スキャン行為

IBM Security QRadar Reconnaissance Content Extension を使用して、偵察イベントと検出に焦点を当てます。

重要: このコンテンツ拡張でコンテンツ・エラーが発生しないようにするために、関連付けられた DSM を最新の状態に維持してください。 DSMは自動更新の一部として更新される。 自動アップデートが有効になっていない場合は、関連する DSM の最新バージョンを IBM® Fix Central (https://www.ibm.com/support/fixcentral) からダウンロードしてください。

IBM Security QRadar スキャン行為コンテンツ拡張 1.0.3

次の表では、 IBM Security QRadar 偵察コンテンツ拡張 1.0.3で更新されたルールおよびビルディング・ブロックを示しています。

表 1. IBM セキュリティー QRadar スキャン行為コンテンツ拡張 1.0.3 で更新されたルールおよびビルディング・ブロック
名前 説明
BB:ReconDetected: レコンを単一イベントに統合する装置 最後の条件を「and when the event(s) were detected by one or more of the TippingPoint Intrusion Prevention System (IPS)」から「and when an event matches any of the following BB:DeviceDefinition: IDS / IPS」に変更しました。
リモート ICMP スキャナー ルール条件「and NOT when a flow or an event matches any of the following Remote Database Scanner, Remote DHCP Scanner, Remote FTP Scanner, Remote Game Server Scanner, Remote IM Server Scanner, Remote IRC Server Scanner, Remote LDAP Server Scanner, Remote Mail Server Scanner, Remote P2P Scanner, Remote Proxy Server Scanner, Remote RPC Server Scanner, Remote SNMP Scanner, Remote SSH Server Scanner, Remote Web Server Scanner, Remote Windows Server Scanner」を削除しました。

以下のルールとビルディング・ブロックは、デフォルトで IBM Security QRadar に含まれるようになったため、 IBM Security QRadar 「スキャン行為コンテンツ拡張」 1.0.3 で削除されました。

  • BB:CategoryDefinition: Recon Event Categories
  • BB:CategoryDefinition: Recon Events
  • BB:CategoryDefinition: Recon Flows
  • BB:CategoryDefinition: Suspicious Event Categories
  • BB:CategoryDefinition: Suspicious Events
  • BB:CategoryDefinition: Suspicious Flows
  • BB:CategoryDefinition: Unidirectional Flow
  • BB:CategoryDefinition: Unidirectional Flow DST
  • BB:CategoryDefinition: Unidirectional Flow SRC
  • BB:Flowshape: Inbound Only
  • BB:Flowshape: Outbound Only
  • BB:HostDefinition: Database Servers
  • BB:HostDefinition: DHCP Servers
  • BB:HostDefinition: DNS Servers
  • BB:HostDefinition: FTP Servers
  • BB:HostDefinition: LDAP Servers
  • BB:HostDefinition: Mail Servers
  • BB:HostDefinition: Network Management Servers
  • BB:HostDefinition: Proxy Servers
  • BB:HostDefinition: RPC Servers
  • BB:HostDefinition: Servers
  • BB:HostDefinition: SNMP Sender or Receiver
  • BB:HostDefinition: SSH Servers
  • BB:HostDefinition: Virus Definition and Other Update Servers
  • BB:HostDefinition: Web Servers
  • BB:HostDefinition: Windows Servers
  • BB:HostReference: Database Servers
  • BB:HostReference: DHCP Servers
  • BB:HostReference: DNS Servers
  • BB:HostReference: FTP Servers
  • BB:HostReference: LDAP Servers
  • BB:HostReference: Mail Servers
  • BB:HostReference: Proxy Servers
  • BB:HostReference: SSH Servers
  • BB:HostReference: Web Servers
  • BB:HostReference: Windows Servers
  • BB:NetworkDefinition: Honeypot like Addresses
  • BB:PortDefinition: Database Ports
  • BB:PortDefinition: DHCP Ports
  • BB:PortDefinition: DNS Ports
  • BB:PortDefinition: FTP Ports
  • BB:PortDefinition: Game Server Ports
  • BB:PortDefinition: IM Ports
  • BB:PortDefinition: IRC Ports
  • BB:PortDefinition: LDAP Ports
  • BB:PortDefinition: P2P Ports
  • BB:PortDefinition: Proxy Ports
  • BB:PortDefinition: RPC Ports
  • BB:PortDefinition: SNMP Ports
  • BB:PortDefinition: SSH Ports
  • BB:PortDefinition: Windows Ports
  • BB:ProtocolDefinition: Windows Protocols
  • BB:Threats: Port Scans: Host Scans
  • BB:Threats: Port Scans: UDP Port Scan
  • BB:Threats: Scanning: Empty Responsive Flows High
  • BB:Threats: Scanning: Empty Responsive Flows Low
  • BB:Threats: Scanning: Empty Responsive Flows Medium
  • BB:Threats: Scanning: ICMP Scan High
  • BB:Threats: Scanning: ICMP Scan Low
  • BB:Threats: Scanning: ICMP Scan Medium
  • BB:Threats: Scanning: Potential Scan
  • BB:Threats: Scanning: Scan High
  • BB:Threats: Scanning: Scan Low
  • BB:Threats: Scanning: Scan Medium
  • BB:Threats: Suspicious IP Protocol Usage: Illegal TCP Flag Combination
  • BB:Threats: Suspicious IP Protocol Usage: Large DNS Packets
  • BB:Threats: Suspicious IP Protocol Usage: Large ICMP Packets
  • BB:Threats: Suspicious IP Protocol Usage: Long Duration Outbound Flow
  • BB:Threats: Suspicious IP Protocol Usage: Suspicious ICMP Type Code
  • BB:Threats: Suspicious IP Protocol Usage: TCP or UDP Port 0
  • BB:Threats: Suspicious IP Protocol Usage: Unidirectional ICMP Flows
  • BB:Threats: Suspicious IP Protocol Usage: Unidirectional ICMP Replys
  • BB:Threats: Suspicious IP Protocol Usage: Zero Payload Bidirectional Flows
  • BB:Threats: Suspicious IP Protocol Usage:Unidirectional TCP Flows
  • BB:Threats: Suspicious IP Protocol Usage:Unidirectional UDP and Misc Flows
  • Local L2L Database Scanner
  • Local L2L FTP Scanner
  • Local L2L IRC Server Scanner
  • Local L2L LDAP Server Scanner
  • Local L2L SSH Server Scanner
  • Local L2L Suspicious Probe Events Detected
  • Local L2R Database Scanner
  • Local L2R FTP Scanner
  • Local L2R IRC Server Scanner
  • Local L2R LDAP Server Scanner
  • Local L2R RPC Server Scanner
  • Local L2R SSH Server Scanner
  • Remote Database Scanner
  • Remote FTP Scanner
  • Remote IRC Server Scanner
  • Remote LDAP Server Scanner
  • Remote Proxy Server Scanner
  • Remote RPC Server Scanner
  • Remote SSH Server Scanner
  • Remote Windows Server Scanner

