Los dispositivos comprometidos en su red pueden escanear el resto de su red, lo que permitirá al atacante encontrar más vulnerabilidades y girar alrededor de su red. Si una máquina realiza un escaneo en su propio segmento de red y la actividad de escaneo nunca abandona ese segmento de red, entonces la detección por parte de un SIEM dependerá de cómo ese segmento de red esté configurado para recopilar registros y reenviarlos directamente al SIEM o a una ubicación central que se conectará con el SIEM.
En general, la mayoría de las soluciones de SIEM tienen conectores o analizadores que recopilan registros de manera automática para cosas como las exploraciones de puertos sin que se requiera una gran cantidad de configuración, estos registros pueden provenir de un repositorio central que recopila todos los registros de firewall de Windows basados en host ( u otros registros de firewall basados en host de terceros, o algo similar) y luego analizarlos en el SIEM. La topología exacta puede variar según lo que se requiera. Todas las técnicas de escaneo TCP o UDP estándar deben ser reconocidas fácilmente por el SIEM y vienen con el contenido incorporado.
Idealmente, los activos con alta criticidad se vincularán con estrictos ACL para que cualquier comportamiento anómalo se detecte fácilmente simplemente configurando un dicho de la regla; Si un dispositivo altamente crítico recibe algún tráfico de capa 4 de cualquier activo que no se supone que debe, active una regla que generará una alerta.
Dependiendo de la herramienta SIEM que utilice, dependerá de cómo lo haga.
Para un "escaneo de todos los puertos de Windows" en general, el filtro para detectar el escaneo de puertos debería ser similar al siguiente;
Device Vendor = Microsoft
Device Product = Windows
Category Behaviour = Port Scan (TCP segments with certain flag settings on N+ ports)
Category Outcome = Success OR Failure (TCP Connection complete or not)
Device type != Firewall
Agregue si lo siguiente es verdadero
Target port = unique
(cada puerto debe ser único, es decir, el puerto 80, 8080, 443, 22, etc.)
Attacker address = identical
(todo el tráfico que se origina en la misma IP)
Attacker zone = identical
(esta puede ser una etiqueta que haya configurado en su SIEM para áreas heterogéneas UID de su entorno ('s))
Target address = range of IP address
(por ejemplo, una VLAN)
Luego, puede escribir una regla que diga que en cada evento o cualquier N número de eventos correlacionados que coincidan con los criterios del filtro generará una alerta.
Descargo de responsabilidad: esta regla es realmente para fines de explicación y es probable que genere mucho ruido y falsos positivos, por lo que requerirá una gran cantidad de ajustes y pruebas para garantizar que sea armonioso y se adapte a su entorno. Además, hay muchas formas diferentes de lograr el mismo resultado, pero así es como personalmente abordaré este problema.