首页 > 其他分享 >6.第二天(第二部分):Working with Signatures and Alerts

6.第二天(第二部分):Working with Signatures and Alerts

时间:2024-08-13 22:51:42浏览次数:10  
标签:deny Signatures log Working Alerts signatures signature inline 告警

signature 类型

built-in signatures:内建的cisco本身自带的

tuned signatures:调整过的

custom signatures:自定义的

5.0以后内建了1000多个默认signature,不能重命名或者删除这些内建的signature,你可以retire(退休)这些signature,这样就在引擎里边删除了,但是在signature配置列表里边依然存在.

内建signatures最大1-50000,

60000以后是自定义signatures.

sub-signature的解释:一个大的signatures可能里面还有一些小的signature.

signature features

1.告警

2.汇总

3.伐值

4.忠诚度

5.应用层firewall

6.snmp支持

7.ipv6支持:只是支持分析ipv6里边封装的ipv4包

8.杂合的检测方法

9.对包字段特殊匹配

混合检测技术

1.简单的字段匹配

2.状态化的字段匹配

3.复制的分析

4.协议分析

5.异常分析

6.协议位分析

7.状态化异常

signature actions

1.丢弃恶意包

2.产生告警,或者再告警里包括触发这次告警的数据包

3.捕获后续数据包

4.初始化blocking(登陆到其他设备进行阻止)

5.产生snmp通知

6.发送root终止tcp会话

regular expression syntax

^必须以特定字符开始

^在左边使用,表示排除内部的字符

$表示必须以$左边的字符结尾

|或者

.匹配任何一个字符

*表示*左边的字符出现零次或者多次

+表示左边的字符出现至少一次

??左边的字符出现零次或一次,0一次

[]内部的所有字符都需要匹配

\转义

引擎

1.signature engine是一个sensor的组合部分,支持gnature的分类.

2.每一个signaturc被一个特定的,设计来监控特定流量的signturc cnginc所控制.

3.每一个engine都有自己的一套特定参数.

4.配置这些特定的engine参数,能够更加优化signature对网络的分析,并且可以为你的网络创建新的signature

alerts

1.默认情况当一个激活的signature触发的时候sensor产生一个告警

2.你可以把默认产生告警的策略关掉

3.告警时存储在sensor的event store里边的

4.外部监控程序可以通过sdee拉告警信息

5.监控程序可以按需收集告警信息

6.多重主机可以同时收集告警

7.告警分为如下级别:

informational

low

mcdium

high

8.告警的严重级别和触发这个告警的signature的严重级别相关

sensor#show events

在你调整或者新建signature之前,学习内建signalure的默认设置,考虑如下几个点:

ips对tcp/ip和协议的理解很重要

network protocols

target address

target port

type of attack

payload inspection

action介绍

1.action:deny attacker inline(所有attack的流量都被deny,不管是它发出的还是访问它的)

2.action:deny attack service pair inline(所有attack发出的去往特定服务端口的流量被deny)

3.deny attacker vietim pair inline(攻击者和被攻击者之间的所有流量被deny)

4.deny connection inline(只是这个特定connection被deny了,新的connection不被影响)

5.deny packet inline(我们enable sig 2152,并且为它增加action:deny packet inline)

可以通过两种方法产生log

1.通过signature触发产生log

2.手动产生log,收到第一个包的时候开始log.

a.一定时间结束log

b.一定数量包后结束Log

c.一定bytes后结束log

标签:deny,Signatures,log,Working,Alerts,signatures,signature,inline,告警
From: https://www.cnblogs.com/smoke520/p/18357865

相关文章

  • 8.第三天(第一部分):Configuring Signatures
    configuringsignaturesalertserverity:告警的严重级别,选项high,informational,low,mediumsigfidelityrating:可信度,越高越可信promiscuousdelta:杂合的增量,可信度的变量,两种模式在线模式和杂合模式.signaturename:signature的名字engine:引擎eventaction:action默......
  • SDN(Software-Defined Networking,软件定义网络),NFV(Network Functions Virtualization,网
    目录SDN(Software-DefinedNetworking,软件定义网络)NFV(NetworkFunctionsVirtualization,网络功能虚拟化)SDN(软件定义网络)NFV(网络功能虚拟化)SDN的优势NFV的优势DC(数据中心)网关与MEC(移动边缘计算)节点DC网关MEC节点DC网关与MEC节点的协同作用SDN(Software-DefinedNet......
  • The following untracked working tree files would be overwritten by merge/ git st
    背景给同学解决问题时,发现无法拉取远程的分支。解决他在C:\Users\用户名\路径下,建立了一个git仓库,然后在桌面上创建了一个文件夹,文件夹内部又新建了一个文件夹,导致gitstatus显示大量父级目录(多级父级)的文件。删除父级中的.git文件即可拉取前没有initgitpull用惯了......
  • flask-SQLAlchemy解决报错 Working outside of application context.
    尝试想要写自己的自动化测试框架,使用的是flask,想要使用SQLAlchemy实现数据库的模型映射,但是按照官方文档创建好module后执行时,会报错Workingoutsideofapplicationcontext.经过一番查找,存在flask的上下文问题,以下是解决过程官网案例:http://www.pythondoc.com/flask-sqlalche......
  • [Cloud Networking] Layer 2
    目录1.什么是MacAddress?2.如何查找MAC地址?3.二层数据交换1.什么是MacAddress?MAC地址是计算机的唯一48位硬件编码,嵌入到网卡中。MAC地址也称为网络设备的物理地址,在IEEE802中规定,数据链路层分为逻辑链路控制(LLC)子层和媒体控制访问(MAC)子层。MAC地址由数据链路层的......
  • Calico 组网(Networking)
    确定最佳网络选项了解Calico支持的不同网络选项,以便您可以选择最适合您需求的选项。Calico灵活的模块化架构支持广泛的部署选项,因此您可以选择适合您的特定环境和需求的最佳网络方法。这包括能够以非覆盖或覆盖模式、带或不带BGP运行各种CNI和IPAM插件以及底层网络类型......
  • 容器内存可观测性新视角:WorkingSet 与 PageCache 监控
    作者:行疾、尝君、佑祎、六滔容器工作内存WorkingSet 概念介绍在Kubernetes场景,容器内存实时使用量统计(PodMemory),由WorkingSet工作内存(缩写WSS)来表示。WorkingSet这个指标概念,是由cadvisor为容器场景定义的。工作内存WorkingSet也是Kubernetes的调度决策判断内......
  • Windows Basics - Working with Files
     WorkingwithfilesUnderstandinghowtoworkwithfilesandfoldersisanimportantpartofusingyourcomputer.Onceyouunderstandhowfilesandfolderwork,you'llusethemallthetime.Inthislesson,we'llshowyoutheabsolutebasicsof......
  • 52 Things: Number 29: What is the UF-CMA security definition for digital signatu
    52Things:Number29:WhatistheUF-CMAsecuritydefinitionfordigitalsignatures?52件事:第29件:数字签名的UF-CMA安全定义是什么? Thisisthelatestinaseriesofblogpoststoaddressthelistof'52ThingsEveryPhDStudentShouldKnowToDoCryptography'......
  • 克隆虚拟机网络重启报错:Failed to start LSB: Bring up/down networking
    1.虚拟机环境[root@master~]#cat/etc/redhat-releaseCentOSLinuxrelease7.9.2009(Core)[root@master~]#cat/proc/versionLinuxversion3.10.0-1160.el7.x86_64([email protected])(gccversion4.8.520150623(RedHat4.8.5-44)(GCC))#1SM......