DIVCOM – ターゲットホスト/ポートの異常

メソッドの説明

通信の多様性が大きいデバイスを検知するためのメソッド。このメソッドは、各IPアドレスの通信係数を一意の宛先アドレスと一意の宛先ポートの積として設定します。定義済みのトレランス上限(CommunicationFactorパラメータ)に達すると、対応するイベントが生成されます。ExcludeServersパラメータでは、検知から除外する必要があるサーバのIPアドレスを定義するフィルタの名前を指定します。サーバは、クライアントのステーションよりも多様な通信を行います。

このメソッドは、以下のサブメソッドで構成されます。

• VariousCommunication: 通信パターンや使用するサービスが多いデバイスをレポートします。

メソッド設定

このメソッドは、自組織のネットワーク内のIPアドレスに適用するか、一般公開されているサーバファームを監視する場合はすべてのIPアドレスに適用することをお勧めします。トラフィックの適切な監視場所は中央のスイッチとインターネット接続回線です。

メソッドパラメータ

• CommunicationFactor: 指定されたIPアドレスからの通信が行われる通信パートナーの数と宛先ポートの数の積の閾値(いわゆる通信係数)。

• ExcludeServers: 検知時に通信係数が計算されないIPアドレス(特にサーバ)を定義するフィルタの名前。

フィルタの割り当て

このフィルタは、送信元IPアドレスを制限するために使用されます。

結果の解釈

このメソッドは、ポートをスキャンしているデバイス、スパイウェアの攻撃を受けているデバイス、感染デバイス、または設定が誤っているデバイスを検知できます。また、このメソッドで生成されたイベントは、P2P通信を示唆している可能性があります。一般的な誤検知には、ZabbixなどのSNMPモニタリングを実装しているデバイスの検知があります。