Техника на mitre.org

T1595: Активное сканирование

Злоумышленники могут выполнять активное сканирование сети с целью получения информации, которая может быть использована для атак. В ходе активного сканирования злоумышленник непосредственно направляет трафик в инфраструктуру жертвы, что отличает этот метод от других форм разведки, не требующих прямого взаимодействия.

Злоумышленники могут использовать разные формы активного сканирования в зависимости от того, что именно их интересует. Сканирование может выполняться разными способами, в том числе посредством встроенных функций сетевых протоколов, таких как ICMP. Собранная при сканировании информация может открыть дополнительные возможности для разведки (например, поиска на общедоступных сайтах или поиска технической информации в общедоступных источниках) и способствовать получению операционных ресурсов (в частности, разработке собственных средств или подготовке необходимых средств) и (или) обеспечению первоначального доступа (например, путем эксплуатации внешних служб удаленного доступа или недостатков в общедоступных приложениях).

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

Подтехники

Способы обнаружения

ID	DS0029	Источник и компонент данных	Сетевой трафик: Поток сетевого трафика	Описание	Отслеживайте в сетевых данных необычные потоки данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.

ID	DS0029	Источник и компонент данных	Сетевой трафик: Содержимое сетевого трафика	Описание	Отслеживайте подозрительный сетевой трафик, который может свидетельствовать о сканировании, например большое количество запросов, исходящих из одного источника (особенно если известно, что этот источник связан со злоумышленником или ботнетом).

ID	Источник и компонент данных	Описание
DS0029	Сетевой трафик: Поток сетевого трафика	Отслеживайте в сетевых данных необычные потоки данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.
DS0029	Сетевой трафик: Содержимое сетевого трафика	Отслеживайте подозрительный сетевой трафик, который может свидетельствовать о сканировании, например большое количество запросов, исходящих из одного источника (особенно если известно, что этот источник связан со злоумышленником или ботнетом).

Меры противодействия

ID	M1056	Название	Предкомпрометация	Описание	От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля. Усилия должны быть направлены на минимизацию объема и конфиденциальности данных, доступных внешним сторонам.

ID	Название	Описание
M1056	Предкомпрометация	От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля. Усилия должны быть направлены на минимизацию объема и конфиденциальности данных, доступных внешним сторонам.