오탐 침입 감소 옵션
목차
소개
Intrusion Prevention System은 특정 Snort 규칙에 대해 과도한 알림을 생성할 수 있습니다.경고는 True(양수) 또는 False(오탐)일 수 있습니다.오탐 경고가 여러 개 수신되는 경우 이를 줄이기 위해 몇 가지 옵션을 사용할 수 있습니다. 이 문서에서는 각 옵션의 장단점에 대해 간략하게 설명합니다.
오탐 경고 감소 옵션
1. Cisco 기술 지원 팀에 보고
정상 트래픽에 대한 알림을 트리거하는 Snort 규칙이 있는 경우 Cisco 기술 지원부에 보고하십시오. 고객 지원 엔지니어가 보고되면 VRT(Vulnerability Research Team)로 문제를 에스컬레이션합니다.VRT는 규칙에 대한 가능한 개선을 조사합니다.향상된 규칙은 일반적으로 사용 가능한 즉시 리포터가 사용할 수 있으며 다음 공식 규칙 업데이트에 추가됩니다.
2. 신뢰 또는 허용 규칙
신뢰할 수 있는 트래픽이 검사 없이 Sourcefire 어플라이언스를 통과하도록 허용하는 가장 좋은 옵션은 관련 침입 정책 없이 Trust 또는 Allow 작업을 활성화하는 것입니다.Trust 또는 Allow 규칙을 구성하려면 Policies(정책) > Access Control(액세스 제어) > Add Rule(규칙 추가)로 이동합니다.
그림:신뢰 규칙 구성
3. 불필요한 규칙 사용 안 함
오래된 취약점과 패치된 취약성을 대상으로 하는 Snort 규칙을 비활성화할 수 있습니다.성능을 개선하고 오탐을 줄입니다.FireSIGHT 권장 사항을 사용하면 이 작업을 지원할 수 있습니다. 또한 우선 순위가 낮은 경고 또는 실행 불가능한 알림을 자주 생성하는 규칙은 침입 정책에서 제거하기에 적합합니다.
4. 임계값
Threshold를 사용하여 침입 이벤트 수를 줄일 수 있습니다.이는 규칙이 정상 트래픽에서 제한된 수의 이벤트를 정기적으로 트리거할 것으로 예상되는 시기를 구성하는 데 좋은 옵션이지만, 특정 패킷 수가 규칙과 일치하면 문제가 발생할 수 있습니다. 이 옵션을 사용하여 노이즈 규칙으로 트리거된 이벤트 수를 줄일 수 있습니다.
그림: 임계값 구성
5. 억제
Suppression을 사용하여 이벤트 알림을 완전히 제거할 수 있습니다.Threshold 옵션과 비슷하게 구성됩니다.
6. 빠른 경로 규칙
액세스 제어 정책의 신뢰 및 허용 규칙과 마찬가지로 빠른 경로 규칙도 검사를 우회할 수 있습니다. Cisco 기술 지원에서는 일반적으로 빠른 경로 규칙을 사용하지 않는 것이 좋습니다. 빠른 경로 규칙은 장치 페이지의 고급 창에 구성되어 있으며 액세스 제어 규칙이 거의 항상 충분하지만 쉽게 간과될 수 있기 때문입니다.
그림:고급 창의 빠른 경로 규칙 옵션
빠른 경로 규칙을 사용할 때의 유일한 장점은 더 많은 양의 트래픽을 처리할 수 있다는 것입니다. 빠른 경로 규칙은 하드웨어 레벨(NMSB라고도 함)에서 트래픽을 처리하며 이론적으로 최대 200Gbps의 트래픽을 처리할 수 있습니다. 반면 Trust 및 Allow 작업이 포함된 규칙은 NFE(Network Flow Engine)로 승격되며 최대 40Gbps의 트래픽을 처리할 수 있습니다.
7. 통과 규칙
특정 규칙이 특정 호스트에서 트래픽을 트리거하지 않도록(해당 호스트의 다른 트래픽은 검사해야 함) 하려면 패스 유형 Snort 규칙을 사용합니다.사실, 이것이 그것을 성취하는 유일한 방법이다. 통과 규칙은 유효하지만 통과 규칙은 수동으로 작성되므로 유지 관리하기가 매우 어려울 수 있습니다. 또한, 통과 규칙의 원래 규칙이 규칙 업데이트에 의해 수정된 경우 모든 관련 통과 규칙을 수동으로 업데이트해야 합니다.그렇지 않으면 효과가 없을 수 있습니다.
8. SNORT_BPF 변수
침입 정책의 Snort_BPF 변수를 사용하면 특정 트래픽에서 검사를 우회할 수 있습니다. 이 변수는 레거시 소프트웨어 버전에서 가장 먼저 선택한 변수 중 하나였지만, Cisco 기술 지원에서는 더 세분화되고, 더 가시적이며, 훨씬 쉽게 구성할 수 있으므로 검사를 우회하기 위해 액세스 제어 정책 규칙을 사용하는 것이 좋습니다.
피드백