Requêtes HTTP NGINX depuis un scanner de vulnérabilités
Rapport de recherche Datadog : Bilan sur l'adoption de l'informatique sans serveur Rapport : Bilan sur l'adoption de l'informatique sans serveur
<  Back to rules search

Requêtes HTTP NGINX depuis un scanner de vulnérabilités

Set up the nginx integration.

Présentation

Objectif

Détectez quand quelqu’un utilise un scanner de vulnérabilités sur une application web. Cette règle permet d’identifier les adresses IP des personnes malveillantes qui n’essayent pas de masquer leur tentative d’attaque de votre système. Les hackers plus expérimentés utiliseront un faux user-agent.

Stratégie

Le user-agent dans les en-têtes HTTP est inspecté pour déterminer si une adresse IP effectue un scan de votre application et générer un signal INFO.

Triage et réponse

  1. Déterminez si cette adresse IP effectue des requêtes authentifiées vers l’application.
  2. Si l’adresse IP effectue des requêtes authentifiées vers l’application :
    • Analysez les logs HTTP et déterminez si l’utilisateur attaque votre application.

Les en-têtes HTTP de la requête proviennent du gist de darkqusar