11 攻撃検知

11-1 攻撃検知とは

一定間隔でサーバー内のファイルへのアクセスを集計・解析し、急激なアクセスの増加など攻撃的な挙動を検知した場合に予め設定されている通知先へ通知します。この「攻撃検知機能」を活用することで、ランサムウェアなどによるファイルサーバーの暗号化攻撃を早期に検知し、攻撃を実施した感染PCを特定することが可能となります。また攻撃検知後の自動ブロックを有効にすることで検知時点で攻撃元からのアクセスをブロックし、被害を最小限に抑えることができます。

【検知ジョブの実行間隔と通知条件】

  1. 攻撃検知を有効にすると、5分間隔で検知ジョブが実行されます。
  2. 検知ジョブは実行時点から遡った30分間の操作ログを、ユーザー/端末ごとに集計します。
  3. 集計したログから異常な操作(攻撃)を検知すると、指定された通知先へ通知を行います。

※連続で~回検知したら通知する、という設定も可能です。

【検知条件について】

集計されたログにおいて、①~③の条件をすべて満たす操作がある場合、そのユーザー/端末から何らかの攻撃を受けているものとしてカウントを行います。

① 30分間に50,000回以上の「読み込み」操作を行った。

② 30分間に1,000回以上の「書き込み」操作を行った。

③ 30分間に1,000回以上の「削除」操作を行った。

なお本機能はファイル作成、コピー、移動、名称変更など、大量に操作を行った際にも攻撃として検知する場合があります。
またファイルサーバーのファイル数が設定値より少ない場合は、攻撃を受けても検知できません。

【各種パラメーターについて】

設定変更については「7 高度な設定」を参照してください。

【攻撃のブロックについて】

Windowsファイアウォールを利用することで攻撃元からのアクセスをブロックすることができます。

Windowsファイアウォール規則に設定されるブロックの条件は「IPアドレス」です。そのため、ブロックされた端末においても「IPアドレス」が別になれば、別の端末としてアクセスが可能となります。IPv4/IPv6を共用していたり、DHCPを利用されている環境など、端末の「IPアドレス」が変動するような状況ではご注意ください。

なお、自動でブロックが解除されることはありません。ブロックを解除する場合は、必ず端末からのアクセスが正常かご確認のうえ、手動で解除してください。

自動ブロックを無効、または特定端末からの攻撃を除外したい場合は、「7 高度な設定」を参照してください。

attacked-detection-02.psd