Profil de menace
Activité suspecte · risque 38/100
Activité suspecte · risque 38/100
Synthèse décisionnelle honeypot — seuil de listing maintenu à 1 événement qualifié.
Type « port_16016_tcp » (signaux protocolaires) · confiance 55%
Confiance 55 % — Score WAF 32 · 2 tag(s) WAF
ASN 396982 · 34.52.128.0/17 · ARIN — 8 pair(s) ASN/FAI listé(s) — activité locale élevée vs pairs · 491 événements sur la période pour cette IP.
Même FAI Google LLC — corrélation indicative.
Cette IP touche plusieurs services simulés (pas seulement le web).
Origine réseau déclarée
Opérateur et dernière activité ban
Score capteur — surveiller, investiguer ou bloquer.
Les dates De/À priment sur la période. Affinez protocole, port, service et classification.
491 événements filtrés — activité quotidienne
Top ports ciblés sur les dernières 24 heures
SSH 22, RDP 3389, HTTP alternatifs…
Web, SSH, SAP, scans…
Intensité par jour et heure (UTC capteur)
491 événement(s) — page 7/10
| Horodatage | Proto | Port | Service | Classification | Sévérité | Risque | Actions |
|---|---|---|---|---|---|---|---|
| TCP | 8444 · HTTP | http | Scan de ports port scan syn · via HTTP:8444 · (reconnaissance) | Élevée | Moyen · 42 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1046
TA0043
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8444
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « port_scan_syn » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Corrélation +8
Risque capteur
Moyen
· 42
Confiance : Confiance 100 % — 2 tag(s) WAF
Protocole émulé
1
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:8444 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connecti
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:8444 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||
| TCP | 4500 · HTTP | http | Scanner web web scanner · via HTTP:4500 · (sonde / probe) | Élevée | Moyen · 42 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
TA0007
TA0007
TA0001
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
4500
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Règle WAF « scanner-ua » · confiance 50%
Confiance classification
58%
Corrélation +8
Risque capteur
Moyen
· 42
Confiance : Confiance 50 % — Motif catalogue confirmé · 2 tag(s) WAF
Signaux
pat-0637
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:4500 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connecti
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:4500 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||
| TCP | 10020 · HTTP | http | Sonde port 10020/TCP port 10020 tcp · via HTTP:10020 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
TA0007
TA0007
TA0001
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
10020
Chemin / cible
/
Preuve honeypot — Sonde port 10020/TCP
Connexion détectée sur le port 10020 (TCP) du capteur simulé.
Service
HTTP
Pourquoi cette classification : Type « port_10020_tcp » (signaux protocolaires) · confiance 55%
Confiance classification
63%
Corrélation +8
Risque capteur
Faible
· 38
Confiance : Confiance 55 % — Classification nommée non retenue — preuves insuffisantes · 2 tag(s) WAF
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:10020 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connect
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:10020 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||
| TCP | 3780 · HTTP | http | Scan de ports port scan syn · via HTTP:3780 · (reconnaissance) | Élevée | Moyen · 44 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1046
TA0043
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
3780
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « port_scan_syn » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Corrélation +14
Risque capteur
Moyen
· 44
Confiance : Confiance 100 % — 2 tag(s) WAF
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:3780 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connecti
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:3780 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||
| TCP | 7018 · HTTP | http | Scan de ports port scan syn · via HTTP:7018 · (reconnaissance) | Élevée | Moyen · 42 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1046
TA0043
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
7018
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « port_scan_syn » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Corrélation +18
Risque capteur
Moyen
· 42
Confiance : Confiance 100 % — 2 tag(s) WAF
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:7018 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connecti
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:7018 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||
| TCP | 9136 · HTTP | http | Scan de ports port scan syn · via HTTP:9136 · (reconnaissance) | Élevée | Moyen · 43 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0043
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
9136
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « port_scan_syn » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 43
Confiance : Confiance 100 % — 2 tag(s) WAF
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:9136 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connecti
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:9136 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||
| TCP | 3306 · MYSQL | mysql | Scan de ports port scan syn · via MYSQL:3306 · (reconnaissance) | Élevée | Moyen · 42 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1046
TA0043
Protocole
Émulateur
MYSQL
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
3306
Chemin / cible
—
Service
MYSQL
Pourquoi cette classification : Poignée de main MySQL · confiance 100%
Confiance classification
100%
Corrélation +8
Risque capteur
Moyen
· 42
Confiance : Confiance 100 % — 3 signal(aux) capteur
Protocole émulé
1
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
User-Agent
—
Règles WAF
—
|
|||||||
| TCP | 9058 · HTTP | http | Scan de ports port scan syn · via HTTP:9058 · (reconnaissance) | Élevée | Moyen · 42 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1046
TA0043
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
9058
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « port_scan_syn » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Corrélation +6
Risque capteur
Moyen
· 42
Confiance : Confiance 100 % — 2 tag(s) WAF
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Scan Burst
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:9058 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connecti
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:9058 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||
| TCP | 21323 · HTTP | http | Scan de ports port scan syn · via HTTP:21323 · (reconnaissance) | Élevée | Moyen · 44 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1046
TA0043
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
21323
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « port_scan_syn » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Corrélation +6
Risque capteur
Moyen
· 44
Confiance : Confiance 100 % — 2 tag(s) WAF
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Scan Burst
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:21323 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connect
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:21323 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||
| TCP | 5640 · HTTP | http | Scan de ports port scan syn · via HTTP:5640 · (reconnaissance) | Élevée | Moyen · 44 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1046
TA0043
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
5640
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « port_scan_syn » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Corrélation +6
Risque capteur
Moyen
· 44
Confiance : Confiance 100 % — 2 tag(s) WAF
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:5640 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connecti
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:5640 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||
| TCP | 12435 · HTTP | http | Scan de ports port scan syn · via HTTP:12435 · (reconnaissance) | Élevée | Moyen · 42 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1046
TA0043
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
12435
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « port_scan_syn » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Corrélation +6
Risque capteur
Moyen
· 42
Confiance : Confiance 100 % — 2 tag(s) WAF
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:12435 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connect
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:12435 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||
| TCP | 7081 · HTTP | http | Scan de ports port scan syn · via HTTP:7081 · (reconnaissance) | Élevée | Moyen · 42 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0043
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
7081
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « port_scan_syn » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 42
Confiance : Confiance 100 % — 2 tag(s) WAF
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:7081 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connecti
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:7081 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||
| TCP | 21253 · HTTP | http | Sonde port 21253/TCP port 21253 tcp · via HTTP:21253 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
21253
Chemin / cible
/
Preuve honeypot — Sonde port 21253/TCP
Connexion détectée sur le port 21253 (TCP) du capteur simulé.
Service
HTTP
Pourquoi cette classification : Type « port_21253_tcp » (signaux protocolaires) · confiance 55%
Confiance classification
55%
Risque capteur
Faible
· 38
Confiance : Confiance 55 % — Classification nommée non retenue — preuves insuffisantes · 2 tag(s) WAF
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:21253 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connect
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:21253 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||
| TCP | 8110 · HTTP | http | Sonde port 8110/TCP port 8110 tcp · via HTTP:8110 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8110
Chemin / cible
/
Preuve honeypot — Sonde port 8110/TCP
Connexion détectée sur le port 8110 (TCP) du capteur simulé.
Service
HTTP
Pourquoi cette classification : Type « port_8110_tcp » (signaux protocolaires) · confiance 55%
Confiance classification
55%
Risque capteur
Faible
· 38
Confiance : Confiance 55 % — Classification nommée non retenue — preuves insuffisantes · 2 tag(s) WAF
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:8110 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connecti
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:8110 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||
| TCP | 12252 · HTTP | http | Scan de ports port scan syn · via HTTP:12252 · (reconnaissance) | Élevée | Moyen · 42 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0043
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
12252
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « port_scan_syn » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 42
Confiance : Confiance 100 % — 2 tag(s) WAF
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:12252 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connect
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:12252 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||
| TCP | 8005 · HTTP | http | Scan de ports port scan syn · via HTTP:8005 · (reconnaissance) | Élevée | Moyen · 42 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0043
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8005
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « port_scan_syn » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 42
Confiance : Confiance 100 % — 2 tag(s) WAF
Protocole émulé
1
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:8005 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connecti
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:8005 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||
| TCP | 9944 · HTTP | http | Scan de ports port scan syn · via HTTP:9944 · (reconnaissance) | Élevée | Moyen · 43 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0043
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
9944
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « port_scan_syn » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 43
Confiance : Confiance 100 % — 2 tag(s) WAF
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:9944 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connecti
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:9944 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||
| TCP | 1153 · HTTP | http | Sonde port 1153/TCP port 1153 tcp · via HTTP:1153 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
1153
Chemin / cible
/
Preuve honeypot — Sonde port 1153/TCP
Connexion détectée sur le port 1153 (TCP) du capteur simulé.
