理解 SCAN : 主机扫描 (8002)
53742
Created On 11/20/20 17:57 PM - Last Modified 02/08/23 18:42 PM
Question
如何 I 分析警报 SCAN : 主机扫描 (8002)?
Answer
分析威胁警报时,首先要查看的位置之一是威胁保管库。 查找 SCAN :主机扫描 (8002) 将显示为漏洞保护签名,但当在对象>漏洞配置文件下查找时,您将找不到它。 此警报实际上是区域保护侦察保护的一部分。 此签名适用于带区域保护配置文件的入口区。
A 当攻击者扫描多个系统上的特定端口以确定端口是否打开且易受攻击时,就会发生主机扫描。 从目标收集的信息是 网络攻击生命周期侦察阶段的一部分,被攻击者用于确定特定端口上的网络连接。
A 当一个特定主机尝试在指定时间段内 ping 多个目标时,将触发主机扫描警报。 主机扫描操作的默认值为"警报",在 10 秒内有 100 个事件。 您可以通过在您的"区域保护配置文件"中调整它们来修改此设置 policy 。 时间间隔以 2 - 65,535 秒为单位:默认值为10。
目的地 IP 地址排除在标准之外,并列出扫荡事件的表格。 A 无论地址数量如何, IP 只要单个主机的阈值被突破,主机扫描都会触发。
发生这种情况的原因有很多:1.
它可能是机器人或蠕虫搜索主机传播的一部分。
2. A 恶意行为者搜索特定漏洞的易受攻击系统。
3. A 针对 APT 寻找任何漏洞的特定实体的有针对性的攻击。
如果此活动发生在 不信任 区到 不信任 区,则有可能有某种东西可能试图发出灯塔。 调查生成此流量以进行危害的主机/主机将是一个良好的开端。 如果流量是从 不信任 到 信任 ,那么有可能有人试图扫描网络以寻找易受攻击的服务。可用的操作是"允许","警报","阻止"和"阻止 IP":将操作设置为"块"或"块-"IP是一个很好的做法。
如果任何配置文件中未使用区域保护,则打开支持案例以进一步调查。
调查主机扫荡时需要记住的一些事情是:
- 主机扫荡的柜台上没有可见性 CLI 。
-如果您选择停止流量,您可以选择 "阻止 "或" 阻止" IP的操作。 块 将阻止当前的流量,而 块 IP 将添加 IP 与流量相关的地址到块 IP 列表。要阅读更多关于此内容,您可以查看:监视器>块 IP
Additional Information
参考资料:
- https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClZhCAK
- pan-oshttps://docs.paloaltonetworks.com//10-0/-admin/zone-protection-and-dos-protection/configure-zone-protection-to-increase-network-security/configure-reconnaissance-protection.html pan-os
- pan-oshttps://docs.paloaltonetworks.com//9-1/ - pan-os 管理员/区域保护和多斯保护/区域防御/区域防御工具