IPS 5.x en hoger: Afstemming van de handtekening met gebeurtenisactiefilter met CLI en IDM

Downloadopties

PDF (479.0 KB)
Met Adobe Reader op diverse apparaten bekijken
ePub (339.6 KB)
Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
Mobi (Kindle) (459.0 KB)
Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken

Bijgewerkt:31 mei 2007

Document-id:91817

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inhoud

Inleiding

Voorwaarden

Vereisten

Gebruikte componenten

Conventies

Filters voor gebeurtenisactie

Gebeurtenisactiefilters begrijpen

Configuratie van gebeurtenisactiefilters met CLI

Configuratie van gebeurtenisactiefilters met IDM

Configuratie van gebeurtenisvariabele

Gerelateerde informatie

Inleiding

Dit document beschrijft hoe u de handtekening kunt afstemmen met het Event Action Filter in Cisco Inbraakpreventiesysteem (IPS) met de Command Line Interface (CLI) en IDS Device Manager (IDM).

Voorwaarden

Vereisten

Dit document gaat ervan uit dat Cisco IPS is geïnstalleerd en correct werkt.

Gebruikte componenten

De informatie in dit document is gebaseerd op het Cisco 4200 Series IDS/IPS-apparaat dat softwareversie 5.0 en hoger uitvoert.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Filters voor gebeurtenisactie

Gebeurtenisactiefilters begrijpen

Gebeurtenis actiefilters worden verwerkt als een geordende lijst en u kunt filters omhoog of omlaag in de lijst verplaatsen.

De filters laten de sensor bepaalde acties in reactie op de gebeurtenis uitvoeren zonder de sensor te vereisen om alle acties uit te voeren of de gehele gebeurtenis te verwijderen. Filters werken door de handelingen van een evenement te verwijderen. Een filter die alle acties van een gebeurtenis verwijdert verbruikt effectief de gebeurtenis.

N.B.: Wanneer u sweep handtekeningen filtert, raadt Cisco u aan de doeladressen niet te filteren. Als er meerdere doeladressen zijn, wordt alleen het laatste adres gebruikt om de filter aan te passen.

U kunt gebeurtenisactiefilters configureren om specifieke acties van een gebeurtenis te verwijderen of om een gehele gebeurtenis te negeren en verdere verwerking door de sensor te voorkomen. U kunt de variabelen van de gebeurtenisactie gebruiken die u aan groepsadressen voor uw filters bepaalde. Zie het gedeelte Event Action Variables toevoegen, bewerken en verwijderen voor informatie over de procedure voor het configureren van variabelen voor gebeurtenissen.

Opmerking: U moet de variabele vooraf met een dollarteken ($) aangeven dat u een variabele in plaats van een string gebruikt. Anders, ontvangt u de Slechte bron en bestemmingsfout.

Configuratie van gebeurtenisactiefilters met CLI

Voltooi deze stappen om de filters van de gebeurtenisactie te vormen:

Meld u aan bij de CLI met een account met beheerdersrechten.

Voer actieregels in voor de submodus:

sensor#configure terminal
sensor(config)#service event-action-rules rules1
sensor(config-eve)#

De filternaam maken:
```
sensor(config-eve)#filters insert name1 begin
```
Gebruik name1, name2, enzovoort om uw gebeurtenisactiefilters een naam te geven. Gebruik het startpunt | doel | inactive | voor | na trefwoorden om aan te geven waar u het filter wilt invoegen.
Specificeer de waarden voor dit filter:
1. Specificeer het bereik van de handtekeningsidentificatie:
```
sensor(config-eve-fil)#signature-id-range 1000-1005
```
  De standaardinstelling is 900 tot 65535.
2. Specificeer het bereik van de onderhandse-id:
```
sensor(config-eve-fil)#subsignature-id-range 1-5
```
  De standaardinstelling is 0 tot 255.
3. Specificeer het bereik van het aanvallen adres:
```
sensor(config-eve-fil)#attacker-address-range 10.89.10.10-10.89.10.23
```
  De standaardinstelling is 0.0.0 t/m 255.255.255.255.
4. Geef het bereik van het adres van het slachtoffer op:
```
sensor(config-eve-fil)#victim-address-range 192.56.10.1-192.56.10.255
```
  De standaardinstelling is 0.0.0 t/m 255.255.255.255.
5. Specificeer het bereik van de slachtofferpoort:
```
sensor(config-eve-fil)#victim-port-range 0-434
```
  De standaardinstelling is 0 tot 65535.
6. Specificeer de relevantie van het besturingssysteem:
```
sensor(config-eve-fil)#os-relevance relevant
```
  De standaardinstelling is 0 tot 100.
7. Geef het risicoclassificatiebereik op.
```
sensor(config-eve-fil)#risk-rating-range 85-100
```
  De standaardinstelling is 0 tot 100.
8. Specificeer de te verwijderen acties:
```
sensor(config-eve-fil)#actions-to-remove reset-tcp-connection
```
9. Als u een deny-actie filtert, stelt u het percentage van deny-acties in dat u wilt:
```
sensor(config-eve-fil)#deny-attacker-percentage 90
```
  De standaardwaarde is 100.
10. Specificeer de status van het filter om deze uit te schakelen of in te schakelen.
```
sensor(config-eve-fil)#filter-item-status {enabled | disabled}
```
  De standaardinstelling is ingeschakeld.
11. Specificeer de stop op de parameter van de gelijke.
```
sensor(config-eve-fil)#stop-on-match {true | false}
```
  True vertelt de sensor om te stoppen met het verwerken van filters als dit item overeenkomt. Fout vertelt de sensor om verder te gaan met het verwerken van filters zelfs als dit item overeenkomt.
12. Voeg eventuele opmerkingen toe die u wilt gebruiken om dit filter uit te leggen:
```
sensor(config-eve-fil)#user-comment NEW FILTER
```

