Profil de menace
Activité suspecte — risque 42/100 (Moyen) — MITRE T1046 — confiance 100 % — multi-protocole (3 protocoles · 5 min)
Période analysée : 2026-07-12 → 2026-07-19
Activité suspecte — risque 42/100 (Moyen) — MITRE T1046 — confiance 100 % — multi-protocole (3 protocoles · 5 min)
Campagne de scan — plusieurs IP du même /24 (85.217.149.0/24, ≥3 pairs)
Activité suspecte — risque 42/100 (Moyen) — MITRE T1046 — confiance 100 % — multi-protocole (3 protocoles · 5 min)
Synthèse décisionnelle honeypot — seuil de listing maintenu à 1 événement qualifié.
Type « port_scan_syn » (signaux protocolaires) · confiance 100%
Confiance 100 % — Score WAF 8 · Bonus corrélation +18
ASN 209334 · 85.217.149.0/24 · RIPENCC — 8 pair(s) ASN/FAI listé(s) — activité locale élevée vs pairs · 256 événements sur la période pour cette IP.
Même FAI Modat B.V. — corrélation indicative.
Cette IP touche plusieurs services simulés (pas seulement le web).
Origine réseau déclarée
Opérateur et dernière activité ban
Score capteur — surveiller, investiguer ou bloquer.
Les dates De/À priment sur la période. Affinez protocole, port, service et classification.
256 événements filtrés — activité quotidienne
Top ports ciblés sur les dernières 24 heures
SSH 22, RDP 3389, HTTP alternatifs…
Web, SSH, SAP, scans…
Intensité par jour et heure (UTC capteur)
256 événement(s) — page 1/6
| Horodatage | Proto | Port | Service | Classification | Sévérité | Risque | Actions |
|---|---|---|---|---|---|---|---|
| TCP | 23560 | — | Scan de ports port scan syn · port 23560 · (reconnaissance) | Faible | Moyen · 42 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1046
TA0043
Protocole
WAF
—
Recommandation
Surveiller
Tags
—
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
23560
Chemin / cible
—
Payload
00000000
Pourquoi cette classification : Type « port_scan_syn » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Corrélation +18
Risque capteur
Moyen
· 42
Confiance : Confiance élevée (100 %) — signaux convergents
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
User-Agent
—
Règles WAF
—
Payload (extrait)
00000000 |
|||||||
| TCP | 23607 | — | Sonde port Sonde port · port 23607 · (sonde / probe) | Faible | Moyen · 44 |
|
|
|
Étape
Sonde / probe
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
TA0007
TA0007
TA0001
Protocole
WAF
—
Recommandation
Surveiller
Tags
—
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
23607
Chemin / cible
—
Payload
00000000
Pourquoi cette classification : Type « port_probe » (signaux protocolaires) · confiance 50%
Confiance classification
60%
Corrélation +10
Risque capteur
Moyen
· 44
Confiance : Confiance modérée (50 %) — signal principal unique
Signaux
Fp Port Probe Noise
Single Port
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
User-Agent
—
Règles WAF
—
Payload (extrait)
00000000 |
|||||||
| TCP | 23554 | — | Sonde port Sonde port · port 23554 · (sonde / probe) | Faible | Faible · 33 |
|
|
|
Étape
Sonde / probe
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
TA0007
TA0007
TA0001
Protocole
WAF
—
Recommandation
Surveiller
Tags
—
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
23554
Chemin / cible
—
Payload
00000000
Pourquoi cette classification : Type « port_probe » (signaux protocolaires) · confiance 0%
Confiance classification
18%
Corrélation +18
Risque capteur
Faible
· 33
Confiance : Confiance faible (0 %) — classification prudente
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
User-Agent
—
Règles WAF
—
Payload (extrait)
00000000 |
|||||||
| TCP | 21507 · TLS | tls | Scan de ports port scan syn · via TLS:21507 · (reconnaissance) | Élevée | Moyen · 42 |
|
|
|
Étape
Reconnaissance
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
T1046
TA0043
Protocole
JA3 35fa0a83e466acbe
Émulateur
TLS
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
21507
Chemin / cible
—
Service
TLS
Payload
� ����2��iqN��>P$��'�B>��H���l ���z#��������Y�~:����,>�� &̨̩�/�0�+�,�� �� � � / 5� {
Pourquoi cette classification : Type « port_scan_syn » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Corrélation +16
Risque capteur
Moyen
· 42
Confiance : Confiance 100 % — 3 signal(aux) capteur
Signaux
MITRE-T1046
SIGMA-net-port-scan
Beh Scan Burst
Beh Multi Port 60S
Technique MITRE
T1046
Tactiques MITRE
TA0043
Motifs de détection (base)
PostgreSQL startup
STUN binding
Minecraft varint handshake
SOCKS5 greeting
SIP TLS ClientHello
TFTP RRQ
User-Agent
—
Règles WAF
—
Payload (extrait)
� ����2��iqN��>P$��'�B>��H���l ���z#��������Y�~:����,>��
&̨̩�/�0�+�,�� ��
� � / 5�
{
Requête brute (extrait)
� ����2��iqN��>P$��'�B>��H���l ���z#��������Y�~:����,>�� &̨̩�/�0�+�,�� �� � � / 5� { � + 3 & | |||||||