Service
HTTP
Pourquoi cette classification : Type « port_1153_tcp » (signaux protocolaires) · confiance 55%
Confiance classification
55%
Risque capteur
Faible
· 38
Confiance : Confiance 55 % — Classification nommée non retenue — preuves insuffisantes · 2 tag(s) WAF
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:1153 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connecti
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:1153 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||
| TCP | 8069 · HTTP | http | Scan de ports port scan syn · via HTTP:8069 · (reconnaissance) | Élevée | Moyen · 42 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0043
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8069
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « port_scan_syn » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 42
Confiance : Confiance 100 % — 2 tag(s) WAF
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:8069 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connecti
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:8069 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||
| TCP | 4461 · HTTP | http | Scan de ports port scan syn · via HTTP:4461 · (reconnaissance) | Élevée | Moyen · 44 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0043
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
4461
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « port_scan_syn » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 44
Confiance : Confiance 100 % — 2 tag(s) WAF
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:4461 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connecti
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:4461 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||
| TCP | 12589 · HTTP | http | Sonde port 12589/TCP port 12589 tcp · via HTTP:12589 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
12589
Chemin / cible
/
Preuve honeypot — Sonde port 12589/TCP
Connexion détectée sur le port 12589 (TCP) du capteur simulé.
Service
HTTP
Pourquoi cette classification : Type « port_12589_tcp » (signaux protocolaires) · confiance 55%
Confiance classification
55%
Risque capteur
Faible
· 38
Confiance : Confiance 55 % — Classification nommée non retenue — preuves insuffisantes · 2 tag(s) WAF
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:12589 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connect
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:12589 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||
| TCP | 16019 · HTTP | http | Sonde port 16019/TCP port 16019 tcp · via HTTP:16019 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
16019
Chemin / cible
/
Preuve honeypot — Sonde port 16019/TCP
Connexion détectée sur le port 16019 (TCP) du capteur simulé.
Service
HTTP
Pourquoi cette classification : Type « port_16019_tcp » (signaux protocolaires) · confiance 55%
Confiance classification
55%
Risque capteur
Faible
· 38
Confiance : Confiance 55 % — Classification nommée non retenue — preuves insuffisantes · 2 tag(s) WAF
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:16019 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connect
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:16019 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||
| TCP | 7349 · HTTP | http | Scan de ports port scan syn · via HTTP:7349 · (reconnaissance) | Élevée | Moyen · 42 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0043
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
7349
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « port_scan_syn » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 42
Confiance : Confiance 100 % — 2 tag(s) WAF
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:7349 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connecti
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:7349 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||
| TCP | 12427 · HTTP | http | Scan de ports port scan syn · via HTTP:12427 · (reconnaissance) | Élevée | Moyen · 44 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0043
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
12427
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « port_scan_syn » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 44
Confiance : Confiance 100 % — 2 tag(s) WAF
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:12427 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connect
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:12427 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||
| TCP | 3155 · HTTP | http | Scan de ports port scan syn · via HTTP:3155 · (reconnaissance) | Élevée | Moyen · 43 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0043
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
3155
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « port_scan_syn » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 43
Confiance : Confiance 100 % — 2 tag(s) WAF
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:3155 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connecti
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:3155 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||
| TCP | 1291 · HTTP | http | Sonde port 1291/TCP port 1291 tcp · via HTTP:1291 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
1291
Chemin / cible
/
Preuve honeypot — Sonde port 1291/TCP
Connexion détectée sur le port 1291 (TCP) du capteur simulé.