( 上に戻る )

IBM Security QRadar スキャン行為コンテンツ拡張 1.0.2

次の表では、 IBM Security QRadar 偵察コンテンツ拡張 1.0.2で更新されたビルディング・ブロックを示しています。

表 2. IBM セキュリティー QRadar スキャン行為コンテンツ拡張 1.0.2 のビルディング・ブロック
名前 説明
BB:HostDefinition: Proxy Servers ルール・テストに「BB:PortDefinition: Proxy Ports」を追加しました。
BB:Threats: Suspicious IP Protocol Usage: Illegal TCP Flag Combination ルール条件「and when the flow type is one of these flow types」を削除しました。
BB:Threats: Suspicious IP Protocol Usage: Suspicious ICMP Type Code ルール条件「and when the flow type is one of these flow types」を削除しました。
BB:Threats: Suspicious IP Protocol Usage: TCP or UDP Port 0 ルール条件「and when the flow type is one of these flow types」を削除しました。
BB:CategoryDefinition: Unidirectional Flow SRC
BB:Flowshape: Outbound Only アウトバウンドのみのフローの突き合わせを行います。
BB:CategoryDefinition: Recon Event Categories スキャン行為アクティビティーを示すすべてのイベントを含めるには、このビルディング・ブロックを編集します。
BB:CategoryDefinition: Suspicious Event Categories 疑わしいアクティビティーを示すすべてのイベントを含めるには、このビルディング・ブロックを編集します。
BB:Threats: Scanning: ICMP Scan Low 低レベルの ICMP スキャン行為を識別します。
BB:Threats: Suspicious IP Protocol Usage: Zero Payload Bidirectional Flows ペイロードを含まない双方向トラフィックを識別します。
BB:Threats: Scanning: Scan High 高レベルの潜在的スキャン行為を識別します。
BB:CategoryDefinition: Unidirectional Flow
BB:Threats: Suspicious IP Protocol Usage: Unidirectional ICMP Replys ICMP 応答が要求なしで検出されるトラフィックを識別します。
BB:Threats: Suspicious IP Protocol Usage: Unidirectional ICMP Flows 単一方向 ICMP フローを識別します。
BB:Flowshape: Inbound Only インバウンドのみのフローの突き合わせを行います。
BB:NetworkDefinition: Honeypot like Addresses ネットワークで現在使用されていないか、ハニーポットまたはターピットのインストール済み環境で使用されているネットワーク階層で定義されているネットワーク・オブジェクトで他のネットワークを置き換えることにより、このビルディング・ブロックを編集します。

これらを定義したら、「Anomaly: Potential Honeypot Access」ルールを有効にする必要があります。 試行したアクセスに基づいてイベントが生成されるようにするには、これらのネットワーク・オブジェクトに、セキュリティー/ポリシーの監視を追加する必要もあります。

