検出設定を構成するときは、以下の事前定義された感度レベルから選択します。[カスタム（Custom）] を除き、各レベルには、設定された時間間隔内にスキャンする必要があるポート（TCP/UDP）、プロトコル（IP）、またはホスト（TCP/UDP/IP/ICMP）の数に対する各プロトコルの値が事前に設定されています（秒単位）。また、すべてのタイプのスキャン/スイープが有効になります。

（注）	ポート/プロトコルをカウントするときに、現在のパケットのポート/プロトコルが前のパケットと異なる場合、脅威検出によって番号が増加します。たとえば、10 個のポート セットでランダムに接続を開くアプリケーションがある場合、スキャンされるポートの合計数が増えすぎて、インターバル内にポート番号を超えてしまう可能性があります。システムは一意のポートだけをカウントするわけではありません。

間隔内でこの数を超えると、スキャン攻撃を示している可能性があります。ポートスキャンイベントは、移動時間間隔枠で、ポート/プロトコル/ホストの数が超過した場合にのみ生成されます。

• [低（Low）]：このレベルでは、ポートスキャン検出に最短の時間枠を使用し、ポート/プロトコル/ホスト数を高くします。したがって、最もアグレッシブなスキャナのポートスキャンイベントのみが表示されます。誤検出を抑えるためには、この感度レベルを選択します。ただし、特定のタイプのポートスキャン（時間をかけたスキャン、フィルタ処理されたスキャン）が見逃される可能性があることに注意してください。

  • 間隔（TCP/UDP/IP/ICMP）：60 秒。

  • TCP/UDP ポートスキャンのポート数：120。

  • TCP/UDP ポートスイープのホスト数：180。

  • IP プロトコルスキャンのプロトコル数：30。

  • IP プロトコルスイープのホスト数：25。

  • ICMP ホスト スイープのホスト数：50。

• [中（Medium）]：このレベルでは、間隔とポート/プロトコル/ホスト数の両方に中程度の値が使用されます。ただし、ネットワークアドレス変換プログラムやプロキシなど、ホストが非常にアクティブな場合は、誤検出が発生する可能性があります。このようなホストはスキャナ無視リストに追加します。これはデフォルトの感度レベルであり、初期使用に適しています。

  • 間隔（TCP/UDP/IP/ICMP）：90 秒。

  • TCP/UDP ポートスキャンのポート数：90。

  • TCP/UDP ポートスイープのホスト数：150。

  • IP プロトコルスキャンのプロトコル数：15。

  • IP プロトコルスイープのホスト数：20。

  • ICMP ホストスイープのホスト数：30。

• [高（High）]：このレベルでは、ポートスキャン検出にはるかに長い時間枠を使用し、ポート/プロトコル/ホストの数を低くします。このレベルでは、最もアグレッシブでないポートスキャン/スイープのイベントも表示される可能性が高いため、すべての攻撃者を認識できる確率が高まります。一方、このレベルでは発行されるポートスキャンイベントの数が最も多くなり、誤検出の数が最大になる可能性があります。

  • 間隔（TCP/UDP/IP/ICMP）：600 秒（10 分）。

  • TCP/UDP ポートスキャンのポート数：60。

  • TCP/UDP ポートスイープのホスト数：100。

  • IP プロトコルスキャンのプロトコル数：10。

  • IP プロトコルスイープのホスト数：10。

  • ICMP ホストスイープのホスト数：20。

• [カスタム（Custom）]：事前定義された感度レベルとは異なる設定を行う場合、または特定のタイプのスキャン/スイープを無効にする場合、レベルは自動的にカスタムに切り替わります。オプションを調整する場合は、まず目的に最も近いレベルを選択し、必要に応じて値を編集します。

ポートスキャン アクティビティは、既存のポートスキャン固有の侵入イベントを通じて警告されます。ジェネレータ ID（GID）122 および SID 1 ～ 27 の Snort ID を持つ侵入イベントが生成されます。これらのイベントの場合、（port_scan）文字列がイベントメッセージの先頭に追加されます。イベントには、アラートをトリガーした統計情報を含むパケットデータとともにパケット情報が含まれます。

ポートスキャンイベントを表示するには、[分析（Analysis）] > [侵入（Intrusion）] > [イベント（Events）] に移動します。

ポートスキャンは、侵入ポリシーまたは NAP 設定に関係なく、これらのイベントを発行します。イベントは、関連するプロトコルに設定された時間間隔内に、スキャナがさまざまなタイプのスキャンまたはスイープに設定されたポート/プロトコル/ホストの数を超えた場合にのみ発行されます。1 つのホストからのポートスキャンは、しきい値に達するとすぐに、設定された間隔ごとに 1 つのイベントを生成します。同じホストが同じ間隔で新しいポートスキャンを開始した場合、イベントは報告されません。

次の表に、発生する可能性のあるイベントを示します。

ポートスキャンをモニタリングするには、デバイス CLI にログインして以下のコマンドを使用します。

• show threat-detection portscan [ attacker | target | shun]

  スキャナの IP アドレス、回避（ブロック）されたスキャナ、およびスキャンまたはスイープの対象となったホストを表示します。

• show threat-detection portscan statistics [ host [ ipv4_address | ipv6_address]] [ protocol { tcp | udp | ip | icmp} ]

  ポートスキャンシステムに関連する統計情報を表示します。ホスト、プロトコル、またはホストとプロトコルを指定して、出力をフィルタ処理して目的の情報を得ることができます。

• clear threat-detection portscan [ attacker | target | shun] [ ipv4_address mask | ipv6_address/prefix ]

  スキャナ（攻撃者）または特定されたターゲットのブロックを手動で解除します。すべての攻撃者、ターゲット、または回避されたホストをクリアするには、パラメータを指定せずにコマンドを入力します。

• clear threat-detection portscan statistics [ host [ ipv4_address | ipv6_address]] [ protocol { tcp | udp | ip | icmp} ]

  ポートスキャンに関連する統計情報を消去して、このデバイスを介したスキャンの現在の状態をより明確に確認できるようにします。すべての統計情報をクリアするには、パラメータを指定せずに コマンドを入力します。または、ホスト、プロトコル、またはホストとプロトコルを指定して、指定された項目のみをリセットします。

脅威検出を防御モードに設定し、攻撃者ではないことが判明しているホストをシステムがブロックする場合は、期間が終了してホストのブロックが自動的に解除される前に、ホストのブロックを手動で解除できます。

ホストのブロックを手動で解除するには、ホストがブロックされているデバイスの CLI にログインし、clear threat-detection portscan attack コマンドを入力します。次に例を示します。

> clear threat-detection portscan attacker 10.2.0.100 255.255.255.255 
1 tracker object deleted and 1 shun entry removed

防止設定の除外リストにホスト IP を追加することを検討してください。