Service
HTTP
Pourquoi cette classification : Type « port_1291_tcp » (signaux protocolaires) · confiance 55%
Confiance classification
55%
Risque capteur
Faible
· 38
Confiance : Confiance 55 % — Classification nommée non retenue — preuves insuffisantes · 2 tag(s) WAF
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:1291 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connecti
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:1291 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||
| TCP | 12551 · HTTP | http | Sonde port 12551/TCP port 12551 tcp · via HTTP:12551 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
12551
Chemin / cible
/
Preuve honeypot — Sonde port 12551/TCP
Connexion détectée sur le port 12551 (TCP) du capteur simulé.
Service
HTTP
Pourquoi cette classification : Type « port_12551_tcp » (signaux protocolaires) · confiance 55%
Confiance classification
55%
Risque capteur
Faible
· 38
Confiance : Confiance 55 % — Classification nommée non retenue — preuves insuffisantes · 2 tag(s) WAF
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:12551 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connect
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:12551 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||
| TCP | 16096 · HTTP | http | Scan de ports port scan syn · via HTTP:16096 · (reconnaissance) | Élevée | Moyen · 42 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0043
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
16096
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « port_scan_syn » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 42
Confiance : Confiance 100 % — 2 tag(s) WAF
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:16096 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connect
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:16096 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||
| TCP | 8159 · HTTP | http | Scan de ports port scan syn · via HTTP:8159 · (reconnaissance) | Élevée | Moyen · 42 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0043
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8159
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « port_scan_syn » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 42
Confiance : Confiance 100 % — 2 tag(s) WAF
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:8159 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connecti
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:8159 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||
| TCP | 9004 · HTTP | http | Sonde port 9004/TCP port 9004 tcp · via HTTP:9004 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
9004
Chemin / cible
/
Preuve honeypot — Sonde port 9004/TCP
Connexion détectée sur le port 9004 (TCP) du capteur simulé.
Service
HTTP
Pourquoi cette classification : Type « port_9004_tcp » (signaux protocolaires) · confiance 55%
Confiance classification
55%
Risque capteur
Faible
· 38
Confiance : Confiance 55 % — Classification nommée non retenue — preuves insuffisantes · 2 tag(s) WAF
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:9004 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connecti
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:9004 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||
| TCP | 8878 · HTTP | http | Scan de ports port scan syn · via HTTP:8878 · (reconnaissance) | Élevée | Moyen · 42 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0043
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8878
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « port_scan_syn » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 42
Confiance : Confiance 100 % — 2 tag(s) WAF
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:8878 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connecti
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:8878 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||
| TCP | 8165 · HTTP | http | Scan de ports port scan syn · via HTTP:8165 · (reconnaissance) | Élevée | Moyen · 42 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1046
TA0043
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8165
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « port_scan_syn » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Corrélation +6
Risque capteur
Moyen
· 42
Confiance : Confiance 100 % — 2 tag(s) WAF
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:8165 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connecti
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:8165 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||
| TCP | 12549 · HTTP | http | Scan de ports port scan syn · via HTTP:12549 · (reconnaissance) | Élevée | Moyen · 43 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0043
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
12549
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « port_scan_syn » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 43
Confiance : Confiance 100 % — 2 tag(s) WAF
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:12549 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connect
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:12549 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||
| TCP | 10047 · HTTP | http | Sonde port 10047/TCP port 10047 tcp · via HTTP:10047 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
10047
Chemin / cible
/
Preuve honeypot — Sonde port 10047/TCP
Connexion détectée sur le port 10047 (TCP) du capteur simulé.
Service
HTTP
Pourquoi cette classification : Type « port_10047_tcp » (signaux protocolaires) · confiance 55%
Confiance classification
55%
Risque capteur
Faible
· 38
Confiance : Confiance 55 % — Classification nommée non retenue — preuves insuffisantes · 2 tag(s) WAF
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:10047 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connect
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:10047 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||
| TCP | 8586 · HTTP | http | Sonde port 8586/TCP port 8586 tcp · via HTTP:8586 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8586
Chemin / cible
/
Preuve honeypot — Sonde port 8586/TCP
Connexion détectée sur le port 8586 (TCP) du capteur simulé.
