Profil de menace
Activité suspecte · risque 38/100
Activité suspecte · risque 38/100
Synthèse décisionnelle honeypot — seuil de listing maintenu à 1 événement qualifié.
Type « port_12557_tcp » (signaux protocolaires) · confiance 55%
Confiance 55 % — Score WAF 32 · 2 tag(s) WAF
ASN 396982 · 34.62.128.0/17 · ARIN — 8 pair(s) ASN/FAI listé(s) — activité locale élevée vs pairs · 523 événements sur la période pour cette IP.
Même FAI Google LLC — corrélation indicative.
Cette IP touche plusieurs services simulés (pas seulement le web).
Origine réseau déclarée
Opérateur et dernière activité ban
Score capteur — surveiller, investiguer ou bloquer.
Les dates De/À priment sur la période. Affinez protocole, port, service et classification.
523 événements filtrés — activité quotidienne
Top ports ciblés sur les dernières 24 heures
SSH 22, RDP 3389, HTTP alternatifs…
Web, SSH, SAP, scans…
Intensité par jour et heure (UTC capteur)
523 événement(s) — page 6/11
| Horodatage | Proto | Port | Service | Classification | Sévérité | Risque | Actions |
|---|---|---|---|---|---|---|---|
| TCP | 27017 · MONGODB | mongodb | Protocole wire MongoDB mongodb wire protocol · via MONGODB:27017 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0007
TA0001
Protocole
Émulateur
MONGODB
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
27017
Chemin / cible
—
Service
MONGODB
Payload
; ��f# � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Pourquoi cette classification : Rafale d'authentification SSH · confiance 100%
Confiance classification
100%
Risque capteur
Faible
· 38
Confiance : Confiance 100 % — Motif catalogue confirmé
Protocole émulé
1
Signaux
ET-PROTO-MongoDB-Wire
pat-0363
pat-0364
Upstream
Technique MITRE
T1046
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
Mongo isMaster legacy
Mongo ismaster command
NFS RPC mount
STUN binding
Minecraft varint handshake
TFTP RRQ
User-Agent
—
Règles WAF
—
Payload (extrait)
; ��f# � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Requête brute (extrait)
; ��f# � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13.2 os T type Linux name Linux architecture x86_64 version 6.12.68+ platform CPython 3.13.14.final. |
|||||||
| TCP | 27017 · MONGODB | mongodb | Protocole wire MongoDB mongodb wire protocol · via MONGODB:27017 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0007
TA0001
Protocole
Émulateur
MONGODB
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
27017
Chemin / cible
—
Service
MONGODB
Payload
; �/�; � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Pourquoi cette classification : Rafale d'authentification SSH · confiance 100%
Confiance classification
100%
Risque capteur
Faible
· 38
Confiance : Confiance 100 % — Motif catalogue confirmé
Protocole émulé
1
Signaux
ET-PROTO-MongoDB-Wire
pat-0363
pat-0364
Upstream
Technique MITRE
T1046
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
Mongo isMaster legacy
Mongo ismaster command
NFS RPC mount
STUN binding
Minecraft varint handshake
TFTP RRQ
User-Agent
—
Règles WAF
—
Payload (extrait)
; �/�; � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Requête brute (extrait)
; �/�; � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13.2 os T type Linux name Linux architecture x86_64 version 6.12.68+ platform CPython 3.13.14.final. |
|||||||
| TCP | 27017 · MONGODB | mongodb | Protocole wire MongoDB mongodb wire protocol · via MONGODB:27017 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0007
TA0001
Protocole
Émulateur
MONGODB
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
27017
Chemin / cible
—
Service
MONGODB
Payload
; �]s! � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Pourquoi cette classification : Rafale d'authentification SSH · confiance 100%
Confiance classification
100%
Risque capteur
Faible
· 38
Confiance : Confiance 100 % — Motif catalogue confirmé
Protocole émulé
1
Signaux
ET-PROTO-MongoDB-Wire
pat-0363
pat-0364
Upstream
Technique MITRE
T1046
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
Mongo isMaster legacy
Mongo ismaster command
NFS RPC mount
STUN binding
Minecraft varint handshake
TFTP RRQ
User-Agent
—
Règles WAF
—
Payload (extrait)
; �]s! � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Requête brute (extrait)
; �]s! � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13.2 os T type Linux name Linux architecture x86_64 version 6.12.68+ platform CPython 3.13.14.final. |
|||||||
| TCP | 27017 · MONGODB | mongodb | Protocole wire MongoDB mongodb wire protocol · via MONGODB:27017 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0007
TA0001
Protocole
Émulateur
MONGODB
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
27017
Chemin / cible
—
Service
MONGODB
Payload
; �:� � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Pourquoi cette classification : Rafale d'authentification SSH · confiance 100%
Confiance classification
100%
Risque capteur
Faible
· 38
Confiance : Confiance 100 % — Motif catalogue confirmé
Protocole émulé
1
Signaux
ET-PROTO-MongoDB-Wire
pat-0363
pat-0364
Upstream
Technique MITRE
T1046
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
Mongo isMaster legacy
Mongo ismaster command
NFS RPC mount
STUN binding
Minecraft varint handshake
TFTP RRQ
User-Agent
—
Règles WAF
—
Payload (extrait)
; �:� � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Requête brute (extrait)
; �:� � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13.2 os T type Linux name Linux architecture x86_64 version 6.12.68+ platform CPython 3.13.14.final. |
|||||||
| TCP | 27017 · MONGODB | mongodb | Protocole wire MongoDB mongodb wire protocol · via MONGODB:27017 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0007
TA0001
Protocole
Émulateur
MONGODB
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
27017
Chemin / cible
—
Service
MONGODB
Payload
; �R�1 � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Pourquoi cette classification : Rafale d'authentification SSH · confiance 100%
Confiance classification
100%
Risque capteur
Faible
· 38
Confiance : Confiance 100 % — Motif catalogue confirmé
Protocole émulé
1
Signaux
ET-PROTO-MongoDB-Wire
pat-0363
pat-0364
Upstream
Technique MITRE
T1046
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
Mongo isMaster legacy
Mongo ismaster command
NFS RPC mount
STUN binding
Minecraft varint handshake
TFTP RRQ
User-Agent
—
Règles WAF
—
Payload (extrait)
; �R�1 � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Requête brute (extrait)
