web-dev-qa-db-ja.com

LANまたは同じネットワーク内のSIEMでポートスキャンを検出する方法

クライアント環境のホストマシンが感染していて、ファイアウォールを通過せずにLANまたは同じネットワーク内の他のマシンでそのポートスキャンを実行しているとします。

  1. どのような基準で、SIEMツールでアラートを作成して、このポートスキャンをキャッチできます。
  2. ウィンドウマシンは、この種のアクティビティをログに記録したかどうか。はいの場合、ログはどこにありますか?

基本的に、イベントがファイアウォールを越えて発生している場合、ファイアウォールに基づいてアラートを書き込むことができますが、このアクティビティがLAN内で発生している場合は、どのように検出しますか?

感染したマシンが詳細を攻撃者に送信しようとすると、どのようにそれを手に入れることができますか?

通信は、WORMによるメールまたはクライアントが他のサービスに使用している可能性のある高レベルのポートを介して行われる可能性があるため。

windowsunixsiem
2
santosh407

"クライアント環境のホストマシンが感染していて、ファイアウォールを通過せずにLANまたは同じネットワーク内の他のマシンでポートスキャンを実行しているとします:"

通常、環境内のホストが感染した場合、LAN上の他のデバイスをポートスキャンすることはありません。少なくとも私の経験では。通常は、外部の宛先(コマンドおよび制御サーバー)に到達します。

"どのような根拠でこのポートスキャンをキャッチするためにSIEMツールでアラートを書き込むことができます。ウィンドウマシンがこの種のアクティビティをログに記録したかどうか。はいの場合、ログを見つけることができますか?基本的に、イベントがファイアウォールを越えて発生している場合、ファイアウォールに基づいてアラートを書き込むことができますが、このアクティビティがLAN内で発生している場合は、それを検出する方法を教えてください。 "

使用している実際のSIEMを一覧表示すると役立つ場合があります。通常、正規表現を使用して、関心のあるアクティビティを検出できます。そのため、関心のある特定のポートを指定したり、関心のあるさまざまなホストを定義してポートスイープを検出したりできます。ポート。このタイプのアクティビティを探す方法は複数あり、SIEMによって異なる場合があります。 Windowsのイベントログにこの種のアクティビティが表示されるとは思いません。

「感染したマシンが詳細を攻撃者に送信しようとすると、どうやってそれを手に入れることができますか?通信は、WORMによるメールまたはクライアントが他のサービスに使用している可能性のある高レベルのポートを介して発生する可能性があるためです。」

ここで何を求めているのかは100%わかりませんが、ネットワーク上で異常なトラフィックを送信しているホストを検出した場合は、そこから切り分けてインシデントレスポンスを実行する必要があります。異常な送信メールトラフィックを検出しようとしている場合は、25で大量の送信アクティビティを探します。

これがお役に立てば幸いです。

2
shift_tab

LAN内のすべての接続は、ルーターまたはスイッチを経由する必要があります。 一部のルーター 特定のポートおよびサービスへの接続をブロック/許可できるアクセス制御リストを許可します。各ホストは、特定のホストにのみサービスをブロードキャストするように内部ファイアウォールルールを実装することもできますが、これはより多くの管理と運用のオーバーヘッドを意味します。別のオプションは、これらの種類のもののためのNIDSモニターを持つことです。 (ここに snortでそれを行う方法

ウイルス/トロイの木馬/マルウェアは、開いている接続を一定期間リッスンするだけで、感染したマシンにアクセスするサービスを見つける唯一の方法はポートスキャンではないことに注意してください。どのポートで、100%確実なアプローチではありませんが、それでも役に立ちます。

2
Purefan

ネットワーク上の侵害されたデバイスがネットワークの残りの部分をスキャンする可能性があります。これにより、攻撃者はさらなる脆弱性を発見し、ネットワークを旋回することができます。マシンが独自のネットワークセグメントでスキャンを実行していて、スキャンアクティビティがそのネットワークセグメントを離れることがない場合、SIEMによる検出は、ログを収集して直接SIEMに転送するようにネットワークセグメントを構成する方法に依存します。 SIEMに接続する中央の場所。

一般的に、ほとんどのSIEMソリューションには、ポートスキャンなどのログを自動的に収集するコネクタまたはパーサーがあり、多くの構成は必要ありません。これらのログは、すべてのホストベースのWindowsファイアウォールログ(またはその他の3番目のパーティホストベースのファイアウォールログ、または類似のログ)を解析して、SIEMに解析します。正確なトポロジは、何が必要かによって異なります。すべての標準TCPまたはUDPスキャンテクニックは、SIEMによって容易に認識され、コンテンツに組み込まれているはずです。

理想的には、重要度の高いアセットは厳密なACLで結び付けられ、ルールの設定を構成するだけで異常な動作を簡単に見つけることができます。非常に重要なデバイスが、想定されていないアセットからレイヤー4トラフィックを受信した場合、アラートを生成するルールを実行します。使用しているSIEMツールによって、これをどのように行うかに依存します。

一般的な「catch all windows port scan」の場合、ポートスキャンを検出するためのフィルターは次のようになります。

Device Vendor = Microsoft
Device Product = Windows
Category Behaviour = Port Scan (TCP segments with certain flag settings on N+ ports)
Category Outcome = Success OR Failure (TCP Connection complete or not)
Device type != Firewall

以下が当てはまる場合は集計する

Target port = unique(各ポートは一意である必要があります。つまり、ポート80、8080、443、22など)

Attacker address = identical(同じIPから発生するすべてのトラフィック)

Attacker zone = identical(これは、SIEMで環境の異機種混合領域をUIDに構成したタグにすることができます)

Target address = range of IP address(a VLANたとえば)

次に、すべてのイベント、またはフィルターの基準に一致するN個の相関イベントでアラートを生成するというルールを作成できます。

免責事項:このルールは実際には説明を目的としたものであり、多くのノイズと誤検知を生成する可能性があるため、環境に調和して調整されるようにするには、大量のチューニングとテストが必要になります。さらに、同じ結果を得るにはさまざまな方法がありますが、これが私が個人的にこの問題に取り組む方法です。

1
TheJulyPlot