Firma de fuerza bruta y condiciones relacionados con gatillo
Resolution
Este documento enumera la condición de disparo para cada firma de fuerza bruta.
Detalles
| Activar # | Nombre de la aplicación | Nombre | Descripción |
|---|---|---|---|
| 40001 | ET3 | Intento de inicio de sesión fuerza bruta | Si una sesión tiene el mismo origen y destino pero desencadena nuestra firma niño, 40000, 10 veces en 60 segundos, lo llamamos un ataque de fuerza bruta. La firma de niño, 40000, está buscando un "530" mensaje de respuesta ftp después de usuario comando "PASS". |
| 40003 | DNS | Intento de récord de Cache spoofing | Si una sesión tiene el mismo origen y destino pero desencadena nuestra firma niño, 40002, 100 veces en 60 segundos, lo llamamos un bruta fuerza de ataque. La firma infantil, 40002, busca jefe de respuesta de dns, si todos count(Question/Answer/Authority/Additional) es 1. |
| 40004 | SMB | Usuario contraseña fuerza bruta intento | Si una sesión tiene el mismo origen y destino pero desencadena nuestra firma niño, 31696, 30 veces en 60 segundos, lo llamamos un bruta fuerza de ataque. La firma de niño, 31696, busca PYMES SetupX con respuesta error código 0x50001 y código de error 0xc000006d para cualquier comando smb. |
| 40005 | LDAP | Intento de usuario inicio de sesión de fuerza bruta | Si una sesión tiene el mismo origen y destino pero desencadena nuestra firma niño, 31706, 20 veces en 60 segundos, lo llamamos un bruta fuerza de ataque. La firma de niño, 31706, busca bindResponse(27) LDAP, si resultCode es 49. |
| 40006 | HTTP | Intento de fuerza bruta de autenticación de usuario | Si una sesión tiene el mismo origen y destino pero desencadena nuestra firma niño, 31708, 100 veces en 60 segundos, lo llamamos un bruta fuerza de ataque. La firma de niño, 31708, está en busca de código de respuesta http 401 con "WWW-Authenticate:" en el encabezado de respuesta. |
| 40007 | CORREO | Intento de usuario inicio de sesión de fuerza bruta | Si una sesión tiene el mismo origen y destino pero desencadena nuestra firma niño, 31709, 10 veces en 60 segundos, lo llamamos un bruta fuerza de ataque. La firma de niño, 31709, trabaja en 3 aplicaciones, smtp, pop3 e imap. La condición de disparo se encuentra en el código de respuesta 535 en smtp, imap patrón "error en Inicio de sesión/login No malos" y "-ERR" en comando pop3 PASS. |
| 40008 | MI SQL | Intento de autenticación fuerza bruta | Si una sesión tiene el mismo origen y destino pero desencadena nuestra firma niño, 31719, 25 veces en 60 segundos, lo llamamos un bruta fuerza de ataque. La firma de niño, 31719, está en busca de código de error 1045 en mysql AutorizaciónCliente etapa. |
| 40009 | TELNET | Intento de autenticación fuerza bruta | Si una sesión tiene el mismo origen y destino pero desencadena nuestra firma niño, 31732, 10 veces en 60 segundos, lo llamamos un bruta fuerza de ataque. La firma de niño, 31732, busca patrón "login incorrecto" en el paquete de respuesta. |
| 40010 | Microsoft SQL Server | Intento de fuerza bruta de autenticación de usuario | Si una sesión tiene el mismo origen y el destino mismo pero desencadena nuestra firma niño, 31753, 20 veces en 60 segundos, lo llamamos un bruta fuerza de ataque. La firma de niño, 31753, busca "Error de usuario inicio de sesión" del paquete de respuesta. |
| 40011 | Base de datos Postgres | Intento de fuerza bruta de autenticación de usuario | Si una sesión tiene el mismo origen y el destino mismo pero desencadena nuestra firma niño, 31754, 10 veces en 60 segundos, lo llamamos un bruta fuerza de ataque. La firma de niño, 31754, está buscando "autenticación de contraseña de usuario" del paquete de respuesta. |
| 40012 | Base de datos de Oracle | Intento de fuerza bruta de autenticación de usuario | Si una sesión tiene el mismo origen y el destino mismo pero desencadena nuestra firma niño de 31761, 7 veces en 60 segundos, lo llamamos un bruta fuerza de ataque. La firma infantil de 31761, está buscando "autenticación de contraseña de usuario" del paquete de respuesta. |
| 40013 | Base de datos de Sybase | Intento de fuerza bruta de autenticación de usuario | Si una sesión tiene el mismo origen y el destino mismo pero desencadena nuestra firma niño, 31763, 10 veces en 60 segundos, lo llamamos un bruta fuerza de ataque. La firma de niño, 31763, está buscando "Inicio de sesión error" del paquete de respuesta. |
