Cisco ASAでのスキャンの脅威を正確に構成するものは何ですか？

TL; DR-Cisco ASAでthreat-detectionを使用する場合、誰がスキャンの脅威となるかを正確に説明できますか？

VPNを介してネットワークに接続し、ホストされているアプリケーションにアクセスするクライアントがいます。最近、構成されたファイアウォールポリシーに違反し、通常と何も変わらないと誓っています。

ASAは、一連のレートのいずれかを超えるネットワークアドレスを一時的にブロック（排除）するように設定されています。

threat-detection rate scanning-threat rate-interval 600 average-rate 5 burst-rate 10
threat-detection rate scanning-threat rate-interval 3600 average-rate 4 burst-rate 8
threat-detection scanning-threat shun except object-group SCAN_WHITELIST 
threat-detection scanning-threat shun duration 900

ビジネス上の要求により、今のところそれらをホワイトリストに登録する必要がありましたが、彼らが間違っているように見えることをもっとよく説明できない限り、これはおそらく続くでしょう。私たちが提供するサービスから自分自身をブロックすることは彼らの利益にならないので、クライアントは悪いアクターではないと思います。私は彼らを捕まえるつもりはありませんし、何か下手なことで彼らを非難するつもりもありません。

もう1つの方法は、レートを再評価することです（単にデフォルトを使用しています）が、これには、自分が許可していることを理解する必要もあります。

これまでに見つけたすべてのドキュメントは、ASAがスキャン脅威を検出したときのに関してscanning-threatについて説明しています... 'ですが、説明するものは何も見つかりませんスキャンの脅威を構成するもの、つまりスキャンの脅威カウンターが増加する原因となるイベント]

私は推測それが増加するターゲットTCPポートとの一連の接続である可能性があり、そうであるかもしれないが、それは良いとは思われない-問題が発生した正確な時間を知らされている信仰のエンドユーザー。

推測 source TCPポートが増加する一連の接続である可能性があるが、確かに多くのPATベースのトラフィックマネージャーはこれに違反します（適切な送信元ポートのランダム化がない場合）？

これはフィルタリングされていないVPNトラフィック（およびsysopt connection permit-vpnが適用される）であるため、このトラフィックは特定のアクセスリストのファウルにはなりません。そうでない場合、ログにドロップされたトラフィックが明示的に表示される可能性があります。

クライアント自身が、VPNを通過する前にトラフィックを単一のアドレスの背後でNAT変換するため、すべてのトラフィックは同じ送信元アドレスから送信されているように見えるため、排除されると、ホストされているアプリケーションへのアクセスはすべて失われます分の。後続の回避されたパケット /がログに記録され、アプリケーションにとって正常であるように見えます-pingおよびtcp/443。