Pourquoi listée
Synthèse décisionnelle honeypot — seuil de listing maintenu à 1 événement qualifié.
ssh_probe
Comparaison ASN / FAI
ASN 197769 · 102.220.160.0/22 · AFRINIC — 8 pair(s) ASN/FAI listé(s) — activité locale élevée vs pairs · 83 événements sur la période pour cette IP.
IPs apparentées
Même FAI VPS Dedicated LLC — corrélation indicative.
Activité multi-protocole
Cette IP touche plusieurs services simulés (pas seulement le web).
Géolocalisation
Origine réseau déclarée
FAI / réseau
Opérateur et dernière activité ban
Filtres
Les dates De/À priment sur la période. Affinez protocole, port, service et classification.
Timeline
83 événements filtrés — activité quotidienne
Ports 24 h
Top ports ciblés sur les dernières 24 heures
Top ports
SSH 22, RDP 3389, HTTP alternatifs…
Top classifications
Web, SSH, SAP, scans…
Heatmap attaques 7j
Intensité par jour et heure (UTC capteur)
Chronologie des événements
83 événement(s) — page 1/2
Comparaison côte à côte
| Horodatage | Proto | Port | Service | Classification | Sévérité | Risque | Actions |
|---|---|---|---|---|---|---|---|
| TCP | 22 · SSH | ssh | Sonde SSH Sonde SSH · via SSH:22 · (sonde / probe) | — | Moyen · 50 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0007
TA0001
Protocole
SSH SSH-2.0-libssh_0.11.4 l/@<;Lܨ�OU�� hcurve25519-sha256…
Émulateur
SSH
WAF
—
Recommandation
Investiguer
Tags
—
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
22
Chemin / cible
—
Service
SSH
Bannière SSH
SSH-2.0-libssh_0.11.4 l/@<;Lܨ�OU�� hcurve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sh…
Payload
SSH-2.0-libssh_0.11.4 l/@<;Lܨ�OU�� hcurve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nis
Pourquoi cette classification : Bannière client SSH reçue · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 50
Confiance : Confiance 100 % — Motif catalogue confirmé
Protocole émulé
1
Signaux
Client SSH libssh/paramiko (scanner)
pat-0391
pat-0392
Upstream
Technique MITRE
T1046
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
SSH-2.0 banner RFC4253
libssh banner
TFTP RRQ
User-Agent
—
Règles WAF
—
Payload (extrait)
SSH-2.0-libssh_0.11.4 l/@<;Lܨ�OU�� hcurve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nis
Requête brute (extrait)
SSH-2.0-libssh_0.11.4 l/@<;Lܨ�OU�� hcurve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group18-sha512,diffie-hellman-group16-sha512,diffie-hellman-group-exchange-sha256,diffie |
|||||||
| TCP | 8090 · HTTP | http | Sonde HTTP Sonde HTTP · via HTTP:8090 · (sonde / probe) · → 102.220.160.26:80 | — | Moyen · 40 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
CONNECT 102.220.160.26:80
Émulateur
HTTP
WAF
0
Recommandation
Surveiller
Tags
—
Cible HTTP
CONNECT
102.220.160.26:80
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
CONNECT
Port
8090
Chemin / cible
102.220.160.26:80
Service
HTTP
Pourquoi cette classification : Type « web_probe » (signaux protocolaires) · confiance 77%
Confiance classification
77%
Risque capteur
Moyen
· 40
Confiance : Confiance 77 % — Score WAF 8
Protocole émulé
1
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
—
Règles WAF
—
Payload (extrait)
CONNECT 102.220.160.26:80 HTTP/1.0 Host: 102.220.160.26:80 Proxy-Authorization: Basic dXNlcjox |
|||||||
| TCP | 8090 · HTTP | http | Sonde HTTP Sonde HTTP · via HTTP:8090 · (sonde / probe) · → 102.220.160.26:80 | — | Moyen · 40 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
CONNECT 102.220.160.26:80
Émulateur
HTTP
WAF
0
Recommandation
Surveiller
Tags
—
Cible HTTP
CONNECT
102.220.160.26:80
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
CONNECT
Port
8090
Chemin / cible
102.220.160.26:80
Service
HTTP
Pourquoi cette classification : Type « web_probe » (signaux protocolaires) · confiance 77%
Confiance classification
77%
Risque capteur
Moyen
· 40
Confiance : Confiance 77 % — Score WAF 8
Protocole émulé
1
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
—
Règles WAF
—
Payload (extrait)
CONNECT 102.220.160.26:80 HTTP/1.0 Host: 102.220.160.26:80 Proxy-Authorization: Basic cm9vdDpQYVNzV29SZHBhc3N3b3JE |
|||||||
| TCP | 8090 · HTTP | http | Sonde HTTP Sonde HTTP · via HTTP:8090 · (sonde / probe) · → 102.220.160.26:80 | — | Moyen · 40 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
CONNECT 102.220.160.26:80
Émulateur
HTTP
WAF
0
Recommandation
Surveiller
Tags
—
Cible HTTP
CONNECT
102.220.160.26:80
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
CONNECT
Port
8090
Chemin / cible
102.220.160.26:80
Service
HTTP
Pourquoi cette classification : Type « web_probe » (signaux protocolaires) · confiance 77%
Confiance classification
77%
Risque capteur
Moyen
· 40
Confiance : Confiance 77 % — Score WAF 8
Protocole émulé
1
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
—
Règles WAF
—
Payload (extrait)
CONNECT 102.220.160.26:80 HTTP/1.0 Host: 102.220.160.26:80 Proxy-Authorization: Basic ODAwMDo4MDAw |
|||||||
| TCP | 8090 · HTTP | http | Sonde HTTP Sonde HTTP · via HTTP:8090 · (sonde / probe) · → 102.220.160.26:80 | — | Moyen · 40 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
CONNECT 102.220.160.26:80
Émulateur
HTTP
WAF
0
Recommandation
Surveiller
Tags
—
Cible HTTP
CONNECT
102.220.160.26:80
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