| 40014 | Base de datos DB2 | Intento de fuerza bruta de autenticación de usuario | Si una sesión tiene el mismo origen y el destino mismo pero desencadena nuestra firma niño, 31764, 20 veces en 60 segundos, lo llamamos un bruta fuerza de ataque. La firma de niño, 31764, busca 0x1219 "punto de código" con severidad Código 8 y código de verificación de seguridad 0xf. |
| 40015 | SSH | Intento de fuerza bruta de autenticación de usuario | Si una sesión tiene el mismo origen y destino pero desencadena nuestra firma niño, 31914, 20 veces en 60 segundos, lo llamamos un bruta fuerza de ataque. La firma de niño, 31914 está alerta sobre cada conexión en ssh servidor. |
| 40016 | SIP INVITE | Método solicitud tentativa de inundación | Si una sesión tiene el mismo origen y destino pero desencadena nuestra firma niño, 31993, 20 veces en 60 segundos, lo llamamos un bruta fuerza de ataque. La firma de niño, 31993 busca método de "Invitar" en sesión de la SIP. |
| 40017 | VPN | PAN Box SSL autenticación VPN de fuerza bruta intento | Si una sesión tiene el mismo origen y destino pero desencadena nuestra firma niño, 32256, 10 veces en 60 segundos, lo llamamos un bruta fuerza de ataque. La firma de niño, 32256, está en busca de "x-privado-pan-sslvpn: auth error" del encabezado de respuesta http. |
| 40018 | HTTP | Apache de negación de servicio intento | Si una sesión tiene el mismo origen y destino pero desencadena nuestra firma niño, 32452, 40 veces en 60 segundos, lo llamamos un bruta fuerza de ataque. La firma de niño, 32452 está en busca de solicitud HTTP, que tiene longitud de contenido pero sin "\r\n\r\n" en la solicitud. |
| 40019 | HTTP | Negación de IIS servicio intento | Si una sesión tiene el mismo origen y destino pero desencadena nuestra firma niño, 32513, 10 veces en 20 segundos, lo llamamos un bruta fuerza de ataque. La firma de niño, 32513, busca "% 3f" en ruta de uri http con "aspx" |
| 40020 | Digium Asterisk IAX2 | Número de la llamada tentativa de agotamiento | Si una sesión tiene el mismo origen y destino pero desencadena nuestra firma niño, 32785, 10 veces en 30 segundos, lo llamamos un bruta fuerza de ataque. La firma de niño, 32785, está buscando campo de número de llamada de mensaje asterisco. |
| 40021 | MS-RDP | Escritorio remoto de MS Connect intento | Si una sesión tiene el mismo origen y el destino mismo pero desencadena nuestra firma niño, 33020, 8 veces en 100 segundos, lo llamamos un bruta fuerza de ataque. La firma de niño, 33020, está buscando acción de conectar en la solicitud de ms rdp. |
| 40022 | HTTP | Microsoft ASP.Net información fuga fuerza bruta intento | Si una sesión tiene el mismo origen y el destino mismo pero desencadena nuestra firma niño, 33435, 30 veces en 60 segundos, lo llamamos un bruta fuerza de ataque. La firma de niño, 33435, buscando rsponse código 500 y encabezado de respuesta contienen "\nX-Powered-By: ASP\. net" |
| 40023 | SIP | Intento de solicitud de registro SIP | Si una sesión tiene el mismo origen y el destino mismo pero desencadena nuestra firma niño, 33592, 60 veces en 60 segundos, lo llamamos un bruta fuerza de ataque. La firma de niño, 33592, busca método SIP "Registro". |
| 40028 | SIP | Ataque de fuerza bruta de mensaje SIP Bye | Si una sesión tiene el mismo origen y el destino mismo pero desencadena nuestra firma niño, 34520, 20 veces en 60 segundos, lo llamamos un bruta fuerza de ataque. La firma de niño, 34520, busca método SIP BYE. |
| 40030 | HTTP | Ataque de fuerza bruta HTTP NTLM autenticación | Si una sesión tiene el mismo origen y el destino mismo pero desencadena nuestra firma niño, 34548, 20 veces en 60 segundos, lo llamamos un bruta fuerza de ataque. La firma de niño, 34548, está en busca de la respuesta HTTP 407 y NTLM proxy authorizationi condición. |
| 40031 | HTTP | Ataque de fuerza bruta HTTP no autorizado | Si una sesión tiene el mismo origen y el destino mismo pero desencadena nuestra firma niño, 34556, 100 veces en 60 segundos, lo llamamos un bruta fuerza de ataque. La firma de niño, 34556, está en busca de respuesta HTTP 401. |
