Ieri sera ho ricevuto questo incidente sul mio strumento di siem:
Event: ET SCAN Nmap NSE Heartbleed Request.
Incidente attivato dall'IP della lista nera al nostro server VPN aperto.
Facendo clic sul contenuto della firma visualizzato:
alert tcp any any -> $HOME_NET any (msg:"ET SCAN Nmap NSE Heartbleed Request"; flow:established,to_server; content:"|18 03|"; depth:2; byte_test:1,<,4,2; content:"|01|"; offset:5; depth:1; byte_test:2,>,2,3; byte_test:2,>,200,6; content:"|40 00|Nmap ssl-heartbleed"; fast_pattern:2,19; classtype:attempted-recon; sid:2021023; tag:session,5,packets; rev:1;)
Qualcuno potrebbe aiutarmi con questa firma? È davvero la scansione nmap o il problema di heartbleed.