IPSEC NAT 穿越端口活动
编辑IPSEC NAT 穿越端口活动
编辑此规则检测可能描述 IPSEC NAT 穿越流量的事件。IPSEC 是一种 VPN 技术,允许一个系统使用加密隧道与另一个系统通信。NAT 穿越使这些隧道能够在互联网上进行通信,其中一方位于 NAT 路由器网关后面。这在您的网络上可能很常见,但威胁行为者也使用这种技术来避免检测。
规则类型: 查询
规则索引:
- packetbeat-*
- auditbeat-*
- filebeat-*
- logs-network_traffic.*
- logs-panw.*
严重性: 低
风险评分: 21
运行频率: 5 分钟
搜索索引起始时间: now-9m (日期数学格式,另请参阅 额外回溯时间)
每次执行的最大警报数: 100
参考: 无
标签:
- 战术: 命令和控制
- 域: 端点
- 用例: 威胁检测
- 数据源: PAN-OS
版本: 105
规则作者:
- Elastic
规则许可: Elastic License v2
规则查询
编辑(event.dataset: network_traffic.flow or (event.category: (network or network_traffic))) and network.transport:udp and destination.port:4500
框架: MITRE ATT&CKTM
-
战术
- 名称: 命令和控制
- ID: TA0011
- 参考 URL: https://attack.mitre.org/tactics/TA0011/