检测到基于 SYN 的潜在网络扫描

此规则识别基于 SYN 的潜在端口扫描。SYN 端口扫描是攻击者用来扫描目标网络的开放端口的技术，方法是向多个端口发送 SYN 数据包并观察响应。攻击者使用此方法来识别可能容易受到攻击的潜在入口点或服务，从而使他们能够发起有针对性的攻击或未经授权访问系统或网络，从而损害其安全并可能导致数据泄露或进一步的恶意活动。此规则提出阈值逻辑来检查从一个源主机到 10 个或更多目标端口的连接尝试，每个端口使用 2 个或更少的包。

规则类型：阈值

规则索引:

严重性：低

风险评分: 21

每隔：5 分钟运行

从以下时间开始搜索索引：now-9m（日期数学格式，另请参见 附加回溯时间）

每次执行的最大警报数: 5

参考：无

标签:

版本: 5

规则作者:

规则许可证：Elastic 许可证 v2

destination.port : * and network.packets <= 2 and source.ip : (10.0.0.0/8 or 172.16.0.0/12 or 192.168.0.0/16)