O IPS (Intrusion Prevention System) 5.1 contém mais de 1000 assinaturas padrão incorporadas. Você não pode renomear ou excluir assinaturas da lista de assinaturas internas, mas pode desativar as assinaturas para removê-las do mecanismo de detecção. Mais tarde, você poderá ativar assinaturas desativadas. No entanto, esse processo exige que os mecanismos de detecção reconstruam sua configuração, o que leva tempo e pode retardar o processamento do tráfego. Você pode ajustar assinaturas incorporadas ao ajustar vários parâmetros de assinatura. As assinaturas incorporadas que foram modificadas são chamadas de assinaturas ajustadas.
Este documento ilustra as etapas a serem usadas para ajustar a assinatura usando o Gerenciador de dispositivos IPS (IDM). O IDM é um aplicativo Java baseado na Web que permite configurar e gerenciar seu sensor. O Servidor Web para IDM reside no Sensor. Você pode acessá-lo por meio do Internet Explorer, Netscape ou Mozilla.
Observação: você pode criar assinaturas, que são chamadas de assinaturas personalizadas. As IDs de assinatura personalizadas começam em 60000. Você pode configurá-los para várias coisas, como correspondência de strings em conexões UDP, rastreamento de inundações de rede e varreduras. Cada assinatura é criada usando um mecanismo de assinatura especificamente projetado para o tipo de tráfego que é monitorado.
Não existem requisitos específicos para este documento.
As informações neste documento são baseadas no Cisco Intrusion Prevention System Device Manager 5.x.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
Para configurar um sensor para monitorar o tráfego de rede para uma assinatura específica, você deve habilitar a assinatura. Por padrão, as assinaturas mais críticas são ativadas quando você instala a atualização de assinatura. Quando é detectado um ataque que corresponde a uma assinatura ativada, o sensor gera um alerta, que é armazenado no armazenamento de eventos do sensor. Os alertas, assim como outros eventos, podem ser recuperados do repositório de eventos por clientes baseados na Web. Por padrão, o sensor registra todos os alertas informativos ou superiores.
Algumas assinaturas têm subassinaturas. Ou seja, a assinatura é dividida em subcategorias. Quando você configura uma subassinatura, as alterações feitas nos parâmetros de uma subassinatura aplicam-se somente a essa subassinatura. Por exemplo, se você editar a assinatura 3050 subassinatura 1 e alterar a gravidade, a alteração de gravidade se aplicará somente à subassinatura 1 e não a 3050 2, 3050 3 e 3050 4.
Um ícone + indica que há mais opções disponíveis para esse parâmetro. Clique no + ícone para expandir a seção e exibir os parâmetros restantes.
Um ícone verde indica que o parâmetro atualmente usa o valor padrão. Clique no ícone verde para alterá-lo para vermelho, que ativa o campo de parâmetro para que você possa editar o valor.
Conclua estes passos para ajustar assinaturas:
Faça login no IDM usando uma conta com privilégios de administrador ou operador.
Escolha Configuration > Signature Definition > Signature Configuration.
O painel Configuração de assinatura é exibido.
Para localizar uma assinatura, escolha uma opção de classificação na lista Selecionar por.
Por exemplo, se você pesquisar uma assinatura de inundação UDP, escolha Protocolo L2/L3/L4 e, em seguida, UDP Floods.
O painel Configuração de assinatura é atualizado e exibe apenas as assinaturas que correspondem aos critérios de classificação.
Para ajustar uma assinatura existente, selecione a assinatura e conclua estas etapas:
Clique em Editar para abrir a caixa de diálogo Editar assinatura.
Revise os valores dos parâmetros e altere o valor de qualquer parâmetro que você queira ajustar.
Nota: Para escolher mais de uma ação de evento, mantenha pressionada a tecla Ctrl.
Em Status, escolha Yes para habilitar a assinatura.
Observação: a assinatura deve ser habilitada para que o sensor detecte ativamente o ataque especificado pela assinatura.
Em Status, especifique se esta assinatura é descontinuada. Clique em Não para ativar a assinatura. Isto coloca a assinatura no motor.
Observação: uma assinatura deve ser ativada para que o sensor detecte ativamente o ataque especificado pela assinatura.
Observação: clique em Cancelar para desfazer suas alterações e fechar a caixa de diálogo Editar assinatura.
Click OK.
A assinatura editada agora é exibida na lista com o Tipo definido como Ajustado.
Observação: se desejar desfazer as alterações, clique em Redefinir.
Clique em Apply para aplicar as alterações e salvar a configuração revisada.
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
07-Apr-2007 |
Versão inicial |