CONNECT
Port
8090
Chemin / cible
102.220.160.26:80
Service
HTTP
Pourquoi cette classification : Type « web_probe » (signaux protocolaires) · confiance 77%
Confiance classification
77%
Risque capteur
Moyen
· 40
Confiance : Confiance 77 % — Score WAF 8
Protocole émulé
1
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
—
Règles WAF
—
Payload (extrait)
CONNECT 102.220.160.26:80 HTTP/1.0 Host: 102.220.160.26:80 Proxy-Authorization: Basic dXNlcjox |
|||||||
| TCP | 8090 · HTTP | http | Sonde HTTP Sonde HTTP · via HTTP:8090 · (sonde / probe) · → 102.220.160.26:80 | — | Moyen · 40 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
CONNECT 102.220.160.26:80
Émulateur
HTTP
WAF
0
Recommandation
Surveiller
Tags
—
Cible HTTP
CONNECT
102.220.160.26:80
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
CONNECT
Port
8090
Chemin / cible
102.220.160.26:80
Service
HTTP
Pourquoi cette classification : Type « web_probe » (signaux protocolaires) · confiance 77%
Confiance classification
77%
Risque capteur
Moyen
· 40
Confiance : Confiance 77 % — Score WAF 8
Protocole émulé
1
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
—
Règles WAF
—
Payload (extrait)
CONNECT 102.220.160.26:80 HTTP/1.0 Host: 102.220.160.26:80 Proxy-Authorization: Basic YTEyMzQ1NjphMTIzNDU2 |
|||||||
| TCP | 8090 · HTTP | http | Sonde HTTP Sonde HTTP · via HTTP:8090 · (sonde / probe) · → 102.220.160.26:80 | — | Moyen · 40 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
CONNECT 102.220.160.26:80
Émulateur
HTTP
WAF
0
Recommandation
Surveiller
Tags
—
Cible HTTP
CONNECT
102.220.160.26:80
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
CONNECT
Port
8090
Chemin / cible
102.220.160.26:80
Service
HTTP
Pourquoi cette classification : Type « web_probe » (signaux protocolaires) · confiance 77%
Confiance classification
77%
Risque capteur
Moyen
· 40
Confiance : Confiance 77 % — Score WAF 8
Protocole émulé
1
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
—
Règles WAF
—
Payload (extrait)
CONNECT 102.220.160.26:80 HTTP/1.0 Host: 102.220.160.26:80 Proxy-Authorization: Basic dXNlcjp1c2Vy |
|||||||
| TCP | 8090 · HTTP | http | Sonde HTTP Sonde HTTP · via HTTP:8090 · (sonde / probe) · → 102.220.160.26:80 | — | Moyen · 40 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
CONNECT 102.220.160.26:80
Émulateur
HTTP
WAF
0
Recommandation
Surveiller
Tags
—
Cible HTTP
CONNECT
102.220.160.26:80
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
CONNECT
Port
8090
Chemin / cible
102.220.160.26:80
Service
HTTP
Pourquoi cette classification : Type « web_probe » (signaux protocolaires) · confiance 77%
Confiance classification
77%
Risque capteur
Moyen
· 40
Confiance : Confiance 77 % — Score WAF 8
Protocole émulé
1
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
—
Règles WAF
—
Payload (extrait)
CONNECT 102.220.160.26:80 HTTP/1.0 Host: 102.220.160.26:80 Proxy-Authorization: Basic cm9vdDpQYVNzV29SZHBhc3N3b3JE |
|||||||
| TCP | 8090 · HTTP | http | Sonde HTTP Sonde HTTP · via HTTP:8090 · (sonde / probe) · → 102.220.160.26:80 | — | Moyen · 40 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
CONNECT 102.220.160.26:80
Émulateur
HTTP
WAF
0
Recommandation
Surveiller
Tags
—
Cible HTTP
CONNECT
102.220.160.26:80
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
CONNECT
Port
8090
Chemin / cible
102.220.160.26:80
Service
HTTP
Pourquoi cette classification : Type « web_probe » (signaux protocolaires) · confiance 77%
Confiance classification
77%
Risque capteur
Moyen
· 40
Confiance : Confiance 77 % — Score WAF 8
Protocole émulé
1
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
—
Règles WAF
—
Payload (extrait)
CONNECT 102.220.160.26:80 HTTP/1.0 Host: 102.220.160.26:80 Proxy-Authorization: Basic YTEyMzQ1NjphMTIzNDU2 |
|||||||
| TCP | 8090 · HTTP | http | Sonde HTTP Sonde HTTP · via HTTP:8090 · (sonde / probe) · → 102.220.160.26:80 | — | Moyen · 40 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
CONNECT 102.220.160.26:80
Émulateur
HTTP
WAF
0
Recommandation
Surveiller
Tags
—
Cible HTTP
CONNECT
102.220.160.26:80
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
CONNECT
Port
8090
Chemin / cible
102.220.160.26:80
Service
HTTP
Pourquoi cette classification : Type « web_probe » (signaux protocolaires) · confiance 77%
Confiance classification
77%
Risque capteur
Moyen
· 40
Confiance : Confiance 77 % — Score WAF 8
Protocole émulé
1
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
—
Règles WAF
—
Payload (extrait)
CONNECT 102.220.160.26:80 HTTP/1.0 Host: 102.220.160.26:80 Proxy-Authorization: Basic dXNlcjp1c2Vy |
|||||||
| TCP | 8090 · HTTP | http | Sonde HTTP Sonde HTTP · via HTTP:8090 · (sonde / probe) · → 102.220.160.26:80 | — | Moyen · 40 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
CONNECT 102.220.160.26:80
Émulateur
HTTP
WAF
0
Recommandation
Surveiller
Tags
—
Cible HTTP
CONNECT
102.220.160.26:80
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
CONNECT
Port
8090
Chemin / cible
102.220.160.26:80
Service
HTTP
Pourquoi cette classification : Type « web_probe » (signaux protocolaires) · confiance 77%
Confiance classification
77%
Risque capteur
Moyen
· 40
Confiance : Confiance 77 % — Score WAF 8
