NMAP-integratie om netwerksubnetten te scannen op open poorten en services.
In deze integratie gebruiken we python-nmap (https://pypi.org/project/python-nmap/) om te scannen naar open poorten/services die in verschillende subnetten worden gevonden.
NMAP-poortscanners kunnen worden geïnstalleerd in verschillende agents die in verschillende netwerksegmenten zijn geplaatst. De NMAP-uitvoer wordt geconverteerd naar JSON en toegevoegd aan het actieve responsbestand van elke agent.
De scan kan worden ingepland via cron-jobs die eenmaal per week, maand, etc. moeten worden uitgevoerd. Het kan ook worden geactiveerd met behulp van Wazu’s wodle-opdrachtintegratie.
Voorbeel wazuh alert:
{
"timestamp":"2022-02-23T04:37:32.001+0000",
"rule":{
"level":3,
"description":"NMAP: Network Scan Host 192.168.252.222",
"id":"200400",
"firedtimes":55,
"mail":false,
"groups":[
"linux",
"nmap",
"netwprk_scan"
]
},
"agent":{
"id":"017",
"name":"ubunutu2004vm",
"ip":"192.168.252.191"
},
"manager":{
"name":"ASHWZH01"
},
"id":"1645591052.115711751",
"decoder":{
"name":"json"
},
"data":{
"nmap_host":"192.168.252.222",
"nmap_protocol":"tcp",
"nmap_port":"443",
"nmap_hostname":"_gateway",
"nmap_hostname_type":"PTR",
"nmap_port_name":"https",
"nmap_port_state":"open",
"nmap_port_product":"OPNsense",
"nmap_port_reason":"syn-ack",
"nmap_port_conf":"10"
},
"location":"/var/ossec/logs/active-responses.log"
}
Dutch