; �R�1 � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13.2 os T type Linux name Linux architecture x86_64 version 6.12.68+ platform CPython 3.13.14.final. |
|||||||
| TCP | 27017 · MONGODB | mongodb | Protocole wire MongoDB mongodb wire protocol · via MONGODB:27017 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0007
TA0001
Protocole
Émulateur
MONGODB
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
27017
Chemin / cible
—
Service
MONGODB
Payload
; B�3 � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Pourquoi cette classification : Rafale d'authentification SSH · confiance 100%
Confiance classification
100%
Risque capteur
Faible
· 38
Confiance : Confiance 100 % — Motif catalogue confirmé
Protocole émulé
1
Signaux
ET-PROTO-MongoDB-Wire
pat-0363
pat-0364
Upstream
Technique MITRE
T1046
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
Mongo isMaster legacy
Mongo ismaster command
NFS RPC mount
STUN binding
Minecraft varint handshake
TFTP RRQ
User-Agent
—
Règles WAF
—
Payload (extrait)
; B�3 � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Requête brute (extrait)
; B�3 � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13.2 os T type Linux name Linux architecture x86_64 version 6.12.68+ platform CPython 3.13.14.final. |
|||||||
| TCP | 27017 · MONGODB | mongodb | Protocole wire MongoDB mongodb wire protocol · via MONGODB:27017 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0007
TA0001
Protocole
Émulateur
MONGODB
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
27017
Chemin / cible
—
Service
MONGODB
Payload
; Wx � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Pourquoi cette classification : Rafale d'authentification SSH · confiance 100%
Confiance classification
100%
Risque capteur
Faible
· 38
Confiance : Confiance 100 % — Motif catalogue confirmé
Protocole émulé
1
Signaux
ET-PROTO-MongoDB-Wire
pat-0363
pat-0364
Upstream
Technique MITRE
T1046
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
Mongo isMaster legacy
Mongo ismaster command
NFS RPC mount
STUN binding
Minecraft varint handshake
TFTP RRQ
User-Agent
—
Règles WAF
—
Payload (extrait)
; Wx � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Requête brute (extrait)
; Wx � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13.2 os T type Linux name Linux architecture x86_64 version 6.12.68+ platform CPython 3.13.14.final. |
|||||||
| TCP | 27017 · MONGODB | mongodb | Protocole wire MongoDB mongodb wire protocol · via MONGODB:27017 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0007
TA0001
Protocole
Émulateur
MONGODB
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
27017
Chemin / cible
—
Service
MONGODB
Payload
; �{�U � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Pourquoi cette classification : Rafale d'authentification SSH · confiance 100%
Confiance classification
100%
Risque capteur
Faible
· 38
Confiance : Confiance 100 % — Motif catalogue confirmé
Protocole émulé
1
Signaux
ET-PROTO-MongoDB-Wire
pat-0363
pat-0364
Upstream
Technique MITRE
T1046
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
Mongo isMaster legacy
Mongo ismaster command
NFS RPC mount
STUN binding
Minecraft varint handshake
TFTP RRQ
User-Agent
—
Règles WAF
—
Payload (extrait)
; �{�U � admin.$cmd ���� ismaster helloOk client � driver - name
PyMongo|c version 4.13
Requête brute (extrait)
; �{�U � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13.2 os T type Linux name Linux architecture x86_64 version 6.12.68+ platform CPython 3.13.14.final.
|
|||||||
| TCP | 27017 · MONGODB | mongodb | Protocole wire MongoDB mongodb wire protocol · via MONGODB:27017 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0007
TA0001
Protocole
Émulateur
MONGODB
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
27017
Chemin / cible
—
Service
MONGODB
Payload
; }� � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Pourquoi cette classification : Rafale d'authentification SSH · confiance 100%
Confiance classification
100%
Risque capteur
Faible
· 38
Confiance : Confiance 100 % — Motif catalogue confirmé
Protocole émulé
1
Signaux
ET-PROTO-MongoDB-Wire
pat-0363
pat-0364
Upstream
Technique MITRE
T1046
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
Mongo isMaster legacy
Mongo ismaster command
NFS RPC mount
STUN binding
Minecraft varint handshake
TFTP RRQ
User-Agent
—
Règles WAF
—
Payload (extrait)
; }�
� admin.$cmd ���� ismaster helloOk client � driver - name
PyMongo|c version 4.13
Requête brute (extrait)
; }� � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13.2 os T type Linux name Linux architecture x86_64 version 6.12.68+ platform CPython 3.13.14.final. |
|||||||
| TCP | 27017 · MONGODB | mongodb | Protocole wire MongoDB mongodb wire protocol · via MONGODB:27017 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0007
TA0001
Protocole
Émulateur
MONGODB
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
27017
Chemin / cible
—
Service
MONGODB
Payload
; ��Y � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Pourquoi cette classification : Rafale d'authentification SSH · confiance 100%
Confiance classification
100%
Risque capteur
Faible
· 38
Confiance : Confiance 100 % — Motif catalogue confirmé
Protocole émulé
1
Signaux
ET-PROTO-MongoDB-Wire
pat-0363
pat-0364
Upstream
Technique MITRE
T1046
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
Mongo isMaster legacy
Mongo ismaster command
NFS RPC mount
STUN binding
Minecraft varint handshake
TFTP RRQ
User-Agent
—
Règles WAF
—
Payload (extrait)
; ��Y � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Requête brute (extrait)
; ��Y � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13.2 os T type Linux name Linux architecture x86_64 version 6.12.68+ platform CPython 3.13.14.final. |
|||||||
| TCP | 27017 · MONGODB | mongodb | Protocole wire MongoDB mongodb wire protocol · via MONGODB:27017 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0007
TA0001
Protocole
Émulateur
MONGODB
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
27017
Chemin / cible
—
Service
MONGODB
Payload
; '�p � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Pourquoi cette classification : Rafale d'authentification SSH · confiance 100%
Confiance classification
100%
Risque capteur
Faible
· 38
Confiance : Confiance 100 % — Motif catalogue confirmé
Protocole émulé
1
Signaux
ET-PROTO-MongoDB-Wire
pat-0363
pat-0364
Upstream
Technique MITRE
T1046
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
Mongo isMaster legacy
Mongo ismaster command
NFS RPC mount
STUN binding
Minecraft varint handshake
TFTP RRQ
User-Agent
—
Règles WAF
—
Payload (extrait)
; '�p � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Requête brute (extrait)
; '�p � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13.2 os T type Linux name Linux architecture x86_64 version 6.12.68+ platform CPython 3.13.14.final. |
|||||||
| TCP | 27017 · MONGODB | mongodb | Protocole wire MongoDB mongodb wire protocol · via MONGODB:27017 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0007
TA0001
Protocole
Émulateur
MONGODB
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
27017
Chemin / cible
—
Service
MONGODB
Payload
; �? � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Pourquoi cette classification : Rafale d'authentification SSH · confiance 100%
Confiance classification
100%
Risque capteur
Faible
· 38
Confiance : Confiance 100 % — Motif catalogue confirmé
Protocole émulé
1
Signaux
ET-PROTO-MongoDB-Wire
pat-0363
pat-0364
Upstream
Technique MITRE
T1046
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
Mongo isMaster legacy
Mongo ismaster command
NFS RPC mount
STUN binding
Minecraft varint handshake
TFTP RRQ
User-Agent
—
Règles WAF
—
Payload (extrait)
; �? � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Requête brute (extrait)
; �? � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13.2 os T type Linux name Linux architecture x86_64 version 6.12.68+ platform CPython 3.13.14.final. |
|||||||
| TCP | 27017 · MONGODB | mongodb | Protocole wire MongoDB mongodb wire protocol · via MONGODB:27017 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0007
TA0001
Protocole
Émulateur
MONGODB
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
27017
Chemin / cible
—
Service
MONGODB
Payload
; ��V � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Pourquoi cette classification : Rafale d'authentification SSH · confiance 100%
Confiance classification
100%
Risque capteur
Faible
· 38
Confiance : Confiance 100 % — Motif catalogue confirmé
Protocole émulé
1
Signaux
ET-PROTO-MongoDB-Wire
pat-0363
pat-0364
Upstream
Technique MITRE
T1046
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
Mongo isMaster legacy
Mongo ismaster command
NFS RPC mount
STUN binding
Minecraft varint handshake
TFTP RRQ
User-Agent
—
Règles WAF
—
Payload (extrait)
; ��V � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Requête brute (extrait)
; ��V � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13.2 os T type Linux name Linux architecture x86_64 version 6.12.68+ platform CPython 3.13.14.final. |
|||||||
| TCP | 27017 · MONGODB | mongodb | Protocole wire MongoDB mongodb wire protocol · via MONGODB:27017 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0007
TA0001
Protocole
Émulateur
MONGODB
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
27017
Chemin / cible
—
Service
MONGODB
Payload
; ))� � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Pourquoi cette classification : Rafale d'authentification SSH · confiance 100%
Confiance classification
100%
Risque capteur
Faible
· 38
Confiance : Confiance 100 % — Motif catalogue confirmé
Protocole émulé
1
Signaux
ET-PROTO-MongoDB-Wire
pat-0363
pat-0364
Upstream
Technique MITRE
T1046
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
Mongo isMaster legacy
Mongo ismaster command
NFS RPC mount
STUN binding
Minecraft varint handshake
TFTP RRQ
User-Agent
—
Règles WAF
—
Payload (extrait)
; ))� � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Requête brute (extrait)
; ))� � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13.2 os T type Linux name Linux architecture x86_64 version 6.12.68+ platform CPython 3.13.14.final. |
|||||||
| TCP | 27017 · MONGODB | mongodb | Protocole wire MongoDB mongodb wire protocol · via MONGODB:27017 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0007
TA0001
Protocole
Émulateur
MONGODB
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
27017
Chemin / cible
—
Service
MONGODB
Payload
; �e � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Pourquoi cette classification : Rafale d'authentification SSH · confiance 100%
Confiance classification
100%
Risque capteur
Faible
· 38
Confiance : Confiance 100 % — Motif catalogue confirmé
Protocole émulé
1
Signaux
ET-PROTO-MongoDB-Wire
pat-0363
pat-0364
Upstream
Technique MITRE
T1046
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
Mongo isMaster legacy
Mongo ismaster command
NFS RPC mount
STUN binding
Minecraft varint handshake
TFTP RRQ
User-Agent
—
Règles WAF
—
Payload (extrait)
; �e � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Requête brute (extrait)
; �e � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13.2 os T type Linux name Linux architecture x86_64 version 6.12.68+ platform CPython 3.13.14.final. |
|||||||
| TCP | 27017 · MONGODB | mongodb | Protocole wire MongoDB mongodb wire protocol · via MONGODB:27017 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0007
TA0001
Protocole
Émulateur
MONGODB
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
27017
Chemin / cible
—
Service
MONGODB
Payload
; *��[ � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Pourquoi cette classification : Rafale d'authentification SSH · confiance 100%
Confiance classification
100%
Risque capteur
Faible
· 38
Confiance : Confiance 100 % — Motif catalogue confirmé
Protocole émulé
1
Signaux
ET-PROTO-MongoDB-Wire
pat-0363
pat-0364
Upstream
Technique MITRE
T1046
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
Mongo isMaster legacy
Mongo ismaster command
NFS RPC mount
STUN binding
Minecraft varint handshake
TFTP RRQ
User-Agent
—
Règles WAF
—
Payload (extrait)
; *��[ � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Requête brute (extrait)
; *��[ � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13.2 os T type Linux name Linux architecture x86_64 version 6.12.68+ platform CPython 3.13.14.final. |
|||||||
| TCP | 27017 · MONGODB | mongodb | Protocole wire MongoDB mongodb wire protocol · via MONGODB:27017 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0007
TA0001
Protocole
Émulateur
MONGODB
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
27017
Chemin / cible
—
Service
MONGODB
Payload
; ��r � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Pourquoi cette classification : Rafale d'authentification SSH · confiance 100%
Confiance classification
100%
Risque capteur
Faible
· 38
Confiance : Confiance 100 % — Motif catalogue confirmé
Protocole émulé
1
Signaux
ET-PROTO-MongoDB-Wire
pat-0363
pat-0364
Upstream
Technique MITRE
T1046
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
Mongo isMaster legacy
Mongo ismaster command
NFS RPC mount
STUN binding
Minecraft varint handshake
TFTP RRQ
User-Agent
—
Règles WAF
—
Payload (extrait)
; ��r � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Requête brute (extrait)
; ��r � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13.2 os T type Linux name Linux architecture x86_64 version 6.12.68+ platform CPython 3.13.14.final. |
|||||||
| TCP | 27017 · MONGODB | mongodb | Protocole wire MongoDB mongodb wire protocol · via MONGODB:27017 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0007
TA0001
Protocole
Émulateur
MONGODB
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
27017
Chemin / cible
—
Service
MONGODB
Payload
; w��% � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Pourquoi cette classification : Rafale d'authentification SSH · confiance 100%
Confiance classification
100%
Risque capteur
Faible
· 38
Confiance : Confiance 100 % — Motif catalogue confirmé
Protocole émulé
1
Signaux
ET-PROTO-MongoDB-Wire
pat-0363
pat-0364
Upstream
Technique MITRE
T1046
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
Mongo isMaster legacy
Mongo ismaster command
NFS RPC mount
STUN binding
Minecraft varint handshake
TFTP RRQ
User-Agent
—
Règles WAF
—
Payload (extrait)
; w��% � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Requête brute (extrait)
; w��% � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13.2 os T type Linux name Linux architecture x86_64 version 6.12.68+ platform CPython 3.13.14.final. |
|||||||
| TCP | 27017 · MONGODB | mongodb | Protocole wire MongoDB mongodb wire protocol · via MONGODB:27017 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0007
TA0001
Protocole
Émulateur
MONGODB
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
27017
Chemin / cible
—
Service
MONGODB
Payload
; `I;E � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Pourquoi cette classification : Rafale d'authentification SSH · confiance 100%
Confiance classification
100%
Risque capteur
Faible
· 38
Confiance : Confiance 100 % — Motif catalogue confirmé
Protocole émulé
1
Signaux
ET-PROTO-MongoDB-Wire
pat-0363
pat-0364
Upstream
Technique MITRE
T1046
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
Mongo isMaster legacy
Mongo ismaster command
NFS RPC mount
STUN binding
Minecraft varint handshake
TFTP RRQ
User-Agent
—
Règles WAF
—
Payload (extrait)
; `I;E � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Requête brute (extrait)
; `I;E � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13.2 os T type Linux name Linux architecture x86_64 version 6.12.68+ platform CPython 3.13.14.final. |
|||||||
| TCP | 27017 · MONGODB | mongodb | Protocole wire MongoDB mongodb wire protocol · via MONGODB:27017 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0007
TA0001
Protocole
Émulateur
MONGODB
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
27017
Chemin / cible
—
Service
MONGODB
Payload
; �~�5 � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Pourquoi cette classification : Rafale d'authentification SSH · confiance 100%
Confiance classification
100%
Risque capteur
Faible
· 38
Confiance : Confiance 100 % — Motif catalogue confirmé
Protocole émulé
1
Signaux
ET-PROTO-MongoDB-Wire
pat-0363
pat-0364
Upstream
Technique MITRE
T1046
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
Mongo isMaster legacy
Mongo ismaster command
NFS RPC mount
STUN binding
Minecraft varint handshake
TFTP RRQ
User-Agent
—
Règles WAF
—
Payload (extrait)
; �~�5 � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Requête brute (extrait)
; �~�5 � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13.2 os T type Linux name Linux architecture x86_64 version 6.12.68+ platform CPython 3.13.14.final. |
|||||||
| TCP | 27017 · MONGODB | mongodb | Protocole wire MongoDB mongodb wire protocol · via MONGODB:27017 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0007
TA0001
Protocole
Émulateur
MONGODB
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
27017
Chemin / cible
—
Service
MONGODB
Payload
; l ; � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Pourquoi cette classification : Rafale d'authentification SSH · confiance 100%
Confiance classification
100%
Risque capteur
Faible
· 38
Confiance : Confiance 100 % — Motif catalogue confirmé
Protocole émulé
1
Signaux
ET-PROTO-MongoDB-Wire
pat-0363
pat-0364
Upstream
Technique MITRE
T1046
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
Mongo isMaster legacy
Mongo ismaster command
NFS RPC mount
STUN binding
Minecraft varint handshake
TFTP RRQ
User-Agent
—
Règles WAF
—
Payload (extrait)
; l ; � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Requête brute (extrait)
; l ; � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13.2 os T type Linux name Linux architecture x86_64 version 6.12.68+ platform CPython 3.13.14.final. |
|||||||
| TCP | 27017 · MONGODB | mongodb | Protocole wire MongoDB mongodb wire protocol · via MONGODB:27017 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0007
TA0001
Protocole
Émulateur
MONGODB
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
27017
Chemin / cible
—
Service
MONGODB
Payload
; ��g � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Pourquoi cette classification : Rafale d'authentification SSH · confiance 100%
Confiance classification
100%
Risque capteur
Faible
· 38
Confiance : Confiance 100 % — Motif catalogue confirmé
Protocole émulé
1
Signaux
ET-PROTO-MongoDB-Wire
pat-0363
pat-0364
Upstream
Technique MITRE
T1046
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
Mongo isMaster legacy
Mongo ismaster command
NFS RPC mount
STUN binding
Minecraft varint handshake
TFTP RRQ
User-Agent
—
Règles WAF
—
Payload (extrait)
; ��g � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Requête brute (extrait)
; ��g � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13.2 os T type Linux name Linux architecture x86_64 version 6.12.68+ platform CPython 3.13.14.final. |
|||||||
| TCP | 27017 · MONGODB | mongodb | Protocole wire MongoDB mongodb wire protocol · via MONGODB:27017 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0007
TA0001
Protocole
Émulateur
MONGODB
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
27017
Chemin / cible
—
Service
MONGODB
Payload
; (��C � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Pourquoi cette classification : Rafale d'authentification SSH · confiance 100%
Confiance classification
100%
Risque capteur
Faible
· 38
Confiance : Confiance 100 % — Motif catalogue confirmé
Protocole émulé
1
Signaux
ET-PROTO-MongoDB-Wire
pat-0363
pat-0364
Upstream
Technique MITRE
T1046
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
Mongo isMaster legacy
Mongo ismaster command
NFS RPC mount
STUN binding
Minecraft varint handshake
TFTP RRQ
User-Agent
—
Règles WAF
—
Payload (extrait)
; (��C � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Requête brute (extrait)
; (��C � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13.2 os T type Linux name Linux architecture x86_64 version 6.12.68+ platform CPython 3.13.14.final. |
|||||||
| TCP | 27017 · MONGODB | mongodb | Protocole wire MongoDB mongodb wire protocol · via MONGODB:27017 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0007
TA0001
Protocole
Émulateur
MONGODB
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
27017
Chemin / cible
—
Service
MONGODB
Payload
; y�r � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Pourquoi cette classification : Rafale d'authentification SSH · confiance 100%
Confiance classification
100%
Risque capteur
Faible
· 38
Confiance : Confiance 100 % — Motif catalogue confirmé
Protocole émulé
1
Signaux
ET-PROTO-MongoDB-Wire
pat-0363
pat-0364
Upstream
Technique MITRE
T1046
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
Mongo isMaster legacy
Mongo ismaster command
NFS RPC mount
STUN binding
Minecraft varint handshake
TFTP RRQ
User-Agent
—
Règles WAF
—
Payload (extrait)
; y�r � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Requête brute (extrait)
; y�r � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13.2 os T type Linux name Linux architecture x86_64 version 6.12.68+ platform CPython 3.13.14.final. |
|||||||
| TCP | 27017 · MONGODB | mongodb | Protocole wire MongoDB mongodb wire protocol · via MONGODB:27017 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0007
TA0001
Protocole
Émulateur
MONGODB
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
27017
Chemin / cible
—
Service
MONGODB
Payload
; �'2q � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Pourquoi cette classification : Rafale d'authentification SSH · confiance 100%
Confiance classification
100%
Risque capteur
Faible
· 38
Confiance : Confiance 100 % — Motif catalogue confirmé
Protocole émulé
1
Signaux
ET-PROTO-MongoDB-Wire
pat-0363
pat-0364
Upstream
Technique MITRE
T1046
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
Mongo isMaster legacy
Mongo ismaster command
NFS RPC mount
STUN binding
Minecraft varint handshake
TFTP RRQ
User-Agent
—
Règles WAF
—
Payload (extrait)
; �'2q � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Requête brute (extrait)
; �'2q � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13.2 os T type Linux name Linux architecture x86_64 version 6.12.68+ platform CPython 3.13.14.final. |
|||||||
| TCP | 27017 · MONGODB | mongodb | Protocole wire MongoDB mongodb wire protocol · via MONGODB:27017 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0007
TA0001
Protocole
Émulateur
MONGODB
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
27017
Chemin / cible
—
Service
MONGODB
Payload
; M�wd � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Pourquoi cette classification : Rafale d'authentification SSH · confiance 100%
Confiance classification
100%
Risque capteur
Faible
· 38
Confiance : Confiance 100 % — Motif catalogue confirmé
Protocole émulé
1
Signaux
ET-PROTO-MongoDB-Wire
pat-0363
pat-0364
Upstream
Technique MITRE
T1046
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
Mongo isMaster legacy
Mongo ismaster command
NFS RPC mount
STUN binding
Minecraft varint handshake
TFTP RRQ
User-Agent
—
Règles WAF
—
Payload (extrait)
; M�wd � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Requête brute (extrait)
; M�wd � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13.2 os T type Linux name Linux architecture x86_64 version 6.12.68+ platform CPython 3.13.14.final. |
|||||||
| TCP | 27017 · MONGODB | mongodb | Protocole wire MongoDB mongodb wire protocol · via MONGODB:27017 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0007
TA0001
Protocole
Émulateur
MONGODB
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
27017
Chemin / cible
—
Service
MONGODB
Payload
; �v � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Pourquoi cette classification : Rafale d'authentification SSH · confiance 100%
Confiance classification
100%
Risque capteur
Faible
· 38
Confiance : Confiance 100 % — Motif catalogue confirmé
Protocole émulé
1
Signaux
ET-PROTO-MongoDB-Wire
pat-0363
pat-0364
Upstream
Technique MITRE
T1046
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
Mongo isMaster legacy
Mongo ismaster command
NFS RPC mount
STUN binding
Minecraft varint handshake
TFTP RRQ
User-Agent
—
Règles WAF
—
Payload (extrait)
; �v � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Requête brute (extrait)
; �v � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13.2 os T type Linux name Linux architecture x86_64 version 6.12.68+ platform CPython 3.13.14.final. |
|||||||
| TCP | 27017 · MONGODB | mongodb | Protocole wire MongoDB mongodb wire protocol · via MONGODB:27017 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0007
TA0001
Protocole
Émulateur
MONGODB
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
27017
Chemin / cible
—
Service
MONGODB
Payload
; h�#h � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Pourquoi cette classification : Rafale d'authentification SSH · confiance 100%
Confiance classification
100%
Risque capteur
Faible
· 38
Confiance : Confiance 100 % — Motif catalogue confirmé
Protocole émulé
1
Signaux
ET-PROTO-MongoDB-Wire
pat-0363
pat-0364
Upstream
Technique MITRE
T1046
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
Mongo isMaster legacy
Mongo ismaster command
NFS RPC mount
STUN binding
Minecraft varint handshake
TFTP RRQ
User-Agent
—
Règles WAF
—
Payload (extrait)
; h�#h � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Requête brute (extrait)
; h�#h � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13.2 os T type Linux name Linux architecture x86_64 version 6.12.68+ platform CPython 3.13.14.final. |
|||||||
| TCP | 27017 · MONGODB | mongodb | Protocole wire MongoDB mongodb wire protocol · via MONGODB:27017 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0007
TA0001
Protocole
Émulateur
MONGODB
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
27017
Chemin / cible
—
Service
MONGODB
Payload
; CD�* � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Pourquoi cette classification : Rafale d'authentification SSH · confiance 100%
Confiance classification
100%
Risque capteur
Faible
· 38
Confiance : Confiance 100 % — Motif catalogue confirmé
Protocole émulé
1
Signaux
ET-PROTO-MongoDB-Wire
pat-0363
pat-0364
Upstream
Technique MITRE
T1046
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
Mongo isMaster legacy
Mongo ismaster command
NFS RPC mount
STUN binding
Minecraft varint handshake
TFTP RRQ
User-Agent
—
Règles WAF
—
Payload (extrait)
; CD�* � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Requête brute (extrait)
; CD�* � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13.2 os T type Linux name Linux architecture x86_64 version 6.12.68+ platform CPython 3.13.14.final. |
|||||||
| TCP | 27017 · MONGODB | mongodb | Protocole wire MongoDB mongodb wire protocol · via MONGODB:27017 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0007
TA0001
Protocole
Émulateur
MONGODB
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
27017
Chemin / cible
—
Service
MONGODB
Payload
; $�$3 � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Pourquoi cette classification : Rafale d'authentification SSH · confiance 100%
Confiance classification
100%
Risque capteur
Faible
· 38
Confiance : Confiance 100 % — Motif catalogue confirmé
Protocole émulé
1
Signaux
ET-PROTO-MongoDB-Wire
pat-0363
pat-0364
Upstream
Technique MITRE
T1046
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
Mongo isMaster legacy
Mongo ismaster command
NFS RPC mount
STUN binding
Minecraft varint handshake
TFTP RRQ
User-Agent
—
Règles WAF
—
Payload (extrait)
; $�$3 � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Requête brute (extrait)
; $�$3 � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13.2 os T type Linux name Linux architecture x86_64 version 6.12.68+ platform CPython 3.13.14.final. |
|||||||
| TCP | 27017 · MONGODB | mongodb | Protocole wire MongoDB mongodb wire protocol · via MONGODB:27017 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0007
TA0001
Protocole
Émulateur
MONGODB
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
27017
Chemin / cible
—
Service
MONGODB
Payload
; �n�4 � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Pourquoi cette classification : Rafale d'authentification SSH · confiance 100%
Confiance classification
100%
Risque capteur
Faible
· 38
Confiance : Confiance 100 % — Motif catalogue confirmé
Protocole émulé
1
Signaux
ET-PROTO-MongoDB-Wire
pat-0363
pat-0364
Upstream
Technique MITRE
T1046
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
Mongo isMaster legacy
Mongo ismaster command
NFS RPC mount
STUN binding
Minecraft varint handshake
TFTP RRQ
User-Agent
—
Règles WAF
—
Payload (extrait)
; �n�4 � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Requête brute (extrait)
; �n�4 � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13.2 os T type Linux name Linux architecture x86_64 version 6.12.68+ platform CPython 3.13.14.final. |
|||||||
| TCP | 27017 · MONGODB | mongodb | Protocole wire MongoDB mongodb wire protocol · via MONGODB:27017 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0007
TA0001
Protocole
Émulateur
MONGODB
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
27017
Chemin / cible
—
Service
MONGODB
Payload
; >� � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Pourquoi cette classification : Type « mongodb_wire_protocol » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Faible
· 38
Confiance : Confiance 100 % — Motif catalogue confirmé
Protocole émulé
1
Signaux
ET-PROTO-MongoDB-Wire
pat-0363
pat-0364
Upstream
Technique MITRE
T1046
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
Mongo isMaster legacy
Mongo ismaster command
NFS RPC mount
STUN binding
Minecraft varint handshake
TFTP RRQ
User-Agent
—
Règles WAF
—
Payload (extrait)
; >� � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Requête brute (extrait)
; >� � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13.2 os T type Linux name Linux architecture x86_64 version 6.12.68+ platform CPython 3.13.14.final. |
|||||||
| TCP | 27017 · MONGODB | mongodb | Protocole wire MongoDB mongodb wire protocol · via MONGODB:27017 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0007
TA0001
Protocole
Émulateur
MONGODB
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
27017
Chemin / cible
—
Service
MONGODB
Payload
; ��! � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Pourquoi cette classification : Type « mongodb_wire_protocol » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Faible
· 38
Confiance : Confiance 100 % — Motif catalogue confirmé
Protocole émulé
1
Signaux
ET-PROTO-MongoDB-Wire
pat-0363
pat-0364
Upstream
Technique MITRE
T1046
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
Mongo isMaster legacy
Mongo ismaster command
NFS RPC mount
STUN binding
Minecraft varint handshake
TFTP RRQ
User-Agent
—
Règles WAF
—
Payload (extrait)
; ��! � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Requête brute (extrait)
; ��! � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13.2 os T type Linux name Linux architecture x86_64 version 6.12.68+ platform CPython 3.13.14.final. |
|||||||
| TCP | 27017 · MONGODB | mongodb | Protocole wire MongoDB mongodb wire protocol · via MONGODB:27017 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0007
TA0001
Protocole
Émulateur
MONGODB
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
27017
Chemin / cible
—
Service
MONGODB
Payload
; �6� � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Pourquoi cette classification : Type « mongodb_wire_protocol » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Faible
· 38
Confiance : Confiance 100 % — Motif catalogue confirmé
Protocole émulé
1
Signaux
ET-PROTO-MongoDB-Wire
pat-0363
pat-0364
Upstream
Technique MITRE
T1046
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
Mongo isMaster legacy
Mongo ismaster command
NFS RPC mount
STUN binding
Minecraft varint handshake
TFTP RRQ
User-Agent
—
Règles WAF
—
Payload (extrait)
; �6� � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Requête brute (extrait)
; �6� � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13.2 os T type Linux name Linux architecture x86_64 version 6.12.68+ platform CPython 3.13.14.final. |
|||||||
| TCP | 27017 · MONGODB | mongodb | Protocole wire MongoDB mongodb wire protocol · via MONGODB:27017 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0007
TA0001
Protocole
Émulateur
MONGODB
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
27017
Chemin / cible
—
Service
MONGODB
Payload
; n � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Pourquoi cette classification : Type « mongodb_wire_protocol » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Faible
· 38
Confiance : Confiance 100 % — Motif catalogue confirmé
Protocole émulé
1
Signaux
ET-PROTO-MongoDB-Wire
pat-0363
pat-0364
Upstream
Technique MITRE
T1046
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
Mongo isMaster legacy
Mongo ismaster command
NFS RPC mount
STUN binding
Minecraft varint handshake
TFTP RRQ
User-Agent
—
Règles WAF
—
Payload (extrait)
; n � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Requête brute (extrait)
; n � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13.2 os T type Linux name Linux architecture x86_64 version 6.12.68+ platform CPython 3.13.14.final. |
|||||||
| TCP | 27017 · MONGODB | mongodb | Protocole wire MongoDB mongodb wire protocol · via MONGODB:27017 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0007
TA0001
Protocole
Émulateur
MONGODB
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
27017
Chemin / cible
—
Service
MONGODB
Payload
; �]V � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Pourquoi cette classification : Type « mongodb_wire_protocol » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Faible
· 38
Confiance : Confiance 100 % — Motif catalogue confirmé
Protocole émulé
1
Signaux
ET-PROTO-MongoDB-Wire
pat-0363
pat-0364
Upstream
Technique MITRE
T1046
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
Mongo isMaster legacy
Mongo ismaster command
NFS RPC mount
STUN binding
Minecraft varint handshake
TFTP RRQ
User-Agent
—
Règles WAF
—
Payload (extrait)
; �]V � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Requête brute (extrait)
; �]V � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13.2 os T type Linux name Linux architecture x86_64 version 6.12.68+ platform CPython 3.13.14.final. |
|||||||
| TCP | 27017 · MONGODB | mongodb | Protocole wire MongoDB mongodb wire protocol · via MONGODB:27017 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0007
TA0001
Protocole
Émulateur
MONGODB
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
27017
Chemin / cible
—
Service
MONGODB
Payload
; 4[lv � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Pourquoi cette classification : Type « mongodb_wire_protocol » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Faible
· 38
Confiance : Confiance 100 % — Motif catalogue confirmé
Protocole émulé
1
Signaux
ET-PROTO-MongoDB-Wire
pat-0363
pat-0364
Upstream
Technique MITRE
T1046
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
Mongo isMaster legacy
Mongo ismaster command
NFS RPC mount
STUN binding
Minecraft varint handshake
TFTP RRQ
User-Agent
—
Règles WAF
—
Payload (extrait)
; 4[lv � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Requête brute (extrait)
; 4[lv � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13.2 os T type Linux name Linux architecture x86_64 version 6.12.68+ platform CPython 3.13.14.final. |
|||||||
| TCP | 27017 · MONGODB | mongodb | Protocole wire MongoDB mongodb wire protocol · via MONGODB:27017 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0007
TA0001
Protocole
Émulateur
MONGODB
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
27017
Chemin / cible
—
Service
MONGODB
Payload
; {`2 � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Pourquoi cette classification : Type « mongodb_wire_protocol » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Faible
· 38
Confiance : Confiance 100 % — Motif catalogue confirmé
Protocole émulé
1
Signaux
ET-PROTO-MongoDB-Wire
pat-0363
pat-0364
Upstream
Technique MITRE
T1046
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
Mongo isMaster legacy
Mongo ismaster command
NFS RPC mount
STUN binding
Minecraft varint handshake
TFTP RRQ
User-Agent
—
Règles WAF
—
Payload (extrait)
; {`2 � admin.$cmd ���� ismaster helloOk client � driver - name
PyMongo|c version 4.13
Requête brute (extrait)
; {`2 � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13.2 os T type Linux name Linux architecture x86_64 version 6.12.68+ platform CPython 3.13.14.final.
|
|||||||
| TCP | 27017 · MONGODB | mongodb | Protocole wire MongoDB mongodb wire protocol · via MONGODB:27017 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0007
TA0001
Protocole
Émulateur
MONGODB
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
27017
Chemin / cible
—
Service
MONGODB
Payload
; �TU1 � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Pourquoi cette classification : Type « mongodb_wire_protocol » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Faible
· 38
Confiance : Confiance 100 % — Motif catalogue confirmé
Protocole émulé
1
Signaux
ET-PROTO-MongoDB-Wire
pat-0363
pat-0364
Upstream
Technique MITRE
T1046
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
Mongo isMaster legacy
Mongo ismaster command
NFS RPC mount
STUN binding
Minecraft varint handshake
TFTP RRQ
User-Agent
—
Règles WAF
—
Payload (extrait)
; �TU1 � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13
Requête brute (extrait)
; �TU1 � admin.$cmd ���� ismaster helloOk client � driver - name PyMongo|c version 4.13.2 os T type Linux name Linux architecture x86_64 version 6.12.68+ platform CPython 3.13.14.final. |
|||||||
| TCP | 16098 · HTTP | http | Sonde port 16098/TCP port 16098 tcp · via HTTP:16098 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
16098
Chemin / cible
/
Preuve honeypot — Sonde port 16098/TCP
Connexion détectée sur le port 16098 (TCP) du capteur simulé.
Service
HTTP
Pourquoi cette classification : Type « port_16098_tcp » (signaux protocolaires) · confiance 55%
Confiance classification
55%
Risque capteur
Faible
· 38
Confiance : Confiance 55 % — Classification nommée non retenue — preuves insuffisantes · 2 tag(s) WAF
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:16098 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connect
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:16098 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||
| TCP | 3100 · HTTP | http | Sonde port 3100/TCP port 3100 tcp · via HTTP:3100 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
3100
Chemin / cible
/
Preuve honeypot — Sonde port 3100/TCP
Connexion détectée sur le port 3100 (TCP) du capteur simulé.
