Come rilevare Port Scan su SIEM all'interno della LAN o della stessa rete?

Ogni connessione all'interno della tua LAN deve passare attraverso un router o uno switch. Alcuni router consentono l'accesso liste di controllo, che possono bloccare / consentire connessioni a porte e servizi specifici. Ogni host può anche implementare le regole interne del firewall per trasmettere solo un servizio a specifici host, tuttavia ciò significa maggiore gestione e sovraccarico operativo. Un'altra opzione è avere un monitor NIDS per questo genere di cose. (Ecco come farlo in snort )

Ricorda che una scansione delle porte non è l'unico modo per scoprire quali servizi accedono alla macchina infetta, semplicemente ascoltando le connessioni aperte per un periodo di tempo, il virus / trojan / malware può raccogliere quali macchine all'interno della rete sono accessibili e su quali porte, non un approccio sicuro al 100% ma comunque utile.

"Supponiamo che una macchina host nell'ambiente client sia stata infettata e che effettui la scansione delle porte su un'altra macchina all'interno della LAN o della stessa rete senza passare attraverso il firewall:"

In genere, se un host all'interno del tuo ambiente viene infettato, non sarà in corso la scansione di altri dispositivi sulla tua LAN. Almeno nella mia esperienza. Solitamente raggiungerà una destinazione esterna (server di comando e controllo).

"Su quali basi possiamo scrivere un avviso in SIEM Tool per catturare questa scansione delle porte. La macchina da finestra ha registrato questo tipo di attività o no. Se sì, dove posso trovare i log? Fondamentalmente se l'evento sta accadendo attraverso il firewall possiamo scrivere un avviso basato sul firewall, ma se questa attività avviene all'interno della LAN, allora come rilevarla? "

Potrebbe essere utile elencare il SIEM effettivo che stai utilizzando. In genere, puoi utilizzare le espressioni regolari per rilevare le attività a cui sei interessato. Pertanto, puoi specificare una particolare porta a cui sei interessato o rilevare una spazzata delle porte definendo i diversi host di cui sei interessato e il porto. Esistono diversi modi per cercare questo tipo di attività e potrebbero differire da SIEM. Non penso che i registri degli eventi di Windows ti mostrino questo tipo di attività.

"Quando la macchina infetta tenta di inviare i dettagli all'attaccante come possiamo ottenerlo? Poiché la comunicazione può avvenire attraverso la posta di WORM o tramite la porta ad alto livello che il client potrebbe utilizzare per qualche altro servizio. "

Non sono sicuro al 100% di ciò che stai chiedendo qui, ma se rilevi un host sulla tua rete che sta inviando traffico anomalo, devi eseguire il triage da lì ed eseguire la risposta all'incidente. Se stai cercando di rilevare un traffico di posta in uscita anomalo, cerca quantità massicce di attività in uscita a 25.

Spero che questo aiuti.

I dispositivi compromessi sulla tua rete possono eseguire la scansione del resto della rete, questo consentirà all'aggressore di individuare ulteriori vulnerabilità e ruotare attorno alla rete. Se una macchina sta eseguendo una scansione sul proprio segmento di rete e l'attività di scansione non lascia mai quel segmento di rete, il rilevamento da parte di un SIEM dipenderà dal modo in cui quel segmento di rete è configurato per raccogliere i registri e inoltrarli direttamente al SIEM o una posizione centrale che si connetterà al SIEM.

In generale, la maggior parte delle soluzioni SIEM ha connettori o parser che raccolgono automaticamente i log per cose come le scansioni delle porte senza una grande quantità di configurazione richiesta, questi registri possono provenire da un repository centrale che raccoglie tutti i registri del firewall di Windows basati su host ( o altri registri di firewall basati su host di terze parti, o qualcosa di simile) e quindi analizzarli nel SIEM. La topologia esatta può variare in base a ciò che è richiesto. Tutte le tecniche di scansione standard TCP o UDP dovrebbero essere facilmente riconosciute dal SIEM e fornite con il contenuto incorporato.

Idealmente le attività con alta criticità saranno vincolate da stringenti ACL in modo che qualsiasi comportamento anomalo possa essere facilmente individuato semplicemente configurando una regola che dice; Se un dispositivo altamente critico riceve traffico di livello 4 da qualsiasi risorsa che non è previsto, attiva una regola che genererà un avviso. A seconda dello strumento SIEM che stai utilizzando dipenderà da come lo fai.

Per un generale 'cattura tutte le porte della scansione di Windows', il filtro per il rilevamento della scansione delle porte dovrebbe avere un aspetto simile al seguente:

Device Vendor = Microsoft
Device Product = Windows
Category Behaviour = Port Scan (TCP segments with certain flag settings on N+ ports)
Category Outcome = Success OR Failure (TCP Connection complete or not)
Device type != Firewall

Aggrega se il seguente è vero

Target port = unique (Ogni porta dovrebbe essere unica, cioè la porta 80, 8080, 443, 22 ecc.)

Attacker address = identical (tutto il traffico proveniente dallo stesso IP)

Attacker zone = identical (Questo può essere un tag che hai configurato nel tuo SIEM in UI aree eterogenee del tuo ambiente ('s))

Target address = range of IP address (una VLAN per esempio)

Puoi quindi scrivere una regola che dice su ogni evento o qualsiasi numero N di eventi correlati che corrispondono ai criteri del filtro generano un avviso.

Dichiarazione di non responsabilità: questa regola è davvero a scopo esplicativo ed è probabile che generi un sacco di rumore e falsi positivi, quindi richiederà una grande quantità di tuning e test per garantire che sia armonica e adattata al tuo ambiente. Inoltre ci sono molti modi diversi per ottenere lo stesso risultato, ma questo è il modo in cui affronterei personalmente questo problema.