snort 및 portscan loggin

Question

포트 스캔 로그에 대해 며칠 전에 질문을 게시했지만 새 포트 스캔 로그를 다루는 별도의 질문입니다.

시간 : 04/13-15 : 29 : 41.660134 EVENT_ID : 6042 XXXX -> XXXX (포트 스캔) UDP 필터링 포트 스캔 우선 순위 개수 : 0 연결 개수 : 200 IP 개수 : 66 스캐너 IP 범위 : XXXX : XXXX 포트/프로토 개수 : 32 포트/프로토 범위 : 137 :이 로그, 소스 IP, 목적지 IP, 소스 포트, 목적지 포트에서 4 일을 결정하기 위해 노력하고 17500

.

다른 옵션을 원하지만 필요한 경우 portscan의 유형과이 검색을위한 플래그가됩니다.

다시 말해서 도움을 주셔서 감사합니다.

Answer 1

프로토콜이 UDP 였으므로 사용할 수있는 플래그가 없습니다 (TCP 일). 로그는 (정확하게 읽는다면) 32 포트가 테스트되었고, 137에서 17500까지의 범위를 실행하므로, 137 포트와 17500 포트 이외의 30 포트를 선택하면 스캔 한 포트가 표시됩니다. 보다 구체적인 정보를 얻으려면 정보를 수집하고 각 경고를 자체 이벤트로 분리하여 개별적으로 기록하는 방법을 찾아야합니다.