攻撃の予兆の検出とは?

攻撃者が、攻撃対象の組織のネットワークやコンピュータ上で実行されているサービス、使用されているOSなどを調査する目的で行う、ネットワークスキャンやポートスキャンの活動を検出する機能です。

検出の仕組み

攻撃の予兆の検出は、受信方向で発生したファイアウォールイベントを分析する事で発生します。それぞれの検出の種類に応じて、ファイアウォールイベントに対して次のような条件で分析を行います。

• OSのフィンガープリント調査: 一定期間内の送信先ポートやパケットの種類が、OS調査に利用される特徴を有する場合
• ネットワークまたはポートの検索: 一定期間内の送信先IPアドレスや送信先ポートの数を統計的に分析した結果、異常と判別した場合
• TCP Null検索: TCPのフラグが何もセットされていない場合
• TCP SYNFIN検索: TCPのSYNフラグとFINフラグがセットされている場合
• TCP Xmas検索: TCPのFINフラグ、URGフラグ、PSHフラグがセットされている場合

この条件はあらかじめ定義されており、条件を変更することはできません。
また、具体的な分析の期間や検出数の閾値など、上記に記載されている以上の詳細な情報は、検出回避につながる可能性があるためご案内できませんのでご了承ください。

攻撃の予兆の検出はファイアウォールイベントに基づいて行われるため、攻撃の予兆を検出するには機能を有効にする事に加えて、ファイアウォールイベントが記録されるように設定してください。
具体的には次のいずれかの設定が行われている場合に、攻撃の予兆が検出できます。

• ファイアウォール機能をオンにして、一つ以上のファイアウォールルールを割り当てる
• ファイアウォール機能をオンにして、一つ以上のファイアウォールルールとステートフル設定を割り当てる
• 侵入防御(Deep Packet Inspection)機能をオンにして、一つ以上のIPS(DPI)ルールを割り当てる (ファイアウォールイベントが発生する可能性があります。 参考：ファイアウォールを使用していないのにファイアウォールイベントが記録される)

攻撃の予兆の検出は受信方向でのみ行われます。外部に対してのネットワーク/ポートスキャンは検出されません。

対処方法

送信元IPアドレスを確認して、信頼できる送信元か、不審な活動が行われていないかを調査してください。

正当な通信元であることが確認できない場合は、送信元IPアドレスからの通信を拒否することも検討してください。「トラフィックのブロック」を設定しておくと、攻撃の予兆の検出から設定した時間の間、送信元IPアドレスからのすべての通信のブロックを自動的に行います。

送信元IPアドレスが、セキュリティ調査のためにネットワーク/ポートスキャンを行う正規の機器である場合には、[検出を実行しないIPリスト:]に該当機器IPのアドレスを登録してください。登録したIPアドレスからのネットワーク/ポートスキャンは検出しないようになります。

攻撃の予兆の検出を無効にしたい場合は、[攻撃の予兆の検出の有効化:]を「いいえ」に設定してください。