BB:CategoryDefinition: Recon Flows 疑わしいアクティビティーを示すすべてのイベントを含めるには、このビルディング・ブロックを編集します。
BB:Threats: Port Scans: UDP Port Scan UDP ベースのポート・スキャンを識別します。
BB:Threats: Scanning: ICMP Scan Medium 中レベルの ICMP スキャン行為を識別します。
BB:Threats: Scanning: Empty Responsive Flows Low 送信元パケットのカウントが 500 を超える、スキャン行為である可能性のあるアクティビティーを検出します。
BB:CategoryDefinition: Suspicious Flows 疑わしいアクティビティーを示すすべてのイベントを含めるには、このビルディング・ブロックを編集します。
BB:CategoryDefinition: Suspicious Events 疑わしいアクティビティーを示すすべてのイベントを含めるには、このビルディング・ブロックを編集します。
BB:Threats: Suspicious IP Protocol Usage: Long Duration Outbound Flow 48 時間を超える期間の間アクティブであるフローを識別します。
BB:Threats: Scanning: Empty Responsive Flows Medium 送信元パケットのカウントが 5,000 を超える、スキャン行為である可能性のあるアクティビティーを検出します。
BB:Threats: Suspicious IP Protocol Usage: Large ICMP Packets サイズが異常に大きい ICMP パケットのフローを識別します。
BB:Threats: Scanning: ICMP Scan High 高レベルの ICMP スキャン行為を識別します。
BB:Threats: Port Scans: Host Scans フローによってスキャン行為の可能性を識別します。
BB:Threats: Scanning: Scan Medium 中レベルの潜在的スキャン行為を識別します。
BB:Threats: Scanning: Scan Low 低レベルの潜在的スキャン行為を識別します。
BB:CategoryDefinition: Recon Events スキャン行為アクティビティーを示すすべてのイベントを含めるには、このビルディング・ブロックを編集します。
BB:Threats: Scanning: Potential Scan フローによってスキャン行為の可能性を識別します。
BB:CategoryDefinition: Unidirectional Flow DST
BB:Threats: Suspicious IP Protocol Usage:Unidirectional TCP Flows 単一方向 TCP フローを識別します。
BB:Threats: Scanning: Empty Responsive Flows High 送信元パケットのカウントが 100,000 を超える、スキャン行為である可能性のあるアクティビティーを検出します。
BB:Threats: Suspicious IP Protocol Usage: Large DNS Packets サイズが異常に大きい DNS パケットのフローを識別します。
BB:Threats: Suspicious IP Protocol Usage:Unidirectional UDP and Misc Flows 単一方向 UDP フローや他の各種フローを識別します。
BB:Suspicious: Remote: Unidirectional UDP or Misc Flows ある 1 つの送信元からの過剰な数の単一方向 UDP および各種フローを検出します。
BB:Suspicious: Local: Unidirectional UDP or Misc Flows ある 1 つの送信元からの過剰な数の単一方向 UDP および各種フローを検出します。

( 上に戻る )

IBM Security QRadar スキャン行為コンテンツ拡張 1.0.0

以下のリファレンス・セットが IBM Security QRadar スキャン行為コンテンツ拡張 1.0.0に追加されました。

  • データベース・サーバー
  • DHCP サーバー
  • DNS サーバー
  • FTP サーバー
  • LDAP サーバー
  • メール・サーバー
  • プロキシー・サーバー
  • SSH サーバー
  • Web サーバー
  • Windows Server

