暴力父母/儿童签名的威胁日志生成标准

暴力父母/儿童签名的威胁日志生成标准

21183
Created On 03/26/19 05:40 AM - Last Modified 03/26/21 18:23 PM


Question


暴力签名 31993 和 40016 在威胁日志中间歇性触发。 如果攻击的源和目的地相同,在 60 秒内触发签名 31993 20 次,则将被视为蛮力攻击,并触发 40016。 

为什么 31993 即使在 40016 被触发后也会被触发?

 

Answer


40016 的触发标准在 60 秒内为 20 次。
儿童签名 31993 在第一秒首次触发,第 19 次在 29 秒内触发。

如果我们在 60 秒窗口的剩余 31 秒内看到儿童签名 (31993) 的逻辑匹配,则触发 40016。
 
如果 31993 的匹配标准在初始触发会话后 60 秒剩余 29 秒内发生 10 次,则随后的所有 10 个会话都将匹配 40016,并且将"同时重置- 两个会话"。

在 60 秒窗口内,下面的日志将显示在威胁日志中:
  • 31993–触发19次
  • 40016–触发11次
60 秒后,签名 40016 窗口结束,重新开始倒计时。 31993 将开始匹配,如果再次达到标准,上述情景将重复。
 

Additional Information


查看以下链接以获取有关暴力签名的信息
:https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClmpCAC
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000boRMCAY&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language