I dispositivi compromessi sulla tua rete possono eseguire la scansione del resto della rete, questo consentirà all'aggressore di individuare ulteriori vulnerabilità e ruotare attorno alla rete. Se una macchina sta eseguendo una scansione sul proprio segmento di rete e l'attività di scansione non lascia mai quel segmento di rete, il rilevamento da parte di un SIEM dipenderà dal modo in cui quel segmento di rete è configurato per raccogliere i registri e inoltrarli direttamente al SIEM o una posizione centrale che si connetterà al SIEM.
In generale, la maggior parte delle soluzioni SIEM ha connettori o parser che raccolgono automaticamente i log per cose come le scansioni delle porte senza una grande quantità di configurazione richiesta, questi registri possono provenire da un repository centrale che raccoglie tutti i registri del firewall di Windows basati su host ( o altri registri di firewall basati su host di terze parti, o qualcosa di simile) e quindi analizzarli nel SIEM. La topologia esatta può variare in base a ciò che è richiesto. Tutte le tecniche di scansione standard TCP o UDP dovrebbero essere facilmente riconosciute dal SIEM e fornite con il contenuto incorporato.
Idealmente le attività con alta criticità saranno vincolate da stringenti ACL in modo che qualsiasi comportamento anomalo possa essere facilmente individuato semplicemente configurando una regola che dice; Se un dispositivo altamente critico riceve traffico di livello 4 da qualsiasi risorsa che non è previsto, attiva una regola che genererà un avviso.
A seconda dello strumento SIEM che stai utilizzando dipenderà da come lo fai.
Per un generale 'cattura tutte le porte della scansione di Windows', il filtro per il rilevamento della scansione delle porte dovrebbe avere un aspetto simile al seguente:
Device Vendor = Microsoft
Device Product = Windows
Category Behaviour = Port Scan (TCP segments with certain flag settings on N+ ports)
Category Outcome = Success OR Failure (TCP Connection complete or not)
Device type != Firewall
Aggrega se il seguente è vero
Target port = unique
(Ogni porta dovrebbe essere unica, cioè la porta 80, 8080, 443, 22 ecc.)
Attacker address = identical
(tutto il traffico proveniente dallo stesso IP)
Attacker zone = identical
(Questo può essere un tag che hai configurato nel tuo SIEM in UI aree eterogenee del tuo ambiente ('s))
Target address = range of IP address
(una VLAN per esempio)
Puoi quindi scrivere una regola che dice su ogni evento o qualsiasi numero N di eventi correlati che corrispondono ai criteri del filtro generano un avviso.
Dichiarazione di non responsabilità: questa regola è davvero a scopo esplicativo ed è probabile che generi un sacco di rumore e falsi positivi, quindi richiederà una grande quantità di tuning e test per garantire che sia armonica e adattata al tuo ambiente. Inoltre ci sono molti modi diversi per ottenere lo stesso risultato, ma questo è il modo in cui affronterei personalmente questo problema.