Pourquoi listée
Synthèse décisionnelle honeypot — seuil de listing maintenu à 1 événement qualifié.
xss_attack
Comparaison ASN / FAI
ASN 21769 · 173.211.0.0/17 · ARIN — 8 pair(s) ASN/FAI listé(s) — activité locale élevée vs pairs · 4 événements sur la période pour cette IP.
IPs apparentées
Même FAI Colocation America Corporation — corrélation indicative.
Activité multi-protocole
Cette IP touche plusieurs services simulés (pas seulement le web).
Géolocalisation
Origine réseau déclarée
FAI / réseau
Opérateur et dernière activité ban
Filtres
Les dates De/À priment sur la période. Affinez protocole, port, service et classification.
Timeline
4 événements filtrés — activité quotidienne
Ports 24 h
Top ports ciblés sur les dernières 24 heures
Top ports
SSH 22, RDP 3389, HTTP alternatifs…
Top classifications
Web, SSH, SAP, scans…
Heatmap attaques 7j
Intensité par jour et heure (UTC capteur)
Chronologie des événements
4 événement(s) — page 1/1
Comparaison côte à côte
| Horodatage | Proto | Port | Service | Classification | Sévérité | Risque | Actions |
|---|---|---|---|---|---|---|---|
| TCP | 5601 · HTTP | http | Sonde fichier configuration config file probe · via HTTP:5601 · (tentative d'exploit) · → /api/console/proxy | — | Élevé · 70 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
POST /api/console/proxy UA Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (K…
Émulateur
HTTP
WAF
35
Recommandation
Investiguer
Tags
Cible HTTP
POST
/api/console/proxy
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
5601
Chemin / cible
/api/console/proxy
Service
HTTP
Pourquoi cette classification : Sonde fichier sensible: chemin sensible (tag interne) · Règle WAF « rce-0 » · Sonde fichier sensible / config · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 70
Confiance : Confiance 100 % — 6 tag(s) WAF
Protocole émulé
1
Signaux
Http Sensitive
Upstream
Waf Score
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/134.0.0.0 Safari/537.36
Règles WAF
rce-0
nosqli-3
k8s-api
webshell-param-file
Payload (extrait)
POST /api/console/proxy?path=_search&method=POST HTTP/1.1 Host: 62.3.50.33:5601 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win6
Requête brute (extrait)
POST /api/console/proxy?path=_search&method=POST HTTP/1.1 Host: 62.3.50.33:5601 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/134.0.0.0 Safari/537.36 Content-Length: 212 Accept: */* Accept-Encoding |
|||||||
| TCP | 5601 · KIBANA | kibana | kibana probe kibana probe · via KIBANA:5601 · (sonde / probe) | — | Faible · 24 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
TA0007
TA0007
TA0001
Protocole
Émulateur
KIBANA
WAF
—
Recommandation
Surveiller
Tags
—
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
5601
Chemin / cible
—
Service
KIBANA
Pourquoi cette classification : Type « kibana_probe » (signaux protocolaires) · confiance 0%
Confiance classification
8%
Corrélation +8
Risque capteur
Faible
· 24
Confiance : Confiance 0 % — 2 signal(aux) capteur
Protocole émulé
1
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
User-Agent
—
Règles WAF
—
|
|||||||
| TCP | 5601 · HTTP | http | Sonde fichier configuration config file probe · via HTTP:5601 · (tentative d'exploit) · → /api/console/proxy | — | Élevé · 70 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET /api/console/proxy UA Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:136.0) Gecko/2…
Émulateur
HTTP
WAF
35
Recommandation
Investiguer
Tags
Cible HTTP
GET
/api/console/proxy
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
5601
Chemin / cible
/api/console/proxy
Service
HTTP
Pourquoi cette classification : Sonde fichier sensible: chemin sensible (tag interne) · Règle WAF « rce-0 » · Sonde fichier sensible / config · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 70
Confiance : Confiance 100 % — 6 tag(s) WAF
Protocole émulé
1
Signaux
Http Sensitive
Upstream
Waf Score
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 941130
ES cat indices
Ligne de requête
User-Agent
Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:136.0) Gecko/20100101 Firefox/136.0
Règles WAF
rce-0
nosqli-3
k8s-api
webshell-param-file
Payload (extrait)
GET /api/console/proxy?path=_cat/indices&method=GET HTTP/1.1 Host: 62.3.50.33:5601 User-Agent: Mozilla/5.0 (Macintosh; Intel M
Requête brute (extrait)
GET /api/console/proxy?path=_cat/indices&method=GET HTTP/1.1 Host: 62.3.50.33:5601 User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:136.0) Gecko/20100101 Firefox/136.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif, |
|||||||
| TCP | 5601 · HTTP | http | Cross-site scripting xss attack · via HTTP:5601 · (tentative d'exploit) · → /api/status | — | Moyen · 62 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
GET /api/status UA Mozilla/5.0 (X11; Linux x86_64; rv:135.0) Gecko/20100101 Firefo…
Émulateur
HTTP
WAF
23
Recommandation
Investiguer
Tags
Cible HTTP
GET
/api/status
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
5601
Chemin / cible
/api/status
Service
HTTP
Pourquoi cette classification : Type « xss_attack » (signaux protocolaires) · confiance 59%
Confiance classification
59%
Risque capteur
Moyen
· 62
Confiance : Confiance 59 % — Motif catalogue confirmé · 4 tag(s) WAF
Protocole émulé
1
Signaux
pat-0284
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 941130
Ligne de requête
User-Agent
Mozilla/5.0 (X11; Linux x86_64; rv:135.0) Gecko/20100101 Firefox/135.0
Règles WAF
rce-0
nosqli-3
k8s-api
Payload (extrait)
GET /api/status HTTP/1.1 Host: 62.3.50.33:5601 User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:135.0) Gecko/20100101 Firefox/13
Requête brute (extrait)
GET /api/status HTTP/1.1 Host: 62.3.50.33:5601 User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:135.0) Gecko/20100101 Firefox/135.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8 Accept-Encoding: gzip, defla |
|||||||