警告: 攻撃の予兆の検出

攻撃の予兆の検出は、ネットワークに対する攻撃や情報収集の予兆を早期に検出して警告できる機能です。

攻撃の予兆検索のタイプ

Deep Securityでは、次のようにさまざまなタイプの攻撃の予兆を検出できます。

  • OSのフィンガープリント調査: コンピュータのOSを特定しようとする動作を検出します。
  • ネットワークまたはポートの検索: リモートIPがポートに対して異常な割合のIPでアクセスしていることを検出した場合に、ネットワークまたはポート検索をレポートします。通常、AgentまたはApplianceのコンピュータは、コンピュータ自身宛てのトラフィックのみを監視するため、ポート検索が最も多く検出されます。コンピュータまたはポート検索の検出で使用される統計的な分析方法は、2006年にIPCCCで発表された「Connectionless Port Scan Detection on the Backbone」の中で提唱されている「TAPS」アルゴリズムから導出されたものです。
  • TCP Null検索: フラグが設定されていないパッケージを検出します。
  • TCP SYNFIN検索: SYNフラグおよびFINフラグが設定されたパケットのみを検出します。
  • TCP Xmas検索: FINフラグ、URGフラグ、およびPSHフラグが設定されたパケット、または値0xFF (想定されるすべてのフラグ) を含むパケットのみを検出します。

推奨される対応

攻撃の予兆の検出を示す警告が表示された場合は、警告をダブルクリックし、検索を実行しているIPアドレスなどの詳細情報を確認します。そのうえで、次のいずれかの対応を取ることができます。

「攻撃の予兆の検出」のアラートはDeep Security Managerによって自動的にクリアされることはありませんが、Deep Security Managerから手動でクリアすることはできます。

攻撃の予兆検索の詳細については、ファイアウォールの設定を参照してください。