Verifica che l'host segnalato esegua un'applicazione legittima sulla porta.
Ad esempio, la porta 8080tcp è la porta alternativa predefinita per HTTP. È utilizzato da molte applicazioni legittime.
Cerca ciò che l'host di destinazione dovrebbe essere in esecuzione nel tuo database di gestione della configurazione (tu fai hai un CMDB, vero?). Quando deve essere eseguito, ad esempio, un server delle applicazioni Apache Tomcat (che utilizza la porta 8080), questo è inteso come comportamento e innocuo. Verifica che il server Tomcat funzioni effettivamente. Quando lo fa, significa che la porta è in uso e non può essere utilizzata da alcun malware senza dover uccidere il processo Tomcat, e ciò provocherebbe un reclamo da parte di chiunque ne avesse bisogno. Aggiungi una regola di filtro al tuo sistema di reporting per impedire ulteriori rapporti su quel server e sulla porta 8080 da mostrare. Tali regole di filtro sono importanti perché i falsi positivi presenti nei rapporti distraggono semplicemente da eventuali aspetti positivi. Potresti anche voler aggiungere una regola al tuo sistema di segnalazione che genera un avviso quando la combinazione ip: port non non compare più. Significa che il server è inattivo o che è stato riproposto per non eseguire più quell'applicazione e devi aggiornare le regole del filtro e il tuo CMDB.
Tuttavia, quando trovi quella porta aperta su un host che non dovrebbe eseguire nulla che potrebbe usare 8080, vale la pena investigare. Accedere al server, eseguire netstat e verificare quale applicazione ha aperto quella porta. Quindi usa il tuo stesso giudizio per decidere se è legittimo o meno.