检测到潜在网络扫描
编辑检测到潜在网络扫描
编辑此规则识别潜在的网络扫描。网络扫描是攻击者用来扫描目标网络的一种方法,识别活动主机、开放端口和可用服务,以收集有关漏洞和弱点的的信息。此侦察有助于他们计划后续攻击并利用潜在的入口点进行未经授权的访问、数据盗窃或其他恶意活动。此规则提出阈值逻辑来检查来自一个源主机到 10 个或更多目标主机在常用网络服务上的连接尝试。
规则类型: 阈值
规则索引:
- packetbeat-*
- auditbeat-*
- filebeat-*
- logs-network_traffic.*
- logs-endpoint.events.network-*
- logs-panw.panos*
严重性: 低
风险评分: 21
每隔: 5 分钟
搜索索引自: now-9m (日期数学格式,另请参见 额外回溯时间)
每次执行的最大告警数: 5
参考: 无
标签:
- 域:网络
- 策略:发现
- 策略:侦察
- 用例:网络安全监控
- 数据源:Elastic Defend
- 数据源:PAN-OS
版本: 8
规则作者:
- Elastic
规则许可证: Elastic License v2
规则查询
编辑destination.port : (21 or 22 or 23 or 25 or 139 or 445 or 3389 or 5985 or 5986) and source.ip : (10.0.0.0/8 or 172.16.0.0/12 or 192.168.0.0/16)
框架: MITRE ATT&CKTM
-
策略
- 名称:发现
- ID:TA0007
- 参考网址:https://attack.mitre.org/tactics/TA0007/
-
技术
- 名称:网络服务发现
- ID:T1046
- 参考网址:https://attack.mitre.org/techniques/T1046/
-
策略
- 名称:侦察
- ID:TA0043
- 参考网址:https://attack.mitre.org/tactics/TA0043/
-
技术
- 名称:主动扫描
- ID:T1595
- 参考网址:https://attack.mitre.org/techniques/T1595/
-
子技术
- 名称:扫描 IP 块
- ID:T1595.001
- 参考网址:https://attack.mitre.org/techniques/T1595/001/