【調査】
①アラートの調査
・シグネチャ:IP.Protocol.Scan
・説明:Nmap等のIPプロトコルスキャンが行われた。
・プロトコル:TCP、ICMP
・検知回数:256
・関連する脆弱性:なし
②通信内容の調査
・送信元:●●
・宛先:●●
・通信の方向:拠点A⇒拠点B
・通信の経路:送信元⇒L3SW⇒FW⇒閉域網⇒FW⇒L3SW⇒宛先
③脆弱性の調査
関連する脆弱性がないため不要。
④関連するイベントの調査
・同様のイベントが発生しているか:No。
・該当の送信元、宛先でログ
【分析】
①検知の信頼度
・検知回数からもネットワークに対するスキャンが行われていることは明確。
②攻撃シナリオが成立するか?
・本通信自体はスキャンであり、攻撃ではないものの、送信元が内部であることを考慮すると、今後の横展開前の探索である可能性がある。
③攻撃が成功した際の影響
・スキャンが行われた資産に対し、横展開が行われる可能性がある。
④内部に侵入しているか
・送信元の端末が侵害されている恐れあり
【判定】
・