Options pour réduire les fausses intrusions positives

Options de téléchargement

  • PDF     (196.9 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (178.4 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (164.1 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:10 juillet 2014
ID du document:117909

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Un système de prévention des intrusions peut générer des alertes excessives sur une règle Snort donnée. Les alertes peuvent être vraies positives ou fausses. Si vous recevez de nombreuses alertes fausses, plusieurs options vous permettent de les réduire.  Cet article résume les avantages et les inconvénients de chaque option.

Options de réduction des fausses alertes positives

Note: Ces options ne sont généralement pas le meilleur choix, elles peuvent être la seule solution dans des circonstances spécifiques.

1. Rapport au support technique Cisco

Si vous trouvez une règle Snort qui déclenche des alertes sur le trafic inoffensif, veuillez la signaler à l'assistance technique Cisco.  Une fois signalé, un ingénieur du support client transfère le problème à l'équipe de recherche sur les vulnérabilités (VRT). VRT recherche des améliorations possibles à la règle. Les règles améliorées sont généralement disponibles pour le reporter dès qu'elles sont disponibles, et sont également ajoutées à la prochaine mise à jour officielle des règles.

2. Approuver ou autoriser une règle

La meilleure option pour autoriser le trafic approuvé à traverser un appareil Sourcefire sans inspection est d'activer l'action Trust ou Allow sans stratégie d'intrusion associée. Pour configurer une règle d'approbation ou d'autorisation, accédez à Politiques > Contrôle d'accès > Ajouter une règle.

Note: Les règles Trust ou Allow correspondant au trafic qui ne sont pas configurées pour correspondre aux utilisateurs, aux applications ou aux URL auront un impact minimal sur les performances globales d'un appareil Sourcefire, car ces règles peuvent être traitées dans le matériel FirePOWER.

Figure : Configuration d'une règle d'approbation

3. Désactiver les règles inutiles

Vous pouvez désactiver les règles Snort qui ciblent les vulnérabilités anciennes et corrigées. Il améliore les performances et réduit les faux positifs. L'utilisation des recommandations FireSIGHT peut vous aider dans cette tâche.  En outre, les règles qui génèrent fréquemment des alertes de faible priorité ou des alertes qui ne sont pas exploitables peuvent constituer de bons candidats à la suppression d'une stratégie d'intrusion.

4. Seuil

Vous pouvez utiliser Threshold pour réduire le nombre d'événements d'intrusion. Il s'agit d'une bonne option à configurer lorsqu'une règle est censée déclencher régulièrement un nombre limité d'événements sur le trafic normal, mais peut être une indication d'un problème si plus d'un certain nombre de paquets correspondent à la règle.  Vous pouvez utiliser cette option pour réduire le nombre d'événements déclenchés par des règles bruyantes. 

Figure : Configuration du seuil

5. Suppression

Vous pouvez utiliser la suppression pour éliminer complètement la notification des événements. Il est configuré comme l'option Seuil.

Attention : La suppression peut entraîner des problèmes de performances, car si aucun événement n'est généré, Snort doit toujours traiter le trafic.

Note: La suppression n'empêche pas les règles de perte de trafic, de sorte que le trafic peut être supprimé silencieusement lorsqu'il correspond à la règle de perte.

6. Règles FastPath

Tout comme les règles Trust et Allow d'une stratégie de contrôle d'accès, les règles Fast-Path peuvent également contourner l'inspection.  En règle générale, l'assistance technique Cisco ne recommande pas l'utilisation de règles Fast-Path car elles sont configurées dans la fenêtre Avancé de la page Périphérique et peuvent être facilement ignorées alors que les règles de contrôle d'accès sont presque toujours suffisantes. 

Figure : Option de règles de chemin rapide dans la fenêtre Avancé.

Le seul avantage de l'utilisation de règles de chemin rapide est qu'elles peuvent gérer un volume de trafic maximal plus important.  Les règles de chemin rapide traitent le trafic au niveau du matériel (appelé NMSB) et peuvent théoriquement gérer jusqu'à 200 Gbits/s de trafic.  En revanche, les règles avec les actions Trust et Allow sont promues sur le moteur de flux réseau (NFE) et peuvent gérer un trafic maximal de 40 Gbit/s.

Note: Les règles Fast-Path ne sont disponibles que sur les périphériques de la gamme 8000 et le modèle 3D9900.

7. Règles de réussite

Afin d'empêcher une règle spécifique de déclencher le trafic d'un hôte donné (alors que d'autres trafics de cet hôte doivent être inspectés), utilisez une règle Snort de type pass. En fait, c'est la seule façon d'y parvenir.  Bien que les règles de passe soient efficaces, elles peuvent être très difficiles à maintenir car les règles de passe sont écrites manuellement.  En outre, si les règles de passage d'origine sont modifiées par une mise à jour de règle, toutes les règles de passage connexes doivent être mises à jour manuellement. Sinon, elles pourraient devenir inefficaces.

8. Variable SNORT_BPF

La variable Snort_BPF dans une stratégie d'intrusion permet à certains trafics de contourner l'inspection.  Bien que cette variable ait été l'un des premiers choix sur les versions logicielles existantes, le support technique de Cisco recommande d'utiliser une règle de stratégie de contrôle d'accès pour contourner l'inspection, car elle est plus granulaire, plus visible et beaucoup plus facile à configurer.

TAC Authored

Contribution d’experts de Cisco

  • Nazmul Rajib
    Cisco TAC Engineer
  • Nathan Jones
    Cisco TAC Engineer

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits