Server & Workload Security保護 可以偵測多種類型的偵察掃描:
- Computer OS Fingerprint Probe: 代理程式偵測到嘗試發現電腦防護的作業系統。
- Network or Port Scan: 如果代理程式偵測到遠端 IP 正在訪問異常比例的 IP 與通訊埠,則會報告網路或通訊埠掃瞄。通常,代理程式電腦只會看到針對自身的流量,因此通訊埠掃瞄是最常被偵測到的探測類型。電腦或通訊埠掃瞄偵測中使用的統計分析方法源自於 2006 年在 IPCCC 上發表的論文「Connectionless Port Scan Detection on the Backbone」中提出的 "TAPS" 演算法。
- TCP Null Scan: 代理程式偵測到未設置標記的封包。
- TCP SYNFIN Scan: 代理程式偵測到僅設置了 SYN 和 FIN 標誌的封包。
- TCP Xmas Scan: 代理程式偵測到僅設置了 FIN、URG 和 PSH 標誌或值為 0xFF(設置了所有可能的標誌)的封包。
建議的操作
當您收到偵察偵測警報時,雙擊它以顯示更詳細的資訊,包括正在執行掃瞄的 IP 位址。然後,您可以嘗試以下建議的操作之一:
-
此警示可能是由非惡意的掃瞄引起的。如果警示中列出的 IP 位址是您已知的且流量正常,您可以將該 IP 位址添加到偵察允許清單:
- 在電腦防護或政策編輯器中,前往。
- Do not perform detection on traffic coming from 清單應包含清單名稱。如果尚未指定清單名稱,請選擇一個。
- 您可以透過前往 來編輯清單。雙擊您想要編輯的清單並新增 IP 位址。
-
您可以指示代理和設備在一段時間內封鎖來自來源 IP 的流量。要設置分鐘數,請打開電腦防護或策略編輯器,轉到,並更改適當掃瞄類型的Block Traffic值。
-
您可以使用防火牆或安全群組來封鎖傳入的 IP 位址。
 |
注意Server & Workload Security保護 不會自動清除「偵察已偵測」警報,但您可以從 Server & Workload Security保護 手動清除該問題。
|
如需有關偵察掃描的詳細資訊,請參閱防火牆設定。