Protocole émulé
1
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
—
Règles WAF
—
Payload (extrait)
CONNECT 102.220.160.26:80 HTTP/1.0 Host: 102.220.160.26:80 Proxy-Authorization: Basic cm9vdDp2YWdyYW50QDEyMw== |
|||||||
| TCP | 8090 · HTTP | http | Sonde HTTP Sonde HTTP · via HTTP:8090 · (sonde / probe) · → 102.220.160.26:80 | — | Moyen · 40 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
CONNECT 102.220.160.26:80
Émulateur
HTTP
WAF
0
Recommandation
Surveiller
Tags
—
Cible HTTP
CONNECT
102.220.160.26:80
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
CONNECT
Port
8090
Chemin / cible
102.220.160.26:80
Service
HTTP
Pourquoi cette classification : Type « web_probe » (signaux protocolaires) · confiance 77%
Confiance classification
77%
Risque capteur
Moyen
· 40
Confiance : Confiance 77 % — Score WAF 8
Protocole émulé
1
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
—
Règles WAF
—
Payload (extrait)
CONNECT 102.220.160.26:80 HTTP/1.0 Host: 102.220.160.26:80 Proxy-Authorization: Basic YmViZXRvOmJlYmV0bw== |
|||||||
| TCP | 8090 · HTTP | http | Sonde HTTP Sonde HTTP · via HTTP:8090 · (sonde / probe) · → 102.220.160.26:80 | — | Moyen · 40 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
CONNECT 102.220.160.26:80
Émulateur
HTTP
WAF
0
Recommandation
Surveiller
Tags
—
Cible HTTP
CONNECT
102.220.160.26:80
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
CONNECT
Port
8090
Chemin / cible
102.220.160.26:80
Service
HTTP
Pourquoi cette classification : Type « web_probe » (signaux protocolaires) · confiance 77%
Confiance classification
77%
Risque capteur
Moyen
· 40
Confiance : Confiance 77 % — Score WAF 8
Protocole émulé
1
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
—
Règles WAF
—
Payload (extrait)
CONNECT 102.220.160.26:80 HTTP/1.0 Host: 102.220.160.26:80 Proxy-Authorization: Basic YWRtaW46YWRtaW4= |
|||||||
| TCP | 8090 · HTTP | http | Sonde HTTP Sonde HTTP · via HTTP:8090 · (sonde / probe) · → 102.220.160.26:80 | — | Moyen · 40 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
CONNECT 102.220.160.26:80
Émulateur
HTTP
WAF
0
Recommandation
Surveiller
Tags
—
Cible HTTP
CONNECT
102.220.160.26:80
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
CONNECT
Port
8090
Chemin / cible
102.220.160.26:80
Service
HTTP
Pourquoi cette classification : Type « web_probe » (signaux protocolaires) · confiance 77%
Confiance classification
77%
Risque capteur
Moyen
· 40
Confiance : Confiance 77 % — Score WAF 8
Protocole émulé
1
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
—
Règles WAF
—
Payload (extrait)
CONNECT 102.220.160.26:80 HTTP/1.0 Host: 102.220.160.26:80 |
|||||||
| TCP | 8090 · HTTP | http | Sonde HTTP Sonde HTTP · via HTTP:8090 · (sonde / probe) · → 102.220.160.26:80 | — | Moyen · 40 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
CONNECT 102.220.160.26:80
Émulateur
HTTP
WAF
0
Recommandation
Surveiller
Tags
—
Cible HTTP
CONNECT
102.220.160.26:80
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
CONNECT
Port
8090
Chemin / cible
102.220.160.26:80
Service
HTTP
Pourquoi cette classification : Type « web_probe » (signaux protocolaires) · confiance 77%
Confiance classification
77%
Risque capteur
Moyen
· 40
Confiance : Confiance 77 % — Score WAF 8
Protocole émulé
1
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
—
Règles WAF
—
Payload (extrait)
CONNECT 102.220.160.26:80 HTTP/1.0 Host: 102.220.160.26:80 Proxy-Authorization: Basic YXBwcGFzc3BvcnQ6V2VsY29tZUAyMDI2 |
|||||||
| TCP | 8090 · HTTP | http | Sonde HTTP Sonde HTTP · via HTTP:8090 · (sonde / probe) · → 102.220.160.26:80 | — | Moyen · 40 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
CONNECT 102.220.160.26:80
Émulateur
HTTP
WAF
0
Recommandation
Surveiller
Tags
—
Cible HTTP
CONNECT
102.220.160.26:80
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
CONNECT
Port
8090
Chemin / cible
102.220.160.26:80
Service
HTTP
Pourquoi cette classification : Type « web_probe » (signaux protocolaires) · confiance 77%
Confiance classification
77%
Risque capteur
Moyen
· 40
Confiance : Confiance 77 % — Score WAF 8
Protocole émulé
1
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
—
Règles WAF
—
Payload (extrait)
CONNECT 102.220.160.26:80 HTTP/1.0 Host: 102.220.160.26:80 Proxy-Authorization: Basic YWRtaW46cEBzc3dvcmQx |
|||||||
| TCP | 9080 · HTTP | http | Sonde HTTP Sonde HTTP · via HTTP:9080 · (sonde / probe) · → 102.220.160.26:80 | — | Moyen · 40 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
CONNECT 102.220.160.26:80
Émulateur
HTTP
WAF
0
Recommandation
Surveiller
Tags
—
Cible HTTP
CONNECT
102.220.160.26:80
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
CONNECT
Port
9080
Chemin / cible
102.220.160.26:80
Service
HTTP
Pourquoi cette classification : Type « web_probe » (signaux protocolaires) · confiance 77%
Confiance classification
77%
Risque capteur
Moyen
· 40
Confiance : Confiance 77 % — Score WAF 8
Protocole émulé
1
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
—
Règles WAF
—
Payload (extrait)
CONNECT 102.220.160.26:80 HTTP/1.0 Host: 102.220.160.26:80 Proxy-Authorization: Basic cm9vdDohUTJ3I0U= |
|||||||
