誤検出の削減
イベントを生成するサービス
一部のサービスのタイプは、イベントと誤認識される大量トラフィックとして分類されます。イベントを生成する可能性があるサービスおよびプロトコルの例は以下のとおりです。
-
ネットワークのスキャンを定期的に行いすべて正しく実行しているか確認するソフトウェア。SmartEventでスキャンイベントからこの発信元を除外する設定にすることで、誤検知の元を排除できます。
-
Webサーバでの高接続レート。SmartEventを設定して、ビジー状態のWebサーバーで1分ごとに高い接続レートを許可するか、スキャンイベントからこのソースを除外します。
サービス別の共通イベント
このテーブルの情報には、高いアクティビティが頻繁に使用されるサーバタイプのリストが表示されます。イベントポリシーを変更するには、イベントのしきい値を変更してサーバとサービスの除外を追加します。誤検知を軽減することができます。
サービス別の共通イベント:
|
サーバタイプ |
カテゴリ |
イベント名 |
発信元 |
宛先 |
サービス |
理由 |
|---|---|---|---|---|---|---|
|
SNMP |
スキャン |
内部ネットワークからのIPスイープ |
任意 |
任意 |
SNMP-read |
他のホストにクエリするホスト |
|
DNSサーバ |
スキャン |
内部ネットワークからのIPスイープ |
DNSサーバ |
- |
DNS |
Inter-DNSサーバアップデート |
|
|
サービス妨害 (DoS) |
サービスにおける内部ホストの高接続レート |
任意 |
DNSサーバ |
DNS |
DNSリクエストとInter-DNSサーバアップデート |
|
|
アノマリ |
内部ネットワークからの高接続レート |
任意 |
任意 |
DNS |
DNSリクエストとInter-DNSサーバアップデート |
|
|
アノマリ |
サービスにおける内部ネットワークからの高接続レート |
任意 |
任意 |
DNS |
DNSリクエストとInter-DNSサーバアップデート |
|
|
アノマリ |
サービスでの異常なアクティビティ |
任意 |
任意 |
DNS |
DNSリクエストとInter-DNSサーバアップデート |
|
NISサーバ |
スキャン |
内部ネットワークからのポートスキャン |
NISサーバ |
任意 |
- |
複数のNISクエリ |
|
|
サービス妨害 (DoS) |
サービスにおける内部ホストの高接続レート |
任意 |
NISサーバ |
NIS |
NISクエリ |
|
|
アノマリ |
内部ネットワークからの高接続レート |
任意 |
任意 |
NIS |
NISクエリ |
|
|
アノマリ |
サービスにおける内部ネットワークからの高接続レート |
任意 |
任意 |
NIS |
NISクエリ |
|
|
アノマリ |
サービスでの異常なアクティビティ |
任意 |
任意 |
NIS |
NISクエリ |
|
LDAPサーバ |
サービス妨害 (DoS) |
サービスにおける内部ホストの高接続レート |
任意 |
LDAPサーバ |
LDAP |
LDAPリクエスト |
|
|
アノマリ |
内部ネットワークからの高接続レート |
任意 |
LDAPサーバ |
LDAP |
LDAPリクエスト |
|
|
アノマリ |
サービスにおける内部ネットワークからの高接続レート |
任意 |
LDAPサーバ |
LDAP |
LDAPリクエスト |
|
|
アノマリ |
サービスでの異常なアクティビティ |
任意 |
LDAPサーバ |
LDAP |
LDAPリクエスト |
|
HTTPプロキシサーバ - ホストからプロキシサーバ |
サービス妨害 (DoS) |
サービスにおける内部ホストの高接続レート |
任意 |
プロキシサーバ |
HTTP:8080 |
プロキシサーバへのホスト接続 |
|
|
アノマリ |
内部ネットワークからの高接続レート |
任意 |
プロキシサーバ |
HTTP:8080 |
プロキシサーバへのホスト接続 |
|
|
アノマリ |
サービスにおける内部ホストからの高接続レート |
任意 |
プロキシサーバ |
HTTP:8080 |
プロキシサーバへのホスト接続 |
|
|
アノマリ |
サービスでの異常なアクティビティ |
任意 |
プロキシサーバ |
HTTP:8080 |
プロキシサーバへのホスト接続 |
|
HTTPプロキシサーバ - Webへの通信 |
スキャン |
内部ネットワークからのIPスイープ |
プロキシサーバ |
任意 |
HTTP/ HTTPS |
複数サイトへのプロキシサーバ接続 |
|
|
サービス妨害 (DoS) |
サービスにおける内部ホストの高接続レート |
プロキシサーバ |
任意 |
HTTP/ HTTPS |
複数サイトへのプロキシサーバ接続 |
|
|
アノマリ |
内部ネットワークからの高接続レート |
プロキシサーバ |
任意 |
HTTP/ HTTPS |
複数サイトへのプロキシサーバ接続 |
|
|
|
サービスにおける内部ホストからの高接続レート |
プロキシサーバ |
任意 |
HTTP/ HTTPS |
複数サイトへのプロキシサーバ接続 |
|
|
アノマリ |
サービスでの異常なアクティビティ |
プロキシサーバ |
任意 |
HTTP/ HTTPS |
複数サイトへのプロキシサーバ接続 |
|
UFPサーバ |
サービス妨害 (DoS) |
サービスにおける内部ホストの高接続レート |
任意 |
UFPサーバ |
ベンダー別の任意/UFP |
UFPサーバへのファイアウォール接続 |
|
|
アノマリ |
内部ネットワークからの高接続レート |
任意 |
UFPサーバ |
ベンダー別の任意/UFP |
UFPサーバへのファイアウォール接続 |
|
|
アノマリ |
サービスにおける内部ホストからの高接続レート |
任意 |
UFPサーバ |
ベンダー別の任意/UFP |
UFPサーバへのファイアウォール接続 |
|
|
アノマリ |
サービスでの異常なアクティビティ |
任意 |
UFPサーバ |
ベンダー別の任意/UFP |
UFPサーバへのファイアウォール接続 |
|
CVPサーバリクエスト |
サービス妨害 (DoS) |
サービスにおける内部ホストの高接続レート |
任意 |
CVPサーバ |
ベンダー別の任意/CVP |
CVPサーバへのファイアウォール接続 |
|
|
アノマリ |
内部ネットワークからの高接続レート |
任意 |
CVPサーバ |
ベンダー別の任意/CVP |
CVPサーバへのファイアウォール接続 |
|
|
アノマリ |
サービスにおける内部ホストからの高接続レート |
任意 |
CVPサーバ |
ベンダー別の任意/CVP |
CVPサーバへのファイアウォール接続 |
|
|
アノマリ |
サービスでの異常なアクティビティ |
任意 |
CVPサーバ |
ベンダー別の任意/CVP |
CVPサーバへのファイアウォール接続 |
|
CVPサーバ応答 |
スキャン |
内部ネットワークからのポートスキャン |
CVPサーバ |
任意 |
- |
同じGWへの複数CVP応答 |
|
|
スキャン |
内部ネットワークからのIPスイープ |
CVPサーバ |
- |
CVP |
複数GWへのCVP応答 |
|
|
サービス妨害 (DoS) |
サービスにおける内部ホストの高接続レート |
CVPサーバ |
任意 |
ベンダー別の任意/CVP |
CVP応答 |
|
|
アノマリ |
内部ネットワークからの高接続レート |
CVPサーバ |
任意 |
ベンダー別の任意/CVP |
CVP応答 |
|
|
アノマリ |
サービスにおける内部ホストからの高接続レート |
CVPサーバ |
任意 |
ベンダー別の任意/CVP |
CVP応答 |
|
|
アノマリ |
サービスでの異常なアクティビティ |
CVPサーバ |
任意 |
ベンダー別の任意/CVP |
CVP応答 |
|
UAサーバリクエスト |
サービス妨害 (DoS) |
サービスにおける内部ホストの高接続レート |
任意 |
UAサーバ |
uas-port (TCP:19191 TCP:19194) |
UAサーバへの接続 |
|
|
アノマリ |
内部ネットワークからの高接続レート |
任意 |
UAサーバ |
(TCP:19191 TCP:19194) |
UAサーバへの接続 |
|
|
アノマリ |
サービスにおける内部ホストからの高接続レート |
任意 |
UAサーバ |
uas-port (TCP:19191 TCP:19194) |
UAサーバへの接続 |
|
|
アノマリ |
サービスでの異常なアクティビティ |
任意 |
UAサーバ |
uas-port (TCP:19191 TCP:19194) |
UAサーバへの接続 |
|
UAサーバ応答 |
スキャン |
内部ネットワークからのポートスキャン |
UAサーバ |
任意 |
- |
同じコンピュータへの複数のUA応答 |
|
|
スキャン |
内部ネットワークからのIPスイープ |
UAサーバ |
任意 |
uas-port (TCP:19191 TCP:19194) |
複数コンピュータへの複数のUA応答 |
|
|
サービス妨害 (DoS) |
サービスにおける内部ホストの高接続レート |
UAサーバ |
任意 |
uas-port (TCP:19191 TCP:19194) |
UA応答 |
|
|
アノマリ |
内部ネットワークからの高接続レート |
UAサーバ |
任意 |
uas-port (TCP:19191 TCP:19194) |
UA応答 |
|
|
アノマリ |
サービスにおける内部ホストからの高接続レート |
UAサーバ |
任意 |
uas-port (TCP:19191 TCP:19194) |
UA応答 |
|
|
アノマリ |
サービスでの異常なアクティビティ |
UAサーバ |
任意 |
uas-port (TCP:19191TCP:19194) |
UA応答 |
|
SMTPサーバ |
スキャン |
内部ネットワークからのIPスイープ |
SMTPサーバ |
- |
SMTP |
複数SMTPサーバへのSMTPサーバ接続 |
|
|
サービス妨害 (DoS) |
サービスにおける内部ホストの高接続レート |
SMTPサーバ |
任意 |
SMTP |
複数SMTPサーバへのSMTPサーバ接続 |
|
|
アノマリ |
内部ネットワークからの高接続レート |
SMTPサーバ |
任意 |
SMTP |
複数SMTPサーバへのSMTPサーバ接続 |
|
|
アノマリ |
サービスにおける内部ホストからの高接続レート |
SMTPサーバ |
任意 |
SMTP |
複数SMTPサーバへのSMTPサーバ接続 |
|
|
アノマリ |
サービスでの異常なアクティビティ |
SMTPサーバ |
任意 |
SMTP |
複数SMTPサーバへのSMTPサーバ接続 |
|
アンチウイルスの定義サーバ |
スキャン |
内部ネットワークからのIPスイープ |
AV_Defsサーバ |
- |
ベンダー別の任意/AV |
アンチウイルス定義アップデートの導入 |
|
|
サービス妨害 (DoS) |
サービスにおける内部ホストの高接続レート |
AV_Defsサーバ |
- |
ベンダー別の任意/AV |
アンチウイルス定義アップデートの導入 |
|
|
アノマリ |
内部ネットワークからの高接続レート |
AV_Defsサーバ |
- |
ベンダー別の任意/AV |
アンチウイルス定義アップデートの導入 |
|
|
アノマリ |
サービスにおける内部ホストからの高接続レート |
AV_Defsサーバ |
- |
ベンダー別の任意/AV |
アンチウイルス定義アップデートの導入 |
|
|
アノマリ |
サービスでの異常なアクティビティ |
AV_Defsサーバ |
- |
ベンダー別の任意/AV |
アンチウイルス定義アップデートの導入 |