Service
HTTP
Pourquoi cette classification : Type « port_8586_tcp » (signaux protocolaires) · confiance 55%
Confiance classification
55%
Risque capteur
Faible
· 38
Confiance : Confiance 55 % — Classification nommée non retenue — preuves insuffisantes · 2 tag(s) WAF
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:8586 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connecti
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:8586 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||
| TCP | 7348 · HTTP | http | Scan de ports port scan syn · via HTTP:7348 · (reconnaissance) | Élevée | Moyen · 42 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0043
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
7348
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « port_scan_syn » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 42
Confiance : Confiance 100 % — 2 tag(s) WAF
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:7348 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connecti
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:7348 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||
| TCP | 1443 · HTTP | http | Scan de ports port scan syn · via HTTP:1443 · (reconnaissance) | Élevée | Moyen · 42 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1046
TA0043
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
1443
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « port_scan_syn » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Corrélation +6
Risque capteur
Moyen
· 42
Confiance : Confiance 100 % — 2 tag(s) WAF
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Scan Burst
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:1443 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connecti
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:1443 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||
| TCP | 32303 · HTTP | http | Scan de ports port scan syn · via HTTP:32303 · (reconnaissance) | Élevée | Moyen · 42 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1046
TA0043
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
32303
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « port_scan_syn » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Corrélation +6
Risque capteur
Moyen
· 42
Confiance : Confiance 100 % — 2 tag(s) WAF
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:32303 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connect
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:32303 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||
| TCP | 3056 · HTTP | http | Scan de ports port scan syn · via HTTP:3056 · (reconnaissance) | Élevée | Moyen · 42 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1046
TA0043
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
3056
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « port_scan_syn » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Corrélation +6
Risque capteur
Moyen
· 42
Confiance : Confiance 100 % — 2 tag(s) WAF
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:3056 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connecti
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:3056 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||
| TCP | 5271 · HTTP | http | Scan de ports port scan syn · via HTTP:5271 · (reconnaissance) | Élevée | Moyen · 42 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0043
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
5271
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « port_scan_syn » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 42
Confiance : Confiance 100 % — 2 tag(s) WAF
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:5271 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connecti
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:5271 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||
| TCP | 10100 · HTTP | http | Sonde port 10100/TCP port 10100 tcp · via HTTP:10100 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
10100
Chemin / cible
/
Preuve honeypot — Sonde port 10100/TCP
Connexion détectée sur le port 10100 (TCP) du capteur simulé.
Service
HTTP
Pourquoi cette classification : Type « port_10100_tcp » (signaux protocolaires) · confiance 55%
Confiance classification
55%
Risque capteur
Faible
· 38
Confiance : Confiance 55 % — Classification nommée non retenue — preuves insuffisantes · 2 tag(s) WAF
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:10100 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connect
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:10100 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||
| TCP | 3151 · HTTP | http | Sonde port 3151/TCP port 3151 tcp · via HTTP:3151 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
TA0007
TA0007
TA0001
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
3151
Chemin / cible
/
Preuve honeypot — Sonde port 3151/TCP
Connexion détectée sur le port 3151 (TCP) du capteur simulé.
Service
HTTP
Pourquoi cette classification : Type « port_3151_tcp » (signaux protocolaires) · confiance 55%
Confiance classification
63%
Corrélation +8
Risque capteur
Faible
· 38
Confiance : Confiance 55 % — Classification nommée non retenue — preuves insuffisantes · 2 tag(s) WAF
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:3151 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connecti
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:3151 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||
| TCP | 9151 · HTTP | http | Sonde port 9151/TCP port 9151 tcp · via HTTP:9151 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
TA0007
TA0007
TA0001
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
9151
Chemin / cible
/
Preuve honeypot — Sonde port 9151/TCP
Connexion détectée sur le port 9151 (TCP) du capteur simulé.
Service
HTTP
Pourquoi cette classification : Type « port_9151_tcp » (signaux protocolaires) · confiance 55%
Confiance classification
63%
Corrélation +8
Risque capteur
Faible
· 38
Confiance : Confiance 55 % — Classification nommée non retenue — preuves insuffisantes · 2 tag(s) WAF
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:9151 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connecti
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:9151 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||
| TCP | 30123 · HTTP | http | Sonde port 30123/TCP port 30123 tcp · via HTTP:30123 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
TA0007
TA0007
TA0001
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
30123
Chemin / cible
/
Preuve honeypot — Sonde port 30123/TCP
Connexion détectée sur le port 30123 (TCP) du capteur simulé.
