我几天前发布了一个关于portscan日志的问题,但这是一个单独的问题,处理新的portscan日志。
时间:04 / 13-15:29:41.660134 event_id:6042 x.x.x.x - > x.x.x.x(portscan)UDP过滤的端口扫描 优先级:0 连接数:200 IP数:66 扫描仪IP范围:x.x.x.x:x.x.x.x. 港口/原始数量:32 Port / Proto范围:137:17500
我正在尝试从此日志,源IP,目标IP,源端口,目标端口确定4件事。
我想要的其他一些选项,但在必要时,将是portscan的类型和此扫描的标志。
再次感谢您提供的任何帮助。
答案 0 :(得分:1)
协议是UDP,因此没有可用的标志(这是TCP的事情)。日志建议(如果我正确读取)32个端口已经过测试,运行范围从137到17500,因此选择除137和17500之外的30个端口,这就是扫描的内容。为了更具体,您需要找到一种方法来解密信息并将每个警报分解为自己的事件并单独记录。