Comprensión SCAN : Barrido de host (8002)
53740
Created On 11/20/20 17:57 PM - Last Modified 02/08/23 18:42 PM
Question
¿Cómo I analizan las alertas para SCAN : Host Sweep (8002)?
Answer
Al analizar las alertas de amenazas, uno de los primeros lugares en buscar es Threat Vault. Mirando hacia SCAN arriba: Barrido de host (8002) se mostrará como una firma de protección contra vulnerabilidades, pero cuando lo busque en Objetos > perfiles de vulnerabilidad no lo encontrará. Esta alerta es en realidad una parte de la protección de reconocimiento de protecciones de zona. Esta firma se aplica en la zona de entrada con un perfil de protección de zona.
A El barrido de host se produce cuando un atacante analiza un puerto específico en varios sistemas para determinar si está abierto y vulnerable. La información recopilada del objetivo forma parte de la fase de reconocimiento del ciclo de vida del ciberataquey la utiliza el atacante para determinar la conectividad de red en el puerto específico.
A La alerta de barrido de host se activa cuando un host determinado intenta hacer ping en varios destinos dentro de un período de tiempo especificado. Los valores predeterminados para una acción De barrido de host son "Alerta" con 100 eventos en un período de 10 segundos. Puede modificar la configuración para esto ajustándolas en un perfil de protección de zona en su policy archivo . El intervalo de tiempo se mide en segundos que van de 2 a 65.535; el valor predeterminado es 10.
Las direcciones de destino IP se excluyen como criterio y tabulan los eventos de barrido. A Host Sweep desencadena independientemente del número de IP direcciones siempre y cuando se rompa el umbral para un único host.
Hay varias razones por las que esto puede suceder:
1. Podría ser una parte de un bot o gusano que busca hosts para propagarse también.
2. A actor malicioso en busca de sistemas vulnerables para una vulnerabilidad específica.
3. A ataque dirigido por un contra una entidad específica que busca cualquier APT vulnerabilidad.
Si esta actividad está sucediendo en la zona de confianza a la zona de un-confianza existe la posibilidad de que algo podría estar tratando de tomar una baliza. Investigar el host/host que genera este tráfico para el compromiso sería un buen comienzo. Si el tráfico es de Un-Trust a Trust entonces existe la posibilidad de que alguien esté intentando escanear la red en busca de servicios vulnerables.Las acciones disponibles son 'Permitir', 'Alerta', 'Bloque' y 'Bloque IP' ; establecer la acción en'Bloquear'o'Bloquear-IP' es una buena práctica.
Si protección de zona no se utiliza en ningún perfil, abra un caso de soporte técnico para investigar más a fondo.
Algunas cosas a tener en cuenta acerca de la investigación de barridos de host son:
- No hay visibilidad en los contadores para barrido de host dentro del CLI .
- Si decide detener el tráfico puede elegir una acción de Bloque o Bloque IP. Bloque bloqueará el tráfico actual, mientras que Bloquear IP agregará la IP dirección asociada con el tráfico a una lista de IP bloques.Para obtener más información al respecto, puede revisar: Monitor > Block IP
Additional Information
Referencias:
- https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClZhCAK
- https://docs.paloaltonetworks.com/ pan-os /10-0/ pan-os -admin/zone-protection-and-dos-protection/configure-zone-protection-to-increase-network-security/configure-reconnaissance-protection.html
- https://docs.paloaltonetworks.com/ pan-os /9-1/ pan-os -admin/zone-protection-and-dos-protection/zone-defense/zone-defense-tools