偵察コンテンツ パック

概要

攻撃者は、標的型攻撃を実行する前に、ネットワークや特定のシステムに対する脆弱性の情報を収集しています。スキャンを実行するだけの場合もあれば、積極的に偵察活動を行うこともあります。標的型攻撃を未然に防ぐには、様々な偵察活動を特定し、監視する必要があります。偵察コンテンツ パックを利用すると、ネットワークで確認された既知の偵察イベントの詳細を確認できます。また、論理ワークフローを使用して、ランサムウェアのシグネチャや動作を確認し、社内の IT 部門が実行していないネットワーク スキャンを特定することができます。

コンテンツ パックのコンポーネント

アラーム
  • 偵察 - ネットワーク スイープ アクティビティ
レポート
  • 偵察 - 偵察分析レポート
  • 偵察 - ネットワーク スキャン分析レポート
  • 偵察 - プロトコル分析レポート
ビュー
  • 偵察 - 宛先からソースへの偵察イベント
  • 偵察 - 宛先からソースへのネットワーク スキャン分析
  • 偵察 - 宛先からソースへのプロトコル分析
  • 偵察 - ソースから宛先への偵察イベント
  • 偵察 - ソースから宛先へのネットワーク スキャン分析
  • 偵察 - ソースから宛先へのプロトコル分析
ウォッチリスト

会社のネットワークに接続しているすべてのデバイスの IP アドレス。このアドレスに内部ネットワークで脆弱性スキャンを実行します。

  • 偵察 - ネットワーク スキャン デバイス
相関分析ルール
  • 偵察 - ローカル ホストからのアプリケーション クエリー イベント
  • 偵察 - リモート ホストからのアプリケーション クエリー イベント
  • 偵察 - ローカル ホストからの DNS 偵察イベント
  • 偵察 - リモート ホストからの DNS 偵察イベント
  • 偵察 - ローカル ホストからのデータベース偵察イベント
  • 偵察 - リモート ホストからのデータベース偵察イベント
  • 偵察 - 内部ホストからの TCP または UDP パケット アクティビティで検出された異常
  • 偵察 - ローカル ホストからの FTP 偵察イベント
  • 偵察 - リモート ホストからの FTP 偵察イベント
  • 偵察 - FTP 水平スキャン: イベントまたはフロー
  • 偵察 - HTTP 水平スキャン: イベントまたはフロー
  • 偵察 - HTTPS 水平スキャン: イベントまたはフロー
  • 偵察 - NETBIOS 水平スキャン: ポート 137 および 138
  • 偵察 - NetBIOS 水平スキャン: ポート 139: イベントおよびフロー
  • 偵察 - RDP 水平スキャン: イベントまたはフロー
  • 偵察 - RPC 水平スキャン: イベントまたはフロー
  • 偵察 - SMB 水平スキャン: イベントまたはフロー
  • 偵察 - SMTP 水平スキャン: イベントまたはフロー
  • 偵察 - SNMP 水平スキャン: イベントまたはフロー
  • 偵察 - SSH 水平スキャン: イベントまたはフロー
  • 偵察 - Telnet 水平スキャン: イベントまたはフロー
  • 偵察 - ローカル ホストからのホスト ポート スキャン イベント
  • 偵察 - リモート ホストからのホスト ポート スキャン イベント
  • 偵察 - ローカル ホストからのホスト クエリー イベント
  • 偵察 - リモート ホストからのホスト クエリー イベント
  • 偵察 - ローカル ホストからの ICMP 偵察イベント
  • 偵察 - リモート ホストからの ICMP 偵察イベント
  • 偵察 - ローカル ホストからの IP 偵察イベント
  • 偵察 - リモート ホストからの IP 偵察イベント
  • 偵察 - ローカル ホストからのメール偵察イベント
  • 偵察 - リモート ホストからのメール偵察イベント
  • 偵察 - ローカル ホストからの他の偵察イベント
  • 偵察 - リモート ホストからの他の偵察イベント
  • 偵察 - ローカル ホストからの複数の TCP 偵察イベント
  • 偵察 - ローカル ホストから複数のホストへのネットワーク スイープ アクティビティ
  • 偵察 - ローカル ホストから複数のポートへのネットワーク スイープ アクティビティ
  • 偵察 - リモート ホストから複数のローカル ホストへのネットワーク スイープ アクティビティ
  • 偵察 - リモート ホストから複数のローカル ポートへのネットワーク スイープ アクティビティ
  • 偵察 - ローカル ホストからのネットワーク スイープ アクティビティ
  • 偵察 - リモート ホストからのネットワーク スイープ アクティビティ
  • 偵察 - ローカル ホストからの他のプロトコルの偵察イベント
  • 偵察 - リモート ホストからの他のプロトコルの偵察イベント
  • 偵察 - ローカル ホストからの RPC 要求イベント
  • 偵察 - リモート ホストからの RPC 要求イベント
  • 偵察 - ローカル ホストから複数の外部ホストへの偵察イベント
  • 偵察 - リモート ホストからの偵察イベント
  • 偵察 - ローカル ホストからの SNMP 偵察イベント
  • 偵察 - リモート ホストからの SNMP 偵察イベント
  • 偵察 - ローカル ホストからの SSH 偵察イベント
  • 偵察 - リモート ホストからの SSH 偵察イベント
  • 偵察 - リモート ホストからの TCP 偵察イベント
  • 偵察 - ローカル ホストからの Telnet 偵察イベント
  • 偵察 - リモート ホストからの Telnet 偵察イベント
  • 偵察 - ローカル ホストからの UDP 偵察イベント
  • 偵察 - リモート ホストからの UDP 偵察イベント
  • 偵察 - ローカル ホストからの Web 偵察イベント
  • 偵察 - リモート ホストからの Web 偵察イベント
  • 偵察 - 検出されたステルス スキャン アクティビティ

必要な製品

  • McAfee Enterprise Security Manager (ESM) 10.0.x、9.6.x、9.5.x
  • McAfee Advanced Correlation Engine (ACE) 10.0.x、9.6.x、9.5.x

コンテンツ パックのダウンロード

ServicePortal にご登録の方は、ナレッジセンターにログインすると、詳しいドキュメントを入手できます。また、コンテンツ パック ファイルをダウンロードできます。

記事を読む

検索

他のコンテンツ パックやパートナー統合を検索できます。

すべて表示

無料トライアル

McAfee Enterprise Security Manager をお試しください。

無料トライアルの登録