Criterios de generación de registros de amenazas para las firmas de padres/hijos de fuerza bruta

Criterios de generación de registros de amenazas para las firmas de padres/hijos de fuerza bruta

21175
Created On 03/26/19 05:40 AM - Last Modified 03/26/21 18:23 PM


Question


Las firmas de fuerza bruta 31993 y 40016 se activan intermitentemente en el registro de amenazas. Si un ataque tiene la misma fuente y destino que activa la firma 31993 20 veces en 60 segundos, se considerará un ataque de fuerza bruta y se activa 40016. 

¿Por qué se activa 31993 incluso después de que se activara 40016?

 

Answer


Los criterios de activación para 40016 son 20 veces en 60 segundos.
La firma infantil 31993 se activa por primera vez en el primer segundo y por decimo9ª vez a los 29 segundos.

40016 se activa si vemos una coincidencia lógica para firma infantil (31993) todas las veces posteriores en los 31 segundos restantes de la ventana de 60 segundos.
 
Si los criterios de coincidencia para 31993 ocurren 10 veces después de eso dentro de los 29 segundos restantes en los 60 segundos de la sesión desencadenada inicial, todas las 10 sesiones posteriores coincidirán con 40016 y serán "reset-both".

Dentro de la ventana de 60 segundos, los registros a continuación aparecerán en registros de amenazas:
  • 31993 – Activado 19 veces
  • 40016 – Activado 11 veces
Después de 60 segundos, la ventana para la firma 40016 termina, y se inicia una nueva cuenta atrás. 31993 comenzará a coincidir, y el escenario anterior se repite si los criterios se golpean de nuevo.
 

Additional Information


Revise el siguiente enlace para obtener información sobre Brute Force Signatures:
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClmpCAC
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000boRMCAY&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language