IPSEC NAT 穿越端口活动
编辑IPSEC NAT 穿越端口活动
编辑此规则检测可能描述 IPSEC NAT 穿越流量的事件。IPSEC 是一种 VPN 技术,允许一个系统使用加密隧道与另一个系统通信。NAT 穿越使这些隧道能够通过互联网进行通信,其中一方位于 NAT 路由器网关之后。这在您的网络中可能是常见的,但此技术也被威胁参与者用来逃避检测。
规则类型: 查询
规则索引:
- packetbeat-*
- auditbeat-*
- filebeat-*
- logs-network_traffic.*
- logs-panw.*
严重性: 低
风险评分: 21
每隔: 5 分钟
搜索索引自: now-9m (日期数学格式,另见 额外回溯时间)
每次执行的最大告警数: 100
参考文献: 无
标签:
- 策略:命令与控制
- 领域:端点
- 用例:威胁检测
- 数据源:PAN-OS
版本: 105
规则作者:
- Elastic
规则许可证: Elastic License v2
规则查询
编辑(event.dataset: network_traffic.flow or (event.category: (network or network_traffic))) and network.transport:udp and destination.port:4500
框架: MITRE ATT&CKTM
-
策略
- 名称:命令与控制
- ID:TA0011
- 参考网址:https://attack.mitre.org/tactics/TA0011/