ビジネスサポートポータルアカウントでログイン
攻撃の予兆の検出について  

攻撃の予兆の検出について

    • 更新日:
    • 3 Sep 2019
    • 製品/バージョン:
    • Trend Micro Deep Security 10.All
    • Trend Micro Deep Security 11.All
    • Trend Micro Deep Security 12.All
    • Trend Micro Deep Security 9.5
    • Trend Micro Deep Security 9.6
    • Trend Micro Virtual Patch for Endpoint 2.All
    • OS:
    • Linux すべて
    • Solaris すべて
    • Virtual Appliance すべて
    • Windows すべて
概要

以下のような攻撃の予兆の検出について、検出の仕組みや対処方法を教えてください。

  • 攻撃の予兆の検出: OSのフィンガープリント調査
  • 攻撃の予兆の検出: ネットワークまたはポートの検索
  • 攻撃の予兆の検出: TCP Null検索
  • 攻撃の予兆の検出: TCP SYNFIN検索
  • 攻撃の予兆の検出: TCP Xmas検索
詳細
Public

攻撃の予兆の検出とは?

攻撃者が、攻撃対象の組織のネットワークやコンピュータ上で実行されているサービス、使用されているOSなどを調査する目的で行う、ネットワークスキャンやポートスキャンの活動を検出する機能です。

検出の仕組み

攻撃の予兆の検出は、受信方向で発生したファイアウォールイベントを分析する事で発生します。それぞれの検出の種類に応じて、ファイアウォールイベントに対して次のような条件で分析を行います。

  • OSのフィンガープリント調査: 一定期間内の送信先ポートやパケットの種類が、OS調査に利用される特徴を有する場合
  • ネットワークまたはポートの検索: 一定期間内の送信先IPアドレスや送信先ポートの数を統計的に分析した結果、異常と判別した場合
  • TCP Null検索: TCPのフラグが何もセットされていない場合
  • TCP SYNFIN検索: TCPのSYNフラグとFINフラグがセットされている場合
  • TCP Xmas検索: TCPのFINフラグ、URGフラグ、PSHフラグがセットされている場合

この条件はあらかじめ定義されており、条件を変更することはできません。
また、具体的な分析の期間や検出数の閾値など、上記に記載されている以上の詳細な情報は、検出回避につながる可能性があるためご案内できませんのでご了承ください。

攻撃の予兆の検出はファイアウォールイベントに基づいて行われるため、攻撃の予兆を検出するには機能を有効にする事に加えて、ファイアウォールイベントが記録されるように設定してください。
具体的には次のいずれかの設定が行われている場合に、攻撃の予兆が検出できます。

  • ファイアウォール機能をオンにして、一つ以上のファイアウォールルールを割り当てる
  • ファイアウォール機能をオンにして、一つ以上のファイアウォールルールとステートフル設定を割り当てる
  • 侵入防御(Deep Packet Inspection)機能をオンにして、一つ以上のIPS(DPI)ルールを割り当てる (ファイアウォールイベントが発生する可能性があります。 参考:ファイアウォールを使用していないのにファイアウォールイベントが記録される)

攻撃の予兆の検出は受信方向でのみ行われます。外部に対してのネットワーク/ポートスキャンは検出されません。

対処方法

送信元IPアドレスを確認して、信頼できる送信元か、不審な活動が行われていないかを調査してください。

正当な通信元であることが確認できない場合は、送信元IPアドレスからの通信を拒否することも検討してください。「トラフィックのブロック」を設定しておくと、攻撃の予兆の検出から設定した時間の間、送信元IPアドレスからのすべての通信のブロックを自動的に行います。

送信元IPアドレスが、セキュリティ調査のためにネットワーク/ポートスキャンを行う正規の機器である場合には、[検出を実行しないIPリスト:]に該当機器IPのアドレスを登録してください。登録したIPアドレスからのネットワーク/ポートスキャンは検出しないようになります。

攻撃の予兆の検出を無効にしたい場合は、[攻撃の予兆の検出の有効化:]を「いいえ」に設定してください。

Premium
Internal
評価:
カテゴリ:
機能/仕様
Solution Id:
1103034
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド