Kriterien für die Generierung von Bedrohungsprotokollen für Brute Force-Eltern-Kind-Signaturen
26821
Created On 03/26/19 05:40 AM - Last Modified 01/10/25 06:56 AM
Question
Brute-Force-Signaturen 31993 und 40016 werden im Bedrohungsprotokoll zeitweise ausgelöst. Wenn ein Angriff dieselbe Quelle und dasselbe Ziel hat, das die Signatur 31993 20 Mal in 60 Sekunden auslöst, wird er als Brute-Force-Angriff betrachtet und 40016 wird ausgelöst.
Warum wird 31993 ausgelöst, auch wenn 40016 ausgelöst wurde?
Answer
Das Auslösekriterium für 40016 ist 20 Mal in 60 Sekunden.
Die Child Signature 31993 wird erstmals in der ersten Sekunde und zum 19. Mal in 29 Sekunden ausgelöst.
40016 wird ausgelöst, wenn wir in den verbleibenden 31 Sekunden des 60-Sekunden-Fensters eine logische Übereinstimmung für Child Signature (31993) sehen.
Wenn die Übereinstimmungskriterien für 31993 10 Mal danach innerhalb der 29 Sekunden in den 60 Sekunden von der ersten ausgelösten Sitzung erfüllt werden, stimmen alle nachfolgenden 10 Sitzungen mit 40016 überein und sind "Reset-Both".
Innerhalb des 60-Sekunden-Fensters werden die folgenden Protokolle in Bedrohungsprotokollen angezeigt:
- 31993 – 19-mal ausgelöst
- 40016 – 11-mal ausgelöst
Additional Information
Unter dem folgenden Link finden Sie Informationen zu Brute Force Signaturen:
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClmpCAC