Opties voor het verminderen van valse positieve indringers

Downloadopties

  • PDF     (349.3 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (196.2 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (163.9 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:10 juli 2014
Document-id:117909

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Een inbraakpreventiesysteem kan buitensporige waarschuwingen genereren voor een bepaalde Snort-regel. De waarschuwingen kunnen true positive of false positive zijn. Als u veel vals-positieve meldingen ontvangt, zijn er verschillende opties beschikbaar om deze te verminderen.  Dit artikel geeft een overzicht van de voor- en nadelen van elke optie.

Opties voor het verminderen van valse positieve meldingen

Opmerking: deze opties zijn meestal niet de beste keuze, ze kunnen de enige oplossing zijn onder specifieke omstandigheden.

1. Rapporteren aan Cisco Technical Support

Als u een Snort-regel vindt die waarschuwingen over goedaardig verkeer activeert, meldt u deze aan de technische ondersteuning van Cisco.  Na melding escaleert een Customer Support Engineer het probleem naar het Vulnerability Research Team (VRT). De VRT onderzoekt mogelijke verbeteringen aan de regel. Verbeterde regels zijn meestal beschikbaar voor de verslaggever zodra ze beschikbaar zijn en worden ook toegevoegd aan de volgende officiële regelupdate.

2. Regel vertrouwen of toestaan

De beste optie voor het toestaan van vertrouwd verkeer om door een Sourcefire-apparaat te gaan zonder inspectie, is het inschakelen van Trust of Allow-actie zonder een bijbehorend inbraakbeleid. Als u een regel Vertrouwen of Toestaan wilt configureren, gaat u naar Beleid > Toegangsbeheer > Regel toevoegen.

Opmerking: Traffic matching Trust- of Allow-regels die niet zijn geconfigureerd om overeen te komen met gebruikers, toepassingen of URL's, hebben een minimale impact op de algehele prestaties van een Sourcefire-apparaat omdat dergelijke regels kunnen worden verwerkt in de FirePOWER-hardware.

117909-config-sourcefire-00-00.png

Afbeelding: Configuratie van een vertrouwensregel

3. Onnodige regels uitschakelen

U kunt Snort-regels uitschakelen die zich richten op oude en gepatchte kwetsbaarheden. Het verbetert de prestaties en vermindert valse positieven. Het gebruik van FireSIGHT-aanbevelingen kan helpen bij deze taak.  Bovendien kunnen regels die vaak waarschuwingen met een lage prioriteit genereren of waarschuwingen waartegen geen actie kan worden ondernomen, goede kandidaten zijn voor verwijdering uit een inbraakbeleid.

4. Drempelwaarde

U kunt Drempelwaarde gebruiken om het aantal inbraakgebeurtenissen te verminderen. Dit is een goede optie om te configureren wanneer een regel naar verwachting regelmatig een beperkt aantal gebeurtenissen op normaal verkeer zal activeren, maar kan een indicatie zijn van een probleem als meer dan een bepaald aantal pakketten aan de regel voldoen.  U kunt deze optie gebruiken om het aantal gebeurtenissen te verminderen dat wordt veroorzaakt door rumoerige regels. 

117909-config-sourcefire-00-01.png

Afbeelding: Configuratie van drempelwaarde

5. Onderdrukking

U kunt Onderdrukking gebruiken om de melding van gebeurtenissen volledig te elimineren. Het is geconfigureerd vergelijkbaar met de optie Drempelwaarde.

Let op: onderdrukking kan leiden tot prestatieproblemen, want hoewel er geen gebeurtenissen worden gegenereerd, moet Snort het verkeer nog verwerken.

Opmerking: onderdrukking voorkomt niet dat valregels het verkeer laten vallen, dus het verkeer kan stilletjes worden weggelaten wanneer het overeenkomt met de valregel.

6. Fast Path-regels

Net als bij de regels Vertrouwen en Toestaan van een toegangscontrolebeleid, kunnen de regels voor het snelpad ook de inspectie omzeilen.  Cisco Technical Support raadt over het algemeen het gebruik van Fast Path-regels niet aan, omdat deze zijn geconfigureerd in het Geavanceerde venster van de Apparaat pagina en gemakkelijk kunnen worden genegeerd, terwijl de regels voor toegangscontrole bijna altijd voldoende zijn. 

117909-config-sourcefire-00-02.png

Afbeelding: optie Fast Path Rules in het venster Geavanceerd.

Het enige voordeel van het gebruik van fast-path-regels is dat ze een groter maximaal verkeersvolume aankunnen.  Fast-path-regels verwerken verkeer op hardwareniveau (bekend als NMSB) en kunnen theoretisch tot 200 Gbps aan verkeer verwerken.  Regels met Trust en Allow acties worden daarentegen gepromoot naar de Network Flow Engine (NFE) en kunnen maximaal 40 Gbps aan verkeer verwerken.

Opmerking: Fast Path-regels zijn alleen beschikbaar op apparaten uit de 8000-reeks en de 3D9900.

7. Voorschriften voor het passeren

Om te voorkomen dat een specifieke regel verkeer van een bepaalde host activeert (terwijl ander verkeer van die host moet worden geïnspecteerd), gebruikt u een snortregel van het type pass. In feite is dit de enige manier om het te bereiken.  Hoewel pasregels effectief zijn, kunnen ze erg moeilijk te handhaven zijn omdat pasregels handmatig worden geschreven.  Bovendien, als de oorspronkelijke regels van de pas regels worden gewijzigd door een regel update, alle gerelateerde pas regels moeten handmatig worden bijgewerkt. Anders kunnen ze ineffectief worden.

8. SNORT_BPF-variabele

Met de variabele Snort_BPF in een inbraakbeleid kan bepaald verkeer de inspectie omzeilen.  Hoewel deze variabele een van de eerste keuzes was voor oudere softwareversies, raadt Cisco Technical Support aan om een regel voor toegangscontrole te gebruiken om inspectie te omzeilen, omdat deze granulairder, zichtbaarder en veel gemakkelijker te configureren is.

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
10-Jul-2014
Eerste vrijgave
TAC Authored

Bijgedragen door Cisco-engineers

  • Nazmul Rajib
    Cisco TAC Engineer
  • Nathan Jones
    Cisco TAC Engineer

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten