ブルートフォース署名と関連トリガー条件 - Knowledge Base - Palo Alto Networks

ブルートフォース署名と関連トリガー条件

475664

Created On 09/26/18 13:44 PM - Last Modified 03/20/25 14:10 PM

Resolution

このドキュメントでは、各シグネチャはブルートフォースのトリガー条件を示します。

詳細

# をトリガーします。	アプリケーション名	名	説明
40001	FTP	ブルートフォースログイン	セッションでは 60 秒で 10 回 40000、私たち子供の署名をトリガーが、同じソースと宛先場合、我々はそれのブルートフォース攻撃を呼び出します。子署名、40000 が「530」を探しているユーザーが「合格」のコマンドを送信した後の ftp 応答メッセージ。
40003	DNS	なりすましのキャッシュレコードの試み	我々はそれを呼び出す場合、セッションが同じソースと宛先が 60 秒間に 100 回の子の署名、40002 をトリガー、ブルートフォース攻撃です。子署名、40002, は、すべて count(Question/Answer/Authority/Additional) が 1 の場合、dns 応答ヘッダーを探しています。
40004	SMB	ユーザーパスワード総当りしようと	我々はそれを呼び出す場合、セッションが同じソースと宛先が 60 秒間に 30 回もの子供の署名、31696 をトリガー、ブルートフォース攻撃です。子署名、31696、応答エラーコード 0x50001 とすべての smb コマンドのエラーコード 0xc000006d smb セットアップ x を探しています。
40005	LDAP	ユーザーログインのブルートフォース	我々はそれを呼び出す場合、セッションが同じソースと宛先が 60 秒で 20 回 31706、私たち子供の署名をトリガー、ブルートフォース攻撃です。 31706, 子署名は、resultCode が 49 場合 LDAP bindResponse(27) を探しています。
40006	HTTP	ユーザー認証が試行されるブルートフォース	我々がそれを呼び出す場合、セッションが同じソースと宛先が 60 秒間に 100 回 31708、私たち子供の署名をトリガー、ブルートフォース攻撃です。子署名、31708、http レスポンスコード 401 を探して「WWW 認証:"応答ヘッダーで。
40007	メール	ユーザーログインのブルートフォース	我々はそれを呼び出す場合、セッションが同じソースと宛先が 60 秒で 10 回 31709、私たち子供の署名をトリガー、ブルートフォース攻撃です。子署名、31709、3 のアプリ、smtp、pop3 および imap の機能します。トリガー条件は、smtp、imap で「No/悪いログオン/ログインに失敗しました」パターンに応答コード 535「と」-ERR"pop3 PASS コマンドで。
40008	私の SQL	認証総当りしようと	我々はそれを呼び出す場合、セッションでは 60 秒に 25 回 31719、私たち子供の署名をトリガーが、同じソースと宛先、ブルートフォース攻撃です。子署名、31719 は、mysql clientauth 認証段階のエラーコード 1045 を探しています。
40009	TELNET	認証総当りしようと	我々はそれを呼び出す場合、セッションが同じソースと宛先が 60 秒で 10 回 31732、私たち子供の署名をトリガー、ブルートフォース攻撃です。子署名、31732 は、応答パケットの「ログインが正しくありません」のパターンを探しています。
40010	Microsoft SQL Server	ユーザー認証が試行されるブルートフォース	我々はそれを呼び出す場合、セッションが同じソースと同じターゲットが 60 秒で 20 回 31753、私たち子供の署名をトリガー、ブルートフォース攻撃です。子署名、31753 は応答パケットから「ログインユーザーに失敗しました」を探しています。
40011	Postgres データベース	ユーザー認証が試行されるブルートフォース	我々はそれを呼び出す場合、セッションが同じソースと同じターゲットが 60 秒で 10 回 31754、私たち子供の署名をトリガー、ブルートフォース攻撃です。子署名、31754 は応答パケットから「パスワード認証ユーザーに失敗しました」を探しています。
40012	Oracle データベース	ユーザー認証が試行されるブルートフォース	我々はそれを呼び出す場合、セッションが同じソースと同じターゲットが 60 秒で 7 回 31761、私たち子供の署名をトリガー、ブルートフォース攻撃です。子署名、31761 は応答パケットから「パスワード認証ユーザーに失敗しました」を探しています。
40013	Sybase データベース	ユーザー認証が試行されるブルートフォース	我々はそれを呼び出す場合、セッションが同じソースと同じターゲットが 60 秒で 10 回 31763、私たち子供の署名をトリガー、ブルートフォース攻撃です。子署名、31763 は応答パケットから「ログインに失敗しました」を探しています。
40014	DB2 データベース	ユーザー認証が試行されるブルートフォース	我々はそれを呼び出す場合、セッションが同じソースと同じターゲットが 60 秒で 20 回 31764、私たち子供の署名をトリガー、ブルートフォース攻撃です。子署名、31764 は、重大度コード 8 とセキュリティチェックコード 0 xf 0x1219「コードポイント」を探しています。
40015	SSH	ユーザー認証が試行されるブルートフォース	我々はそれを呼び出す場合、セッションが同じソースと宛先が 60 秒で 20 回 31914、私たち子供の署名をトリガー、ブルートフォース攻撃です。子署名 31914 にアラートが接続ごとに ssh サーバー。
40016	SIP 招待	メソッド要求洪水試み	我々はそれを呼び出す場合、セッションが同じソースと宛先が 60 秒で 20 回 31993、私たち子供の署名をトリガー、ブルートフォース攻撃です。子署名 31993 は、SIP セッションに「招待」方法を探しています。
40017	VPN	パンボックス SSL VPN認証ブルートフォース試行	我々はそれを呼び出す場合、セッションが同じソースと宛先が 60 秒で 10 回 32256、私たち子供の署名をトリガー、ブルートフォース攻撃です。子署名、32256 を探して"x-プライベート-パン-sslvpn: 認証に失敗しました"http 応答ヘッダーから。
40018	HTTP	Apache サービスの試みの拒否	我々はそれを呼び出す場合、セッションが同じソースと宛先が 60 秒で 40 回 32452、私たち子供の署名をトリガー、ブルートフォース攻撃です。子署名 32452 はコンテンツの長さには、HTTP 要求が要求で"\r\n\r\n"を探しています。
40019	HTTP	IIS サービスの試みの拒否	我々はそれを呼び出す場合、セッションでは 20 秒間で 10 回の子の署名、32513 をトリガーが、同じソースと宛先、ブルートフォース攻撃です。 Http uri パスを".aspx"に"%3階"を探して 32513、子署名
40020	Digium アスタリスク IAX2	電話番号枯渇しようと	我々がそれを呼び出す場合、セッションが同じソースと宛先がの子の署名、10 倍で 30 秒、32785 をトリガーブルートフォース攻撃です。子署名、32785、アスタリスクメッセージ内の電話番号フィールドを探しています。
40021	MS RDP	MS のリモートデスクトップ接続の試み	我々はそれを呼び出す場合、セッションが同じソースと同じターゲットが 100 秒間に 8 回の子の署名、33020 をトリガー、ブルートフォース攻撃です。子署名、33020、ms rdp 要求の接続のアクションを探しています。
40022	HTTP	Microsoft ASP.Net 情報リーク総当りしようと	我々はそれを呼び出す場合、セッションが同じソースと同じターゲットが 60 秒間に 30 回もの子供の署名、33435 をトリガー、ブルートフォース攻撃です。子署名、33435、探しています自律コード 500 および応答ヘッダーが含まれて"\nX-Powered-By: ASP\ .NET」
40023	SIP	SIP 登録要求しようと	我々はそれを呼び出す場合、セッションが同じソースと同じターゲットが 60 秒で 60 回 33592、私たち子供の署名をトリガー、ブルートフォース攻撃です。子署名、33592 は、「登録」SIP メソッドを探しています。
40028	SIP	SIP Bye メッセージブルートフォース攻撃	我々はそれを呼び出す場合、セッションでは 34520、私たち子供の署名を 20 回 60 秒でトリガーしますが、同じソースと同じターゲット、ブルートフォース攻撃です。子署名、34520 は、SIP BYE メソッドを探しています。
