Requêtes HTTP NGINX Ingress Controller depuis un scanner de vulnérabilités
La gestion des incidents est désormais disponible pour tous ! La gestion des incidents est désormais disponible pour tous !
<  Back to rules search

Requêtes HTTP NGINX Ingress Controller depuis un scanner de vulnérabilités

nginx-ingress-controller

Classification:

attack

Tactic:

TA0001-initial-access

Technique:

T1190-exploit-public-facing-application

Set up the nginx-ingress-controller integration.

Présentation

Objectif

Détectez quand quelqu’un utilise un scanner de vulnérabilités sur une application web. Cette règle permet d’identifier les adresses IP des personnes malveillantes qui n’essayent pas de masquer leur tentative d’attaque de votre système. Les hackers plus expérimentés utiliseront un faux user-agent.

Stratégie

Le user-agent dans les en-têtes HTTP est inspecté pour déterminer si une adresse IP effectue un scan de votre application et générer un signal INFO.

Triage et réponse

  1. Déterminez si cette adresse IP effectue des requêtes authentifiées vers l’application.
  2. Si l’adresse IP effectue des requêtes authentifiées vers l’application :
  • Analysez les logs HTTP et déterminez si l’utilisateur attaque votre application.

Les en-têtes HTTP de la requête proviennent du gist de darkqusar