ブルート フォース親/子シグネチャの脅威ログ生成基準

ブルート フォース親/子シグネチャの脅威ログ生成基準

21191
Created On 03/26/19 05:40 AM - Last Modified 03/26/21 18:23 PM


Question


ブルート フォース署名 31993 と 40016 は脅威ログで断続的にトリガーされます。 攻撃の送信元と宛先が 60 秒でシグネチャ 31993 を 20 回トリガーするのと同じ送信元と宛先を持つ場合、その攻撃はブルート フォース攻撃とみなされ、40016 がトリガーされます。 

40016 がトリガーされた後でも 31993 がトリガーされる理由

 

Answer


40016 のトリガー基準は 60 秒で 20 回です。
子署名 31993 は、最初の秒で初めて、29 秒で 19 回目にトリガーされます。

40016 は、60 秒のウィンドウの残りの 31 秒で、子の署名 (31993) の論理一致が表示された場合にトリガーされます。
 
31993 の一致基準が、最初にトリガーされたセッションから 60 秒以内に残り 29 秒後に 10 回発生した場合、後続の 10 セッションはすべて 40016 と一致し、「両方をリセット」します。

60 秒のウィンドウ内で、以下のログが脅威ログに表示されます。
  • 31993 – 19 回トリガー
  • 40016 – 11回トリガー
60 秒後、署名 40016 のウィンドウが終了し、新しいカウントダウンが開始されます。 31993 は照合を開始し、条件が再度ヒットした場合は上記のシナリオが繰り返されます。
 

Additional Information


ブルート フォース シグネチャに関する情報については、以下のリンクを参照
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClmpCAC
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000boRMCAY&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language