En una infraestructura de red completa, con firewalls, enrutadores, servidores supervisados por un SIEM, LogPoint aquí. Por supuesto, hay una red privada y servidores públicos.
en el LogPoint hay una alerta llamada "escaneo de puertos" que se activa cuando una fuente llega a un destino en 100 puertos diferentes en 5 minutos.
Con estos registros ¿Cómo distinguiría el escaneo de puertos "normal" que ocurre todos los días en Internet, y el escaneo de puertos que puede ser una preparación para un ataque y es un escaneo de puertos más "serio"?