40030	HTTP	HTTP NTLM 認証ブルートフォース攻撃	我々はそれを呼び出す場合、セッションが同じソースと同じターゲットが 60 秒で 20 回 34548、私たち子供の署名をトリガー、ブルートフォース攻撃です。子署名、34548 は、HTTP 応答 407 と NTLM プロキシ authorizationi 条件を探しています。
40031	HTTP	不正な HTTP ブルートフォース攻撃	我々はそれを呼び出す場合、セッションが同じソースと同じターゲットが 60 秒間に 100 回 34556、私たち子供の署名をトリガー、ブルートフォース攻撃です。子署名、34556 は、HTTP 401 応答を探しています。
40032	HTTP	HOIC ツールブルートフォース攻撃	我々はそれを呼び出す場合、セッションが同じソースと同じターゲットが 60 秒間に 100 回 34767、私たち子供の署名をトリガー、ブルートフォース攻撃です。子署名、34767 は、HOIC ツールから HTTP 要求を探しています。
40033	DNS	任意のクエリのブルートフォースの DOS 攻撃	我々はそれを呼び出す場合、セッションが同じソースと同じターゲットが 60 秒で 60 回 34842、私たち子供の署名をトリガー、ブルートフォース攻撃です。子署名、34842 は、DNS 要求を探しています。
40034	SMB	エントロピの脆弱性の Windows SMB NTLM 認証の欠如	我々はそれを呼び出す場合、セッションが同じソースと同じターゲットが 60 秒で 60 回 35364、私たち子供の署名をトリガー、ブルートフォース攻撃です。 35364、子署名が SMB ネゴシエート (0x72) 要求を探しています。短時間で複数の要求は、CVE-2010-0231 の攻撃可能性があります。
40036	MYSQL	MySQL COM_CHANGE_USER 総当りしようと	このイベントは、誰かがブルートフォース攻撃を行っていることを示し、MySQL サーバーに COM_CHANGE_USER コマンドを介して別のユーザーとして認証しようとします。セッションが同じソースと同じ宛先を持っているが、私たちの子供の署名をトリガした場合、36157、60秒で7回、我々はそれが強引な試みであると呼びます。
40037	Scada	SCADA のパスワードクラックブルートフォース攻撃	セッションが同じソースと同じ宛先を持っているが、私たちの子供の署名をトリガした場合、31670、60秒で10回、我々はそれが強引な攻撃であると呼びます。子シグネチャ31670は、不正なクライアントからの ICCP COTP 接続要求を探しています。
40040	DNS	DGA NXDOMAIN 応答が見つかりました	セッションが同じソースと同じ宛先を持ち、私たちの子供の署名をトリガする場合、60秒で36518、38回、我々はそれを強引な攻撃と見なします。子シグネチャ36518は、DNS サーバーからの DGA NXDOMAIN 応答を探しています。
40044	HTTP	ブルートフォースのワードプレスのログイン試行	このイベントは、誰かがワードプレスの wp-login.php にアクセスするブルートフォース攻撃を使用していることを示します。野獣のような強制的署名検索 (デフォルト) 子署名 TID の 10 以上のトリガー: 37480 で 60 秒。子署名は、wp-login.php へアクセスの試みを探しています。
40059	HTTP	HTTP 要求ブルートフォース攻撃	このアラートは、HTTP 302 一時リダイレクトを示します。認証応答の複数のリダイレクトでは、対象サーバーでブルートフォース攻撃の可能性を示します。セッションが同じソースと同じ宛先を持っているが、私たちの子供の署名をトリガする場合、39290、30秒で100回、我々はそれが強引な攻撃であると呼びます。
40078	SMB	Windows SMB SMBLoris サービス拒否の脆弱性	セッションが同じソースと同じ宛先を持ち、私たちの子供の署名をトリガする場合は、37713、10秒で100回、我々はそれが強引な攻撃であると呼びます。子シグネチャは、細工された SMB 要求をチェックします。

探している脅威 ID がこの一覧にない場合は、[オブジェクト] > [セキュリティプロファイル] > [脆弱性の保護] の WebGUI の内側をクリックして、常に脆弱性保護プロファイル内の値を表示することができます。内部にプロファイルの名前をクリックする必要があります。この例では、デフォルトをクリックします。

ブルートフォース詳細 1. png 脆弱性保護画面