このページのトピック

警告: 攻撃の予兆の検出

攻撃の予兆の検索の検出機能は、潜在的な攻撃またはネットワークの機密情報収集活動の早期警告として機能します。

攻撃の予兆の検出の種類

Workload Security では、いくつかの種類の偵察検索を回避できます。

  • OSのフィンガープリント調査: エージェントは、コンピュータのOSの検出試行を検出しました。
  • ネットワークまたはポート検索: リモートIPがポートとのIPの異常な比率にアクセスしていることが検出された場合、エージェントはネットワークまたはポートの検索をレポートします。通常、エージェントコンピュータには自身宛てのトラフィックのみが表示されるため、ポートスキャンが最も一般的な種類のプローブで検出されます。コンピュータまたはポート検索の検出で使用される統計的な分析方法は「TAPS」アルゴリズムから導出されたもので、2006年にIPCCCで発表された「Connectionless Port Scan Detection on the Backbone」で提案されました。
  • TCP Null検索: エージェントは、フラグが設定されていないパッケージを検出します。
  • TCP SYNFIN Scan: エージェントは、SYNおよびFINフラグのみが設定されたパケットを検出します。
  • TCP Xmas検索: エージェントは、FIN、URG、およびPSHフラグのみが設定されたパケット、または0xFFの値を持つパケットを検出します(フラグが設定されるたびに)。

推奨処理

攻撃の予兆の検出アラートを受信したら、このアラートをダブルクリックして、検出を実行しているIP アドレスなどの詳細を表示します。次に、上記の推奨処理のいずれかを実行できます。

  • アラートは不正ではない検索によって発生する場合もあります。アラートに記載されているIPアドレスがわかっており、トラフィックに問題がない場合は、IPアドレスを偵察許可リストに追加できます。

    1. コンピュータまたはポリシーエディタで、[ ファイアウォール ]→[ 攻撃の予兆]の順に選択します。
    2. からのトラフィックの検出を実行しないリストには、リスト名を含める必要があります。リスト名がまだ指定されていない場合は、リスト名を選択します。
    3. [ポリシー]→[共通オブジェクト]→[リスト]→[IPリスト] を選択すると、リストを編集できます。編集するリストをダブルクリックし、IPアドレスを追加します。
  • 特定の期間、ソースIPからのトラフィックをブロックするようにAgentおよびApplianceに指示できます。時間を分単位で設定するには、コンピュータエディタまたはポリシーエディタを開き、[ ファイアウォール ] [ 攻撃の予兆 ]の順に選択し、適切な検索の種類に応じて ブロックトラフィックの 値を変更します。

  • ファイアウォールまたはセキュリティグループを使用すると、受信IPアドレスをブロックできます。

Workload Security では、「攻撃の予兆 が検出されました」という警告は自動的に消去されませんが、 Workload Securityから手動で問題を解決できます。

攻撃の予兆の検索に関する詳細については、「ファイアウォールの設定」を参照してください。