安全 : 思科入侵防御系统

使用事件操作过滤器,调整错误肯定预防的IPS

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈


目录


简介

使用IPS设备管理器(IDM)或IPS管理器Express (IME),本文提供要求的步骤为了调整错误肯定预防的入侵防御系统(IPS)。调整在IPS的错误肯定由呼叫事件操作过滤器的功能达到(EAF)。

注意: 贡献用Aastha Chaudhary, Cisco TAC工程师。

开始使用前

要求

本文读者应该有思科IPS的知识。

使用的组件

本文档中的信息没有根据特定的硬件和软件版本。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

了解EAFs

EAFs主要为错误肯定调整配置。EAF提供能力安排一个特定的签名不采取流量的一子集的所需的动作。

EAFs是有用的在要求满足多个条件的情况,例如:

  • 签名x不采取流量一希望的子网的行动y。

  • 签名x采取其他流量的行动y。

EAFs是有用的与良性触发签名打交道。

配置

示例:错误肯定事件:来自和到已知可信的主机的流量的签名1300触发。

注意: 这是示例只用于示范目的。如果是不确定的是否一个特定的事件由于签名触发良性,请与进一步分析的思科技术支持联系。

注意: 关于IPS签名的更多信息参考的思科入侵防御系统签名

完成这些步骤:

  1. 检查默认操作签名(1300,在本例中) EAF需要配置。

    http://www.cisco.com/c/dam/en/us/support/docs/security/intrusion-prevention-system/113575-tune-ips-eaf-01.gif

    默认操作签名1300包括导致警报并且拒绝连接线型

  2. 识别此签名不应该射击的主机。例如,您不希望签名为来自一委托子网的流量射击,例如10.1.1.1-10.1.1.254。

  3. 创建在步骤2:描述的标准的EAF

    1. 从IDM/IME,请去Configuration>策略> IPS策略。点击事件操作过滤器选项卡。在此选项卡下,请单击添加

      http://www.cisco.com/c/dam/en/us/support/docs/security/intrusion-prevention-system/113575-tune-ips-eaf-02.gif

      此窗口显示:

      http://www.cisco.com/c/dam/en/us/support/docs/security/intrusion-prevention-system/113575-tune-ips-eaf-03.gif

    2. 配置多种字段例如名称签名ID攻击者IP等等。

      http://www.cisco.com/c/dam/en/us/support/docs/security/intrusion-prevention-system/113575-tune-ips-eaf-04.gif

    3. 操作减去字段右边单击图标为了打开编辑操作对话框。

      http://www.cisco.com/c/dam/en/us/support/docs/security/intrusion-prevention-system/113575-tune-ips-eaf-05.gif

      在此窗口,您能指定您不希望IPS执行的签名操作。

      注意: 为了正确地选择您要减去的签名操作,您请需要了解默认签名操作正如Step1所描述。

      在本例中,我们选择导致警报并且拒绝连接线型

      http://www.cisco.com/c/dam/en/us/support/docs/security/intrusion-prevention-system/113575-tune-ips-eaf-06.gif

      IPS不会采取这些行动,如果来自10.1.1.1-10.1.1.254的流量的1300签名触发。

      对于其他流量, Produce警报的默认签名操作和拒绝线型连接将应用。

      在您选择后请导致警报并且丢弃数据包线型,您将看到这些操作在底部的EAF屏幕填充:

      http://www.cisco.com/c/dam/en/us/support/docs/security/intrusion-prevention-system/113575-tune-ips-eaf-07.gif

    4. 点击OK键,然后应用为了保存更改。

      http://www.cisco.com/c/dam/en/us/support/docs/security/intrusion-prevention-system/113575-tune-ips-eaf-08.gif

对于事件操作过滤器的配置使用CLI,参考在配置指南页的IPS命令行界面部分。从相应的配置指南,请单击配置事件操作规则,并且“配置的事件操作搜索过滤”。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 113575