| 40032 | HTTP | Ataque de fuerza bruta herramienta HOIC | Si una sesión tiene el mismo origen y el destino mismo pero desencadena nuestra firma niño, 34767, 100 veces en 60 segundos, lo llamamos un bruta fuerza de ataque. La firma de niño, 34767, está en busca de solicitud HTTP de herramienta HOIC. |
| 40033 | DNS | CUALQUIER ataque de DOS consultas de fuerza bruta | Si una sesión tiene el mismo origen y el destino mismo pero desencadena nuestra firma niño, 34842, 60 veces en 60 segundos, lo llamamos un bruta fuerza de ataque. La firma infantil, 34842, busca a petición de DNS. |
| 40034 | SMB | Microsoft Windows SMB NTLM autenticación falta de vulnerabilidad de la entropía | Si una sesión tiene el mismo origen y el destino mismo pero desencadena nuestra firma niño, 35364, 60 veces en 60 segundos, lo llamamos un bruta fuerza de ataque. La firma de niño, 35364, está buscando en una solicitud SMB negociar (0x72). Varias solicitudes en poco tiempo podrían ser un ataque para CVE-2010-0231. |
| 40036 | MYSQL | MySQL COM_CHANGE_USER intento de fuerza bruta | Este evento indica que alguien está haciendo un ataque de fuerza bruta e intenta autenticarse como otro usuario a través del comando COM_CHANGE_USER al servidor MySQL. |
| 40037 | SCADA | SCADA password crack ataque de fuerza bruta | Si una sesión tiene la misma fuente y el mismo destino pero desencadena nuestra firma de hijo, 31670, 10 veces en 60 segundos, lo llamamos es un ataque de fuerza bruta. La firma Child, 31670, está buscando solicitudes de conexión de ICCP COTP de clientes no autorizados. |
| 40040 | DNS | Respuesta de la DGA NXDOMAIN encontrada | Si una sesión tiene la misma fuente y el mismo destino y desencadena nuestra firma secundaria, 36518, 38 veces en 60 segundos, lo consideramos un ataque de fuerza bruta. |
| 40044 | HTTP | Intento de inicio de sesión de WordPress fuerza bruta | Este evento indica que alguien está usando un ataque de fuerza bruta para acceder a WordPress wp-login.php. La bruta forzar firma busca (por defecto) 10 o más disparadores de la firma infantil TID: 37480 en 60 segundos. La firma del niño está en busca de intentos de acceso al wp-login.php. |
| 40059 | HTTP | Ataque de fuerza bruta de solicitud HTTP | Esta alerta indica una redirección temporal HTTP 302. Redirección de múltiples respuestas de autenticación indica un posible ataque de fuerza bruta en el servidor de destino. Si una sesión tiene la misma fuente y el mismo destino, pero desencadena nuestra firma secundaria, 39290, 100 veces en 30 segundos, lo llamamos es un ataque de fuerza bruta. |
| 40078 | SMB | Vulnerabilidad de denegación de servicio de Windows SMB SMBLoris | Si una sesión tiene la misma fuente y el mismo destino y desencadena nuestra firma secundaria, 37713, 100 veces en 10 segundos, lo llamamos es un ataque de fuerza bruta. La firma Child está comprobando la solicitud de SMB hecha a mano. |
En el caso de que el identificador de amenazas que busca no esté en esta lista, siempre puede ver el valor dentro del perfil de protección de vulnerabilidades haciendo clic dentro del webgui en objetos > perfiles de seguridad > protección de vulnerabilidades. En su interior, necesita hacer clic en un nombre de perfil. En este ejemplo, haremos clic en default.
Pantalla de protección de vulnerabilidades
Una vez dentro, haga clic en la pestaña excepciones, luego seleccione "Mostrar todas las firmas" en la esquina inferior izquierda de la ventana. Luego buscar en la identificación de amenaza que le gustaría ver detalles.
Una vez que vea el identificador de la amenaza que buscas, luego haz clic en el pequeño lápiz (edit) a la izquierda del nombre de la amenaza.
Nota: si la amenaza no aparece, por favor asegúrese de que ha actualizado sus actualizaciones dinámicas dentro del dispositivo > actualizaciones dinámicas .
Perfil de vulnerabilidad - pantalla de excepciones
Una vez que esta pantalla es para arriba, verá los atributos y el peroid de tiempo que se activarán con esta vulnerabilidad.
Pantalla detalle de amenaza que muestra los detalles de disparo.
VÉASE TAMBIÉN
Para obtener más información sobre cualquiera de estas amenazas/vulnerabilidades, visite por favor nuestra bóveda de amenaza:
https://threatvault.paloaltonetworks.com/
Propietario: akawimandan