ポートスキャン検出が明白な理由なくトリガーされネットワークが混乱している。侵入防止のアクティブレスポンスを解除すると、この問題は一時的に解決される。

ポートスキャン検出は、短い時間内に特定のポートで一連のパケットがブロックされたときにトリガーされます。詳細については ポートスキャンが検知されるトリガー を参照してください。

ネットワーク内の一部のアプリケーションは、ポートスキャン検出のトリガーとなるトラフィックパターンを生成する場合があります。一般に、これらのアプリケーションには、検出、監視、またはセキュリティテスト用に設計されたソフトウェアが含まれます。

ポートスキャン攻撃のトラブルシューティングを行うには、以下のログを確認してください。

• SEP クライアントの [ログの表示] - [クライアント管理] の [ログの表示] - [セキュリティログ]
• SEPM コンソールの [監視] - [ログ] - [ネットワークとホストのエクスプロイト緩和機能] - [攻撃]

ポートスキャン検出の最初のログエントリをハイライト表示します。詳細を確認し、検知に関連するリモート IP とローカルポート (UDPかTCPかを含む) を記録します。関係するポートと IP の十分なサンプルが得られるまで、複数のポートスキャン検出ログエントリについて繰り返します。

リモート IP を識別します。マシンが不明な場合は、その場所を特定し、セキュリティリスクがないかどうかを評価する必要があります。リモート IP が安全であると判断された場合、以下の手順でポートスキャン検出を軽減します。

• 管理外 SEP クライアントでは [状態] - [ネットワークとホストのエクスプロイト緩和機能] - [オプション] - [ファイアウォールルールの設定] を選択します。
  1. [追加] をクリックし、新しいファイアウォールルールを作成します。
  2. 処理を [このトラフィックを許可する] に設定します。
  3. [ホスト] タブで [IPv4 アドレス] に設定し、上記のリモート IP (複数可) を入力します。
  4. プロトコルを TCP または UDP に変更して、ログに記録されたものと一致させ、ローカルポートのリストをカンマとスペースで区切って入力します。
  5. ルールを保存します。
     
     
• SEPM コンソールの [ポリシー] - [ファイアウォール] - [ファイアウォールポリシー] (影響があるクライアントが使用しているもの) - [ポリシーの編集] - [ルール] を選択します。
  1. 新しいファイアウォールルールを作成するために [空白ルールの追加] をクリックします。
  2. 名前 (ルール 0) をダブルクリックし、ポートスキャンの修正 のような名前に変更します。
  3. [ホスト] 列をダブルクリックして [ローカル/リモート] に設定し、リモート IP を入力して [OK] をクリックします。
  4. [サービス] 列をダブルクリックして、特定されたポートに一致するサービスにチェックを付けるか、カスタムポートリストを追加して、ログから記録されたものに一致するようにプロトコルを TCP または UDP に設定し、ローカルポートをカンマ (スペースなし) で区切ってから [OK] をクリックしてルールに戻ります。
     注: カスタムリストにはサービス名がありませんが、作成時にチェックされます。
  5. [OK] をクリックしてポリシーの変更を保存します。
• 注: ローカル IP やリモートポートには何も入力しないでください。ルールが壊れる可能性があります。

管理クライアントの場合、ローカルでポリシーを更新し、マネージャでそのグループの新しいポリシーシリアル番号と一致することを確認します。管理外クライアントでは、すぐに新しいルールが適用されます。

[英語文書] What triggers a port scan detection in Symantec Endpoint Protection (SEP)?