以下のルール・ビルディング・ブロックが IBM Security QRadar スキャン行為コンテンツ拡張 1.0.0に追加されました。

表 3. IBM セキュリティー QRadar スキャン行為コンテンツ拡張 1.0.0 のルールおよびビルディング・ブロック
タイプ 名前 説明
ビルディング・ブロック BB:CategoryDefinition: Recon Event Categories スキャン行為アクティビティーを示すすべてのイベントを含めるには、このビルディング・ブロックを編集します。
ビルディング・ブロック BB:CategoryDefinition: Recon Events スキャン行為アクティビティーを示すすべてのイベントを含めるには、このビルディング・ブロックを編集します。
ビルディング・ブロック BB:CategoryDefinition: Recon Flows 疑わしいアクティビティーを示すすべてのイベントを含めるには、このビルディング・ブロックを編集します。
ビルディング・ブロック BB:CategoryDefinition: Suspicious Event Categories 疑わしいアクティビティーを示すすべてのイベントを含めるには、このビルディング・ブロックを編集します。
ビルディング・ブロック BB:CategoryDefinition: Suspicious Events 疑わしいアクティビティーを示すすべてのイベントを含めるには、このビルディング・ブロックを編集します。
ビルディング・ブロック BB:CategoryDefinition: Suspicious Flows 疑わしいアクティビティーを示すすべてのイベントを含めるには、このビルディング・ブロックを編集します。
ビルディング・ブロック BB:CategoryDefinition: Unidirectional Flow  
ビルディング・ブロック BB:CategoryDefinition: Unidirectional Flow DST  
ビルディング・ブロック BB:CategoryDefinition: Unidirectional Flow SRC  
ビルディング・ブロック BB:Flowshape: Inbound Only インバウンドのみのフローの突き合わせを行います。
ビルディング・ブロック BB:Flowshape: Outbound Only アウトバウンドのみのフローの突き合わせを行います。
ビルディング・ブロック BB:HostDefinition: Database Servers 標準的なデータベース・サーバーを定義するには、このビルディング・ブロックを編集します。 このビルディング・ブロックは、「BB:FalsePositive: Database Server False Positive Categories」および「BB:FalsePositive: Database Server False Positive Events」の各ビルディング・ブロックと共に使用します。
ビルディング・ブロック BB:HostDefinition: DHCP Servers 標準的な DHCP サーバーを定義するには、このビルディング・ブロックを編集します。 このビルディング・ブロックは、「BB:False Positive: DHCP Server False Positives Categories」および「BB:FalsePositve: DHCP Server False Positive Events」の各ビルディング・ブロックと共に使用します。
ビルディング・ブロック BB:HostDefinition: DNS Servers 標準的な DNS サーバーを定義するには、このビルディング・ブロックを編集します。 このビルディング・ブロックは、「BB:FalsePositive: DNS Server False Positives Categories」および「BB:FalsePositve: DNS Server False Positive Events」の各ビルディング・ブロックと共に使用します。
ビルディング・ブロック BB:HostDefinition: FTP Servers 標準的な FTP サーバーを定義するには、このビルディング・ブロックを編集します。 このビルディング・ブロックは、「BB:False Positive: FTP Server False Positives Categories」および「BB:FalsePositve: FTP Server False Positive Events」の各ビルディング・ブロックと共に使用します。
ビルディング・ブロック BB:HostDefinition: LDAP Servers 標準的な LDAP サーバーを定義するには、このビルディング・ブロックを編集します。 このビルディング・ブロックは、「BB:False Positive: LDAP Server False Positives Categories」および「BB:FalsePositve: LDAP Server False Positive Events」の各ビルディング・ブロックと共に使用します。
ビルディング・ブロック BB:HostDefinition: Mail Servers 標準的なメール・サーバーを定義するには、このビルディング・ブロックを編集します。 このビルディング・ブロックは、「BB:False Positive: Mail Server False Positives Categories」および「BB:FalsePositve: Mail Server False Positive Events」の各ビルディング・ブロックと共に使用します。
ビルディング・ブロック BB:HostDefinition: Network Management Servers 標準的なネットワーク管理サーバーを定義するには、このビルディング・ブロックを編集します。
ビルディング・ブロック BB:HostDefinition: Proxy Servers 標準的なプロキシー・サーバーを定義するには、このビルディング・ブロックを編集します。 このビルディング・ブロックは、「BB:False Positive: Proxy Server False Positives Categories」および「BB:FalsePositve: Proxy Server False Positive Events」の各ビルディング・ブロックと共に使用します。
ビルディング・ブロック BB:HostDefinition: RPC Servers 標準的な RPC サーバーを定義するには、このビルディング・ブロックを編集します。 このビルディング・ブロックは、「BB:False Positive: RPC Server False Positives Categories」および「BB:FalsePositve: RPC Server False Positive Events」の各ビルディング・ブロックと共に使用します。
ビルディング・ブロック BB:HostDefinition: Servers 汎用サーバーを定義するには、このビルディング・ブロックを編集します。
ビルディング・ブロック BB:HostDefinition: SNMP Sender or Receiver SNMP 送信側または受信側を定義するには、このビルディング・ブロックを編集します。 このビルディング・ブロックは「BB:PortDefinition: SNMP Ports」ビルディング・ブロックと共に使用します。
