警告: 攻撃の予兆の検出

攻撃の予兆の検索の検出機能は、潜在的な攻撃またはネットワークの機密情報収集活動の早期警告として機能します。

攻撃の予兆の検出の種類

Workload Securityはいくつかの種類の攻撃の予兆を検出できます。

OSのフィンガープリント調査: エージェントは、コンピュータのOSの検出試行を検出しました。
ネットワークまたはポート検索: リモートIPがポートに対するIPの比率が異常に高いことを検出した場合、エージェントはネットワークまたはポート検索をレポートします。通常、エージェントコンピュータは自分宛のトラフィックのみを検出するため、検出されるプローブの種類としてはポート検索が最も一般的です。コンピュータまたはポートスキャンの検出で使用される統計分析方法は、2006年にIPCCCで発表された論文「Connectionless Port Scan Detection on the Backbone」で提案されたTAPSアルゴリズムに基づいています。
TCP Null検索: エージェントは、フラグが設定されていないパッケージを検出します。
TCP SYNFIN Scan: エージェントは、SYNおよびFINフラグのみが設定されたパケットを検出します。
TCP Xmas検索: エージェントは、FIN、URG、およびPSHフラグのみが設定されたパケット、または0xFFの値を持つパケットを検出します (フラグが設定されるたびに)。

攻撃の予兆の検出アラートを受信したら、このアラートをダブルクリックして、検出を実行しているIP アドレスなどの詳細を表示します。次に、上記の推奨処理のいずれかを実行できます。

アラートは不正ではない検索によって発生する場合もあります。アラートに記載されているIPアドレスがわかっており、トラフィックに問題がない場合は、IPアドレスを偵察許可リストに追加できます。
1. コンピュータまたはポリシーエディタで、[ファイアウォール]→[攻撃の予兆] の順に選択します。
2. からのトラフィックの検出を実行しないリストには、リスト名を含める必要があります。リスト名がまだ指定されていない場合は、リスト名を選択します。
3. [ポリシー]→[共通オブジェクト]→[リスト]→[IPリスト] を選択すると、リストを編集できます。編集するリストをダブルクリックし、IPアドレスを追加します。
特定の期間、ソースIPからのトラフィックをブロックするようにAgentおよびApplianceに指示できます。時間を分単位で設定するには、コンピュータエディタまたはポリシーエディタを開き、[ ファイアウォール ] [ 攻撃の予兆 ]の順に選択し、適切な検索の種類に応じて ブロックトラフィックの 値を変更します。
ファイアウォールまたはセキュリティグループを使用すると、受信IPアドレスをブロックできます。

Workload Securityは「攻撃の予兆の検出」アラートを自動的に消去しませんが、 Workload Securityから手動で消去できます。

攻撃の予兆の検索に関する詳細については、「ファイアウォールの設定」を参照してください。