检测到潜在网络扫描
编辑检测到潜在网络扫描
编辑此规则识别潜在的端口扫描。端口扫描是攻击者用来系统地扫描目标系统或网络以查找开放端口的一种方法,使他们能够识别可用的服务和潜在的漏洞。通过绘制开放端口的映射,攻击者可以收集关键信息来计划和执行目标攻击,获得未经授权的访问权限,破坏安全性,并可能导致数据泄露、未经授权的控制或进一步利用目标系统或网络。此规则提出阈值逻辑来检查来自一个源主机到 20 个或更多目标端口的连接尝试。
规则类型: 阈值
规则索引:
- logs-endpoint.events.network-*
- logs-network_traffic.*
- packetbeat-*
- filebeat-*
- auditbeat-*
- logs-panw.panos*
严重性: 低
风险评分: 21
每隔: 5 分钟
搜索索引时间: now-9m (日期数学格式,另请参见 其他回溯时间)
每次执行的最大告警数: 5
参考: 无
标签:
- 领域: 网络
- 战术: 发现
- 战术: 侦察
- 用例: 网络安全监控
- 数据源: Elastic Defend
- 数据源: PAN-OS
版本: 7
规则作者:
- Elastic
规则许可证: Elastic License v2
规则查询
编辑destination.port : * and event.action : "network_flow" and source.ip : (10.0.0.0/8 or 172.16.0.0/12 or 192.168.0.0/16)
框架: MITRE ATT&CKTM
-
战术
- 名称: 发现
- ID: TA0007
- 参考网址: https://attack.mitre.org/tactics/TA0007/
-
技术
- 名称: 网络服务发现
- ID: T1046
- 参考网址: https://attack.mitre.org/techniques/T1046/
-
战术
- 名称: 侦察
- ID: TA0043
- 参考网址: https://attack.mitre.org/tactics/TA0043/
-
技术
- 名称: 主动扫描
- ID: T1595
- 参考网址: https://attack.mitre.org/techniques/T1595/
-
子技术
- 名称: 扫描 IP 块
- ID: T1595.001
- 参考网址: https://attack.mitre.org/techniques/T1595/001/