ビルディング・ブロック BB:HostDefinition: SSH Servers 標準的な SSH サーバーを定義するには、このビルディング・ブロックを編集します。 このビルディング・ブロックは、「BB:False Positive: SSH Server False Positives Categories」および「BB:FalsePositve: SSH Server False Positive Events」の各ビルディング・ブロックと共に使用します。
ビルディング・ブロック BB:HostDefinition: Virus Definition and Other Update Servers ウィルス防止機能と更新機能が組み込まれているすべてのサーバーを含めるには、このビルディング・ブロックを編集します。
ビルディング・ブロック BB:HostDefinition: Web Servers 標準的な Web サーバーを定義するには、このビルディング・ブロックを編集します。 このビルディング・ブロックは、「BB:False Positive: Web Server False Positives Categories」および「BB:FalsePositve: Web Server False Positive Events」の各ビルディング・ブロックと共に使用します。
ビルディング・ブロック BB:HostDefinition: Windows Servers ドメイン・コントローラーや Exchange Server などの標準的な Windows サーバーを定義するには、このビルディング・ブロックを編集します。 このビルディング・ブロックは、「BB:False Positive: Windows Server False Positives Categories」および「BB:FalsePositve: Windows Server False Positive Events」の各ビルディング・ブロックと共に使用します。
ビルディング・ブロック BB:HostReference: Database Servers  
ビルディング・ブロック BB:HostReference: DHCP Servers  
ビルディング・ブロック BB:HostReference: DNS Servers  
ビルディング・ブロック BB:HostReference: FTP Servers  
ビルディング・ブロック BB:HostReference: LDAP Servers  
ビルディング・ブロック BB:HostReference: Mail Servers  
ビルディング・ブロック BB:HostReference: Proxy Servers  
ビルディング・ブロック BB:HostReference: SSH Servers  
ビルディング・ブロック BB:HostReference: Web Servers  
ビルディング・ブロック BB:HostReference: Windows Servers  
ビルディング・ブロック BB:NetworkDefinition: Honeypot like Addresses ご使用のネットワークでは現在使用されていないか、またはハニーポットないしターピットのインストール済み環境で使用されている、ご使用のネットワーク階層で定義されたネットワーク・オブジェクトでその他のネットワークを置換することによって、このビルディング・ブロックを編集します。 これらを定義したら、「アノマリ: 潜在的ハニーポット・アクセス」ルールを有効にする必要があります。 試行したアクセスに基づいてイベントが生成されるようにするには、これらのネットワーク・オブジェクトに、セキュリティー/ポリシーの監視を追加する必要もあります。
ビルディング・ブロック BB:PortDefinition: Database Ports すべての共通データベース・ポートを含めるには、このビルディング・ブロックを編集します。
ビルディング・ブロック BB:PortDefinition: DHCP Ports すべての共通 DHCP ポートを含めるには、このビルディング・ブロックを編集します。
ビルディング・ブロック BB:PortDefinition: DNS Ports すべての共通 DNS ポートを含めるには、このビルディング・ブロックを編集します。
ビルディング・ブロック BB:PortDefinition: FTP Ports すべての共通 FTP ポートを含めるには、このビルディング・ブロックを編集します。
ビルディング・ブロック BB:PortDefinition: Game Server Ports すべての共通ゲーム・サーバー・ポートを含めるには、このビルディング・ブロックを編集します。
ビルディング・ブロック BB:PortDefinition: IM Ports すべての共通 IM ポートを含めるには、このビルディング・ブロックを編集します。
ビルディング・ブロック BB:PortDefinition: IRC Ports すべての共通 IRC ポートを含めるには、このビルディング・ブロックを編集します。
ビルディング・ブロック BB:PortDefinition: LDAP Ports LDAP サーバーが使用するすべての共通ポートを含めるには、このビルディング・ブロックを編集します。
ビルディング・ブロック BB:PortDefinition: Mail Ports メール・サーバーが使用するすべての共通ポートを含めるには、このビルディング・ブロックを編集します。
ビルディング・ブロック BB:PortDefinition: P2P Ports ピアツーピア (P2P) サーバーが使用するすべての共通ポートを含めるには、このビルディング・ブロックを編集します。
ビルディング・ブロック BB:PortDefinition: Proxy Ports プロキシー・サーバーが使用するすべての共通ポートを含めるには、このビルディング・ブロックを編集します。
ビルディング・ブロック BB:PortDefinition: RPC Ports RPC サーバーが使用するすべての共通ポートを含めるには、このビルディング・ブロックを編集します。
ビルディング・ブロック BB:PortDefinition: SNMP Ports SNMP 送信側または受信側が使用するすべての共通ポートを含めるには、このビルディング・ブロックを編集します。
ビルディング・ブロック BB:PortDefinition: SSH Ports SSH サーバーが使用するすべての共通ポートを含めるには、このビルディング・ブロックを編集します。
ビルディング・ブロック BB:PortDefinition: Web Ports Web サーバーが使用するすべての共通ポートを含めるには、このビルディング・ブロックを編集します。
ビルディング・ブロック BB:PortDefinition: Windows Ports Windows サーバーが使用するすべての共通ポートを含めるには、このビルディング・ブロックを編集します。
ビルディング・ブロック BB:ProtocolDefinition: Windows Protocols フォールス・ポジティブのチューニング・ルールにより無視される、Windows サーバーが使用するすべての共通プロトコル (TCP は除く) を含めるには、このビルディング・ブロックを編集します。
