理解 SCAN : ホスト スイープ (8002)
53716
Created On 11/20/20 17:57 PM - Last Modified 02/08/23 18:42 PM
Question
ホスト I SCAN スイープ (8002) のアラートをどのように分析しますか。
Answer
脅威アラートを分析する場合、最初に見る場所の1つは脅威ヴォールティングです。 検索 SCAN : Host Sweep (8002) は脆弱性保護シグネチャとして表示されますが、オブジェクト>脆弱性プロファイルの下で検索する場合は見つかりません。 このアラートは、実際にはゾーン保護偵察保護の一部です。 このシグネチャは、ゾーン保護プロファイルを持つ入力ゾーンで適用されます。
A ホスト スイープは、攻撃者が複数のシステム上の特定のポートをスキャンして、開いているか、および脆弱であるかどうかを判断するときに発生します。 ターゲットから収集された情報は、 サイバー攻撃のライフ サイクルの偵察段階の一部であり、攻撃者が特定のポートでネットワーク接続を判断するために使用します。
A ホスト スイープ アラートは、特定のホストが指定された時間内に複数の宛先に ping を実行しようとするとトリガーされます。 ホスト スイープ アクションのデフォルト値は、10 秒の期間で 100 イベントを含む 「アラート」です。 この設定は、ユーザーの ゾーン保護プロファイルで調整することで変更できます policy 。 時間間隔は、2 から 65,535 までの秒数で測定されます。デフォルトは 10 です。
宛先 IP アドレスは、条件として除外され、スイープ イベントを集計します。 A ホスト スイープは IP 、1 つのホストのしきい値に違反している限り、アドレスの数に関係なくトリガーされます。
これにはさまざまな理由があります:
1. これは、あまりにも広がるホストを探しているボットやワームの一部である可能性があります。
2. A 特定の脆弱性に対して脆弱なシステムを検索する悪意のあるアクター。
3.脆弱性 A を APT 探している特定のエンティティに対する標的型攻撃。
このアクティビティが 信頼 ゾーンから Un-Trust ゾーンで発生している場合、何かがビーコンアウトしようとしている可能性があります。 このトラフィックを生成するホスト/ホストを調査して、侵害を受けるのが良いスタートです。 トラフィックが Un-Trust から Trust へのトラフィックである場合、脆弱なサービスについてネットワークをスキャンしようとしている可能性があります。使用可能なアクションは '許可' '警告 ' 'ブロックと 'ブロックIP' です。アクションを 'ブロック' または 'ブロック -IP' に設定することをお勧めします。
ゾーン保護がどのプロファイルでも使用されていない場合は、サポートケースを開いてさらに調査します。
ホスト スイープの調査に関して留意する必要がある点
は CLI
次のとおりです。- トラフィックを停止する場合は、[ブロック] または [ブロックIP] のアクションを選択できます。 ブロック は現在のトラフィックをブロックし、 ブロック IP は IP トラフィックに関連付けられたアドレスをブロック リストに追加 IP します。これについての詳細を読むには、確認することができます: >ブロックを監視します。 IP
Additional Information
参考文献:
- https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClZhCAK
- https://docs.paloaltonetworks.com/ pan-os /10-0/ pan-os -admin/zone-protection-and-dos-protection/configure-zone-protection-to-increase-network-security/configure-reconnaissance-protection.html
- https://docs.paloaltonetworks.com/ pan-os /9-1/ pan-os -管理/ゾーン保護とドス保護/ゾーンディフェンス/ゾーン防衛ツール