Service
HTTP
Pourquoi cette classification : Type « port_30123_tcp » (signaux protocolaires) · confiance 55%
Confiance classification
63%
Corrélation +8
Risque capteur
Faible
· 38
Confiance : Confiance 55 % — Classification nommée non retenue — preuves insuffisantes · 2 tag(s) WAF
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:30123 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connect
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:30123 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||
| TCP | 9009 · CLICKHOUSE NATIVE | clickhouse-native | clickhouse probe clickhouse probe · via CLICKHOUSE NATIVE:9009 · (sonde / probe) | Élevée | Faible · 24 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
TA0007
TA0007
TA0001
Protocole
Émulateur
CLICKHOUSE-NATIVE
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
9009
Chemin / cible
—
Service
CLICKHOUSE NATIVE
Payload
GET / HTTP/1.1 Host: 62.3.50.33:9009 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connecti
Pourquoi cette classification : Type « clickhouse_probe » (signaux protocolaires) · confiance 0%
Confiance classification
8%
Corrélation +8
Risque capteur
Faible
· 24
Confiance : Confiance 0 % — 4 signal(aux) capteur
Protocole émulé
1
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
User-Agent
—
Règles WAF
—
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:9009 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connecti
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:9009 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||
| TCP | 8158 · HTTP | http | Scan de ports port scan syn · via HTTP:8158 · (reconnaissance) | Élevée | Moyen · 42 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0043
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8158
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « port_scan_syn » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 42
Confiance : Confiance 100 % — 2 tag(s) WAF
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:8158 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connecti
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:8158 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||
| TCP | 12407 · HTTP | http | Sonde port 12407/TCP port 12407 tcp · via HTTP:12407 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
12407
Chemin / cible
/
Preuve honeypot — Sonde port 12407/TCP
Connexion détectée sur le port 12407 (TCP) du capteur simulé.
Service
HTTP
Pourquoi cette classification : Type « port_12407_tcp » (signaux protocolaires) · confiance 55%
Confiance classification
55%
Risque capteur
Faible
· 38
Confiance : Confiance 55 % — Classification nommée non retenue — preuves insuffisantes · 2 tag(s) WAF
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:12407 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connect
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:12407 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||
| TCP | 9998 · HTTP | http | Sonde port 9998/TCP port 9998 tcp · via HTTP:9998 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
9998
Chemin / cible
/
Preuve honeypot — Sonde port 9998/TCP
Connexion détectée sur le port 9998 (TCP) du capteur simulé.
Service
HTTP
Pourquoi cette classification : Type « port_9998_tcp » (signaux protocolaires) · confiance 55%
Confiance classification
55%
Risque capteur
Faible
· 38
Confiance : Confiance 55 % — Classification nommée non retenue — preuves insuffisantes · 2 tag(s) WAF
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:9998 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connecti
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:9998 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||
| TCP | 3590 · HTTP | http | Sonde port 3590/TCP port 3590 tcp · via HTTP:3590 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
TA0007
TA0007
TA0001
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
3590
Chemin / cible
/
Preuve honeypot — Sonde port 3590/TCP
Connexion détectée sur le port 3590 (TCP) du capteur simulé.
Service
HTTP
Pourquoi cette classification : Type « port_3590_tcp » (signaux protocolaires) · confiance 55%
Confiance classification
63%
Corrélation +8
Risque capteur
Faible
· 38
Confiance : Confiance 55 % — Classification nommée non retenue — preuves insuffisantes · 2 tag(s) WAF
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:3590 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connecti
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:3590 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||
| TCP | 9999 · HTTP | http | Scan de ports port scan syn · via HTTP:9999 · (reconnaissance) | Élevée | Moyen · 43 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1046
TA0043
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
9999
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « port_scan_syn » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Corrélation +8
Risque capteur
Moyen
· 43
Confiance : Confiance 100 % — 2 tag(s) WAF
Protocole émulé
1
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:9999 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connecti
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:9999 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||