팔로알토 네트웍스 방화벽

구독
다운로드 178
업데이트 2024. 2. 21.

데이터베이스 포트 스캔

잘 알려진 데이터베이스 포트가 열려있는지 확인하는 경우 탐지합니다.

개요

  • 중요도: 하
  • 유형: 실시간 탐지
  • 로그 스키마: 세션
  • 대상 수집모델
    • Palo Alto Networks NGFW (Syslog)

쿼리

팔로알토 네트웍스 차세대 방화벽 수집 모델에 대해 아래 스트림 쿼리를 적용하여 실시간 탐지를 수행합니다. 팔로알토 네트웍스 방화벽은 불완전한 접속을 incomplete로 기록하므로, 정상적인 3-way handshake가 아닌 포트 스캐닝 행위를 구분할 수 있습니다.

| search app == "incomplete" and protocol == "TCP"
| search in(dst_port, 3306, 1521, 5432, 1433, 27017, 6379, 9042, 9200)

데이터베이스 포트 번호

  • 3306: MySQL, MariaDB
  • 1521: Oracle Database
  • 5432: PostgreSQL
  • 1433: Microsoft SQL Server
  • 27017: MongoDB
  • 6379: Redis
  • 9042: Cassandra
  • 9200: ElasticSearch

위협 분석

  • 공격자는 데이터베이스 포트 스캐닝 외에도 네트워크 취약점 스캐닝을 시도할 수 있으며, 알려진 취약점이 발견되면 익스플로잇을 시도할 수 있습니다.

대응 방안

  • 지속적으로 취약점을 탐색하거나 취약점 공격(exploit)을 시도하는 경우 위협 IP 주소를 방화벽, 침입방지시스템, 웹방화벽 등에서 일정 기간 동안 차단 조치합니다.

MITRE ATT&CK