¿Cómo detectar el escaneo de puertos en SIEM dentro de LAN o la misma red?

Todas las conexiones dentro de su LAN deben pasar por un enrutador o conmutador. Algunos enrutadores permiten el acceso listas de control, que pueden bloquear / permitir conexiones a puertos y servicios específicos. Cada host también puede implementar reglas internas de firewall para transmitir solo un servicio a hosts específicos, sin embargo, esto significa más gastos administrativos y operativos. Otra opción es tener un monitor NIDS para este tipo de cosas. (Aquí hay cómo hacerlo en snort )

Recuerde que un escaneo de puerto no es la única manera de averiguar a qué servicios accede la máquina infectada, simplemente escuchando las conexiones abiertas durante un período de tiempo, el virus / troyano / malware puede recopilar qué máquinas dentro de su red se accede y en qué puertos, no es un enfoque seguro al 100% pero, no obstante, es útil.

"Supongamos que una máquina host en el entorno del cliente ha sido infectada y su puerto de escaneo se realiza en otra máquina dentro de la LAN o en la misma red sin pasar por el Firewall:"

Por lo general, si un host dentro de su entorno se infecta, no se escanearán puertos en otros dispositivos de su LAN. Al menos en mi experiencia. Por lo general, se dirigirá a un destino externo (servidor de comando y control).

"Sobre qué base podemos escribir una alerta en la herramienta SIEM para detectar este escaneo de puertos. Máquina de la ventana registró este tipo de actividad o no. Si la respuesta es sí, ¿dónde puedo encontrar los registros? Básicamente, si el evento ocurre a través del firewall, podemos escribir una alerta basada en el firewall, pero si esta actividad ocurre dentro de la LAN, ¿cómo detectarlo? "

Puede ayudar a enumerar el SIEM real que está utilizando. Por lo general, puede usar expresiones regulares para detectar la actividad en la que está interesado. Por lo tanto, puede especificar un puerto en particular que le interese, o puede detectar un barrido de puertos definiendo los diferentes hosts que le interesan y el puerto. Hay varias formas de buscar este tipo de actividad y puede diferir según SIEM. No creo que los registros de eventos de Windows le muestren este tipo de actividad.

"Cuando la máquina infectada intenta enviar los detalles al atacante, ¿cómo podemos controlarla? Como la comunicación puede ocurrir a través del correo de WORM o de un puerto de alto nivel que el cliente podría usar para algún otro servicio. "

No estoy 100% seguro de lo que está preguntando aquí, pero si detecta un host en su red que está enviando tráfico anormal, debe realizar una clasificación desde allí y realizar una respuesta a incidentes. Si está intentando detectar un tráfico de correo saliente anormal, busque cantidades masivas de actividad saliente en 25.

Espero que esto ayude.

Los dispositivos comprometidos en su red pueden escanear el resto de su red, lo que permitirá al atacante encontrar más vulnerabilidades y girar alrededor de su red. Si una máquina realiza un escaneo en su propio segmento de red y la actividad de escaneo nunca abandona ese segmento de red, entonces la detección por parte de un SIEM dependerá de cómo ese segmento de red esté configurado para recopilar registros y reenviarlos directamente al SIEM o a una ubicación central que se conectará con el SIEM.

En general, la mayoría de las soluciones de SIEM tienen conectores o analizadores que recopilan registros de manera automática para cosas como las exploraciones de puertos sin que se requiera una gran cantidad de configuración, estos registros pueden provenir de un repositorio central que recopila todos los registros de firewall de Windows basados en host ( u otros registros de firewall basados en host de terceros, o algo similar) y luego analizarlos en el SIEM. La topología exacta puede variar según lo que se requiera. Todas las técnicas de escaneo TCP o UDP estándar deben ser reconocidas fácilmente por el SIEM y vienen con el contenido incorporado.

Idealmente, los activos con alta criticidad se vincularán con estrictos ACL para que cualquier comportamiento anómalo se detecte fácilmente simplemente configurando un dicho de la regla; Si un dispositivo altamente crítico recibe algún tráfico de capa 4 de cualquier activo que no se supone que debe, active una regla que generará una alerta. Dependiendo de la herramienta SIEM que utilice, dependerá de cómo lo haga.

Para un "escaneo de todos los puertos de Windows" en general, el filtro para detectar el escaneo de puertos debería ser similar al siguiente;

Device Vendor = Microsoft
Device Product = Windows
Category Behaviour = Port Scan (TCP segments with certain flag settings on N+ ports)
Category Outcome = Success OR Failure (TCP Connection complete or not)
Device type != Firewall

Agregue si lo siguiente es verdadero

Target port = unique (cada puerto debe ser único, es decir, el puerto 80, 8080, 443, 22, etc.)

Attacker address = identical (todo el tráfico que se origina en la misma IP)

Attacker zone = identical (esta puede ser una etiqueta que haya configurado en su SIEM para áreas heterogéneas UID de su entorno ('s))

Target address = range of IP address (por ejemplo, una VLAN)

Luego, puede escribir una regla que diga que en cada evento o cualquier N número de eventos correlacionados que coincidan con los criterios del filtro generará una alerta.

Descargo de responsabilidad: esta regla es realmente para fines de explicación y es probable que genere mucho ruido y falsos positivos, por lo que requerirá una gran cantidad de ajustes y pruebas para garantizar que sea armonioso y se adapte a su entorno. Además, hay muchas formas diferentes de lograr el mismo resultado, pero así es como personalmente abordaré este problema.