tuning the sensor
调整的主要目的是修改sensor的行为,让告警产生的时候有更高的真实度,并且不会产生一些和真实事件无关的事情,另一个目的是更快更有效的定位正在进行的攻击并且相应它.
为了成功调整sensors,你需要很好的理解如下几点:
1.你的网络和需要被保护的单个设备
2.你所调整的sig所监控的协议
你需要能够区分正常流量和异常流量
在你调整之前需要手机这些重要信息:
1.网络拓扑
2.地址空间可见的和保护的
3.那些内部地址是静态制定的那些地址是dhcp获得的
4.每一个服务器所运行的操作系统
5.服务器上运行的应用程序
6.安全策略
在fw外边和内部的安全策略应该有区别的:
1.外部sensor的安全级别可以调整得很低
2.内部sensor的安全级别应该很高,例如:在本来就不允许telnet的dmz区域出现了telnet流量
调整ips的3个阶段
1.实施阶段
2.调整阶段
3.维护阶段
1.激活或者关掉sig
2.改变告警的级别
3.改变sig的参数
4.创建新的策略覆盖事件行为
5.创建事件行为过滤器
设置一些全局参数来覆盖每一个单一sig的配置,或者作一些过滤
根据目标系统,监控的程序,调整单个sig,也可以通过全局设置进一步提升ips效率
对扫描包的数量进行调整
设置一些全局参数来覆盖每一个单一sig的配置,或者作一些过滤.
根据目标系统,监控的程序,调整单个sig.也可以通过全局设置进一步提升ips效率
ip logging
ip 分片重组装
tcp流组装
1.可以配置ip和tcp的重组装
2.重组装的设置只是为了节省系统资源
miscellaneous重传调整
4.0的一点问题
1.安全级别定义了sig的严重级别
2.告警始终是打开的
3.对于所有的系统action都是一样的
基于rr(威胁率)作action或者filter
event action rule能够实验如下功能:1.确保你收到的告警源自一次真正对你网络的攻击
2.大大减少错报
3.对告警优先级排序提醒你的注意
4.确保你不会丢弃关键流量的包
risk rating是一个0到100之间数值,用来量化在网络中一个特定时间的威胁程度
一下三个元素用于计算risk rating
1.攻击威胁程度medium,high,low,infor.
2.sig真实度0-100
3.攻击目标价值target value rating
rr的介绍:
7.默认icmp echo的rr是25(info-fr 100)调整为mediem rr是75| (mediem+fr 90) rr为67
8.tvr (10.1.1.2-mission criticsl) | (10.1.1.1 - low)
9.这个时候ping 10.1.1.2 rr为100 | ping 10.1.1.1 rr为50 通过icmp的rr不同测试event action overrides
10.event variable (interral - address - 10.1.1.1-10.1.1.255)
11.在event action filter里边调用event variable(+$)
标签:10.1,Tuning,rr,第三天,sig,action,Sensor,event,调整 From: https://www.cnblogs.com/smoke520/p/18357870