检测到潜在的基于 SYN 的网络扫描

编辑

此规则识别潜在的基于 SYN 的端口扫描。SYN 端口扫描是攻击者使用的一种技术,通过向多个端口发送 SYN 数据包并观察响应来扫描目标网络上的开放端口。攻击者使用此方法来识别潜在的入口点或可能容易受到攻击的漏洞,从而使他们能够发起有针对性的攻击或获得对系统或网络的未授权访问,从而损害其安全性,并可能导致数据泄露或其他恶意活动。此规则建议使用阈值逻辑来检查来自一个源主机到 10 个或更多目标端口的连接尝试,每个端口使用 2 个或更少的数据包。

规则类型: 阈值

规则索引:

  • logs-endpoint.events.network-*
  • logs-network_traffic.*
  • packetbeat-*
  • auditbeat-*
  • filebeat-*
  • logs-panw.panos*

严重性: 低

风险评分: 21

运行频率: 5 分钟

搜索索引时间范围: now-9m (日期数学格式,另请参阅 额外回溯时间)

每次执行的最大告警数: 5

参考: 无

标签:

  • 域: 网络
  • 战术: 发现
  • 战术: 侦察
  • 用例: 网络安全监控
  • 数据源: Elastic Defend
  • 数据源: PAN-OS

版本: 7

规则作者:

  • Elastic

规则许可: Elastic License v2

规则查询

编辑
destination.port : * and network.packets <= 2 and source.ip : (10.0.0.0/8 or 172.16.0.0/12 or 192.168.0.0/16)

框架: MITRE ATT&CKTM