ビルディング・ブロック BB:ReconDetected: レコンを単一イベントに統合する装置 複数のホストまたはポートにわたるスキャン行為を 1 つのイベントに蓄積するすべてのデバイスを含めるには、このビルディング・ブロックを編集します。 このルールによって、これらのイベントは強制的にオフェンスになります。
ビルディング・ブロック BB:Suspicious: Local: Unidirectional UDP or Misc Flows ある 1 つの送信元からの過剰な数の単一方向 UDP および各種フローを検出します。
ビルディング・ブロック BB:Suspicious: Remote: Unidirectional UDP or Misc Flows ある 1 つの送信元からの過剰な数の単一方向 UDP および各種フローを検出します。
ビルディング・ブロック BB:Threats: Port Scans: Host Scans フローによってスキャン行為の可能性を識別します。
ビルディング・ブロック BB:Threats: Port Scans: UDP Port Scan UDP ベースのポート・スキャンを識別します。
ビルディング・ブロック BB:Threats: Scanning: Empty Responsive Flows High 送信元パケットのカウントが 100,000 を超える、スキャン行為である可能性のあるアクティビティーを検出します。
ビルディング・ブロック BB:Threats: Scanning: Empty Responsive Flows Low 送信元パケットのカウントが 500 を超える、スキャン行為である可能性のあるアクティビティーを検出します。
ビルディング・ブロック BB:Threats: Scanning: Empty Responsive Flows Medium 送信元パケットのカウントが 5,000 を超える、スキャン行為である可能性のあるアクティビティーを検出します。
ビルディング・ブロック BB:Threats: Scanning: ICMP Scan High 高レベルの ICMP スキャン行為を識別します。
ビルディング・ブロック BB:Threats: Scanning: ICMP Scan Low 低レベルの ICMP スキャン行為を識別します。
ビルディング・ブロック BB:Threats: Scanning: ICMP Scan Medium 中レベルの ICMP スキャン行為を識別します。
ビルディング・ブロック BB:Threats: Scanning: Potential Scan フローによってスキャン行為の可能性を識別します。
ビルディング・ブロック BB:Threats: Scanning: Scan High 高レベルの潜在的スキャン行為を識別します。
ビルディング・ブロック BB:Threats: Scanning: Scan Low 低レベルの潜在的スキャン行為を識別します。
ビルディング・ブロック BB:Threats: Scanning: Scan Medium 中レベルの潜在的スキャン行為を識別します。
ビルディング・ブロック BB:Threats: Suspicious IP Protocol Usage: Illegal TCP Flag Combination 正しくない TCP フラグの組み合わせが含まれているフローを識別します。
ビルディング・ブロック BB:Threats: Suspicious IP Protocol Usage: Large DNS Packets サイズが異常に大きい DNS パケットのフローを識別します。
ビルディング・ブロック BB:Threats: Suspicious IP Protocol Usage: Large ICMP Packets サイズが異常に大きい ICMP パケットのフローを識別します。
ビルディング・ブロック BB:Threats: Suspicious IP Protocol Usage: Long Duration Outbound Flow 48 時間を超える期間の間アクティブであるフローを識別します。
ビルディング・ブロック BB:Threats: Suspicious IP Protocol Usage: Suspicious ICMP Type Code 疑わしい ICMP タイプ・コードが使用されている ICMP フローを識別します。
ビルディング・ブロック BB:Threats: Suspicious IP Protocol Usage: TCP or UDP Port 0 ポート 0 を使用する疑わしいフローを識別します。
ビルディング・ブロック BB:Threats: Suspicious IP Protocol Usage: Unidirectional ICMP Flows 単一方向 ICMP フローを識別します。
ビルディング・ブロック BB:Threats: Suspicious IP Protocol Usage: Unidirectional ICMP Replys ICMP 応答が要求なしで検出されるトラフィックを識別します。
ビルディング・ブロック BB:Threats: Suspicious IP Protocol Usage: Zero Payload Bidirectional Flows ペイロードを含まない双方向トラフィックを識別します。
ビルディング・ブロック BB:Threats: Suspicious IP Protocol Usage:Unidirectional TCP Flows 単一方向 TCP フローを識別します。
ビルディング・ブロック BB:Threats: Suspicious IP Protocol Usage:Unidirectional UDP and Misc Flows 単一方向 UDP フローや他の各種フローを識別します。
ルール Local L2L Database Scanner ローカル・ホストからの、他のローカル・ターゲットに対するスキャンをレポートします。 10 分間に 30 個以上のホストがスキャンされました。
ルール Local L2L DHCP Scanner 10 分間に 60 個を超える数のホストに対して、共通 DHCP ポートでスキャン行為または疑わしい接続を試行した送信元 IP アドレスをレポートします。
ルール Local L2L DNS Scanner 10 分間に 60 個を超える数のホストに対して、共通 DNS ポートでスキャン行為または疑わしい接続を試行した送信元 IP アドレスをレポートします。
ルール Local L2L FTP Scanner 10 分間に 30 個を超える数のホストに対して、共通 FTP ポートでスキャン行為または疑わしい接続を試行した送信元 IP アドレスをレポートします。
ルール Local L2L Game Server Scanner 10 分間に 60 個を超える数のホストに対して、共通のゲーム・サーバー・ポートでスキャン行為または疑わしい接続を試行した送信元 IP アドレスをレポートします。
ルール Local L2L ICMP Scanner 10 分間に 60 個を超える数のホストに対して、共通 ICMP ポートでスキャン行為または疑わしい接続を試行した送信元 IP アドレスをレポートします。
ルール Local L2L IM Server Scanner 10 分間に 60 個を超える数のホストに対して、共通の IM サーバー・ポートでスキャン行為または疑わしい接続を試行した送信元 IP アドレスをレポートします。
