このコンテンツはオフライン用のローカルバージョンで、内容が古くなっている場合があります。最新のドキュメントを確認するには、https://help.deepsecurity.trendmicro.com/ja-jpにオンラインでアクセスしてください。

警告: 攻撃の予兆の検出

攻撃の予兆の検出は、ネットワークに対する攻撃や情報収集の予兆を早期に検出して警告できる機能です。

攻撃の予兆検索のタイプ

Deep Securityでは、次のようにさまざまなタイプの攻撃の予兆を検出できます。

• OSのフィンガープリント調査: コンピュータのOSを特定しようとする動作を検出します。
• ネットワークまたはポートの検索: リモートIPがポートに対して異常な割合のIPでアクセスしていることを検出した場合に、ネットワークまたはポート検索をレポートします。通常、AgentまたはApplianceのコンピュータは、コンピュータ自身宛てのトラフィックのみを監視するため、ポート検索が最も多く検出されます。コンピュータまたはポート検索の検出で使用される統計的な分析方法は、2006年にIPCCCで発表された「Connectionless Port Scan Detection on the Backbone」の中で提唱されている「TAPS」アルゴリズムから導出されたものです。
• TCP Null検索: フラグが設定されていないパッケージを検出します。
• TCP SYNFIN検索: SYNフラグおよびFINフラグが設定されたパケットのみを検出します。
• TCP Xmas検索: FINフラグ、URGフラグ、およびPSHフラグが設定されたパケット、または値0xFF (想定されるすべてのフラグ) を含むパケットのみを検出します。

推奨される対応

攻撃の予兆の検出を示す警告が表示された場合は、警告をダブルクリックし、検索を実行しているIPアドレスなどの詳細情報を確認します。そのうえで、次のいずれかの対応を取ることができます。

• アラートは、悪意のない検索が原因になっていることもあります。アラートに表示されているIPアドレスが既知のものでトラフィックに問題がないと判断できる場合は、次の手順で該当のIPアドレスを攻撃の予兆のホワイトリストに追加できます。
  1. コンピュータエディタまたはポリシーエディタこれらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。で、[ファイアウォール]→[攻撃の予兆]の順に選択します。
  2. [検出を実行しないIPリスト] には通常、リスト名が設定されています。リスト名がまだ指定されていない場合は、いずれかを選択します。
  3. このリストは、[ポリシー]→[共通オブジェクト]→[リスト]→[IPリスト] から編集できます。編集するリストをダブルクリックし、IPアドレスを追加します。
• 一定期間、特定のソースIPからのトラフィックをブロックするようAgentsとApplianceに指示できます。期間 (分単位) を設定するには、コンピュータエディタまたはポリシーエディタこれらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。を開いてから [ファイアウォール]→[攻撃の予兆] の順に選択し、[トラフィックのブロック] の値を適切な検索タイプに変更します。
• ファイアウォールまたはセキュリティグループを使用して受信IPアドレスをブロックできます。

「攻撃の予兆の検出」のアラートはDeep Security Managerによって自動的にクリアされることはありませんが、Deep Security Managerから手動でクリアすることはできます。

攻撃の予兆検索の詳細については、ファイアウォールの設定を参照してください。