11-1 攻撃検知とは

【検知ジョブの実行間隔と通知条件】

1. ・ 攻撃検知を有効にすると、５分間隔で検知ジョブが実行されます。
2. ・ 検知ジョブは実行時点から遡った30分間の操作ログを、ユーザー／端末ごとに集計します。
3. ・ 集計したログから異常な操作（攻撃）を検知すると、指定された通知先へ通知を行います。

※連続で～回検知したら通知する、という設定も可能です。

【検知条件について】

集計されたログにおいて、①～③の条件をすべて満たす操作がある場合、そのユーザー／端末から何らかの攻撃を受けているものとしてカウントを行います。

① 30分間に50,000回以上の「読み込み」操作を行った。

② 30分間に1,000回以上の「書き込み」操作を行った。

③ 30分間に1,000回以上の「削除」操作を行った。

なお本機能はファイル作成、コピー、移動、名称変更など、大量に操作を行った際にも攻撃として検知する場合があります。
またファイルサーバーのファイル数が設定値より少ない場合は、攻撃を受けても検知できません。

【各種パラメーターについて】

設定変更については「7 高度な設定」を参照してください。

【攻撃のブロックについて】

Windowsファイアウォールを利用することで攻撃元からのアクセスをブロックすることができます。

Windowsファイアウォール規則に設定されるブロックの条件は「IPアドレス」です。そのため、ブロックされた端末においても「IPアドレス」が別になれば、別の端末としてアクセスが可能となります。IPv4／IPv6を共用していたり、DHCPを利用されている環境など、端末の「IPアドレス」が変動するような状況ではご注意ください。

なお、自動でブロックが解除されることはありません。ブロックを解除する場合は、必ず端末からのアクセスが正常かご確認のうえ、手動で解除してください。

自動ブロックを無効、または特定端末からの攻撃を除外したい場合は、「7 高度な設定」を参照してください。