| TCP | 9080 · HTTP | http | Sonde HTTP Sonde HTTP · via HTTP:9080 · (sonde / probe) · → 102.220.160.26:80 | — | Moyen · 40 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
CONNECT 102.220.160.26:80
Émulateur
HTTP
WAF
0
Recommandation
Surveiller
Tags
—
Cible HTTP
CONNECT
102.220.160.26:80
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
CONNECT
Port
9080
Chemin / cible
102.220.160.26:80
Service
HTTP
Pourquoi cette classification : Type « web_probe » (signaux protocolaires) · confiance 77%
Confiance classification
77%
Risque capteur
Moyen
· 40
Confiance : Confiance 77 % — Score WAF 8
Protocole émulé
1
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
—
Règles WAF
—
Payload (extrait)
CONNECT 102.220.160.26:80 HTTP/1.0 Host: 102.220.160.26:80 Proxy-Authorization: Basic cm9vdDpXbTEyMzQ1NkA= |
|||||||
| TCP | 9080 · HTTP | http | Sonde HTTP Sonde HTTP · via HTTP:9080 · (sonde / probe) · → 102.220.160.26:80 | — | Moyen · 40 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
CONNECT 102.220.160.26:80
Émulateur
HTTP
WAF
0
Recommandation
Surveiller
Tags
—
Cible HTTP
CONNECT
102.220.160.26:80
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
CONNECT
Port
9080
Chemin / cible
102.220.160.26:80
Service
HTTP
Pourquoi cette classification : Type « web_probe » (signaux protocolaires) · confiance 77%
Confiance classification
77%
Risque capteur
Moyen
· 40
Confiance : Confiance 77 % — Score WAF 8
Protocole émulé
1
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
—
Règles WAF
—
Payload (extrait)
CONNECT 102.220.160.26:80 HTTP/1.0 Host: 102.220.160.26:80 Proxy-Authorization: Basic MTox |
|||||||
| TCP | 9080 · HTTP | http | Sonde HTTP Sonde HTTP · via HTTP:9080 · (sonde / probe) · → 102.220.160.26:80 | — | Moyen · 40 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
CONNECT 102.220.160.26:80
Émulateur
HTTP
WAF
0
Recommandation
Surveiller
Tags
—
Cible HTTP
CONNECT
102.220.160.26:80
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
CONNECT
Port
9080
Chemin / cible
102.220.160.26:80
Service
HTTP
Pourquoi cette classification : Type « web_probe » (signaux protocolaires) · confiance 77%
Confiance classification
77%
Risque capteur
Moyen
· 40
Confiance : Confiance 77 % — Score WAF 8
Protocole émulé
1
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
—
Règles WAF
—
Payload (extrait)
CONNECT 102.220.160.26:80 HTTP/1.0 Host: 102.220.160.26:80 Proxy-Authorization: Basic cm9vdDprdWt1OHZpY2E= |
|||||||
| TCP | 9080 · HTTP | http | Sonde HTTP Sonde HTTP · via HTTP:9080 · (sonde / probe) · → 102.220.160.26:80 | — | Moyen · 40 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
CONNECT 102.220.160.26:80
Émulateur
HTTP
WAF
0
Recommandation
Surveiller
Tags
—
Cible HTTP
CONNECT
102.220.160.26:80
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
CONNECT
Port
9080
Chemin / cible
102.220.160.26:80
Service
HTTP
Pourquoi cette classification : Type « web_probe » (signaux protocolaires) · confiance 77%
Confiance classification
77%
Risque capteur
Moyen
· 40
Confiance : Confiance 77 % — Score WAF 8
Protocole émulé
1
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
—
Règles WAF
—
Payload (extrait)
CONNECT 102.220.160.26:80 HTTP/1.0 |
|||||||
| TCP | 9080 · HTTP | http | Sonde HTTP Sonde HTTP · via HTTP:9080 · (sonde / probe) · → 102.220.160.26:80 | — | Moyen · 40 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
CONNECT 102.220.160.26:80
Émulateur
HTTP
WAF
0
Recommandation
Surveiller
Tags
—
Cible HTTP
CONNECT
102.220.160.26:80
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
CONNECT
Port
9080
Chemin / cible
102.220.160.26:80
Service
HTTP
Pourquoi cette classification : Type « web_probe » (signaux protocolaires) · confiance 77%
Confiance classification
77%
Risque capteur
Moyen
· 40
Confiance : Confiance 77 % — Score WAF 8
Protocole émulé
1
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
—
Règles WAF
—
Payload (extrait)
CONNECT 102.220.160.26:80 HTTP/1.0 Host: 102.220.160.26:80 Proxy-Authorization: Basic dXNlcjM6MTIzNA== |
|||||||
| TCP | 9080 · HTTP | http | Sonde HTTP Sonde HTTP · via HTTP:9080 · (sonde / probe) · → 102.220.160.26:80 | — | Moyen · 40 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
CONNECT 102.220.160.26:80
Émulateur
HTTP
WAF
0
Recommandation
Surveiller
Tags
—
Cible HTTP
CONNECT
102.220.160.26:80
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
CONNECT
Port
9080
Chemin / cible
102.220.160.26:80
Service
HTTP
Pourquoi cette classification : Type « web_probe » (signaux protocolaires) · confiance 77%
Confiance classification
77%
Risque capteur
Moyen
· 40
Confiance : Confiance 77 % — Score WAF 8
Protocole émulé
1
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
—
Règles WAF
—
Payload (extrait)
CONNECT 102.220.160.26:80 HTTP/1.0 |
|||||||
| TCP | 9080 · HTTP | http | Sonde HTTP Sonde HTTP · via HTTP:9080 · (sonde / probe) · → 102.220.160.26:80 | — | Moyen · 40 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
CONNECT 102.220.160.26:80
Émulateur
HTTP
WAF
0
Recommandation
Surveiller
Tags
—
Cible HTTP
CONNECT
102.220.160.26:80
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
CONNECT
Port
9080
Chemin / cible
102.220.160.26:80
Service
HTTP
Pourquoi cette classification : Type « web_probe » (signaux protocolaires) · confiance 77%