ルール Local L2L IRC Server Scanner 10 分間に 10 個を超える数のホストに対して、共通 IRC サーバー・ポートでスキャン行為または疑わしい接続を試行した送信元 IP アドレスをレポートします。
ルール Local L2L LDAP Server Scanner 10 分間に 60 個を超える数のホストに対して、共通 LDAP ポートでスキャン行為または疑わしい接続を試行した送信元 IP アドレスをレポートします。
ルール Local L2L Mail Server Scanner 10 分間に 60 個を超える数のホストに対して、共通のメール・サーバー・ポートでスキャン行為または疑わしい接続を試行した送信元 IP アドレスをレポートします。
ルール Local L2L P2P Server Scanner 10 分間に 60 個を超える数のホストに対して、共通ピアツーピア (P2P) サーバー・ポートでスキャン行為または疑わしい接続を試行した送信元 IP アドレスをレポートします。
ルール Local L2L Proxy Server Scanner 10 分間に 60 個を超える数のホストに対して、共通のプロキシー・サーバー・ポートでスキャン行為または疑わしい接続を試行した送信元 IP アドレスをレポートします。
ルール Local L2L RPC Server Scanner 10 分間に 60 個を超える数のホストに対して、共通の RPC サーバー・ポートでスキャン行為または疑わしい接続を試行した送信元 IP アドレスをレポートします。
ルール Local L2L SNMP Scanner 10 分間に 60 個を超える数のホストに対して、共通の SNMP サーバー・ポートでスキャン行為または疑わしい接続を試行した送信元 IP アドレスをレポートします。
ルール Local L2L SSH Server Scanner 10 分間に 30 個を超える数のホストに対して、共通 SSH ポートでスキャン行為または疑わしい接続を試行した送信元 IP アドレスをレポートします。
ルール Local L2L Suspicious Probe Events Detected 同じローカルの送信元 IP アドレスから 4 分間に 5 つを超える宛先 IP アドレスに対して各種の疑わしいイベントまたはスキャン行為イベントが検出された場合に、それをレポートします。 これはさまざまな形態のホストのプロービングを示していることがあり、ターゲットのサービスとオペレーション・システムを特定しようとする Nmap スキャン行為はその一例です。
ルール Local L2L TCP Scanner 10 分間に 60 個を超える数のホストに対して、共通 TCP ポートでスキャン行為または疑わしい接続を試行した送信元 IP アドレスをレポートします。
ルール Local L2L UDP Scanner 10 分間に 60 個を超える数のホストに対して、共通 UDP ポートでスキャン行為または疑わしい接続を試行した送信元 IP アドレスをレポートします。
ルール Local L2L Web Server Scanner 10 分間に 60 個を超える数のホストに対して、共通のローカル Web サーバー・ポートでスキャン行為または疑わしい接続を試行した送信元 IP アドレスをレポートします。
ルール Local L2L Windows Server Scanner 20 分間に 200 個を超える数のホストに対して、共通の Windows サーバー・ポートでスキャン行為または疑わしい接続を試行した送信元 IP アドレスをレポートします。 これは、ビジー状態の Windows サーバーによく見られるフォールス・ポジティブである可能性があります。
ルール Local L2R Database Scanner ローカル・ホストからの、他のリモート・ターゲットに対するスキャンをレポートします。 10 分間に 30 個以上のホストがスキャンされました。
ルール ローカル L2R DHCP スキャナー 10 分間に 60 個を超える数のホストに対して、共通 DHCP ポートでスキャン行為または疑わしい接続を試行した送信元 IP アドレスをレポートします。
ルール ローカル L2R DNS スキャナー 10 分間に 60 個を超える数のホストに対して、共通 DNS ポートでスキャン行為または疑わしい接続を試行した送信元 IP アドレスをレポートします。
ルール Local L2R FTP Scanner 10 分間に 30 個を超える数のホストに対して、共通 FTP ポートでスキャン行為または疑わしい接続を試行した送信元 IP アドレスをレポートします。
ルール ローカル L2R Game Server Scanner 10 分間に 60 個を超える数のホストに対して、共通のゲーム・サーバー・ポートでスキャン行為または疑わしい接続を試行した送信元 IP アドレスをレポートします。
ルール ローカル L2R ICMP スキャナー 10 分間に 60 個を超える数のホストに対して、共通 ICMP ポートでスキャン行為または疑わしい接続を試行した送信元 IP アドレスをレポートします。
ルール ローカル L2R IM サーバー・スキャナー 10 分間に 60 個を超える数のホストに対して、共通の IM サーバー・ポートでスキャン行為または疑わしい接続を試行した送信元 IP アドレスをレポートします。
ルール Local L2R IRC Server Scanner 10 分間に 10 個を超える数のホストに対して、共通 IRC サーバー・ポートでスキャン行為または疑わしい接続を試行した送信元 IP アドレスをレポートします。
ルール Local L2R LDAP Server Scanner 10 分間に 60 個を超える数のホストに対して、共通 LDAP ポートでスキャン行為または疑わしい接続を試行した送信元 IP アドレスをレポートします。
ルール ローカル L2R メール・サーバー・スキャナー 10 分間に 60 個を超える数のホストに対して、共通のメール・サーバー・ポートでスキャン行為または疑わしい接続を試行した送信元 IP アドレスをレポートします。
ルール ローカル L2R P2P サーバー・スキャナー 10 分間に 60 個を超える数のホストに対して、共通ピアツーピア (P2P) サーバー・ポートでスキャン行為または疑わしい接続を試行した送信元 IP アドレスをレポートします。
ルール ローカル L2R Proxy Server スキャナー 10 分間に 60 個を超える数のホストに対して、共通のプロキシー・サーバー・ポートでスキャン行為または疑わしい接続を試行した送信元 IP アドレスをレポートします。
ルール Local L2R RPC Server Scanner 10 分間に 60 個を超える数のホストに対して、共通の RPC サーバー・ポートでスキャン行為または疑わしい接続を試行した送信元 IP アドレスをレポートします。
ルール ローカル L2R SNMP スキャナー 10 分間に 60 個を超える数のホストに対して、共通の SNMP サーバー・ポートでスキャン行為または疑わしい接続を試行した送信元 IP アドレスをレポートします。
ルール Local L2R SSH Server Scanner 10 分間に 30 個を超える数のホストに対して、共通 SSH ポートでスキャン行為または疑わしい接続を試行した送信元 IP アドレスをレポートします。
