本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。
本ヘルプセンターの一部の記事には外部リンクが含まれています。リンク切れなどお気づきの点がございましたら、トレンドマイクロサポート窓口までご連絡ください。
警告: 攻撃の予兆の検出
攻撃の予兆の検出は、ネットワークに対する攻撃や情報収集の予兆を早期に検出して警告できる機能です。
攻撃の予兆検索のタイプ
Deep Securityでは、次のようにさまざまなタイプの攻撃の予兆を検出できます。
- OSのフィンガープリント調査: コンピュータのOSを特定しようとする動作を検出します。
- ネットワークまたはポートの検索: リモートIPがポートに対して異常な割合のIPでアクセスしていることを検出した場合に、ネットワークまたはポート検索をレポートします。通常、AgentまたはApplianceのコンピュータは、コンピュータ自身宛てのトラフィックのみを監視するため、ポート検索が最も多く検出されます。コンピュータまたはポート検索の検出で使用される統計的な分析方法は、2006年にIPCCCで発表された「Connectionless Port Scan Detection on the Backbone」の中で提唱されている「TAPS」アルゴリズムから導出されたものです。
- TCP Null検索: フラグが設定されていないパッケージを検出します。
- TCP SYNFIN検索: SYNフラグおよびFINフラグが設定されたパケットのみを検出します。
- TCP Xmas検索: FINフラグ、URGフラグ、およびPSHフラグが設定されたパケット、または値0xFF (想定されるすべてのフラグ) を含むパケットのみを検出します。
推奨される対応
攻撃の予兆の検出を示す警告が表示された場合は、警告をダブルクリックし、検索を実行しているIPアドレスなどの詳細情報を確認します。そのうえで、次のいずれかの対応を取ることができます。
- アラートは、悪意のない検索が原因になっていることもあります。アラートに記載されているIPアドレスがわかっており、トラフィックに問題がない場合は、IPアドレスを偵察許可リストに追加できます。
- コンピュータエディタとポリシーエディタ これらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。、[ファイアウォール]→[攻撃の予兆]に進んでください。
- [検出を実行しないIPリスト] には通常、リスト名が設定されています。リスト名がまだ指定されていない場合は、いずれかを選択します。
- このリストは、[ポリシー]→[共通オブジェクト]→[リスト]→[IPリスト] から編集できます。編集するリストをダブルクリックし、IPアドレスを追加します。
- 一定期間、特定のソースIPからのトラフィックをブロックするようAgentsとApplianceに指示できます。期間 (分単位) を設定するには、コンピュータエディタまたはポリシーエディタ これらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。を開いてから [ファイアウォール]→[攻撃の予兆] の順に選択し、[トラフィックのブロック] の値を適切な検索タイプに変更します。
- ファイアウォールまたはセキュリティグループを使用して受信IPアドレスをブロックできます。
「攻撃の予兆の検出」のアラートはDeep Security Managerによって自動的にクリアされることはありませんが、Deep Security Managerから手動でクリアすることはできます。
攻撃の予兆検索の詳細については、ファイアウォールの設定を参照してください。