Comprendre SCAN : Host Sweep (8002)
53722
Created On 11/20/20 17:57 PM - Last Modified 02/08/23 18:42 PM
Question
Comment analyser I les alertes pour SCAN : Host Sweep (8002)?
Answer
Lors de l’analyse des alertes de menace, l’un des premiers endroits à regarder est Threat Vault. Recherche SCAN : Host Sweep (8002) s’affichera sous forme de signatures de protection de vulnérabilité, mais lorsque vous le cherchez sous les profils de vulnérabilité des objets >, vous ne le trouverez pas. Cette alerte fait en fait partie de la protection de reconnaissance des protections de zone. Cette signature est appliquée à la zone d’entrée avec un profil de protection de zone.
A Le balayage hôte se produit lorsqu’un attaquant scanne un port spécifique sur plusieurs systèmes pour déterminer s’il est ouvert et vulnérable. Les informations recueillies auprès de la cible font partie de la phase de reconnaissance du cycle de vie de la cyberattaqueet sont utilisées par l’attaquant pour déterminer la connectivité réseau sur le port spécifique.
A l’alerte de balayage d’hôte est déclenchée quand un hôte particulier essaye de ping la destination multiple dans une période de temps spécifiée. Les valeurs par défaut d’une action de balayage d’hôte sont « Alerte » avec 100 événements dans une période de 10 secondes. Vous pouvez modifier les paramètres pour cela en les ajustant dans un profil de protection de zone sur votre policy . L’intervalle de temps est mesuré en secondes allant de 2 à 65 535; la valeur par défaut est de 10.
Les IP adresses de destination sont exclues en tant que critères et les événements de balayage des tableaux. A Host Sweep se déclenche quel que soit le nombre IP d’adresses tant que le seuil est violé pour un seul hôte.
Il y a plusieurs raisons pour que cela seproduise :
1. Il pourrait faire partie d’un bot ou d’un ver à la recherche d’hôtes à se propager aussi.
2. acteur A malveillant à la recherche de systèmes vulnérables pour une vulnérabilité spécifique.
3. attaque A ciblée par une entité spécifique à la recherche de toute APT vulnérabilité.
Si cette activité se produit sur la zone de confiance à la zone de non-confiance, il est possible que quelque chose pourrait tenter de baliser. Enquêter sur l’hôte / hôte générant ce trafic pour le compromis serait un bon début. Si le trafic est d’Un-Trust à Trust, alors il ya la possibilité que quelqu’un tente de scanner le réseau pour les services vulnérables.Les actions disponibles sont« Autoriser», «Alert», «Block» et «Block IP» ; définir l’action à« Block» ou «Block-IP» est une bonne pratique.
Si la protection de zone n’est utilisée dans aucun profil, ouvrez un cas de support pour enquêter davantage.
Certaines choses à garder à l’esprit au sujet de l’enquête host sweeps sont les:
- Il n’y a pas de visibilité sur les compteurs pour Host Sweep dans le CLI .
- Si vous choisissez d’arrêter le trafic, vous pouvez choisir une action de Bloc ou Bloc IP. Bloc bloquera le trafic actuel tandis que Block IP ajoutera IP l’adresse associée au trafic à une liste de IP blocs.Pour en savoir plus à ce sujet, vous pouvez consulter: Surveiller > Bloc IP
Additional Information
Références bibliographiques:
- https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClZhCAK
- https://docs.paloaltonetworks.com/ pan-os /10-0/ pan-os -admin/zone-protection-and-dos-protection/configure-zone-protection-to-increase-network-security/configure-reconnaissance-protection.html
- https://docs.paloaltonetworks.com/ pan-os /9-1/ pan-os -admin/zone-protection-and-dos-protection/zone-defense/zone-defense-tools