检测到潜在的基于 SYN 的网络扫描

此规则识别潜在的基于 SYN 的端口扫描。SYN 端口扫描是攻击者用来扫描目标网络开放端口的一种技术，通过向多个端口发送 SYN 数据包并观察响应来实现。攻击者使用此方法识别潜在的入口点或可能容易受到利用的服务，从而发起针对性攻击或未经授权访问系统或网络，损害其安全并可能导致数据泄露或进一步的恶意活动。此规则提出阈值逻辑，以检查一个源主机对 10 个或更多目标端口的连接尝试，每个端口使用 2 个或更少的数据包。

规则类型: 阈值

规则索引:

logs-endpoint.events.network-*
logs-network_traffic.*
packetbeat-*
auditbeat-*
filebeat-*
logs-panw.panos*

严重性: 低

风险评分: 21

每隔: 5 分钟

搜索索引时间范围: now-9m (日期数学格式，另请参见 额外回溯时间)

每次执行的最大告警数: 5

参考: 无

标签:

领域: 网络
战术: 发现
战术: 侦察
用例: 网络安全监控
数据源: Elastic Defend
数据源: PAN-OS

版本: 7

规则作者:

Elastic

规则许可证: Elastic License v2

规则查询

编辑

destination.port : * and network.packets <= 2 and source.ip : (10.0.0.0/8 or 172.16.0.0/12 or 192.168.0.0/16)

框架: MITRE ATT&CK^TM

战术
- 名称: 发现
- ID: TA0007
- 参考网址: https://attack.mitre.org/tactics/TA0007/
技术
- 名称: 网络服务发现
- ID: T1046
- 参考网址: https://attack.mitre.org/techniques/T1046/
战术
- 名称: 侦察
- ID: TA0043
- 参考网址: https://attack.mitre.org/tactics/TA0043/
技术
- 名称: 主动扫描
- ID: T1595
- 参考网址: https://attack.mitre.org/techniques/T1595/
子技术
- 名称: 扫描 IP 块
- ID: T1595.001
- 参考网址: https://attack.mitre.org/techniques/T1595/001/

« 检测到潜在的 SSH-IT SSH 蠕虫下载通过 SDelete 实用程序删除潜在的安全文件 »