Verstehen SCAN : Host Sweep (8002)
53732
Created On 11/20/20 17:57 PM - Last Modified 02/08/23 18:42 PM
Question
Wie I können Warnungen analysiert werden SCAN für : Host Sweep (8002)?
Answer
Beim Analysieren von Bedrohungswarnungen ist threat Vault einer der ersten Orte, an dem nachgesehen werden kann. Nach oben : SCAN Host Sweep (8002) wird als Vulnerability Protection Signatures angezeigt, aber wenn Sie unter Objekte > Sicherheitsanfälligkeitsprofile n. B. suchen, werden Sie ihn nicht finden. Diese Warnung ist eigentlich Teil des Zonenschutz-Aufklärungsschutzes. Diese Signatur wird in der Eingangszone mit einem Zonenschutzprofil angewendet.
A Der Host-Sweep tritt auf, wenn ein Angreifer einen bestimmten Port auf mehreren Systemen scannt, um festzustellen, ob er geöffnet und anfällig ist. Die vom Ziel gesammelten Informationen sind Teil der Aufklärungsphase des Cyberangriffslebenszyklusund werden vom Angreifer verwendet, um die Netzwerkkonnektivität auf dem jeweiligen Port zu bestimmen.
A Host-Sweep-Warnung wird ausgelöst, wenn ein bestimmter Host versucht, mehrere Ziele innerhalb eines bestimmten Zeitraums anzupingen. Die Standardwerte für eine Host Sweep-Aktion ist 'Alert' mit 100 Ereignissen in einem Zeitraum von 10 Sekunden. Sie können die Einstellungen dafür ändern, indem Sie sie in einem Zonenschutzprofil auf Ihrer policy anpassen. Das Zeitintervall wird in Sekunden von 2 bis 65.535 gemessen; Der Standardwert ist 10.
Zieladressen IP werden als Kriterium ausgeschlossen und tabellarisch sweep-Ereignisse. A Host Sweep wird unabhängig von der Anzahl der Adressen ausgelöst, IP solange der Schwellenwert für einen einzelnen Host überschritten wird.
Es gibt verschiedene Gründe, warum dies geschehen kann:
1. Es könnte ein Teil eines Bots oder Wurms sein, der nach Hosts sucht, um sich ebenfalls zu verbreiten.
2. A böswillige Schauspieler auf der Suche nach anfälligen Systemen für eine bestimmte Schwachstelle.
3. A gezielte Angriffe von einem auf eine bestimmte APT Entität, die nach einer Schwachstelle suchen.
Wenn diese Aktivität in der Vertrauenszone zur Un-Trust Zone stattfindet, besteht die Möglichkeit, dass etwas versucht wird, auszuschalten. Die Untersuchung des Hosts/Hosts, der diesen Datenverkehr für Kompromisse generiert, wäre ein guter Anfang. Wenn der Datenverkehr von Un-Trust to Trust stammt, besteht die Möglichkeit, dass jemand versucht, das Netzwerk nach anfälligen Diensten zu suchen.Die verfügbaren Aktionen sind 'Zulassen', 'Alarm', 'Block' und 'Block IP'; Die Einstellung der Aktion auf 'Block' oder 'Block-IP' ist eine gute Praxis.
Wenn Zone Protection in keinem Profil verwendet wird, öffnen Sie einen Support-Fall, um weitere Untersuchungen zu erhalten. Einige Dinge, die Sie bei der
Untersuchung von Host Sweeps beachten sollten, sind:
- Es gibt keine Sichtbarkeit auf den Leistungsindikatoren für Host Sweep innerhalb der CLI .
- Wenn Sie sich entscheiden, den Verkehr zu stoppen, können Sie eine Aktion von Blockieren oder Blockieren IPwählen. Block blockiert den aktuellen Datenverkehr, während Block IP die IP dem Datenverkehr zugeordnete Adresse zu einer IP Sperrliste hinzufügt.Weitere Informationen hierzu finden Sie unter: Monitor > Block IP
Additional Information
Hinweise:
- https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClZhCAK
- https://docs.paloaltonetworks.com/ pan-os /10-0/ pan-os -admin/zone-protection-and-dos-protection/configure-zone-protection-to-increase-network-security/configure-reconnaissance-protection.html
- https://docs.paloaltonetworks.com/ pan-os /9-1/ pan-os -admin/zone-protection-and-dos-protection/zone-defense/zone-defense-tools