› › ›

检测到潜在网络扫描

检测到潜在网络扫描编辑

此规则识别潜在网络扫描。网络扫描是攻击者用来扫描目标网络的方法，识别活动主机、开放端口和可用服务，以收集有关漏洞和弱点的信息。此侦察有助于他们规划后续攻击并利用潜在入口点进行未经授权的访问、数据盗窃或其他恶意活动。此规则提出阈值逻辑来检查从一个源主机到 10 个或更多目标主机在常用网络服务上的连接尝试。

规则类型：阈值

规则索引:

packetbeat-*
auditbeat-*
filebeat-*
logs-network_traffic.*
logs-endpoint.events.network-*

严重性：低

风险评分: 21

每隔运行：5 分钟

从以下时间开始搜索索引：now-9m（日期数学格式，另请参阅 附加回溯时间）

每次执行的最大警报数: 5

参考：无

标签:

域：网络
策略：发现
策略：侦察
用例：网络安全监控

版本: 6

规则作者:

Elastic

规则许可：Elastic 许可证 v2

规则查询编辑

destination.port : (21 or 22 or 23 or 25 or 139 or 445 or 3389 or 5985 or 5986) and
source.ip : (10.0.0.0/8 or 172.16.0.0/12 or 192.168.0.0/16)

框架：MITRE ATT&CK^TM

策略
- 名称：发现
- ID：TA0007
- 参考网址：https://attack.mitre.org/tactics/TA0007/
技术
- 名称：网络服务发现
- ID：T1046
- 参考网址：https://attack.mitre.org/techniques/T1046/
策略
- 名称：侦察
- ID：TA0043
- 参考网址：https://attack.mitre.org/tactics/TA0043/
技术
- 名称：主动扫描
- ID：T1595
- 参考网址：https://attack.mitre.org/techniques/T1595/
子技术
- 名称：扫描 IP 块
- ID：T1595.001
- 参考网址：https://attack.mitre.org/techniques/T1595/001/

« 潜在网络共享发现潜在非标准端口 HTTP/HTTPS 连接 »