# ネットワークおよびポートスキャンの条件（クラシック）

Nexthink ソリューションは、次の条件が満たされると、接続のセットをネットワークまたはポートスキャンとして識別します。

* 単一のプロセスがすべての接続を開始します。
* 各接続の間が90秒以下です。
* 接続のセットには少なくとも50の接続が含まれています。
* 接続のセットには失敗した接続しか含まれていません。

最後の条件を含める理由は、スキャン操作が通常、接続試行の大半を完了しないためです。 スキャンはすべてのポートまたは宛先をテストするため、システムはほとんどの接続を拒否します。 この最後の条件を表現する方法は、接続のトランスポートプロトコルによります。 TCP の場合、接続のステータスは直接、接続が失敗したかどうかを示します。 しかし、UDP の場合、接続の明確な状況はありません。 したがって、Nexthink は、多くの小さな UDP パケットが短期間に送信されると UDP スキャンを疑います。

**TCP**\
セット内のすべての接続が失敗しています。

**UDP**\
送信される各パケットのサイズは10KB未満です。\
全スキャンの総時間は15分未満です。

要約すると、以下は見つかるすべての種類のネットワークおよびポートスキャンリストです。

**TCP ネットワークスキャン**\
プロセスが少なくとも50の宛先の同じポートに対して一連の失敗した TCP 接続を開始します。

**UDP ネットワークスキャン**\
プロセスが15分以内に少なくとも50の宛先の同じポートに小さな UDP データグラムを一連に送信します。

**TCP ポートスキャン**\
プロセスが同じ宛先の少なくとも50のポートに対して一連の失敗した TCP 接続を開始します。

**UDPポートスキャン**\n同一の宛先に対して15分以内に、少なくとも50のポートに対して小さなUDPデータグラムをバースト送信するプロセス。<br>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.nexthink.com/platform/ja/references/references-classic/database-information-and-organization-classic/network-and-port-scan-conditions-classic.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.