Service
HTTP
Pourquoi cette classification : Type « port_3100_tcp » (signaux protocolaires) · confiance 55%
Confiance classification
55%
Risque capteur
Faible
· 38
Confiance : Confiance 55 % — Classification nommée non retenue — preuves insuffisantes · 2 tag(s) WAF
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:3100 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connecti
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:3100 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||
| TCP | 3001 · HTTP | http | Sonde port 3001/TCP port 3001 tcp · via HTTP:3001 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
3001
Chemin / cible
/
Preuve honeypot — Sonde port 3001/TCP
Connexion détectée sur le port 3001 (TCP) du capteur simulé.
Service
HTTP
Pourquoi cette classification : Type « port_3001_tcp » (signaux protocolaires) · confiance 55%
Confiance classification
55%
Risque capteur
Faible
· 38
Confiance : Confiance 55 % — Classification nommée non retenue — preuves insuffisantes · 2 tag(s) WAF
Protocole émulé
1
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:3001 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connecti
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:3001 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||
| TCP | 8503 · HTTP | http | Sonde port 8503/TCP port 8503 tcp · via HTTP:8503 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8503
Chemin / cible
/
Preuve honeypot — Sonde port 8503/TCP
Connexion détectée sur le port 8503 (TCP) du capteur simulé.
Service
HTTP
Pourquoi cette classification : Type « port_8503_tcp » (signaux protocolaires) · confiance 55%
Confiance classification
55%
Risque capteur
Faible
· 38
Confiance : Confiance 55 % — Classification nommée non retenue — preuves insuffisantes · 2 tag(s) WAF
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:8503 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connecti
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:8503 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||
| TCP | 8485 · HTTP | http | Sonde port 8485/TCP port 8485 tcp · via HTTP:8485 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8485
Chemin / cible
/
Preuve honeypot — Sonde port 8485/TCP
Connexion détectée sur le port 8485 (TCP) du capteur simulé.
Service
HTTP
Pourquoi cette classification : Type « port_8485_tcp » (signaux protocolaires) · confiance 55%
Confiance classification
55%
Risque capteur
Faible
· 38
Confiance : Confiance 55 % — Classification nommée non retenue — preuves insuffisantes · 2 tag(s) WAF
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:8485 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connecti
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:8485 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||
| TCP | 5914 · HTTP | http | Sonde port 5914/TCP port 5914 tcp · via HTTP:5914 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
5914
Chemin / cible
/
Preuve honeypot — Sonde port 5914/TCP
Connexion détectée sur le port 5914 (TCP) du capteur simulé.
Service
HTTP
Pourquoi cette classification : Type « port_5914_tcp » (signaux protocolaires) · confiance 55%
Confiance classification
55%
Risque capteur
Faible
· 38
Confiance : Confiance 55 % — Classification nommée non retenue — preuves insuffisantes · 2 tag(s) WAF
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:5914 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connecti
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:5914 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||
| TCP | 12552 · HTTP | http | Sonde port 12552/TCP port 12552 tcp · via HTTP:12552 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
12552
Chemin / cible
/
Preuve honeypot — Sonde port 12552/TCP
Connexion détectée sur le port 12552 (TCP) du capteur simulé.
Service
HTTP
Pourquoi cette classification : Type « port_12552_tcp » (signaux protocolaires) · confiance 55%
Confiance classification
55%
Risque capteur
Faible
· 38
Confiance : Confiance 55 % — Classification nommée non retenue — preuves insuffisantes · 2 tag(s) WAF
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:12552 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connect
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:12552 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||
| TCP | 25084 · HTTP | http | Sonde port 25084/TCP port 25084 tcp · via HTTP:25084 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
25084
Chemin / cible
/
Preuve honeypot — Sonde port 25084/TCP
Connexion détectée sur le port 25084 (TCP) du capteur simulé.
Service
HTTP
Pourquoi cette classification : Type « port_25084_tcp » (signaux protocolaires) · confiance 55%
Confiance classification
55%
Risque capteur
Faible
· 38
Confiance : Confiance 55 % — Classification nommée non retenue — preuves insuffisantes · 2 tag(s) WAF
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:25084 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connect
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:25084 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||
| TCP | 21269 · HTTP | http | Sonde port 21269/TCP port 21269 tcp · via HTTP:21269 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
21269
Chemin / cible
/
Preuve honeypot — Sonde port 21269/TCP
Connexion détectée sur le port 21269 (TCP) du capteur simulé.
Service
HTTP
Pourquoi cette classification : Type « port_21269_tcp » (signaux protocolaires) · confiance 55%
Confiance classification
55%
Risque capteur
Faible
· 38
Confiance : Confiance 55 % — Classification nommée non retenue — preuves insuffisantes · 2 tag(s) WAF
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:21269 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connect
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:21269 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||
| TCP | 8190 · HTTP | http | Scan de ports port scan syn · via HTTP:8190 · (reconnaissance) | Élevée | Moyen · 42 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1046
TA0043
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8190
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « port_scan_syn » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 42
Confiance : Confiance 100 % — 2 tag(s) WAF
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:8190 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connecti
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:8190 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||
| TCP | 771 · HTTP | http | Sonde port 771/TCP port 771 tcp · via HTTP:771 · (sonde / probe) | Élevée | Faible · 38 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
GET / UA python-requests/2.32.5
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
771
Chemin / cible
/
Preuve honeypot — Sonde port 771/TCP
Connexion détectée sur le port 771 (TCP) du capteur simulé.
Service
HTTP
Pourquoi cette classification : Type « port_771_tcp » (signaux protocolaires) · confiance 55%
Confiance classification
55%
Risque capteur
Faible
· 38
Confiance : Confiance 55 % — Classification nommée non retenue — preuves insuffisantes · 2 tag(s) WAF
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
python-requests/2.32.5
Règles WAF
sap-sapcontrol-path
scanner-ua
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:771 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connectio
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:771 User-Agent: python-requests/2.32.5 Accept-Encoding: gzip, deflate Accept: */* Connection: keep-alive |
|||||||