Profil de menace
Activité suspecte · risque 33/100
Activité suspecte · risque 33/100
Synthèse décisionnelle honeypot — seuil de listing maintenu à 1 événement qualifié.
Type « weblogic_probe » (signaux protocolaires) · confiance 77%
Confiance 85 % — Score WAF 8 · Bonus corrélation +8
ASN 212238 · 187.15.133.0/24 · RIPENCC — 8 pair(s) ASN/FAI listé(s) — activité locale élevée vs pairs · 318 événements sur la période pour cette IP.
Même FAI Datacamp Limited — corrélation indicative.
Cette IP touche plusieurs services simulés (pas seulement le web).
Origine réseau déclarée
Opérateur et dernière activité ban
Score capteur — surveiller, investiguer ou bloquer.
Les dates De/À priment sur la période. Affinez protocole, port, service et classification.
318 événements filtrés — activité quotidienne
Top ports ciblés sur les dernières 24 heures
SSH 22, RDP 3389, HTTP alternatifs…
Web, SSH, SAP, scans…
Intensité par jour et heure (UTC capteur)
318 événement(s) — page 1/7
| Horodatage | Proto | Port | Service | Classification | Sévérité | Risque | Actions |
|---|---|---|---|---|---|---|---|
| TCP | 7001 · WEBLOGIC | weblogic | weblogic probe weblogic probe · via WEBLOGIC:7001 · (sonde / probe) | Élevée | Faible · 33 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
TA0007
TA0007
TA0001
Protocole
Émulateur
WEBLOGIC
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
7001
Chemin / cible
—
Service
WEBLOGIC
Payload
GIOP
Pourquoi cette classification : Type « weblogic_probe » (signaux protocolaires) · confiance 77%
Confiance classification
85%
Corrélation +8
Risque capteur
Faible
· 33
Confiance : Confiance 77 % — 2 signal(aux) capteur
Protocole émulé
1
Signaux
Weblogic Console
Upstream
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
User-Agent
—
Règles WAF
—
Payload (extrait)
GIOP |
|||||||
| TCP | 7001 · WEBLOGIC | weblogic | weblogic probe weblogic probe · via WEBLOGIC:7001 · (sonde / probe) | Élevée | Faible · 33 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
TA0007
TA0007
TA0001
Protocole
Émulateur
WEBLOGIC
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
7001
Chemin / cible
—
Service
WEBLOGIC
Payload
t3 12.2.1\nAS:255\nHL:19\nMS:10000000\nPU:t3://localhost:7001\nLP:DOMAIN\n\n
Pourquoi cette classification : Type « weblogic_probe » (signaux protocolaires) · confiance 77%
Confiance classification
85%
Corrélation +8
Risque capteur
Faible
· 33
Confiance : Confiance 77 % — 2 signal(aux) capteur
Protocole émulé
1
Signaux
Weblogic Console
Upstream
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
LFI Double-dot bypass
User-Agent
—
Règles WAF
—
Payload (extrait)
t3 12.2.1\nAS:255\nHL:19\nMS:10000000\nPU:t3://localhost:7001\nLP:DOMAIN\n\n |
|||||||
| TCP | 7001 · HTTP | http | Sonde port 7001/TCP port 7001 tcp · via HTTP:7001 · (sonde / probe) · → /index.html | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
TA0007
TA0007
TA0001
Protocole
GET /index.html UA curl/8.18.0
Émulateur
HTTP
WAF
3
Recommandation
Surveiller
Tags
Cible HTTP
GET
/index.html
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
7001
Chemin / cible
/index.html
Preuve honeypot — Sonde port 7001/TCP
Connexion détectée sur le port 7001 (TCP) du capteur simulé.
Service
HTTP
Pourquoi cette classification : Type « port_7001_tcp » (signaux protocolaires) · confiance 55%
Confiance classification
63%
Corrélation +8
Risque capteur
Faible
· 38
Confiance : Confiance 55 % — Classification nommée non retenue — preuves insuffisantes · 1 tag(s) WAF
Protocole émulé
1
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
curl/8.18.0
Règles WAF
scanner-ua
Payload (extrait)
GET /index.html HTTP/1.1 Host: 62.3.50.33:7001 User-Agent: curl/8.18.0 Accept: */* |
|||||||
| TCP | 7001 · HTTP | http | Traversal LFI lfi path traversal · via HTTP:7001 · (tentative d'exploit) · → /etc/passwd | Élevée | Moyen · 57 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1083
TA0001
TA0002
Protocole
GET /etc/passwd UA curl/8.18.0
Émulateur
HTTP
WAF
17
Recommandation
Investiguer
Tags
Cible HTTP
GET
/etc/passwd
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
7001
Chemin / cible
/etc/passwd
Service
HTTP
Pourquoi cette classification : Sonde fichier sensible / config · confiance 100%
Confiance classification
100%
Corrélation +8
Risque capteur
Moyen
· 57
Confiance : Confiance 100 % — Motif catalogue confirmé · 3 tag(s) WAF
Protocole émulé
1
Signaux
MITRE-T1083
pat-0716
pat-0802
pat-0137
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 930160 etc passwd
MITRE T1083 file enum
LFI path /etc/passwd
Ligne de requête
User-Agent
curl/8.18.0
Règles WAF
lfi-1
nosqli-3
scanner-ua
Payload (extrait)
GET /etc/passwd HTTP/1.1 Host: 62.3.50.33:7001 User-Agent: curl/8.18.0 Accept: */* |
|||||||
| TCP | 7001 · HTTP | http | Sonde port 7001/TCP port 7001 tcp · via HTTP:7001 · (sonde / probe) · → /xyzzy123nonexistent | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
TA0007
TA0007
TA0001
Protocole
GET /xyzzy123nonexistent UA curl/8.18.0
Émulateur
HTTP
WAF
3
Recommandation
Surveiller
Tags
Cible HTTP
GET
/xyzzy123nonexistent
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
7001
Chemin / cible
/xyzzy123nonexistent
Preuve honeypot — Sonde port 7001/TCP
Connexion détectée sur le port 7001 (TCP) du capteur simulé.
Service
HTTP
Pourquoi cette classification : Type « port_7001_tcp » (signaux protocolaires) · confiance 55%
Confiance classification
63%
Corrélation +8
Risque capteur
Faible
· 38
Confiance : Confiance 55 % — Classification nommée non retenue — preuves insuffisantes · 1 tag(s) WAF
Protocole émulé
1
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
curl/8.18.0
Règles WAF
scanner-ua
Payload (extrait)
GET /xyzzy123nonexistent HTTP/1.1 Host: 62.3.50.33:7001 User-Agent: curl/8.18.0 Accept: */* |
|||||||
| TCP | 7001 · HTTP | http | Sonde port 7001/TCP port 7001 tcp · via HTTP:7001 · (sonde / probe) · → /ws_utc/begin.do | Élevée | Moyen · 40 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
TA0007
TA0007
TA0001
Protocole
GET /ws_utc/begin.do UA curl/8.18.0
Émulateur
HTTP
WAF
9
Recommandation
Surveiller
Tags
Cible HTTP
GET
/ws_utc/begin.do
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
7001
Chemin / cible
/ws_utc/begin.do
Preuve honeypot — Sonde port 7001/TCP
Connexion détectée sur le port 7001 (TCP) du capteur simulé.