Confiance classification
77%
Risque capteur
Moyen
· 40
Confiance : Confiance 77 % — Score WAF 8
Protocole émulé
1
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
—
Règles WAF
—
Payload (extrait)
CONNECT 102.220.160.26:80 HTTP/1.0 Host: 102.220.160.26:80 Proxy-Authorization: Basic dHVyYm86dHVyYm8xMjM= |
|||||||
| TCP | 32333 | — | proxy probe proxy probe · port 32333 · (sonde / probe) | — | Faible · 24 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
WAF
—
Recommandation
Surveiller
Tags
—
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
32333
Chemin / cible
—
Payload
�
Pourquoi cette classification : Type « proxy_probe » (signaux protocolaires) · confiance 0%
Confiance classification
0%
Risque capteur
Faible
· 24
Confiance : Confiance 0 % — 1 signal(aux) capteur
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
User-Agent
—
Règles WAF
—
Payload (extrait)
� |
|||||||
| TCP | 32333 · HTTP | http | Sonde HTTP Sonde HTTP · via HTTP:32333 · (sonde / probe) · → 1.1.1.1:443 | — | Moyen · 40 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
TA0007
TA0007
TA0001
Protocole
CONNECT 1.1.1.1:443
Émulateur
HTTP
WAF
0
Recommandation
Surveiller
Tags
—
Cible HTTP
CONNECT
1.1.1.1:443
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
CONNECT
Port
32333
Chemin / cible
1.1.1.1:443
Service
HTTP
Pourquoi cette classification : Type « web_probe » (signaux protocolaires) · confiance 74%
Confiance classification
82%
Corrélation +8
Risque capteur
Moyen
· 40
Confiance : Confiance 74 % — Score WAF 8
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
—
Règles WAF
—
Payload (extrait)
CONNECT 1.1.1.1:443 HTTP/1.0 Host: 1.1.1.1 |
|||||||
| TCP | 32333 | — | Sonde port Sonde port · port 32333 · (sonde / probe) | — | Moyen · 44 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
WAF
—
Recommandation
Surveiller
Tags
—
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
32333
Chemin / cible
—
Payload
Pourquoi cette classification : Type « port_probe » (signaux protocolaires) · confiance 50%
Confiance classification
50%
Confiance modérée — signal unique
Risque capteur
Moyen
· 44
Confiance : Confiance 50 % — Motif catalogue confirmé
Signaux
pat-0554
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
User-Agent
—
Règles WAF
—
Payload (extrait)
|
|||||||
| TCP | 32333 | — | Sonde port Sonde port · port 32333 · (sonde / probe) | — | Moyen · 44 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
WAF
—
Recommandation
Surveiller
Tags
—
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
32333
Chemin / cible
—
Pourquoi cette classification : Type « port_probe » (signaux protocolaires) · confiance 50%
Confiance classification
50%
Confiance modérée — signal unique
Risque capteur
Moyen
· 44
Confiance : Confiance modérée (50 %) — signal principal unique
Signaux
Fp Port Probe Noise
Single Port
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
User-Agent
—
Règles WAF
—
|
|||||||
| TCP | 22 · SSH | ssh | Sonde SSH Sonde SSH · via SSH:22 · (sonde / probe) | — | Moyen · 50 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0007
TA0001
Protocole
SSH SSH-2.0-libssh_0.11.4 lx��6��g�x����c� hcurve25519-sha2…
Émulateur
SSH
WAF
—
Recommandation
Investiguer
Tags
—
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
22
Chemin / cible
—
Service
SSH
Bannière SSH
SSH-2.0-libssh_0.11.4 lx��6��g�x����c� hcurve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-…
Payload
SSH-2.0-libssh_0.11.4 lx��6��g�x����c� hcurve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nis
Pourquoi cette classification : Bannière client SSH reçue · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 50
Confiance : Confiance 100 % — Motif catalogue confirmé
Protocole émulé
1
Signaux
Client SSH libssh/paramiko (scanner)
pat-0391
pat-0392
Upstream
Technique MITRE
T1046
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
SSH-2.0 banner RFC4253
libssh banner
TFTP RRQ
User-Agent
—
Règles WAF
—
Payload (extrait)
SSH-2.0-libssh_0.11.4 lx��6��g�x����c� hcurve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nis
Requête brute (extrait)
SSH-2.0-libssh_0.11.4 lx��6��g�x����c� hcurve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group18-sha512,diffie-hellman-group16-sha512,diffie-hellman-group-exchange-sha256,diffie |
|||||||
| TCP | 18419 · HTTP | http | Sonde HTTP Sonde HTTP · via HTTP:18419 · (sonde / probe) · → 102.220.160.26:80 | — | Moyen · 40 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
CONNECT 102.220.160.26:80
Émulateur
HTTP
WAF
0
Recommandation
Surveiller
Tags
—
Cible HTTP
CONNECT
102.220.160.26:80
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
CONNECT
Port
18419
Chemin / cible
102.220.160.26:80
Service
HTTP
Pourquoi cette classification : Type « web_probe » (signaux protocolaires) · confiance 74%
Confiance classification
74%
Risque capteur
Moyen
· 40
Confiance : Confiance 74 % — Score WAF 8
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
—
Règles WAF
—
Payload (extrait)
CONNECT 102.220.160.26:80 HTTP/1.0 Host: 102.220.160.26:80 Proxy-Authorization: Basic cm9vdDoxOTk5MTIyMw== |
|||||||
| TCP | 18419 · HTTP | http | Sonde HTTP Sonde HTTP · via HTTP:18419 · (sonde / probe) · → 102.220.160.26:80 | — | Moyen · 40 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
CONNECT 102.220.160.26:80
Émulateur
HTTP
WAF
0
Recommandation
Surveiller
Tags
—
Cible HTTP
CONNECT
102.220.160.26:80
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
CONNECT
Port
18419
Chemin / cible
102.220.160.26:80
Service
HTTP
Pourquoi cette classification : Type « web_probe » (signaux protocolaires) · confiance 74%
Confiance classification
74%
Risque capteur
Moyen
· 40
Confiance : Confiance 74 % — Score WAF 8
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
—
Règles WAF
—
Payload (extrait)
CONNECT 102.220.160.26:80 HTTP/1.0 Host: 102.220.160.26:80 Proxy-Authorization: Basic MTExOjExMQ== |
|||||||
| TCP | 18419 · HTTP | http | Sonde HTTP Sonde HTTP · via HTTP:18419 · (sonde / probe) · → 102.220.160.26:80 | — | Moyen · 40 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
CONNECT 102.220.160.26:80
Émulateur
HTTP
WAF
0
Recommandation
Surveiller
Tags
—
Cible HTTP
CONNECT
102.220.160.26:80
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
CONNECT
Port
18419
Chemin / cible
102.220.160.26:80
Service
HTTP
Pourquoi cette classification : Type « web_probe » (signaux protocolaires) · confiance 74%
Confiance classification
74%
Risque capteur
Moyen
· 40
Confiance : Confiance 74 % — Score WAF 8
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
—
Règles WAF
—
Payload (extrait)
CONNECT 102.220.160.26:80 HTTP/1.0 Host: 102.220.160.26:80 Proxy-Authorization: Basic MTIzNDU6MTIzNDU= |
|||||||
| TCP | 18419 · HTTP | http | Sonde HTTP Sonde HTTP · via HTTP:18419 · (sonde / probe) · → 102.220.160.26:80 | — | Moyen · 40 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
CONNECT 102.220.160.26:80
Émulateur
HTTP
WAF
0
Recommandation
Surveiller
Tags
—
Cible HTTP
CONNECT
102.220.160.26:80
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
CONNECT
Port
18419
Chemin / cible
102.220.160.26:80
Service
HTTP
Pourquoi cette classification : Type « web_probe » (signaux protocolaires) · confiance 74%
Confiance classification
74%
Risque capteur
Moyen
· 40
Confiance : Confiance 74 % — Score WAF 8
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
—
Règles WAF
—
Payload (extrait)
CONNECT 102.220.160.26:80 HTTP/1.0 Host: 102.220.160.26:80 Proxy-Authorization: Basic dXNlcjpvcmFjbGU= |
|||||||
| TCP | 8082 · HTTP | http | Sonde HTTP Sonde HTTP · via HTTP:8082 · (sonde / probe) · → 102.220.160.26:80 | — | Moyen · 40 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
CONNECT 102.220.160.26:80
Émulateur
HTTP
WAF
0
Recommandation
Surveiller
Tags
—
Cible HTTP
CONNECT
102.220.160.26:80
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
CONNECT
Port
8082
Chemin / cible
102.220.160.26:80
Service
HTTP
Pourquoi cette classification : Type « web_probe » (signaux protocolaires) · confiance 77%
Confiance classification
77%
Risque capteur
Moyen
· 40
Confiance : Confiance 77 % — Score WAF 8
Protocole émulé
1
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
—
Règles WAF
—
Payload (extrait)
CONNECT 102.220.160.26:80 HTTP/1.0 Host: 102.220.160.26:80 |
|||||||
| TCP | 8082 · HTTP | http | Sonde HTTP Sonde HTTP · via HTTP:8082 · (sonde / probe) · → 102.220.160.26:80 | — | Moyen · 40 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
TA0007
TA0007
TA0001
Protocole
CONNECT 102.220.160.26:80
Émulateur
HTTP
WAF
0
Recommandation
Surveiller
Tags
—
Cible HTTP
CONNECT
102.220.160.26:80
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
CONNECT
Port
8082
Chemin / cible
102.220.160.26:80
Service
HTTP
Pourquoi cette classification : Type « web_probe » (signaux protocolaires) · confiance 77%
Confiance classification
85%
Corrélation +8
Risque capteur
Moyen
· 40
Confiance : Confiance 77 % — Score WAF 8
Protocole émulé
1
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
—
Règles WAF
—
Payload (extrait)
CONNECT 102.220.160.26:80 HTTP/1.0 Host: 102.220.160.26:80 Proxy-Authorization: Basic dXNlcjE6cGFzczE= |
|||||||
| TCP | 8082 · HTTP ALT 8082 | http-alt-8082 | http-alt-8082 http-alt-8082 · via HTTP ALT 8082:8082 · (sonde / probe) | — | Faible · 2 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
Émulateur
HTTP-ALT-8082
WAF
—
Recommandation
Surveiller
Tags
—
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
8082
Chemin / cible
—
Service
HTTP ALT 8082
Pourquoi cette classification : Type « http-alt-8082 » (signaux protocolaires) · confiance 0%
Confiance classification
0%
Risque capteur
Faible
· 2
Confiance : Confiance faible (0 %) — classification prudente
Protocole émulé
1
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
User-Agent
—
Règles WAF
—
|
|||||||
| TCP | 8082 · HTTP | http | Sonde HTTP Sonde HTTP · via HTTP:8082 · (sonde / probe) · → 102.220.160.26:80 | — | Moyen · 40 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
CONNECT 102.220.160.26:80
Émulateur
HTTP
WAF
0
Recommandation
Surveiller
Tags
—
Cible HTTP
CONNECT
102.220.160.26:80
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
CONNECT
Port
8082
Chemin / cible
102.220.160.26:80
Service
HTTP
Pourquoi cette classification : Type « web_probe » (signaux protocolaires) · confiance 77%
Confiance classification
77%
Risque capteur
Moyen
· 40
Confiance : Confiance 77 % — Score WAF 8
Protocole émulé
1
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
—
Règles WAF
—
Payload (extrait)
CONNECT 102.220.160.26:80 HTTP/1.0 Host: 102.220.160.26:80 Proxy-Authorization: Basic YWRtaW5pc3RyYXRvcjphZG1pbmlzdHJhdG9y |
|||||||
| TCP | 8082 · HTTP | http | Sonde HTTP Sonde HTTP · via HTTP:8082 · (sonde / probe) · → 102.220.160.26:80 | — | Moyen · 40 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
CONNECT 102.220.160.26:80
Émulateur
HTTP
WAF
0
Recommandation
Surveiller
Tags
—
Cible HTTP
CONNECT
102.220.160.26:80
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
CONNECT
Port
8082
Chemin / cible
102.220.160.26:80
Service
HTTP
Pourquoi cette classification : Type « web_probe » (signaux protocolaires) · confiance 77%
Confiance classification
77%
Risque capteur
Moyen
· 40
Confiance : Confiance 77 % — Score WAF 8
Protocole émulé
1
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
—
Règles WAF
—
Payload (extrait)
CONNECT 102.220.160.26:80 HTTP/1.0 |
|||||||
| TCP | 8082 · HTTP | http | Sonde HTTP Sonde HTTP · via HTTP:8082 · (sonde / probe) · → 102.220.160.26:80 | — | Moyen · 40 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
CONNECT 102.220.160.26:80
Émulateur
HTTP
WAF
0
Recommandation
Surveiller
Tags
—
Cible HTTP
CONNECT
102.220.160.26:80
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
CONNECT
Port
8082
Chemin / cible
102.220.160.26:80
Service
HTTP
Pourquoi cette classification : Type « web_probe » (signaux protocolaires) · confiance 77%
Confiance classification
77%
Risque capteur
Moyen
· 40
Confiance : Confiance 77 % — Score WAF 8
Protocole émulé
1
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
—
Règles WAF
—
Payload (extrait)
CONNECT 102.220.160.26:80 HTTP/1.0 Host: 102.220.160.26:80 Proxy-Authorization: Basic ZGViaWFuOmRlYmlhbg== |
|||||||
| TCP | 8082 · HTTP | http | Sonde HTTP Sonde HTTP · via HTTP:8082 · (sonde / probe) · → 102.220.160.26:80 | — | Moyen · 40 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
CONNECT 102.220.160.26:80
Émulateur
HTTP
WAF
0
Recommandation
Surveiller
Tags
—
Cible HTTP
CONNECT
102.220.160.26:80
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
CONNECT
Port
8082
Chemin / cible
102.220.160.26:80
Service
HTTP
Pourquoi cette classification : Type « web_probe » (signaux protocolaires) · confiance 77%
Confiance classification
77%
Risque capteur
Moyen
· 40
Confiance : Confiance 77 % — Score WAF 8
Protocole émulé
1
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
—
Règles WAF
—
Payload (extrait)
CONNECT 102.220.160.26:80 HTTP/1.0 Host: 102.220.160.26:80 Proxy-Authorization: Basic c3VwcG9ydDpzdXBwb3J0 |
|||||||
| TCP | 8082 · HTTP | http | Sonde HTTP Sonde HTTP · via HTTP:8082 · (sonde / probe) · → 102.220.160.26:80 | — | Moyen · 40 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
CONNECT 102.220.160.26:80
Émulateur
HTTP
WAF
0
Recommandation
Surveiller
Tags
—
Cible HTTP
CONNECT
102.220.160.26:80
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
CONNECT
Port
8082
Chemin / cible
102.220.160.26:80
Service
HTTP
Pourquoi cette classification : Type « web_probe » (signaux protocolaires) · confiance 77%
Confiance classification
77%
Risque capteur
Moyen
· 40
Confiance : Confiance 77 % — Score WAF 8
Protocole émulé
1
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
—
Règles WAF
—
Payload (extrait)
CONNECT 102.220.160.26:80 HTTP/1.0 Host: 102.220.160.26:80 Proxy-Authorization: Basic MTExMjIyOjExMTIyMg== |
|||||||
| TCP | 5685 · HTTP | http | Sonde HTTP Sonde HTTP · via HTTP:5685 · (sonde / probe) · → 102.220.160.26:80 | — | Moyen · 40 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
CONNECT 102.220.160.26:80
Émulateur
HTTP
WAF
0
Recommandation
Surveiller
Tags
—
Cible HTTP
CONNECT
102.220.160.26:80
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
CONNECT
Port
5685
Chemin / cible
102.220.160.26:80
Service
HTTP
Pourquoi cette classification : Type « web_probe » (signaux protocolaires) · confiance 74%
Confiance classification
74%
Risque capteur
Moyen
· 40
Confiance : Confiance 74 % — Score WAF 8
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
—
Règles WAF
—
Payload (extrait)
CONNECT 102.220.160.26:80 HTTP/1.0 Host: 102.220.160.26:80 Proxy-Authorization: Basic YWRtaW46QWRtaW5AMTIzNDU= |
|||||||
| TCP | 22689 · HTTP | http | Sonde HTTP Sonde HTTP · via HTTP:22689 · (sonde / probe) · → 102.220.160.26:80 | — | Moyen · 40 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
CONNECT 102.220.160.26:80
Émulateur
HTTP
WAF
0
Recommandation
Surveiller
Tags
—
Cible HTTP
CONNECT
102.220.160.26:80
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
CONNECT
Port
22689
Chemin / cible
102.220.160.26:80
Service
HTTP
Pourquoi cette classification : Type « web_probe » (signaux protocolaires) · confiance 74%
Confiance classification
74%
Risque capteur
Moyen
· 40
Confiance : Confiance 74 % — Score WAF 8
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
—
Règles WAF
—
Payload (extrait)
CONNECT 102.220.160.26:80 HTTP/1.0 Host: 102.220.160.26:80 Proxy-Authorization: Basic amFjazpqYWNr |
|||||||
| TCP | 22689 · HTTP | http | Sonde HTTP Sonde HTTP · via HTTP:22689 · (sonde / probe) · → 102.220.160.26:80 | — | Moyen · 40 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
CONNECT 102.220.160.26:80
Émulateur
HTTP
WAF
0
Recommandation
Surveiller
Tags
—
Cible HTTP
CONNECT
102.220.160.26:80
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
CONNECT
Port
22689
Chemin / cible
102.220.160.26:80
Service
HTTP
Pourquoi cette classification : Type « web_probe » (signaux protocolaires) · confiance 74%
Confiance classification
74%
Risque capteur
Moyen
· 40
Confiance : Confiance 74 % — Score WAF 8
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
—
Règles WAF
—
Payload (extrait)
CONNECT 102.220.160.26:80 HTTP/1.0 Host: 102.220.160.26:80 Proxy-Authorization: Basic YWRtaW46MTIzNDU2Nw== |
|||||||
| TCP | 22689 | — | Sonde port Sonde port · port 22689 · (sonde / probe) | — | Moyen · 44 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
WAF
—
Recommandation
Surveiller
Tags
—
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
22689
Chemin / cible
—
Pourquoi cette classification : Type « port_probe » (signaux protocolaires) · confiance 50%
Confiance classification
50%
Confiance modérée — signal unique
Risque capteur
Moyen
· 44
Confiance : Confiance modérée (50 %) — signal principal unique
Signaux
Fp Port Probe Noise
Single Port
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
User-Agent
—
Règles WAF
—
|
|||||||
| TCP | 22689 · HTTP | http | Sonde HTTP Sonde HTTP · via HTTP:22689 · (sonde / probe) · → 102.220.160.26:80 | — | Moyen · 40 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
CONNECT 102.220.160.26:80
Émulateur
HTTP
WAF
0
Recommandation
Surveiller
Tags
—
Cible HTTP
CONNECT
102.220.160.26:80
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
CONNECT
Port
22689
Chemin / cible
102.220.160.26:80
Service
HTTP
Pourquoi cette classification : Type « web_probe » (signaux protocolaires) · confiance 74%
Confiance classification
74%
Risque capteur
Moyen
· 40
Confiance : Confiance 74 % — Score WAF 8
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
—
Règles WAF
—
Payload (extrait)
CONNECT 102.220.160.26:80 HTTP/1.0 |
|||||||
| TCP | 32935 · HTTP | http | Sonde HTTP Sonde HTTP · via HTTP:32935 · (sonde / probe) · → 102.220.160.26:80 | — | Moyen · 40 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
CONNECT 102.220.160.26:80
Émulateur
HTTP
WAF
0
Recommandation
Surveiller
Tags
—
Cible HTTP
CONNECT
102.220.160.26:80
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
CONNECT
Port
32935
Chemin / cible
102.220.160.26:80
Service
HTTP
Pourquoi cette classification : Type « web_probe » (signaux protocolaires) · confiance 74%
Confiance classification
74%
Risque capteur
Moyen
· 40
Confiance : Confiance 74 % — Score WAF 8
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
—
Règles WAF
—
Payload (extrait)
CONNECT 102.220.160.26:80 HTTP/1.0 Host: 102.220.160.26:80 Proxy-Authorization: Basic MTox |
|||||||
| TCP | 32935 · HTTP | http | Sonde HTTP Sonde HTTP · via HTTP:32935 · (sonde / probe) · → 102.220.160.26:80 | — | Moyen · 40 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
CONNECT 102.220.160.26:80
Émulateur
HTTP
WAF
0
Recommandation
Surveiller
Tags
—
Cible HTTP
CONNECT
102.220.160.26:80
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
CONNECT
Port
32935
Chemin / cible
102.220.160.26:80
Service
HTTP
Pourquoi cette classification : Type « web_probe » (signaux protocolaires) · confiance 74%
Confiance classification
74%
Risque capteur
Moyen
· 40
Confiance : Confiance 74 % — Score WAF 8
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
—
Règles WAF
—
Payload (extrait)
CONNECT 102.220.160.26:80 HTTP/1.0 |
|||||||
| TCP | 32935 · HTTP | http | Sonde HTTP Sonde HTTP · via HTTP:32935 · (sonde / probe) · → 102.220.160.26:80 | — | Moyen · 40 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
CONNECT 102.220.160.26:80
Émulateur
HTTP
WAF
0
Recommandation
Surveiller
Tags
—
Cible HTTP
CONNECT
102.220.160.26:80
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
CONNECT
Port
32935
Chemin / cible
102.220.160.26:80
Service
HTTP
Pourquoi cette classification : Type « web_probe » (signaux protocolaires) · confiance 74%
Confiance classification
74%
Risque capteur
Moyen
· 40
Confiance : Confiance 74 % — Score WAF 8
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
—
Règles WAF
—
Payload (extrait)
CONNECT 102.220.160.26:80 HTTP/1.0 Host: 102.220.160.26:80 Proxy-Authorization: Basic dXNlcjpQNHNzdzByZA== |
|||||||
| TCP | 32935 · HTTP | http | Sonde HTTP Sonde HTTP · via HTTP:32935 · (sonde / probe) · → 102.220.160.26:80 | — | Moyen · 40 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
CONNECT 102.220.160.26:80
Émulateur
HTTP
WAF
0
Recommandation
Surveiller
Tags
—
Cible HTTP
CONNECT
102.220.160.26:80
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
CONNECT
Port
32935
Chemin / cible
102.220.160.26:80
Service
HTTP
Pourquoi cette classification : Type « web_probe » (signaux protocolaires) · confiance 74%
Confiance classification
74%
Risque capteur
Moyen
· 40
Confiance : Confiance 74 % — Score WAF 8
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
—
Règles WAF
—
Payload (extrait)
CONNECT 102.220.160.26:80 HTTP/1.0 Host: 102.220.160.26:80 Proxy-Authorization: Basic bG9jYWxob3N0Om1Gd09IQVlpYndPZEREY1ZKWGVC |
|||||||