Anoche recibí este incidente en mi herramienta siem:
Evento: ET SCAN Nmap NSE Heartbleed Request.
Incidente desencadenado desde la IP de la lista negra a nuestro servidor VPN abierto.
Al hacer clic en el contenido de la firma que se muestra:
alertar tcp cualquiera cualquiera - > $ HOME_NET cualquiera (msg: "ET SCAN Nmap NSE Heartbleed Solicitud "; flujo: establecido, a_servidor; contenido:" | 18 03 | "; profundidad: 2; byte_test: 1, <, 4,2; contenido: "| 01 |"; desplazamiento: 5; profundidad: 1; byte_test: 2, >, 2,3; byte_test: 2, >, 200,6; contenido: "| 40 00 | Nmap ssl-heartbleed "; fast_pattern: 2,19; classtype: intent-recon; sid: 2021023; etiqueta: sesión, 5, paquetes; rev: 1;)
¿Podría alguien ayudarme en esta firma? ¿Es realmente el escaneo de nmap o el problema del corazón?