Critères de génération de journaux de menaces pour les signatures brutes de parents/enfants
21187
Created On 03/26/19 05:40 AM - Last Modified 03/26/21 18:23 PM
Question
Les signatures de force brute 31993 et 40016 sont déclenchées par intermittence dans le journal des menaces. Si une attaque a la même source et la même destination qui déclenche la signature 31993 20 fois en 60 secondes, elle sera considérée comme une attaque de force brute et 40016 est déclenchée.
Pourquoi 31993 est-il déclenché même après le déclenchement de 40016?
Answer
Les critères de déclenchement pour 40016 sont 20 fois en 60 secondes.
Le Child Signature 31993 est déclenché pour la première fois dans la première seconde et pour la 19ème fois à 29 secondes.
40016 est déclenché si nous voyons une correspondance logique pour Child Signature (31993) toutes les fois suivantes dans les 31 secondes restantes de la fenêtre de 60 secondes.
Si les critères de correspondance pour 31993 se produisent 10 fois après cela dans les 29 secondes restantes dans les 60 secondes de la session initiale déclenchée, toutes les 10 sessions suivantes correspondront à 40016 et seront « réinitialisées les deux ».
Dans la fenêtre de 60 secondes, les journaux ci-dessous s’afficheront dans les journaux de menaces :
- 31993 – Déclenché 19 fois
- 40016 – Déclenché 11 fois
Additional Information
Passez en revue le lien ci-dessous pour obtenir de l’information sur les signatures brutes
de force : https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClmpCAC