Scan.Generic.PortScan.TCP не можем найти источник

[Сергей Беляков]

Здравствуйте, уважаемые форумчане!

Имеется проблема с идентификацией источника угроз сканирования портов, но обо всем по порядку:

1. Происходит примерно следующее,

Средствами Kaspersky Security Center, в рамках задачи "Защита от сетевых угроз", обнаружено сканирование портов с хоста xxx.xx.xx.xx

обнаруженные данные о сканировании представлены в таблице

Категория угрозы	Целевой хост	Целевой порт
Scan.Generic.PortScan.TCP	YYY.YY.YY.YY	24612
Scan.Generic.PortScan.TCP	YYY.YY.YY.YY	60998
Scan.Generic.PortScan.TCP	YYY.YY.YY.YY	41164
Scan.Generic.PortScan.TCP	YYY.YY.YY.YY	15475
Scan.Generic.PortScan.TCP	YYY.YY.YY.YY	42746
Scan.Generic.PortScan.TCP	YYY.YY.YY.YY	13385

 

И т.д. всего обычно 150+ событий. Целевые порты всегда рандомные, какой-либо системы их образования обнаружить не удалось.

И Хост-источник XXX.XX.XX.XX и Целевой хост YYY.YY.YY.YY - это рабочее место и соответственно сервер с сайтом в одной корпоративной сети.

2. Сам инцидент воспроизводится посредством захода с рабочего места (причем любого из корпоративной сети) на сайт сервера и проведения на нём стандартной процедуры, сам сайт также корпоративный и не генерирует никакой активности в т.ч. сканирования портов.

3. Научившись воспроизводить инцидент, мы произвели записи сетевого трафика одновременно на рабочем месте и на сервере, также в этот момент следили за событиями на Kaspersky Security Center и в итоге получили: инцидент-сработку на KSC, запись трафика с рабочего места и запись трафика с сервера (записывали в основном с помощью Wireshark).

4. К нашему удивлению в трафике на рабочем месте и на сервере пакетов с такими рандомными портами мы не обнаружили, делали замеры несколько раз - и ничего, всё стандартно,

обращения идут к порту 443 сервера

сетевое оборудование также проверяли, теперь ни у кого нет понимания откуда KSC берет эти пакеты и переводит это в инцидент сканирование портов. А сработки идут от АРМов пользователей, за что последние получают угрожающие сообщения от системы)

 

Прошу поделиться любой информацией по этому вопросу, куда еще можно посмотреть, может в KSC есть средства для извлечения дополнительной информации по таким инцидентам, которая прояснит где корень проблемы...

Заранее Спасибо!