Controleer de instellingen voor het filter:

sensor(config-eve-fil)#show settings
 NAME: name1

   -----------------------------------------------

      signature-id-range: 1000-10005 default: 900-65535

      subsignature-id-range: 1-5 default: 0-255

      attacker-address-range: 10.89.10.10-10.89.10.23 default: 0.0.0.0-255.255.255.255

      victim-address-range: 192.56.10.1-192.56.10.255 default: 0.0.0.0-255.255.255.255

      attacker-port-range: 0-65535 <defaulted>

      victim-port-range: 1-343 default: 0-65535

      risk-rating-range: 85-100 default: 0-100

      actions-to-remove: reset-tcp-connection default:

      deny-attacker-percentage: 90 default: 100

      filter-item-status: Enabled default: Enabled

      stop-on-match: True default: False

      user-comment: NEW FILTER default:

      os-relevance: relevant default: relevant|not-relevant|unknown

   ------------------------------------------------

senor(config-eve-fil)#

Zo bewerkt u een bestaand filter:
```
sensor(config-eve)#filters edit name1
```
Bewerk de parameters en zie Stappen 4a tot en met 4l voor meer informatie.

Zo verplaatst u een filter naar boven of beneden in de filterlijst:

sensor(config-eve-fil)#exit
sensor(config-eve)#filters move name5 before name1

Controleer of u de filters hebt verplaatst:

sensor(config-eve-fil)#exit
sensor(config-eve)#show settings

 -----------------------------------------------

   filters (min: 0, max: 4096, current: 5 - 4 active, 1 inactive)

   -----------------------------------------------

   ACTIVE list-contents

   -----------------------------------------------

      NAME: name5

      -----------------------------------------------

         signature-id-range: 900-65535 <defaulted>

         subsignature-id-range: 0-255 <defaulted>

         attacker-address-range: 0.0.0.0-255.255.255.255 <defaulted>

         victim-address-range: 0.0.0.0-255.255.255.255 <defaulted>

         attacker-port-range: 0-65535 <defaulted>

         victim-port-range: 0-65535 <defaulted>

         risk-rating-range: 0-100 <defaulted>

         actions-to-remove: <defaulted>

         filter-item-status: Enabled <defaulted>

         stop-on-match: False <defaulted>

         user-comment: <defaulted>

      -----------------------------------------------

      -----------------------------------------------

      NAME: name1

      -----------------------------------------------

         signature-id-range: 900-65535 <defaulted>

         subsignature-id-range: 0-255 <defaulted>

         attacker-address-range: 0.0.0.0-255.255.255.255 <defaulted>

         victim-address-range: 0.0.0.0-255.255.255.255 <defaulted>

         attacker-port-range: 0-65535 <defaulted>

         victim-port-range: 0-65535 <defaulted>

         risk-rating-range: 0-100 <defaulted>

         actions-to-remove: <defaulted>

         filter-item-status: Enabled <defaulted>

         stop-on-match: False <defaulted>

         user-comment: <defaulted>

      -----------------------------------------------

      -----------------------------------------------

      NAME: name2

      -----------------------------------------------

         signature-id-range: 900-65535 <defaulted>

         subsignature-id-range: 0-255 <defaulted>

         attacker-address-range: 0.0.0.0-255.255.255.255 <defaulted>

         victim-address-range: 0.0.0.0-255.255.255.255 <defaulted>

         attacker-port-range: 0-65535 <defaulted>

         victim-port-range: 0-65535 <defaulted>

         risk-rating-range: 0-100 <defaulted>

         actions-to-remove: <defaulted>

         filter-item-status: Enabled <defaulted>

         stop-on-match: False <defaulted>

         user-comment: <defaulted>

      -----------------------------------------------

      -----------------------------------------------

   -----------------------------------------------

   INACTIVE list-contents

   -----------------------------------------------

-----------------------------------------------

sensor(config-eve)#

Zo verplaatst u een filter naar de inactieve lijst:
```
sensor(config-eve)#filters move name1 inactive
```

Controleer of het filter naar de inactieve lijst is verplaatst:

sensor(config-eve-fil)#exit
sensor(config-eve)#show settings

   -----------------------------------------------

   INACTIVE list-contents

   -----------------------------------------------

      -----------------------------------------------

      NAME: name1

      -----------------------------------------------

         signature-id-range: 900-65535 <defaulted>

         subsignature-id-range: 0-255 <defaulted>

         attacker-address-range: 0.0.0.0-255.255.255.255 <defaulted>

         victim-address-range: 0.0.0.0-255.255.255.255 <defaulted>

         attacker-port-range: 0-65535 <defaulted>

         victim-port-range: 0-65535 <defaulted>

         risk-rating-range: 0-100 <defaulted>

         actions-to-remove: <defaulted>

         filter-item-status: Enabled <defaulted>

         stop-on-match: False <defaulted>

         user-comment: <defaulted>

      -----------------------------------------------

      -----------------------------------------------

sensor(config-eve)#

Actieregels voor gebeurtenis bij uitgang in submodus:
```
sensor(config-eve)#exit
Apply Changes:?[yes]:
```
Druk op Enter om uw wijzigingen toe te passen of druk op nee om ze te verwijderen.

Configuratie van gebeurtenisactiefilters met IDM

Voltooi deze stappen om gebeurtenisactiefilters toe te voegen, te bewerken, te verwijderen, in te schakelen, uit te schakelen en te verplaatsen:

Log in bij IDM met een account met administrateur- of exploitantrechten.
Kies Configuratie > Beleid > Regels van de Actie van het Gebeurtenis > Rules0 > de Filters van de Actie van het Gebeurtenis als de softwareversie 6.x is. Voor softwareversie 5.x, kies Configuratie > de Regels van de Actie van het Gebeurtenis > Filters van de Actie van het Gebeurtenis.

Het tabblad Event Action Filters wordt weergegeven zoals aangegeven in de afbeelding.
Klik op Add om een gebeurtenisactiefilter toe te voegen.

Het dialoogvenster Actiefilter voor gebeurtenissen toevoegen verschijnt.
Voer in het veld Naam een naam in als naam1 voor het filter van de gebeurtenisactie.

Er wordt een standaardnaam opgegeven, maar u kunt deze wijzigen in een betekenisvollere naam.
Klik in het veld Actief op de knop Ja om dit filter aan de lijst toe te voegen, zodat het effect heeft op filtergebeurtenissen.
Klik in het veld Ingeschakeld op de knop Ja om het filter in te schakelen.

Opmerking: U moet ook het aanvinkvakje Event Action Filters op het tabblad Event Action Filters controleren of geen van de gebeurtenisactiefilters ingeschakeld wordt, ongeacht of u het aanvinkvakje Ja in het dialoogvenster Add Event Action Filter aanvinkt.
Voer in het veld Handtekening-ID de handtekening-ID’s in van alle handtekeningen waarop dit filter moet worden toegepast.

U kunt een lijst, bijvoorbeeld, 1000, 1005, of een bereik, bijvoorbeeld, 1000-1005 gebruiken of een van de SIG variabelen als u ze hebt gedefinieerd op het tabblad Event Variables. Voorwoord de variabele met $.
Voer in het veld Subhandtekening-ID de subhandtekeningen in van de onderhandtekeningen waarop dit filter moet worden toegepast. Bijvoorbeeld, 1-5.
Voer in het veld Attacker Address het IP-adres van de bronhost in.

U kunt een van de variabelen gebruiken als u deze hebt gedefinieerd op het tabblad Variabelen van gebeurtenissen. Voorwoord de variabele met $. U kunt ook een reeks adressen opgeven, bijvoorbeeld 10.89.10.10-10.89.10.23. Standaard wordt 0.0.0.0-255.255.255.255 weergegeven.
Voer in het veld Aanvalpoort het poortnummer in dat door de aanvaller wordt gebruikt om het aanstootgevende pakket te verzenden.
Voer in het veld Victim Address het IP-adres van de ontvangende host in.

U kunt een van de variabelen gebruiken als u deze hebt gedefinieerd op het tabblad Variabelen van gebeurtenissen. Voorwoord de variabele met $. U kunt ook een reeks adressen opgeven, bijvoorbeeld 192.56.10.1-192.56.10.255. Standaard wordt 0.0.0.0-255.255.255.255 weergegeven.
Voer in het veld Victim Port het poortnummer in dat door de slachtofferhost wordt gebruikt om het beledigende pakket te ontvangen. Bijvoorbeeld: 0-434.
Voer in het veld Risicowaardering een RR-bereik voor dit filter in. Bijvoorbeeld, 85-100.

