Pourquoi listée
Synthèse décisionnelle honeypot — seuil de listing maintenu à 1 événement qualifié.
xss_attack
Comparaison ASN / FAI
ASN 21769 · 173.211.0.0/17 · ARIN — 8 pair(s) ASN/FAI listé(s) — activité locale élevée vs pairs · 1 événements sur la période pour cette IP.
IPs apparentées
Même FAI Colocation America Corporation — corrélation indicative.
Géolocalisation
Origine réseau déclarée
FAI / réseau
Opérateur et dernière activité ban
Filtres
Les dates De/À priment sur la période. Affinez protocole, port, service et classification.
Timeline
1 événements filtrés — activité quotidienne
Ports 24 h
Top ports ciblés sur les dernières 24 heures
Top ports
SSH 22, RDP 3389, HTTP alternatifs…
Top classifications
Web, SSH, SAP, scans…
Heatmap attaques 7j
Intensité par jour et heure (UTC capteur)
Chronologie des événements
1 événement(s) — page 1/1
Comparaison côte à côte
| Horodatage | Proto | Port | Service | Classification | Sévérité | Risque | Actions |
|---|---|---|---|---|---|---|---|
| TCP | 9200 · ELASTICSEARCH | elasticsearch | Cross-site scripting xss attack · via ELASTICSEARCH:9200 · (tentative d'exploit) · → /_cat/indices | — | Moyen · 63 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
GET /_cat/indices Requête Elasticsearch : /_cat/indices?format=json UA Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (K…
Émulateur
ELASTICSEARCH
WAF
23
Recommandation
Investiguer
Tags
Cible HTTP
GET
/_cat/indices
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
9200
Chemin / cible
/_cat/indices
Service
ELASTICSEARCH
Pourquoi cette classification : Type « xss_attack » (signaux protocolaires) · confiance 59%
Confiance classification
59%
Risque capteur
Moyen
· 63
Confiance : Confiance 59 % — Motif catalogue confirmé · 4 tag(s) WAF
Protocole émulé
1
Signaux
pat-0284
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 941130
ES cat indices
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/135.0.0.0 Safari/537.36
Règles WAF
rce-0
nosqli-3
elastic-cat
Payload (extrait)
GET /_cat/indices?format=json HTTP/1.1 Host: 62.3.50.33:9200 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit
Requête brute (extrait)
GET /_cat/indices?format=json HTTP/1.1 Host: 62.3.50.33:9200 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/135.0.0.0 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/ |
|||||||