Kriterien für die Generierung von Bedrohungsprotokollen für Brute Force-Eltern-Kind-Signaturen

Kriterien für die Generierung von Bedrohungsprotokollen für Brute Force-Eltern-Kind-Signaturen

21179
Created On 03/26/19 05:40 AM - Last Modified 03/26/21 18:23 PM


Question


Brute-Force-Signaturen 31993 und 40016 werden im Bedrohungsprotokoll zeitweise ausgelöst. Wenn ein Angriff dieselbe Quelle und dasselbe Ziel hat, das die Signatur 31993 20 Mal in 60 Sekunden auslöst, wird er als Brute-Force-Angriff betrachtet und 40016 wird ausgelöst. 

Warum wird 31993 ausgelöst, auch wenn 40016 ausgelöst wurde?

 

Answer


Das Auslösekriterium für 40016 ist 20 Mal in 60 Sekunden.
Die Child Signature 31993 wird erstmals in der ersten Sekunde und zum 19. Mal in 29 Sekunden ausgelöst.

40016 wird ausgelöst, wenn wir in den verbleibenden 31 Sekunden des 60-Sekunden-Fensters eine logische Übereinstimmung für Child Signature (31993) sehen.
 
Wenn die Übereinstimmungskriterien für 31993 10 Mal danach innerhalb der 29 Sekunden in den 60 Sekunden von der ersten ausgelösten Sitzung erfüllt werden, stimmen alle nachfolgenden 10 Sitzungen mit 40016 überein und sind "Reset-Both".

Innerhalb des 60-Sekunden-Fensters werden die folgenden Protokolle in Bedrohungsprotokollen angezeigt:
  • 31993 – 19-mal ausgelöst
  • 40016 – 11-mal ausgelöst
Nach 60 Sekunden endet das Fenster für die Signatur 40016, und ein neuer Countdown wird gestartet. 31993 beginnt mit dem Abgleich, und das obige Szenario wiederholt sich, wenn die Kriterien erneut getroffen werden.
 

Additional Information


Unter dem folgenden Link finden Sie Informationen zu Brute Force Signaturen:
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClmpCAC
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000boRMCAY&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language