本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。

警告: 攻撃の予兆の検出

攻撃の予兆の検索の検出機能は、潜在的な攻撃またはネットワークの機密情報収集活動の早期警告として機能します。

攻撃の予兆の検出の種類

Deep Securityはいくつかの種類の攻撃の予兆を検出できます。

OSのフィンガープリント調査:AgentまたはApplianceはコンピュータのOSを見つけようとする動作を検出します。
ネットワークまたはポートの検索:AgentまたはApplianceは、リモートIPがポートに対して異常な割合のIPでアクセスしていることを検出した場合、ネットワークまたはポート検索をレポートします。通常、AgentまたはApplianceのコンピュータは、コンピュータ自身宛てのトラフィックのみを監視するため、ポート検索が最も一般的に検出されます。コンピュータまたはポート検索の検出で使用される統計的な分析方法は「TAPS」アルゴリズムから導出されたもので、2006年にIPCCCで発表された「Connectionless Port Scan Detection on the Backbone」で提案されました。
TCP Null検索:AgentまたはApplianceはフラグが付いていないパッケージを検出します。
TCP SYNFIN検索:AgentまたはApplianceはSYNフラグおよびFINフラグの付いたパケットのみ検出します。
TCP Xmas検索:AgentまたはApplianceは、FINフラグ、URGフラグ、およびPSHフラグの付いたパケット、または値0xFF (想定されるすべてのフラグ) を含むパケットを検出します。

推奨処理

攻撃の予兆の検出アラートを受信したら、このアラートをダブルクリックして、検出を実行しているIP アドレスなどの詳細を表示します。次に、上記の推奨処理のいずれかを実行できます。

アラートは不正ではない検索によって発生する場合もあります。アラートに記載されているIPアドレスがわかっており、トラフィックに問題がない場合は、IPアドレスを偵察許可リストに追加できます。
1. コンピュータまたはポリシーエディタこれらの設定は、ポリシーまたは特定のコンピュータについて変更できます。ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。で、[ファイアウォール]→[攻撃の予兆] の順に選択します。
2. [検出を実行しないIPリスト] にリスト名を追加する必要があります。リスト名がまだ指定されていない場合は、リスト名を選択します。
3. [ポリシー]→[共通オブジェクト]→[リスト]→[IPリスト] を選択すると、リストを編集できます。IPアドレスを編集および追加するリストをダブルクリックします。
特定の期間、ソースIPからのトラフィックをブロックするようにAgentおよびApplianceに指示できます。分数を設定するには、コンピュータまたはポリシーエディタこれらの設定は、ポリシーまたは特定のコンピュータについて変更できます。ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。で、[ファイアウォール]→[攻撃の予兆] の順に選択し、[トラフィックのブロック] の値を適切な検索の種類に変更します。
ファイアウォールまたはセキュリティグループを使用すると、受信IPアドレスをブロックできます。

Deep Security Managerは「攻撃の予兆の検出」アラートを自動的に消去しませんが、Deep Security Managerから手動で消去できます。

攻撃の予兆の検索に関する詳細については、ファイアウォールの設定を参照してください。