Service
HTTP
Pourquoi cette classification : Type « port_7001_tcp » (signaux protocolaires) · confiance 55%
Confiance classification
63%
Corrélation +8
Risque capteur
Moyen
· 40
Confiance : Confiance 55 % — Classification nommée non retenue — preuves insuffisantes · 2 tag(s) WAF
Protocole émulé
1
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
curl/8.18.0
Règles WAF
nosqli-3
scanner-ua
Payload (extrait)
GET /ws_utc/begin.do HTTP/1.1 Host: 62.3.50.33:7001 User-Agent: curl/8.18.0 Accept: */* |
|||||||
| TCP | 7001 · HTTP | http | Scan de ports port scan syn · via HTTP:7001 · (reconnaissance) · → /bea_wls_internal/ | Élevée | Moyen · 43 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1046
TA0043
Protocole
GET /bea_wls_internal/ UA curl/8.18.0
Émulateur
HTTP
WAF
9
Recommandation
Surveiller
Tags
Cible HTTP
GET
/bea_wls_internal/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
7001
Chemin / cible
/bea_wls_internal/
Service
HTTP
Pourquoi cette classification : Type « port_scan_syn » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Corrélation +14
Risque capteur
Moyen
· 43
Confiance : Confiance 100 % — 2 tag(s) WAF
Protocole émulé
1
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Scan Burst
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Ligne de requête
User-Agent
curl/8.18.0
Règles WAF
nosqli-3
scanner-ua
Payload (extrait)
GET /bea_wls_internal/ HTTP/1.1 Host: 62.3.50.33:7001 User-Agent: curl/8.18.0 Accept: */* |
|||||||
| TCP | 7001 · HTTP | http | Scan de ports port scan syn · via HTTP:7001 · (reconnaissance) · → /_async/AsyncResponseService | Élevée | Moyen · 43 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1046
TA0043
Protocole
GET /_async/AsyncResponseService UA curl/8.18.0
Émulateur
HTTP
WAF
9
Recommandation
Surveiller
Tags
Cible HTTP
GET
/_async/AsyncResponseService
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
7001
Chemin / cible
/_async/AsyncResponseService
Service
HTTP
Pourquoi cette classification : Type « port_scan_syn » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Corrélation +14
Risque capteur
Moyen
· 43
Confiance : Confiance 100 % — 2 tag(s) WAF
Protocole émulé
1
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Scan Burst
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Motifs de détection (base)
CVE-2019-2725 WebLogic CVE-2019-2725
Ligne de requête
User-Agent
curl/8.18.0
Règles WAF
nosqli-3
scanner-ua
Payload (extrait)
GET /_async/AsyncResponseService HTTP/1.1 Host: 62.3.50.33:7001 User-Agent: curl/8.18.0 Accept: */* |
|||||||
| TCP | 7001 · HTTP | http | Scan de ports port scan syn · via HTTP:7001 · (reconnaissance) · → /wls-wsat/CoordinatorPortType | Élevée | Moyen · 43 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1046
TA0043
Protocole
GET /wls-wsat/CoordinatorPortType UA curl/8.18.0
Émulateur
HTTP
WAF
9
Recommandation
Surveiller
Tags
Cible HTTP
GET
/wls-wsat/CoordinatorPortType
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
7001
Chemin / cible
/wls-wsat/CoordinatorPortType
Service
HTTP
Pourquoi cette classification : Type « port_scan_syn » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Corrélation +14
Risque capteur
Moyen
· 43
Confiance : Confiance 100 % — 2 tag(s) WAF
Protocole émulé
1
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Scan Burst
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Motifs de détection (base)
WebLogic wls-wsat
Ligne de requête
User-Agent
curl/8.18.0
Règles WAF
nosqli-3
scanner-ua
Payload (extrait)
GET /wls-wsat/CoordinatorPortType HTTP/1.1 Host: 62.3.50.33:7001 User-Agent: curl/8.18.0 Accept: */* |
|||||||
| TCP | 7001 · HTTP | http | Scan de ports port scan syn · via HTTP:7001 · (reconnaissance) · → /console/login/LoginForm.jsp | Élevée | Moyen · 43 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1046
TA0043
Protocole
GET /console/login/LoginForm.jsp UA curl/8.18.0
Émulateur
HTTP
WAF
9
Recommandation
Surveiller
Tags
Cible HTTP
GET
/console/login/LoginForm.jsp
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
7001
Chemin / cible
/console/login/LoginForm.jsp
Service
HTTP
Pourquoi cette classification : Sonde fichier sensible / config · confiance 100%
Confiance classification
100%
Corrélation +14
Risque capteur
Moyen
· 43
Confiance : Confiance 100 % — 2 tag(s) WAF
Protocole émulé
1
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Scan Burst
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Motifs de détection (base)
ET WebLogic console
WebLogic console path
WebLogic cluster
Probe /console/
Ligne de requête
User-Agent
curl/8.18.0
Règles WAF
nosqli-3
scanner-ua
Payload (extrait)
GET /console/login/LoginForm.jsp HTTP/1.1 Host: 62.3.50.33:7001 User-Agent: curl/8.18.0 Accept: */* |
|||||||
| TCP | 7001 · HTTP | http | Scan de ports port scan syn · via HTTP:7001 · (reconnaissance) | Élevée | Moyen · 42 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1046
TA0043
Protocole
GET / UA curl/8.18.0
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
7001
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « port_scan_syn » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Corrélation +14
Risque capteur
Moyen
· 42
Confiance : Confiance 100 % — 2 tag(s) WAF
Protocole émulé
1
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Scan Burst
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Ligne de requête
User-Agent
curl/8.18.0
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:7001 User-Agent: curl/8.18.0 Accept: */* |
|||||||
| TCP | 7001 · HTTP | http | Scan de ports port scan syn · via HTTP:7001 · (reconnaissance) · → /_async/AsyncResponseService | Élevée | Moyen · 43 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1046
TA0043
Protocole
GET /_async/AsyncResponseService UA curl/8.18.0
Émulateur
HTTP
WAF
9
Recommandation
Surveiller
Tags
Cible HTTP
GET
/_async/AsyncResponseService
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
7001
Chemin / cible
/_async/AsyncResponseService
Service
HTTP
Pourquoi cette classification : Type « port_scan_syn » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Corrélation +14
Risque capteur
Moyen
· 43
Confiance : Confiance 100 % — 2 tag(s) WAF
Protocole émulé
1
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Scan Burst
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Motifs de détection (base)
CVE-2019-2725 WebLogic CVE-2019-2725
Ligne de requête
User-Agent
curl/8.18.0
Règles WAF
nosqli-3
scanner-ua
Payload (extrait)
GET /_async/AsyncResponseService HTTP/1.1 Host: 62.3.50.33:7001 User-Agent: curl/8.18.0 Accept: */* |
|||||||
| TCP | 7001 · HTTP | http | Scan de ports port scan syn · via HTTP:7001 · (reconnaissance) · → /wls-wsat/CoordinatorPortType | Élevée | Moyen · 43 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1046
TA0043
Protocole
GET /wls-wsat/CoordinatorPortType UA curl/8.18.0
Émulateur
HTTP
WAF
9
Recommandation
Surveiller
Tags
Cible HTTP
GET
/wls-wsat/CoordinatorPortType
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
7001
Chemin / cible
/wls-wsat/CoordinatorPortType
Service
HTTP
Pourquoi cette classification : Type « port_scan_syn » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Corrélation +14
Risque capteur
Moyen
· 43
Confiance : Confiance 100 % — 2 tag(s) WAF
Protocole émulé
1
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Scan Burst
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Motifs de détection (base)
WebLogic wls-wsat
Ligne de requête
User-Agent
curl/8.18.0
Règles WAF
nosqli-3
scanner-ua
Payload (extrait)
GET /wls-wsat/CoordinatorPortType HTTP/1.1 Host: 62.3.50.33:7001 User-Agent: curl/8.18.0 Accept: */* |
|||||||
| TCP | 7001 · HTTP | http | Scan de ports port scan syn · via HTTP:7001 · (reconnaissance) · → /console/login/LoginForm.jsp | Élevée | Moyen · 43 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1046
TA0043
Protocole
GET /console/login/LoginForm.jsp UA curl/8.18.0
Émulateur
HTTP
WAF
9
Recommandation
Surveiller
Tags
Cible HTTP
GET
/console/login/LoginForm.jsp
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
7001
Chemin / cible
/console/login/LoginForm.jsp
Service
HTTP
Pourquoi cette classification : Sonde fichier sensible / config · confiance 100%
Confiance classification
100%
Corrélation +14
Risque capteur
Moyen
· 43
Confiance : Confiance 100 % — 2 tag(s) WAF
Protocole émulé
1
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Scan Burst
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Motifs de détection (base)
ET WebLogic console
WebLogic console path
WebLogic cluster
Probe /console/
Ligne de requête
User-Agent
curl/8.18.0
Règles WAF
nosqli-3
scanner-ua
Payload (extrait)
GET /console/login/LoginForm.jsp HTTP/1.1 Host: 62.3.50.33:7001 User-Agent: curl/8.18.0 Accept: */* |
|||||||
| TCP | 8080 · HTTP | http | Scan de ports port scan syn · via HTTP:8080 · (reconnaissance) | Élevée | Moyen · 42 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1046
TA0043
Protocole
GET /
Émulateur
HTTP
WAF
3
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8080
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Tags WAF: sap-sapcontrol-path · confiance 100%
Confiance classification
100%
Corrélation +18
Risque capteur
Moyen
· 42
Confiance : Confiance 100 % — 1 tag(s) WAF
Protocole émulé
1
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Scan Burst
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Ligne de requête
User-Agent
—
Règles WAF
sap-sapcontrol-path
Payload (extrait)
GET / HTTP/1.1 Host: ip-62-3-50-33.v4.isp.servpersosystems.net |
|||||||
| TCP | 81 · HTTP | http | Scan de ports port scan syn · via HTTP:81 · (reconnaissance) | Élevée | Moyen · 42 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1046
TA0043
Protocole
GET /
Émulateur
HTTP
WAF
3
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
81
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Tags WAF: sap-sapcontrol-path · confiance 100%
Confiance classification
100%
Corrélation +18
Risque capteur
Moyen
· 42
Confiance : Confiance 100 % — 1 tag(s) WAF
Protocole émulé
1
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Scan Burst
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Ligne de requête
User-Agent
—
Règles WAF
sap-sapcontrol-path
Payload (extrait)
GET / HTTP/1.1 Host: ip-62-3-50-33.v4.isp.servpersosystems.net |
|||||||
| TCP | 199 · HTTP | http | Scan de ports port scan syn · via HTTP:199 · (reconnaissance) | Élevée | Moyen · 42 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1046
TA0043
Protocole
GET /
Émulateur
HTTP
WAF
3
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
199
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Tags WAF: sap-sapcontrol-path · confiance 100%
Confiance classification
100%
Corrélation +18
Risque capteur
Moyen
· 42
Confiance : Confiance 100 % — 1 tag(s) WAF
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Scan Burst
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Ligne de requête
User-Agent
—
Règles WAF
sap-sapcontrol-path
Payload (extrait)
GET / HTTP/1.1 Host: ip-62-3-50-33.v4.isp.servpersosystems.net |
|||||||
| TCP | 1720 · HTTP | http | Scan de ports port scan syn · via HTTP:1720 · (reconnaissance) | Élevée | Moyen · 42 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1046
TA0043
Protocole
GET /
Émulateur
HTTP
WAF
3
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
1720
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Tags WAF: sap-sapcontrol-path · confiance 100%
Confiance classification
100%
Corrélation +18
Risque capteur
Moyen
· 42
Confiance : Confiance 100 % — 1 tag(s) WAF
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Scan Burst
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Ligne de requête
User-Agent
—
Règles WAF
sap-sapcontrol-path
Payload (extrait)
GET / HTTP/1.1 Host: ip-62-3-50-33.v4.isp.servpersosystems.net |
|||||||
| TCP | 8888 · HTTP | http | Scan de ports port scan syn · via HTTP:8888 · (reconnaissance) | Élevée | Moyen · 42 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1046
TA0043
Protocole
GET /
Émulateur
HTTP
WAF
3
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8888
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Tags WAF: sap-sapcontrol-path · confiance 100%
Confiance classification
100%
Corrélation +18
Risque capteur
Moyen
· 42
Confiance : Confiance 100 % — 1 tag(s) WAF
Protocole émulé
1
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Scan Burst
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Motifs de détection (base)
HTTP alt 8888 probe
Ligne de requête
User-Agent
—
Règles WAF
sap-sapcontrol-path
Payload (extrait)
GET / HTTP/1.1 Host: ip-62-3-50-33.v4.isp.servpersosystems.net |
|||||||
| TCP | 111 · RPCBIND | rpcbind | Scan de ports port scan syn · via RPCBIND:111 · (reconnaissance) | Élevée | Moyen · 42 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1046
TA0043
Protocole
Émulateur
RPCBIND
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
111
Chemin / cible
—
Service
RPCBIND
Payload
� (R� ���35
Pourquoi cette classification : Type « port_scan_syn » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Corrélation +18
Risque capteur
Moyen
· 42
Confiance : Confiance 100 % — 2 signal(aux) capteur
Protocole émulé
1
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Scan Burst
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Motifs de détection (base)
NFS RPC mount
Mumble ping
Minecraft varint handshake
TFTP RRQ
User-Agent
—
Règles WAF
—
Payload (extrait)
� (R� ���35 |
|||||||
| TCP | 111 · RPCBIND | rpcbind | Scan de ports port scan syn · via RPCBIND:111 · (reconnaissance) | Élevée | Moyen · 42 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1046
TA0043
Protocole
Émulateur
RPCBIND
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
111
Chemin / cible
—
Service
RPCBIND
Payload
� (Z� ���N�
Pourquoi cette classification : Type « port_scan_syn » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Corrélation +18
Risque capteur
Moyen
· 42
Confiance : Confiance 100 % — 2 signal(aux) capteur
Protocole émulé
1
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Scan Burst
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Motifs de détection (base)
NFS RPC mount
Mumble ping
Minecraft varint handshake
TFTP RRQ
User-Agent
—
Règles WAF
—
Payload (extrait)
� (Z� ���N� |
|||||||
| TCP | 1025 · TERADATA | teradata | Scan de ports port scan syn · via TERADATA:1025 · (reconnaissance) | Élevée | Moyen · 42 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1046
TA0043
Protocole
Émulateur
TERADATA
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
1025
Chemin / cible
—
Service
TERADATA
Payload
� (F�2� ��
Pourquoi cette classification : Type « port_scan_syn » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Corrélation +18
Risque capteur
Moyen
· 42
Confiance : Confiance 100 % — 4 signal(aux) capteur
Protocole émulé
1
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Scan Burst
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Motifs de détection (base)
NFS RPC mount
Mumble ping
Minecraft varint handshake
TFTP RRQ
User-Agent
—
Règles WAF
—
Payload (extrait)
� (F�2� �� |
|||||||
| TCP | 445 · SMB | smb | Scan de ports port scan syn · via SMB:445 · (reconnaissance) | Élevée | Moyen · 42 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1046
TA0043
Protocole
Émulateur
SMB
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
445
Chemin / cible
—
Service
SMB
Payload
� (:�@ ��
Pourquoi cette classification : Rafale d'authentification SSH · confiance 100%
Confiance classification
100%
Corrélation +18
Risque capteur
Moyen
· 42
Confiance : Confiance 100 % — 4 signal(aux) capteur
Protocole émulé
1
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Scan Burst
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Motifs de détection (base)
NFS RPC mount
Mumble ping
Minecraft varint handshake
TFTP RRQ
User-Agent
—
Règles WAF
—
Payload (extrait)
� (:�@ �� |
|||||||
| TCP | 6001 · X11 | x11 | Scan de ports port scan syn · via X11:6001 · (reconnaissance) | Élevée | Moyen · 42 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1046
TA0043
Protocole
Émulateur
X11
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
6001
Chemin / cible
—
Service
X11
Payload
� ( J\� ��
Pourquoi cette classification : Type « port_scan_syn » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Corrélation +18
Risque capteur
Moyen
· 42
Confiance : Confiance 100 % — 2 signal(aux) capteur
Protocole émulé
1
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Scan Burst
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Motifs de détection (base)
NFS RPC mount
Mumble ping
Minecraft varint handshake
TFTP RRQ
User-Agent
—
Règles WAF
—
Payload (extrait)
� ( J\� �� |
|||||||
| TCP | 135 · MSRPC | msrpc | Scan de ports port scan syn · via MSRPC:135 · (reconnaissance) | Élevée | Moyen · 42 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1046
TA0043
Protocole
Émulateur
MSRPC
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
135
Chemin / cible
—
Service
MSRPC
Payload
� (z� ��
Pourquoi cette classification : Type « port_scan_syn » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Corrélation +18
Risque capteur
Moyen
· 42
Confiance : Confiance 100 % — 2 signal(aux) capteur
Protocole émulé
1
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Scan Burst
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Motifs de détection (base)
NFS RPC mount
Mumble ping
Minecraft varint handshake
TFTP RRQ
User-Agent
—
Règles WAF
—
Payload (extrait)
� (z� �� |
|||||||
| TCP | 1723 · PPTP | pptp | Scan de ports port scan syn · via PPTP:1723 · (reconnaissance) | Élevée | Moyen · 42 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1046
TA0043
Protocole
Émulateur
PPTP
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
1723
Chemin / cible
—
Service
PPTP
Payload
� (3tB� ��
Pourquoi cette classification : Type « port_scan_syn » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Corrélation +18
Risque capteur
Moyen
· 42
Confiance : Confiance 100 % — 4 signal(aux) capteur
Protocole émulé
1
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Scan Burst
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Motifs de détection (base)
NFS RPC mount
Mumble ping
Minecraft varint handshake
TFTP RRQ
User-Agent
—
Règles WAF
—
Payload (extrait)
� (3tB� �� |
|||||||
| TCP | 8888 · HTTP | http | Scan de ports port scan syn · via HTTP:8888 · (reconnaissance) | Élevée | Moyen · 42 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1046
TA0043
Protocole
GET /
Émulateur
HTTP
WAF
3
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8888
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Tags WAF: sap-sapcontrol-path · confiance 100%
Confiance classification
100%
Corrélation +18
Risque capteur
Moyen
· 42
Confiance : Confiance 100 % — 1 tag(s) WAF
Protocole émulé
1
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Scan Burst
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Motifs de détection (base)
HTTP alt 8888 probe
Ligne de requête
User-Agent
—
Règles WAF
sap-sapcontrol-path
Payload (extrait)
GET / HTTP/1.0 |
|||||||
| TCP | 111 · RPCBIND | rpcbind | Scan de ports port scan syn · via RPCBIND:111 · (reconnaissance) | Élevée | Moyen · 42 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1046
TA0043
Protocole
Émulateur
RPCBIND
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
111
Chemin / cible
—
Service
RPCBIND
Payload
� (p�� �� �
Pourquoi cette classification : Type « port_scan_syn » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Corrélation +18
Risque capteur
Moyen
· 42
Confiance : Confiance 100 % — 2 signal(aux) capteur
Protocole émulé
1
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Scan Burst
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Motifs de détection (base)
NFS RPC mount
Mumble ping
Minecraft varint handshake
TFTP RRQ
User-Agent
—
Règles WAF
—
Payload (extrait)
� (p�� �� � |
|||||||
| TCP | 111 · RPCBIND | rpcbind | Scan de ports port scan syn · via RPCBIND:111 · (reconnaissance) | Élevée | Moyen · 42 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1046
TA0043
Protocole
Émulateur
RPCBIND
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
111
Chemin / cible
—
Service
RPCBIND
Payload
� (�=� ��.hG
Pourquoi cette classification : Type « port_scan_syn » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Corrélation +18
Risque capteur
Moyen
· 42
Confiance : Confiance 100 % — 2 signal(aux) capteur
Protocole émulé
1
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Scan Burst
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Motifs de détection (base)
NFS RPC mount
Mumble ping
Minecraft varint handshake
TFTP RRQ
User-Agent
—
Règles WAF
—
Payload (extrait)
� (�=� ��.hG |
|||||||
| TCP | 548 · AFP | afp | Scan de ports port scan syn · via AFP:548 · (reconnaissance) | Élevée | Moyen · 42 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1046
TA0043
Protocole
Émulateur
AFP
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
548
Chemin / cible
—
Service
AFP
Payload
� ([d� ��
Pourquoi cette classification : Type « port_scan_syn » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Corrélation +18
Risque capteur
Moyen
· 42
Confiance : Confiance 100 % — 4 signal(aux) capteur
Protocole émulé
1
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Scan Burst
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Motifs de détection (base)
NFS RPC mount
Mumble ping
Minecraft varint handshake
TFTP RRQ
User-Agent
—
Règles WAF
—
Payload (extrait)
� ([d� �� |
|||||||
| TCP | 8080 · HTTP | http | Scan vulnérabilités scanner vuln · via HTTP:8080 · (sonde / probe) · → /Nmap/folder/check1784352718 | Élevée | Moyen · 60 |
|
|
|
Étape
Sonde / probe
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1595
TA0007
TA0001
Protocole
GET /Nmap/folder/check1784352718 UA Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.or…
Émulateur
HTTP
WAF
28
Recommandation
Investiguer
Tags
Cible HTTP
GET
/Nmap/folder/check1784352718
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8080
Chemin / cible
/Nmap/folder/check1784352718
Service
HTTP
Pourquoi cette classification : Type « scanner_vuln » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Corrélation +18
Risque capteur
Moyen
· 60
Confiance : Confiance 100 % — Motif catalogue confirmé · 5 tag(s) WAF
Protocole émulé
1
Signaux
ET-SCAN-Nmap
SIGMA-web-scanner-ua
pat-0805
pat-0425
Technique MITRE
T1595
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
MITRE T1046 network scan
LFI Double-dot bypass
UA Nmap Scripting Engine
UA nmap
Sigma nmap UA
Ligne de requête
User-Agent
Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.org/book/nse.html)
Règles WAF
rce-0
ssrf-3
nosqli-3
scanner-ua
Payload (extrait)
GET /Nmap/folder/check1784352718 HTTP/1.1 Host: ip-62-3-50-33.v4.isp.servpersosystems.net:8080 Connection: close User-Agent:
Requête brute (extrait)
GET /Nmap/folder/check1784352718 HTTP/1.1 Host: ip-62-3-50-33.v4.isp.servpersosystems.net:8080 Connection: close User-Agent: Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.org/book/nse.html) |
|||||||
| TCP | 111 · RPCBIND | rpcbind | Scan de ports port scan syn · via RPCBIND:111 · (reconnaissance) | Élevée | Moyen · 42 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1046
TA0043
Protocole
Émulateur
RPCBIND
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
111
Chemin / cible
—
Service
RPCBIND
Payload
� ( �?V ��
Pourquoi cette classification : Type « port_scan_syn » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Corrélation +18
Risque capteur
Moyen
· 42
Confiance : Confiance 100 % — 2 signal(aux) capteur
Protocole émulé
1
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Scan Burst
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Motifs de détection (base)
NFS RPC mount
Mumble ping
Minecraft varint handshake
TFTP RRQ
User-Agent
—
Règles WAF
—
Payload (extrait)
� ( �?V �� |
|||||||
| TCP | 8888 · HTTP | http | Scan vulnérabilités scanner vuln · via HTTP:8888 · (sonde / probe) · → /NmapUpperCheck1784352718 | Élevée | Moyen · 59 |
|
|
|
Étape
Sonde / probe
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1595
TA0007
TA0001
Protocole
GET /NmapUpperCheck1784352718 UA Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.or…
Émulateur
HTTP
WAF
22
Recommandation
Investiguer
Tags
Cible HTTP
GET
/NmapUpperCheck1784352718
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8888
Chemin / cible
/NmapUpperCheck1784352718
Service
HTTP
Pourquoi cette classification : Type « scanner_vuln » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Corrélation +18
Risque capteur
Moyen
· 59
Confiance : Confiance 100 % — Motif catalogue confirmé · 4 tag(s) WAF
Protocole émulé
1
Signaux
ET-SCAN-Nmap
SIGMA-web-scanner-ua
pat-0805
pat-0425
Technique MITRE
T1595
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
MITRE T1046 network scan
LFI Double-dot bypass
UA Nmap Scripting Engine
UA nmap
Sigma nmap UA
HTTP alt 8888 probe
Ligne de requête
User-Agent
Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.org/book/nse.html)
Règles WAF
rce-0
ssrf-3
nosqli-3
scanner-ua
Payload (extrait)
GET /NmapUpperCheck1784352718 HTTP/1.1 Host: ip-62-3-50-33.v4.isp.servpersosystems.net:8888 Connection: close User-Agent: Moz
Requête brute (extrait)
GET /NmapUpperCheck1784352718 HTTP/1.1 Host: ip-62-3-50-33.v4.isp.servpersosystems.net:8888 Connection: close User-Agent: Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.org/book/nse.html) |
|||||||
| TCP | 81 · HTTP | http | Scan vulnérabilités scanner vuln · via HTTP:81 · (sonde / probe) · → /NmapUpperCheck1784352718 | Élevée | Moyen · 59 |
|
|
|
Étape
Sonde / probe
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1595
TA0007
TA0001
Protocole
GET /NmapUpperCheck1784352718 UA Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.or…
Émulateur
HTTP
WAF
22
Recommandation
Investiguer
Tags
Cible HTTP
GET
/NmapUpperCheck1784352718
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
81
Chemin / cible
/NmapUpperCheck1784352718
Service
HTTP
Pourquoi cette classification : Type « scanner_vuln » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Corrélation +18
Risque capteur
Moyen
· 59
Confiance : Confiance 100 % — Motif catalogue confirmé · 4 tag(s) WAF
Protocole émulé
1
Signaux
ET-SCAN-Nmap
SIGMA-web-scanner-ua
pat-0805
pat-0425
Technique MITRE
T1595
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
MITRE T1046 network scan
LFI Double-dot bypass
UA Nmap Scripting Engine
UA nmap
Sigma nmap UA
Ligne de requête
User-Agent
Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.org/book/nse.html)
Règles WAF
rce-0
ssrf-3
nosqli-3
scanner-ua
Payload (extrait)
GET /NmapUpperCheck1784352718 HTTP/1.1 Host: ip-62-3-50-33.v4.isp.servpersosystems.net:81 Connection: close User-Agent: Mozil
Requête brute (extrait)
GET /NmapUpperCheck1784352718 HTTP/1.1 Host: ip-62-3-50-33.v4.isp.servpersosystems.net:81 Connection: close User-Agent: Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.org/book/nse.html) |
|||||||
| TCP | 1720 · HTTP | http | Scan de ports port scan syn · via HTTP:1720 · (reconnaissance) · → /evox/about | Élevée | Moyen · 60 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1046
TA0043
Protocole
GET /evox/about UA Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.or…
Émulateur
HTTP
WAF
28
Recommandation
Investiguer
Tags
Cible HTTP
GET
/evox/about
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
1720
Chemin / cible
/evox/about
Service
HTTP
Pourquoi cette classification : Type « port_scan_syn » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Corrélation +18
Risque capteur
Moyen
· 60
Confiance : Confiance 100 % — 5 tag(s) WAF
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Scan Burst
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Motifs de détection (base)
LFI Double-dot bypass
Probe /evox/about
UA Nmap Scripting Engine
UA nmap
Sigma nmap UA
Ligne de requête
User-Agent
Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.org/book/nse.html)
Règles WAF
rce-0
ssrf-3
nosqli-3
scanner-ua
Payload (extrait)
GET /evox/about HTTP/1.1 Host: ip-62-3-50-33.v4.isp.servpersosystems.net:1720 Connection: close User-Agent: Mozilla/5.0 (comp
Requête brute (extrait)
GET /evox/about HTTP/1.1 Host: ip-62-3-50-33.v4.isp.servpersosystems.net:1720 Connection: close User-Agent: Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.org/book/nse.html) |
|||||||
| TCP | 1720 · HTTP | http | Scan de ports port scan syn · via HTTP:1720 · (reconnaissance) · → /HNAP1 | Élevée | Moyen · 59 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1046
TA0043
Protocole
GET /HNAP1 UA Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.or…
Émulateur
HTTP
WAF
22
Recommandation
Investiguer
Tags
Cible HTTP
GET
/HNAP1
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
1720
Chemin / cible
/HNAP1
Service
HTTP
Pourquoi cette classification : Type « port_scan_syn » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Corrélation +18
Risque capteur
Moyen
· 59
Confiance : Confiance 100 % — 4 tag(s) WAF
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Scan Burst
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Motifs de détection (base)
LFI Double-dot bypass
UA Nmap Scripting Engine
UA nmap
Sigma nmap UA
Ligne de requête
User-Agent
Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.org/book/nse.html)
Règles WAF
rce-0
ssrf-3
nosqli-3
scanner-ua
Payload (extrait)
GET /HNAP1 HTTP/1.1 Host: ip-62-3-50-33.v4.isp.servpersosystems.net:1720 Connection: close User-Agent: Mozilla/5.0 (compatibl
Requête brute (extrait)
GET /HNAP1 HTTP/1.1 Host: ip-62-3-50-33.v4.isp.servpersosystems.net:1720 Connection: close User-Agent: Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.org/book/nse.html) |
|||||||
| TCP | 199 · HTTP | http | Scan de ports port scan syn · via HTTP:199 · (reconnaissance) · → /HNAP1 | Élevée | Moyen · 58 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1046
TA0043
Protocole
GET /HNAP1 UA Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.or…
Émulateur
HTTP
WAF
22
Recommandation
Investiguer
Tags
Cible HTTP
GET
/HNAP1
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
199
Chemin / cible
/HNAP1
Service
HTTP
Pourquoi cette classification : Type « port_scan_syn » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Corrélation +18
Risque capteur
Moyen
· 58
Confiance : Confiance 100 % — 4 tag(s) WAF
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Scan Burst
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Motifs de détection (base)
LFI Double-dot bypass
UA Nmap Scripting Engine
UA nmap
Sigma nmap UA
Ligne de requête
User-Agent
Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.org/book/nse.html)
Règles WAF
rce-0
ssrf-3
nosqli-3
scanner-ua
Payload (extrait)
GET /HNAP1 HTTP/1.1 Host: ip-62-3-50-33.v4.isp.servpersosystems.net:199 Connection: close User-Agent: Mozilla/5.0 (compatible
Requête brute (extrait)
GET /HNAP1 HTTP/1.1 Host: ip-62-3-50-33.v4.isp.servpersosystems.net:199 Connection: close User-Agent: Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.org/book/nse.html) |
|||||||
| TCP | 199 · HTTP | http | Scan de ports port scan syn · via HTTP:199 · (reconnaissance) · → /evox/about | Élevée | Moyen · 60 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1046
TA0043
Protocole
GET /evox/about UA Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.or…
Émulateur
HTTP
WAF
28
Recommandation
Investiguer
Tags
Cible HTTP
GET
/evox/about
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
199
Chemin / cible
/evox/about
Service
HTTP
Pourquoi cette classification : Type « port_scan_syn » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Corrélation +18
Risque capteur
Moyen
· 60
Confiance : Confiance 100 % — 5 tag(s) WAF
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Scan Burst
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Motifs de détection (base)
LFI Double-dot bypass
Probe /evox/about
UA Nmap Scripting Engine
UA nmap
Sigma nmap UA
Ligne de requête
User-Agent
Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.org/book/nse.html)
Règles WAF
rce-0
ssrf-3
nosqli-3
scanner-ua
Payload (extrait)
GET /evox/about HTTP/1.1 Host: ip-62-3-50-33.v4.isp.servpersosystems.net:199 Connection: close User-Agent: Mozilla/5.0 (compa
Requête brute (extrait)
GET /evox/about HTTP/1.1 Host: ip-62-3-50-33.v4.isp.servpersosystems.net:199 Connection: close User-Agent: Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.org/book/nse.html) |
|||||||
| TCP | 8080 · HTTP | http | Scan vulnérabilités scanner vuln · via HTTP:8080 · (sonde / probe) · → /NmapUpperCheck1784352718 | Élevée | Moyen · 59 |
|
|
|
Étape
Sonde / probe
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1595
TA0007
TA0001
Protocole
GET /NmapUpperCheck1784352718 UA Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.or…
Émulateur
HTTP
WAF
22
Recommandation
Investiguer
Tags
Cible HTTP
GET
/NmapUpperCheck1784352718
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8080
Chemin / cible
/NmapUpperCheck1784352718
Service
HTTP
Pourquoi cette classification : Type « scanner_vuln » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Corrélation +18
Risque capteur
Moyen
· 59
Confiance : Confiance 100 % — Motif catalogue confirmé · 4 tag(s) WAF
Protocole émulé
1
Signaux
ET-SCAN-Nmap
SIGMA-web-scanner-ua
pat-0805
pat-0425
Technique MITRE
T1595
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
MITRE T1046 network scan
LFI Double-dot bypass
UA Nmap Scripting Engine
UA nmap
Sigma nmap UA
Ligne de requête
User-Agent
Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.org/book/nse.html)
Règles WAF
rce-0
ssrf-3
nosqli-3
scanner-ua
Payload (extrait)
GET /NmapUpperCheck1784352718 HTTP/1.1 Host: ip-62-3-50-33.v4.isp.servpersosystems.net:8080 Connection: close User-Agent: Moz
Requête brute (extrait)
GET /NmapUpperCheck1784352718 HTTP/1.1 Host: ip-62-3-50-33.v4.isp.servpersosystems.net:8080 Connection: close User-Agent: Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.org/book/nse.html) |
|||||||
| TCP | 111 · RPCBIND | rpcbind | Scan de ports port scan syn · via RPCBIND:111 · (reconnaissance) | Élevée | Moyen · 42 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1046
TA0043
Protocole
Émulateur
RPCBIND
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
111
Chemin / cible
—
Service
RPCBIND
Payload
� (B�r ��
Pourquoi cette classification : Type « port_scan_syn » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Corrélation +18
Risque capteur
Moyen
· 42
Confiance : Confiance 100 % — 2 signal(aux) capteur
Protocole émulé
1
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Scan Burst
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Motifs de détection (base)
RDP TPKT header
ET H.323 setup
NFS RPC mount
Mumble ping
Minecraft varint handshake
TFTP RRQ
User-Agent
—
Règles WAF
—
Payload (extrait)
� (B�r �� |
|||||||
| TCP | 8888 · HTTP | http | Scan vulnérabilités scanner vuln · via HTTP:8888 · (sonde / probe) · → /Nmap/folder/check1784352718 | Élevée | Moyen · 61 |
|
|
|
Étape
Sonde / probe
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1595
TA0007
TA0001
Protocole
GET /Nmap/folder/check1784352718 UA Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.or…
Émulateur
HTTP
WAF
28
Recommandation
Investiguer
Tags
Cible HTTP
GET
/Nmap/folder/check1784352718
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8888
Chemin / cible
/Nmap/folder/check1784352718
Service
HTTP
Pourquoi cette classification : Type « scanner_vuln » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Corrélation +18
Risque capteur
Moyen
· 61
Confiance : Confiance 100 % — Motif catalogue confirmé · 5 tag(s) WAF
Protocole émulé
1
Signaux
ET-SCAN-Nmap
SIGMA-web-scanner-ua
pat-0805
pat-0425
Technique MITRE
T1595
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
MITRE T1046 network scan
LFI Double-dot bypass
UA Nmap Scripting Engine
UA nmap
Sigma nmap UA
HTTP alt 8888 probe
Ligne de requête
User-Agent
Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.org/book/nse.html)
Règles WAF
rce-0
ssrf-3
nosqli-3
scanner-ua
Payload (extrait)
GET /Nmap/folder/check1784352718 HTTP/1.1 Host: ip-62-3-50-33.v4.isp.servpersosystems.net:8888 Connection: close User-Agent:
Requête brute (extrait)
GET /Nmap/folder/check1784352718 HTTP/1.1 Host: ip-62-3-50-33.v4.isp.servpersosystems.net:8888 Connection: close User-Agent: Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.org/book/nse.html) |
|||||||
| TCP | 81 · HTTP | http | Scan vulnérabilités scanner vuln · via HTTP:81 · (sonde / probe) · → /Nmap/folder/check1784352718 | Élevée | Moyen · 60 |
|
|
|
Étape
Sonde / probe
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1595
TA0007
TA0001
Protocole
GET /Nmap/folder/check1784352718 UA Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.or…
Émulateur
HTTP
WAF
28
Recommandation
Investiguer
Tags
Cible HTTP
GET
/Nmap/folder/check1784352718
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
81
Chemin / cible
/Nmap/folder/check1784352718
Service
HTTP
Pourquoi cette classification : Type « scanner_vuln » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Corrélation +18
Risque capteur
Moyen
· 60
Confiance : Confiance 100 % — Motif catalogue confirmé · 5 tag(s) WAF
Protocole émulé
1
Signaux
ET-SCAN-Nmap
SIGMA-web-scanner-ua
pat-0805
pat-0425
Technique MITRE
T1595
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
MITRE T1046 network scan
LFI Double-dot bypass
UA Nmap Scripting Engine
UA nmap
Sigma nmap UA
Ligne de requête
User-Agent
Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.org/book/nse.html)
Règles WAF
rce-0
ssrf-3
nosqli-3
scanner-ua
Payload (extrait)
GET /Nmap/folder/check1784352718 HTTP/1.1 Host: ip-62-3-50-33.v4.isp.servpersosystems.net:81 Connection: close User-Agent: Mo
Requête brute (extrait)
GET /Nmap/folder/check1784352718 HTTP/1.1 Host: ip-62-3-50-33.v4.isp.servpersosystems.net:81 Connection: close User-Agent: Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.org/book/nse.html) |
|||||||
| TCP | 8888 · HTTP | http | Scan de ports port scan syn · via HTTP:8888 · (reconnaissance) · → /sdk | Élevée | Élevé · 77 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1046
TA0043
TA0001
Protocole
POST /sdk UA Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.or…
Émulateur
HTTP
WAF
48
Recommandation
Investiguer
Tags
Cible HTTP
POST
/sdk
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
8888
Chemin / cible
/sdk
Service
HTTP
Pourquoi cette classification : Motif SSRF · confiance 100%
Confiance classification
100%
Corrélation +14
Risque capteur
Élevé
· 77
Confiance : Confiance 100 % — 8 tag(s) WAF
Protocole émulé
1
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Scan Burst
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
TA0001
Motifs de détection (base)
CRS 921130 duplicate CL
CRS 941130
LFI Double-dot bypass
UA Nmap Scripting Engine
UA nmap
Sigma nmap UA
HTTP alt 8888 probe
Ligne de requête
User-Agent
Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.org/book/nse.html)
Règles WAF
sqli-19
rce-0
ssrf-3
nosqli-3
scanner-ua
Payload (extrait)
POST /sdk HTTP/1.1 Host: ip-62-3-50-33.v4.isp.servpersosystems.net:8888 Content-Length: 441 Connection: close User-Agent: Mo
Requête brute (extrait)
POST /sdk HTTP/1.1 Host: ip-62-3-50-33.v4.isp.servpersosystems.net:8888 Content-Length: 441 Connection: close User-Agent: Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.org/book/nse.html) <soap:Envelope xmlns:xsd="http://www.w3.org/200 |
|||||||
| TCP | 199 · HTTP | http | Scan de ports port scan syn · via HTTP:199 · (reconnaissance) | Faible | Moyen · 42 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1046
TA0043
Protocole
GET /
Émulateur
HTTP
WAF
3
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
199
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Tags WAF: sap-sapcontrol-path · confiance 100%
Confiance classification
100%
Corrélation +18
Risque capteur
Moyen
· 42
Confiance : Confiance 100 % — 1 tag(s) WAF
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Scan Burst
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Ligne de requête
User-Agent
—
Règles WAF
sap-sapcontrol-path
Payload (extrait)
GET / HTTP/1.0 |
|||||||
| TCP | 81 · HTTP | http | Scan vulnérabilités scanner vuln · via HTTP:81 · (sonde / probe) · → /nmaplowercheck1784352718 | Élevée | Moyen · 59 |
|
|
|
Étape
Sonde / probe
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1595
TA0007
TA0001
Protocole
GET /nmaplowercheck1784352718 UA Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.or…
Émulateur
HTTP
WAF
22
Recommandation
Investiguer
Tags
Cible HTTP
GET
/nmaplowercheck1784352718
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
81
Chemin / cible
/nmaplowercheck1784352718
Service
HTTP
Pourquoi cette classification : Type « scanner_vuln » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Corrélation +18
Risque capteur
Moyen
· 59
Confiance : Confiance 100 % — Motif catalogue confirmé · 4 tag(s) WAF
Protocole émulé
1
Signaux
ET-SCAN-Nmap
SIGMA-web-scanner-ua
pat-0805
pat-0425
Technique MITRE
T1595
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
MITRE T1046 network scan
LFI Double-dot bypass
UA Nmap Scripting Engine
UA nmap
Sigma nmap UA
Ligne de requête
User-Agent
Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.org/book/nse.html)
Règles WAF
rce-0
ssrf-3
nosqli-3
scanner-ua
Payload (extrait)
GET /nmaplowercheck1784352718 HTTP/1.1 Host: ip-62-3-50-33.v4.isp.servpersosystems.net:81 Connection: close User-Agent: Mozil
Requête brute (extrait)
GET /nmaplowercheck1784352718 HTTP/1.1 Host: ip-62-3-50-33.v4.isp.servpersosystems.net:81 Connection: close User-Agent: Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.org/book/nse.html) |
|||||||
| TCP | 81 · HTTP | http | Scan de ports port scan syn · via HTTP:81 · (reconnaissance) · → /sdk | Élevée | Élevé · 76 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1046
TA0043
TA0001
Protocole
POST /sdk UA Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.or…
Émulateur
HTTP
WAF
48
Recommandation
Investiguer
Tags
Cible HTTP
POST
/sdk
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
81
Chemin / cible
/sdk
Service
HTTP
Pourquoi cette classification : Motif SSRF · confiance 100%
Confiance classification
100%
Corrélation +18
Risque capteur
Élevé
· 76
Confiance : Confiance 100 % — 8 tag(s) WAF
Protocole émulé
1
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Scan Burst
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
TA0001
Motifs de détection (base)
CRS 921130 duplicate CL
CRS 941130
LFI Double-dot bypass
UA Nmap Scripting Engine
UA nmap
Sigma nmap UA
Ligne de requête
User-Agent
Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.org/book/nse.html)
Règles WAF
sqli-19
rce-0
ssrf-3
nosqli-3
scanner-ua
Payload (extrait)
POST /sdk HTTP/1.1 Host: ip-62-3-50-33.v4.isp.servpersosystems.net:81 Content-Length: 441 Connection: close User-Agent: Mozi
Requête brute (extrait)
POST /sdk HTTP/1.1 Host: ip-62-3-50-33.v4.isp.servpersosystems.net:81 Content-Length: 441 Connection: close User-Agent: Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.org/book/nse.html) <soap:Envelope xmlns:xsd="http://www.w3.org/2001/ |
|||||||
| TCP | 199 · HTTP | http | Scan vulnérabilités scanner vuln · via HTTP:199 · (sonde / probe) · → /nmaplowercheck1784352718 | Élevée | Moyen · 57 |
|
|
|
Étape
Sonde / probe
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1595
TA0007
TA0001
Protocole
GET /nmaplowercheck1784352718 UA Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.or…
Émulateur
HTTP
WAF
22
Recommandation
Investiguer
Tags
Cible HTTP
GET
/nmaplowercheck1784352718
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
199
Chemin / cible
/nmaplowercheck1784352718
Service
HTTP
Pourquoi cette classification : Type « scanner_vuln » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Corrélation +18
Risque capteur
Moyen
· 57
Confiance : Confiance 100 % — Motif catalogue confirmé · 4 tag(s) WAF
Signaux
ET-SCAN-Nmap
SIGMA-web-scanner-ua
pat-0805
pat-0425
Technique MITRE
T1595
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
MITRE T1046 network scan
LFI Double-dot bypass
UA Nmap Scripting Engine
UA nmap
Sigma nmap UA
Ligne de requête
User-Agent
Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.org/book/nse.html)
Règles WAF
rce-0
ssrf-3
nosqli-3
scanner-ua
Payload (extrait)
GET /nmaplowercheck1784352718 HTTP/1.1 Host: ip-62-3-50-33.v4.isp.servpersosystems.net:199 Connection: close User-Agent: Mozi
Requête brute (extrait)
GET /nmaplowercheck1784352718 HTTP/1.1 Host: ip-62-3-50-33.v4.isp.servpersosystems.net:199 Connection: close User-Agent: Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.org/book/nse.html) |
|||||||
| TCP | 1720 · HTTP | http | Scan de ports port scan syn · via HTTP:1720 · (reconnaissance) | Faible | Moyen · 42 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1046
TA0043
Protocole
GET /
Émulateur
HTTP
WAF
3
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
1720
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Tags WAF: sap-sapcontrol-path · confiance 100%
Confiance classification
100%
Corrélation +18
Risque capteur
Moyen
· 42
Confiance : Confiance 100 % — 1 tag(s) WAF
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Scan Burst
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Ligne de requête
User-Agent
—
Règles WAF
sap-sapcontrol-path
Payload (extrait)
GET / HTTP/1.0 |
|||||||
| TCP | 1723 · PPTP | pptp | Scan de ports port scan syn · via PPTP:1723 · (reconnaissance) | Élevée | Moyen · 42 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1046
TA0043
Protocole
Émulateur
PPTP
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
1723
Chemin / cible
—
Service
PPTP
Payload
| |||||||