首页 > 其他分享 >9.第三天(第二部分):Tuning the Sensor

9.第三天(第二部分):Tuning the Sensor

时间:2024-08-13 22:49:53浏览次数:10  
标签:10.1 Tuning rr 第三天 sig action Sensor event 调整

tuning the sensor

调整的主要目的是修改sensor的行为,让告警产生的时候有更高的真实度,并且不会产生一些和真实事件无关的事情,另一个目的是更快更有效的定位正在进行的攻击并且相应它.

为了成功调整sensors,你需要很好的理解如下几点:

1.你的网络和需要被保护的单个设备

2.你所调整的sig所监控的协议

你需要能够区分正常流量和异常流量

在你调整之前需要手机这些重要信息:

1.网络拓扑

2.地址空间可见的和保护的

3.那些内部地址是静态制定的那些地址是dhcp获得的

4.每一个服务器所运行的操作系统

5.服务器上运行的应用程序

6.安全策略

在fw外边和内部的安全策略应该有区别的:

1.外部sensor的安全级别可以调整得很低

2.内部sensor的安全级别应该很高,例如:在本来就不允许telnet的dmz区域出现了telnet流量

调整ips的3个阶段

1.实施阶段

2.调整阶段

3.维护阶段

1.激活或者关掉sig

2.改变告警的级别

3.改变sig的参数

4.创建新的策略覆盖事件行为

5.创建事件行为过滤器

设置一些全局参数来覆盖每一个单一sig的配置,或者作一些过滤

根据目标系统,监控的程序,调整单个sig,也可以通过全局设置进一步提升ips效率

对扫描包的数量进行调整

设置一些全局参数来覆盖每一个单一sig的配置,或者作一些过滤.

根据目标系统,监控的程序,调整单个sig.也可以通过全局设置进一步提升ips效率

ip logging

ip 分片重组装

tcp流组装

1.可以配置ip和tcp的重组装

2.重组装的设置只是为了节省系统资源

miscellaneous重传调整

4.0的一点问题

1.安全级别定义了sig的严重级别

2.告警始终是打开的

3.对于所有的系统action都是一样的

基于rr(威胁率)作action或者filter

event action rule能够实验如下功能:1.确保你收到的告警源自一次真正对你网络的攻击

2.大大减少错报

3.对告警优先级排序提醒你的注意

4.确保你不会丢弃关键流量的包

risk rating是一个0到100之间数值,用来量化在网络中一个特定时间的威胁程度

一下三个元素用于计算risk rating

1.攻击威胁程度medium,high,low,infor.

2.sig真实度0-100

3.攻击目标价值target value rating

rr的介绍:

7.默认icmp echo的rr是25(info-fr 100)调整为mediem rr是75| (mediem+fr 90) rr为67

8.tvr (10.1.1.2-mission criticsl) | (10.1.1.1 - low)

9.这个时候ping 10.1.1.2 rr为100 | ping 10.1.1.1 rr为50 通过icmp的rr不同测试event action overrides

10.event variable (interral - address - 10.1.1.1-10.1.1.255)

11.在event action filter里边调用event variable(+$)

标签:10.1,Tuning,rr,第三天,sig,action,Sensor,event,调整
From: https://www.cnblogs.com/smoke520/p/18357870

相关文章

  • 8.第三天(第一部分):Configuring Signatures
    configuringsignaturesalertserverity:告警的严重级别,选项high,informational,low,mediumsigfidelityrating:可信度,越高越可信promiscuousdelta:杂合的增量,可信度的变量,两种模式在线模式和杂合模式.signaturename:signature的名字engine:引擎eventaction:action默......
  • JavaScript高阶笔记总结(Xmind格式):第三天
    Xmind鸟瞰图:简单文字总结:js高阶笔记总结:严格模式:  1.开启严格模式:"usestrict"  2.不使用var关键字声明会报错  3.严格模式下普通函数的this指向undefined高阶函数:  满足其中之一即高阶函数:    1.函数作为参数    2.函数作为返回值......
  • 微调 为什么要用 Fine-Tuning 来表示
    Fine和Tuning这两个单词结合在一起构成了“Fine-tuning”,用于描述深度学习中的“微调”过程。下面是这两个单词的具体中文含义,以及为什么它们适合用来描述这个概念。Fine的中文含义细致的、精细的、优良的:这个词表示某种事物的质量或精度很高,强调精确度和细微的调整。......
  • 大数据框架之一——Hadoop学习第三天
    1、MapReduce概述及原理MapReduce是一种分布式计算模型,由Google提出,主要用于搜索领域,解决海量数据的计算问题.MapReduce是分布式运行的,由两个阶段组成:Map和Reduce,Map阶段是一个独立的程序,有很多个节点同时运行,每个节点处理一部分数据。Reduce阶段是一个独立的程序,有很多个节......
  • HTML5+CSS3笔记(Xmind格式):第三天
    Xmind鸟瞰图:简单文字总结:过渡transition:过渡属性过渡时间运动曲线何时开始 2D变形transform:  1.平移:translate(单位px)  2.缩放:scale(默认1,大于1放大,小于1缩小)  3.旋转:rotate(单位deg)  4.倾斜:skew(单位deg)3D变形transform:  1.rotateX......
  • 【Android驱动07】Sensor传感器框架以及驱动移植和调试方法(Hal层部分)
    一,Androidsensor系统架构Hal就是对Linux内核驱动程序的封装,向上提供接口,屏蔽低层的实现细节。也就是说,把对硬件的支持分成了两层,一层放在用户空间(UserSpace),一层放在内核空间(KernelSpace),其中,硬件抽象层运行在用户空间,而Linux内核驱动程序运行在内核空间。二,HAL层Sen......
  • An Introductory Guide to Fine-Tuning LLMs
    AnIntroductoryGuidetoFine-TuningLLMshttps://www.datacamp.com/tutorial/fine-tuning-large-language-modelsFine-tuningLargeLanguageModels(LLMs)hasrevolutionizedNaturalLanguageProcessing(NLP),offeringunprecedentedcapabilitiesintaskslike......
  • c语言笔记(2024.7.24)第三天
    常量与变量概念:·表面:程序运行过程中取值可以改变的数据·实际:变量其实代表了一块内存区域/单元/空间。变量名可视为该区域的标识。整个变量分为三部分:·变量名:这个只是变量的一个标识,我们借助变量名来存取数据。·变量空间/存储单元:这个就是内存中分配的一块用来存放......
  • 自学java第三天
    流程控制语句顺序结构if  else语句。例如:publicclassindex{publicstaticvoidmain(String[]args){intnum1=10;//条件表达式,如果为true执行if后面的语句体,false执行else里面的语句体if(num1>20){//语句体......
  • 嵌入式小白第三天——数据类型 运算符 表达式
    目录运算符表达式运算符1.运算符的优先级和结合性2.运算的对象的个数3.表达式4.算术运算(+-*/%)/号%号5.自增运算符与自减运算符(++--)a++与++a区别左值与右值问题6.赋值运算7.逗号运算(顺序求值运算)8.强制类型转换9.隐式类型转换10.不同类型间的混合赋值......