ルール ローカル L2R 疑わしいプローブ・イベントの検出 (Local L2R Suspicious Probe Events Detected) 同じローカルの送信元 IP アドレスから 4 分間に 5 つを超える宛先 IP アドレスに対して各種の疑わしいイベントまたはスキャン行為イベントが検出された場合に、それをレポートします。 これはさまざまな形態のホストのプロービングを示していることがあり、ターゲットのサービスとオペレーション・システムを特定しようとする Nmap スキャン行為はその一例です。
ルール ローカル L2R TCP スキャナー 10 分間に 60 個を超える数のホストに対して、共通 TCP ポートでスキャン行為または疑わしい接続を試行した送信元 IP アドレスをレポートします。
ルール ローカル L2R UDP スキャナー 10 分間に 60 個を超える数のホストに対して、共通 UDP ポートでスキャン行為または疑わしい接続を試行した送信元 IP アドレスをレポートします。
ルール ローカル L2R Web サーバー・スキャナー 10 分間に 400 個を超える数のホストに対して、共通のリモート Web サーバー・ポートでスキャン行為または疑わしい接続を試行した送信元 IP アドレスをレポートします。
ルール Local Windows Scanner to Internet 20 分間に 60 個を超える数のホストに対して、共通の Windows サーバー・ポートでスキャン行為または疑わしい接続を試行した送信元 IP アドレスをレポートします。 これは典型的なワームの振る舞いです。
ルール Remote Database Scanner ローカルまたはリモートの他のターゲットに対する、リモート・ホストからのスキャンをレポートします。 10 分間に 30 個以上のホストがスキャンされました。
ルール リモート DHCP スキャナー 10 分間に 30 個を超える数のホストに対して、共通 DHCP ポートでスキャン行為または疑わしい接続を試行したリモート・ホストをレポートします。
ルール リモート DNS スキャナー 10 分間に 60 個を超える数のホストに対して、共通 DNS ポートでスキャン行為または疑わしい接続を試行した送信元 IP アドレスをレポートします。
ルール Remote FTP Scanner 10 分間に 30 個を超える数のホストに対して、共通 FTP ポートでスキャン行為または疑わしい接続を試行したリモート・ホストをレポートします。
ルール リモート・ゲーム・サーバー・スキャナー 10 分間に 30 個を超える数のホストに対して、共通ゲーム・サーバー・ポートでスキャン行為または疑わしい接続を試行したリモート・ホストをレポートします。
ルール リモート ICMP スキャナー 10 分間に 60 個を超える数のホストに対して、共通 ICMP ポートでスキャン行為または疑わしい接続を試行したリモート・ホストをレポートします。
ルール リモート IM サーバー・スキャナー 10 分間に 60 個を超える数のホストに対して、共通の IM サーバー・ポートでスキャン行為または疑わしい接続を試行したリモート・ホストをレポートします。
ルール Remote IRC Server Scanner 10 分間に 10 個を超える数のホストに対して、共通の IRC サーバー・ポートでスキャン行為または疑わしい接続を試行したリモート・ホストをレポートします。
ルール Remote LDAP Server Scanner ローカルまたはリモートの他のターゲットに対する、リモート・ホストからのスキャンをレポートします。 10 分間に 30 個以上のホストがスキャンされました。
ルール リモート・メール・サーバー・スキャナー 10 分間に 30 個を超える数のホストに対して、共通メール・サーバー・ポートでスキャン行為または疑わしい接続を試行したリモート・ホストをレポートします。
ルール リモート P2P スキャナー 10 分間に 60 個を超える数のホストに対して、共通ピアツーピア (P2P) サーバー・ポートでスキャン行為または疑わしい接続を試行したリモート・ホストをレポートします。
ルール Remote Proxy Server Scanner 10 分間に 30 個を超える数のホストに対して、共通プロキシー・サーバー・ポートでスキャン行為または疑わしい接続を試行したリモート・ホストをレポートします。
ルール Remote RPC Server Scanner 10 分間に 30 個を超える数のホストに対して、共通 RPC サーバー・ポートでスキャン行為または疑わしい接続を試行したリモート・ホストをレポートします。
ルール リモート SNMP スキャナー ローカルまたはリモートのターゲットに対するリモート・ホストからのスキャンをレポートします。 10 分間に 30 個以上のホストがスキャンされました。
ルール Remote SSH Server Scanner 10 分間に 30 個を超える数のホストに対して、共通 SSH ポートでスキャン行為または疑わしい接続を試行したリモート・ホストをレポートします。
ルール リモート疑わしいプローブ・イベントの検出 (Remote Suspicious Probe Events Detected) 同じリモートの送信元 IP アドレスから 4 分間に 5 つを超える宛先 IP アドレスに対して行われた、各種の疑わしいイベントまたはスキャン行為イベントをレポートします。 これはさまざまな形態のホストのプロービングを示していることがあり、ターゲットのサービスとオペレーティング・システムを特定しようとする Nmap スキャン行為はその一例です。
ルール リモート TCP スキャナー 10 分間に 60 個を超える数のホストに対して、共通 TCP ポートでスキャン行為または疑わしい接続を試行したリモート・ホストをレポートします。
ルール リモート UDP スキャナー 10 分間に 60 個を超える数のホストに対して、共通 UDP ポートでスキャン行為または疑わしい接続を試行したリモート・ホストをレポートします。
ルール リモート Web サーバー・スキャナー 10 分間に 60 個を超える数のホストに対して、共通のローカル Web サーバー・ポートでスキャン行為または疑わしい接続を試行したリモート・ホストをレポートします。
ルール Remote Windows Server Scanner 10 分間に 60 個を超える数のホストに対して、共通の Windows サーバー・ポートでスキャン行為または疑わしい接続を試行したリモート・ホストをレポートします。
ルール 単一マージ・イベント・ローカル・スキャナー いくつかのデバイスによって生成された、マージされたスキャン行為イベントをレポートします。 このルールによって、これらのイベントすべてでオフェンスが作成されます。 このタイプのすべてのデバイスとそれらのカテゴリーを、「BB:ReconDetected: Devices which Merge Recon into Single Events」ビルディング・ブロックに追加する必要があります。
ルール 単一のマージされた差分検出イベントのリモート・スキャナー いくつかのデバイスによって生成された、マージされたスキャン行為イベントをレポートします。 このタイプのすべてのデバイスとそれらのカテゴリーを、「BB:ReconDetected: Devices which Merge Recon into Single Events」ビルディング・ブロックに追加する必要があります。

( 上に戻る )