mozilla
/
MozDef
зеркало из https://github.com/mozilla/MozDef.git
1
0
Форкнуть 0
Код Задачи Пакеты Проекты Релизы Вики Активность

Use the details.indicators field to look for a host initiating a scan.

This commit is contained in:
Michal Purzynski 2017-01-26 09:43:22 -08:00 коммит произвёл Brandon Myers
Родитель 5d03bc03d7
Коммит a29d2a8250
Не найден ключ, соответствующий данной подписи
Идентификатор ключа GPG: 8AA79AD83045BBC7
1 изменённых файлов: 4 добавлений и 4 удалений
Показать статистику Скачать Patch файл Скачать Diff файл Показать все файлы Свернуть все файлы

8
alerts/unauth_scan.py
Просмотреть файл

@ -41,16 +41,16 @@ class AlertUnauthInternalScan(AlertTask):
hostname = event['_source']['hostname']
url = "https://mana.mozilla.org/wiki/display/SECURITY/NSM+IR+procedures"
sourceipaddress = 'unknown'
indicators = 'unknown'
port = 'unknown'
x = event['_source']
if 'details' in x:
if 'sourceipaddress' in x['details']:
sourceipaddress = x['details']['sourceipaddress']
if 'indicators' in x['details']:
indicators = x['details']['indicators']
if 'p' in x['details']:
port = x['details']['p']
summary = '{2}: Unauthorized Internal Scan Event from {0} scanning ports {1}'.format(sourceipaddress, port, hostname)
summary = '{2}: Unauthorized Internal Scan Event from {0} scanning ports {1}'.format(indicators, port, hostname)
# Create the alert object based on these properties
return self.createAlertDict(summary, category, [], [event], severity, url)