检测到潜在网络扫描

此规则识别潜在端口扫描。端口扫描是攻击者用来系统扫描目标系统或网络的开放端口的方法，允许他们识别可用的服务和潜在漏洞。通过映射开放端口，攻击者可以收集关键信息来计划和执行定向攻击，获得未经授权的访问权限，损害安全性，并可能导致目标系统或网络的数据泄露、未经授权的控制或进一步利用。此规则提出阈值逻辑来检查来自一个源主机到 20 个或更多目标端口的连接尝试。

规则类型：阈值

规则索引:

严重性：低

风险评分: 21

每隔：5 分钟运行一次

从以下时间开始搜索索引：now-9m（日期数学格式，另请参见 其他回溯时间）

每次执行的最大警报数: 5

参考：无

标签:

版本: 5

规则作者:

规则许可证：Elastic 许可证 v2

destination.port : * and event.action : "network_flow" and source.ip : (10.0.0.0/8 or 172.16.0.0/12 or 192.168.0.0/16)