Cisco Secure IPS – Exclusion des alarmes de faux positifs

Options de téléchargement

  • PDF     (447.9 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (342.7 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (357.4 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:26 octobre 2009
ID du document:13876

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document décrit l'exclusion des fausses alarmes positives pour le système de prévention des intrusions (IPS) sécurisé de Cisco.

Conditions préalables

Exigences

Aucune exigence spécifique n'est associée à ce document.

Composants utilisés

Les informations contenues dans ce document sont basées sur Cisco Secure Intrusion Prevention System (IPS) version 7.0 et Cisco IPS Manager Express 7.0.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Faux positifs et faux négatifs

Cisco Secure IPS déclenche une alarme lorsqu'un paquet ou une séquence de paquets donné correspond aux caractéristiques des profils d'attaque connus définis dans les signatures Cisco Secure IPS. Un critère essentiel de conception de la signature IPS est de minimiser l'occurrence d'alarmes faussement positives et faussement négatives.

Les faux positifs (déclencheurs bénins) se produisent lorsque le système IPS signale certaines activités bénignes comme étant malveillantes. Cela nécessite une intervention humaine pour diagnostiquer l'événement. Un grand nombre de faux positifs peut considérablement drainer les ressources, et les compétences spécialisées requises pour les analyser sont coûteuses et difficiles à trouver.

Des faux négatifs se produisent lorsque le système IPS ne détecte pas et ne signale pas d'activité malveillante réelle. Les conséquences peuvent être catastrophiques et les signatures doivent être constamment mises à jour à mesure que de nouvelles techniques d'exploitation et de piratage sont découvertes. La minimisation des faux négatifs est une priorité très élevée, parfois au détriment des occurrences plus élevées de faux positifs.

En raison de la nature des signatures utilisées par les IPS pour détecter les activités malveillantes, il est presque impossible d'éliminer complètement les faux positifs et les faux négatifs sans compromettre gravement l'efficacité des IPS ou perturber gravement l'infrastructure informatique d'une organisation (comme les hôtes et les réseaux). Un réglage personnalisé lors du déploiement d'un IPS réduit le nombre de faux positifs. Un réajustement périodique est nécessaire lorsque l'environnement informatique change (par exemple, lorsque de nouveaux systèmes et applications sont déployés). Cisco Secure IPS offre une fonctionnalité de réglage flexible qui peut réduire le nombre de faux positifs lors d'opérations stables.

Mécanisme d'exclusion de Cisco Secure IPS

Cisco Secure IPS offre la possibilité d'exclure une signature spécifique d'un hôte ou d'une adresse réseau spécifique ou vers ces adresses. Les signatures exclues ne génèrent pas d'icônes d'alarme ni d'enregistrements de journal lorsqu'elles sont déclenchées à partir des hôtes ou des réseaux spécifiquement exclus par ce mécanisme. Par exemple, une station de gestion de réseau peut effectuer une détection de réseau en exécutant des balayages ping, qui déclenchent le balayage de réseau ICMP avec signature d'écho (ID de signature 2100). Si vous excluez la signature, vous n'avez pas besoin d'analyser l'alarme et de la supprimer à chaque exécution du processus de détection du réseau.

Exclure un hôte

Complétez ces étapes afin d'exclure un hôte spécifique (une adresse IP source) de la génération d'une alarme de signature spécifique :

  1. Choisissez Configuration > Corp-IPS > Policies > Event Action Rules > rules0, puis cliquez sur l'onglet Event Action Filters.

    f_pos-01.gif

  2. Cliquez sur Add.

  3. Tapez le nom du filtre, l'ID de signature, l'adresse IPv4 du pirate et l'action à soustraire dans les champs appropriés, puis cliquez sur OK.

    f_pos-02.gif

    Remarque : si vous devez exclure plusieurs adresses IP de différents réseaux, vous pouvez utiliser la virgule comme séparateur. Toutefois, si vous utilisez une virgule, évitez l'espace de fin après la virgule ; sinon, vous risquez de recevoir une erreur.

    Remarque : vous pouvez également utiliser les variables définies dans l'onglet Variables d'événement. Ces variables sont utiles lorsque la même valeur doit être répétée dans plusieurs filtres d'action d'événement. Vous devez utiliser le signe dollar ($) comme préfixe de la variable. La variable peut avoir l'un des formats suivants :

    • Adresse IP complète ; par exemple, 10.77.23.23.

    • Plage d'adresses IP ; par exemple, 10.9.2.10-10.9.2.155.

    • Ensemble d'adresses IP ; par exemple, 172.16.33.15-172.16.33.100,192.168.100.1-192.168.100.11.

Exclure un réseau

Le filtre d'action d'événement exclut également des signatures spécifiques pour déclencher une alarme en fonction d'une adresse réseau source ou de destination.

Complétez ces étapes afin d'empêcher un réseau de générer une alarme de signature spécifique :

  1. Cliquez sur l'onglet Filtres d'action d'événement.

    f_pos-03.gif

  2. Cliquez sur Add.

  3. Tapez le nom du filtre, l'ID de signature, l'adresse réseau avec le masque de sous-réseau et l'action à soustraire dans les champs appropriés, puis cliquez sur OK.

    f_pos-04.gif

Désactivation globale des signatures

Vous pouvez désactiver l'alarme d'une signature à tout moment. Pour activer, désactiver et retirer des signatures, procédez comme suit :

  1. Connectez-vous à IME à l'aide d'un compte disposant de privilèges Administrateur ou Opérateur.

  2. Choisissez Configuration > sensor_name > Policies > Signature Definitions > sig0 > All Signatures.

  3. Afin de localiser une signature, choisissez une option de tri dans la liste déroulante Filtre. Par exemple, si vous recherchez une signature de balayage réseau ICMP, choisissez All Signatures sous sig0, puis effectuez une recherche par ID ou nom de signature. Le volet sig0 s'actualise et affiche uniquement les signatures correspondant à vos critères de tri.

  4. Afin d'activer ou de désactiver une signature existante, choisissez la signature et complétez ces étapes :

    1. Affichez la colonne Activé pour déterminer l'état de la signature. La case à cocher d'une signature activée est activée.

    2. Afin d'activer une signature qui est désactivée, cochez la case Enabled.

    3. Afin de désactiver une signature qui est activée, décochez la case Enabled.

    4. Afin de retirer une ou plusieurs signatures, choisissez la ou les signatures, cliquez avec le bouton droit, puis cliquez sur Modifier l'état en > Retiré.

  5. Cliquez sur Apply afin d'appliquer vos modifications et d'enregistrer la configuration révisée.

f_pos-05.gif

Informations connexes

Historique de révision

Révision Date de publication Commentaires
1.0
10-Dec-2001
Première publication

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits