이 문서에서는 Cisco IPS(Secure Intrusion Prevention System)에 대한 오탐 경보의 제외에 대해 설명합니다.
이 문서에 대한 특정 요건이 없습니다.
이 문서의 정보는 Cisco IPS(Secure Intrusion Prevention System) 버전 7.0 및 Cisco IPS manager Express 7.0을 기반으로 합니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참고하십시오.
Cisco Secure IPS는 지정된 패킷 또는 패킷 시퀀스가 Cisco Secure IPS 서명에 정의된 알려진 공격 프로필의 특성과 일치하면 경보를 트리거합니다.중요한 IPS 서명 설계 기준은 오탐 및 오탐 경보의 발생을 최소화하는 것입니다.
IPS에서 특정 양성 활동을 악성으로 보고할 경우 오탐(양성 트리거)이 발생합니다.이를 위해서는 사람의 개입이 필요합니다.다수의 오탐을 통해 리소스를 크게 소모할 수 있으며, 이를 분석하는 데 필요한 전문 기술은 비용이 많이 들고 찾기 어렵습니다.
IPS가 실제 악의적인 활동을 탐지하고 보고하지 않을 경우 잘못된 부정적인 결과가 발생합니다.그 결과, 치명적인 결과를 초래할 수 있으며 새로운 익스플로잇 및 해킹 기술이 발견되면 계속해서 시그니처를 업데이트해야 합니다.오탐을 최소화하는 것은 매우 높은 우선 순위를 가지며, 경우에 따라 오탐이 더 많이 발생할 경우 비용이 발생합니다.
IPS가 악의적인 활동을 탐지하는 데 사용하는 시그니처의 특성상 IPS의 효율성을 크게 떨어뜨리거나 조직의 컴퓨팅 인프라(예: 호스트 및 네트워크)를 심각하게 파괴하지 않고서는 오탐과 부정적인 요소를 완전히 제거하는 것은 거의 불가능합니다. IPS를 구축할 때 맞춤화된 튜닝으로 오탐 최소화컴퓨팅 환경이 변경될 경우(예: 새 시스템과 애플리케이션이 구축될 때) 정기적인 재조정이 필요합니다. Cisco Secure IPS는 안정적인 상태 운영 중에 오탐을 최소화할 수 있는 유연한 튜닝 기능을 제공합니다.
Cisco Secure IPS는 특정 호스트 또는 네트워크 주소에서 또는 특정 서명을 제외하는 기능을 제공합니다.제외된 시그니처는 이 메커니즘으로 특별히 제외된 호스트 또는 네트워크에서 트리거될 때 경보 아이콘이나 로그 레코드를 생성하지 않습니다.예를 들어, 네트워크 관리 스테이션은 ping sweeps를 실행하여 네트워크 검색을 수행할 수 있으며, 이는 ICMP Network Sweep with Echo 서명(서명 ID 2100)을 트리거합니다. 시그니처를 제외할 경우 네트워크 검색 프로세스가 실행될 때마다 경보를 분석하고 삭제할 필요가 없습니다.
특정 호스트(소스 IP 주소)가 특정 서명 알람을 생성하지 않도록 하려면 다음 단계를 완료합니다.
Configuration(구성) > Corp-IPS > Policies(정책) > Event Action Rules(이벤트 작업 규칙) > rules0을 선택하고 Event Action Filters(이벤트 작업 필터) 탭을 클릭합니다.
Add(추가)를 클릭합니다.
필터 이름, 서명 ID, 공격자의 IPv4 주소 및 해당 필드에 빼낼 작업을 입력한 다음 OK(확인)를 클릭합니다.
참고: 여러 네트워크에서 여러 IP 주소를 제외해야 하는 경우 쉼표를 구분 기호로 사용할 수 있습니다.그러나 쉼표를 사용하는 경우 쉼표 뒤에 오는 공백을 사용하지 마십시오.그렇지 않으면 오류가 발생할 수 있습니다.
참고: 또한 Event Variables 탭에 정의된 변수를 사용할 수 있습니다.이러한 변수는 여러 이벤트 작업 필터에서 동일한 값을 반복해야 하는 경우에 유용합니다.변수의 접두사로 달러 기호($)를 사용해야 합니다.변수는 다음 형식 중 하나일 수 있습니다.
전체 IP 주소;예: 10.77.23.23.
IP 주소 범위;예: 10.9.2.10-10.9.2.155.
IP 주소 범위 설정예: 172.16.33.15-172.16.33.100,192.168.100.1-192.168.100.11.
또한 이벤트 작업 필터는 소스 또는 대상 네트워크 주소를 기반으로 경보를 발생시키기 위한 특정 시그니처를 제외합니다.
네트워크가 특정 서명 경보를 생성하지 않도록 하려면 다음 단계를 완료하십시오.
Event Action Filters 탭을 클릭합니다.
Add(추가)를 클릭합니다.
필터 이름, 서명 ID, 서브넷 마스크가 있는 네트워크 주소, 해당하는 필드에 빼낼 작업을 입력한 다음 확인을 클릭합니다.
언제든지 경고에서 서명을 사용하지 않도록 설정할 수 있습니다.서명을 활성화, 비활성화 및 사용 중지하려면 다음 단계를 완료하십시오.
관리자 또는 운영자 권한이 있는 계정을 사용하여 IME에 로그인합니다.
Configuration(컨피그레이션) > sensor_name > Policies(정책) > Signature Definitions(시그니처 정의) > sig0 > All Signatures(모든 서명)를 선택합니다.
서명을 찾으려면 Filter 드롭다운 목록에서 정렬 옵션을 선택합니다.예를 들어 ICMP Network Sweep 시그니처를 검색하는 경우 sig0 아래에서 All Signatures를 선택한 다음 서명 ID 또는 이름으로 검색합니다.sig0 창이 새로 고쳐지고 정렬 기준과 일치하는 서명만 표시됩니다.
기존 서명을 활성화 또는 비활성화하려면 서명을 선택하고 다음 단계를 완료합니다.
Enabled(활성화됨) 열을 보고 서명의 상태를 확인합니다.활성화된 시그니처에는 확인란이 선택되어 있습니다.
비활성화된 서명을 활성화하려면 Enabled(활성화됨) 확인란을 선택합니다.
활성화된 서명을 비활성화하려면 Enabled(활성화됨) 확인란을 선택 취소합니다.
하나 이상의 서명을 사용 중지하려면 서명을 선택하고 마우스 오른쪽 단추를 클릭한 다음 상태 변경 > 사용 중지됨을 클릭합니다.
변경 사항을 적용하고 수정된 컨피그레이션을 저장하려면 Apply를 클릭합니다.