简介
思科Talos发布Snort规则更新(SRU),以应对最新的威胁和漏洞。新的SRU版本可能包含每个基本策略的更新规则集。本文档说明Talos用于决定如何为Firepower设备的每个入侵基础策略分配规则的过程。
在规则元数据中定义的Talos基本策略意图
基本策略由SRU本身内的元数据维护。任何默认策略中任何给定规则的状态在规则主体的元数据部分中定义。例如:
alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"MALWARE-CNC 1.php outbound connection attempt"; sid:38753; gid:3; rev:1; classtype:trojan-activity; metadata:engine shared, soid 3|38753, policy balanced-ips drop, policy security-ips drop, impact_flag red; )
请注意,在上面显示的示例规则中,元数据部分包含policy balanced-ips drop, policy security-ips drop。这表示此规则1:38753已启用,并且在Balanced Security and Connectivity策略以及Security Over Connectivity策略中设置为drop。
用于确定默认规则集的度量
- 使用的主要指标是分配给规则可能涵盖的每个漏洞的通用漏洞评分系统(CVSS)评分。
- 第二个度量是基于时间的,与特定漏洞的年龄有关。
- 最终度量是规则的特定覆盖区域。因此,例如,SQL注入规则被认为足够重要,在考虑策略包含时可以产生影响。
注意:这些类别中的规则所涵盖的漏洞被视为重要漏洞,无论年龄如何。
基于安全基本策略的连接
注意:Connectivity策略专门设计为支持设备性能,而非策略中的安全控制。它应允许客户以最低的误报率部署我们的设备之一,并在大多数网络部署中提供完整的设备性能。此外,此策略应检测客户将遇到的最常见和最普遍的威胁。
1. CVSS得分必须为10
2.该漏洞来自过去两年(包括两年)。 例如:
- 本年度(例如2019年)
- 去年(本例中为2018年)
- 上一年(本例中为2017年)
3.规则类别
平衡基本策略
注意:平衡策略是建议用于初始部署的默认策略。此策略尝试平衡安全需求和系统性能特征。客户应该能够从此策略开始,使用公共评估工具获得非常好的阻止率,使用评估和测试工具获得相对较高的性能率。此外,此策略的执行速度应达到设备额定容量的80%,在正常的网络条件下。要始终牢记平衡策略的要点是,这是客户的出发点,如果他们在误报、检测受限或性能差方面有不良体验,大多数客户会调查其他设备以部署在其基础设施中。它是Snort.org上销售的开源Snort的Snort订户规则集的默认发货状态。
1. CVSS得分9或更高
2.该漏洞来自过去两年(包括两年)。 例如:
- 本年度(例如2019年)
- 去年(本例中为2018年)
- 上一年(本例中为2017年)
3.规则类别
- 恶意软件 — CnC
- 黑名单
- SQL注入
- 漏洞攻击包
4.如果规则在连接策略中,
基于连接的安全策略
注意:安全策略专为特别关心组织安全的客户群中的一小部分而设计。客户在受保护网络中部署此策略,这些网络对带宽的要求较低,但安全性要求高得多。此外,客户对误报和有噪签名的关注较少。应用控制和锁定网络使用也是部署此策略的客户所关心的问题。它应提供最大保护和应用控制,但不应使网络中断。
1. CVSS得分8或更高
2.漏洞来自过去三年(包括三年)。 例如:
- 本年度(例如2019年)
- 去年(本例中为2018年)
- 上一年(本例中为2017年)
- 上一年(本例中为2016年)
3.规则类别
- 恶意软件 — CnC
- 黑名单
- SQL注入
- 漏洞攻击包
4.如果规则在平衡和连接策略中,
最大检测(最大检测)基本策略:
注意:最大检测规则集应用于测试环境,因此未针对性能进行优化。容忍和/或预期此策略中许多规则的误报,通常不进行FP调查。
1.现场测试需要覆盖。
2.在“安全”、“平衡”和“连接”规则集中包含规则。
3.包括Sid以上的所有活动规则:10000,除非另有说明。
策略更新频率
所有新规则都根据这些条件放入策略中。每年,策略都会重新评估,随着漏洞年龄的增长,规则将从策略中删除,以保持策略符合我们的临时选择标准。
如果规则所覆盖的特定漏洞的CVSS分数发生更改,则会根据CVSS度量重新评估该漏洞是否在策略中。
策略不断增长。除了重新平衡以使其与特定目标保持一致外,如果我们对规则数量和产品上策略的性能感到满意,策略中的重大规则丢弃并不总会发生
注意:基本政策可以在年度主要再平衡之外实现增长,以使其与特定目标保持一致。如果Talos对规则数量和策略在产品上在正常网络条件下的性能感到满意,则不总会发生策略中的规则重大丢弃。将逐个规则评估列出策略中的规则。有些规则较旧,而上述标准中不存在,这些规则将位于默认策略中。以上是默认规则的选择标准,并且始终会根据威胁情况进行更改。
注意:按规则逐个评估列出策略中的规则。有些规则较旧,而上述标准中不存在,这些规则将位于默认策略中。以上是默认规则的选择标准,并且始终会根据威胁形势进行更改