Als de RR voor een gebeurtenis binnen het door u opgegeven bereik valt, wordt de gebeurtenis verwerkt volgens de criteria van dit filter.
Kies in de vervolgkeuzelijst Acties om af te trekken de acties die u wilt dat dit filter uit het evenement verwijdert. Kies bijvoorbeeld TCP-verbinding opnieuw instellen.

Tip: Houd de Ctrl-toets ingedrukt om meerdere gebeurtenisacties in de lijst te kiezen.
Kies in de vervolgkeuzelijst OS Relevance of u wilt weten of de waarschuwing relevant is voor het besturingssysteem dat voor het slachtoffer is geïdentificeerd. Kies bijvoorbeeld Relevant.
In het veld Percentage negeren voert u het percentage van pakketten in om aanvallen te ontkennen. Bijvoorbeeld 90.

De standaardinstelling is 100 procent.
Kies een van de volgende radioknoppen in het veld Stop bij overeenkomst:
1. Ja—Als u wilt dat de component Event Action Filters ophoudt met verwerken nadat de handelingen van dit specifieke filter zijn verwijderd
  
  Alle filters die overblijven worden niet verwerkt; daarom kunnen geen extra acties worden verwijderd van de gebeurtenis.
2. Nee—Als u wilt doorgaan met het verwerken van extra filters
Voer in het veld Opmerkingen alle opmerkingen in die u met dit filter wilt opslaan, zoals het doel van dit filter of waarom u dit filter op een bepaalde manier hebt geconfigureerd. Bijvoorbeeld, NIEUW FILTER.

Tip: Klik op Annuleren om uw wijzigingen ongedaan te maken en het dialoogvenster Filter voor gebeurtenissen toevoegen te sluiten.
Klik op OK.

De nieuwe filter van de gebeurtenisactie verschijnt nu in de lijst op het tabblad van de Filters van de Actie van de Gebeurtenis zoals getoond.
Selecteer het aanvinkvakje Event Action Overrides gebruiken zoals aangegeven op de afbeelding.

Opmerking: U moet het aanvinkvakje Use Event Action Overrides aanvinken op het tabblad Event Action Overrides of geen van de gebeurtenisacties wordt ingeschakeld ongeacht de waarde die u in het dialoogvenster Add Event Action Filter instelt.
Kies een bestaand gebeurtenisactiefilter in de lijst om het te bewerken en klik vervolgens op Bewerken.

Het dialoogvenster Gebeurtenisfilter bewerken verschijnt.
Verander om het even welke waarden in de velden die u moet wijzigen.

Zie stappen 4 tot en met 18 voor informatie over het invullen van de velden.

Tip: Klik op Annuleren om uw wijzigingen ongedaan te maken en het dialoogvenster Gebeurtenisfilter bewerken te sluiten.
Klik op OK.

De bewerkte filter van de gebeurtenisactie verschijnt nu in de lijst op het tabblad van de Filters van de Actie van de Gebeurtenis.
Schakel het aanvinkvakje Event Action Overrides gebruiken in.

Opmerking: U moet het aanvinkvakje Gebeurtenisactie overrides gebruiken op het tabblad Gebeurtenisactie overrides aanvinken of geen van de gebeurtenisactie overrides is ingeschakeld, ongeacht de waarde die u instelt in het dialoogvenster Gebeurtenisfilter bewerken.
Kies een gebeurtenisactiefilter in de lijst om deze te verwijderen en klik vervolgens op Verwijderen.

De gebeurtenisactiefilter verschijnt niet meer in de lijst op het tabblad Event Action Filters.
Filter op of neer in de lijst om een gebeurtenisactie te verplaatsen, kies het, en klik vervolgens op Omhoog of Omlaag.

Tip: Klik op Beginwaarden om de wijzigingen te verwijderen.
Klik op Toepassen om uw wijzigingen toe te passen en de herziene configuratie op te slaan.

Configuratie van gebeurtenisvariabele

Voltooi deze stappen om gebeurtenisvariabelen toe te voegen, te bewerken en te verwijderen:

Inloggen. Gebruik bijvoorbeeld een account met de rechten van een beheerder of een operator.
Kies Configuratie > Beleid > Regels van de Actie van de Gebeurtenis > regels0 > Variabelen van de Gebeurtenis als de softwareversie 6.x is. Voor softwareversie 5.x, kies Configuratie > de Regels van de Actie van de Gebeurtenis > Variabelen van de Gebeurtenis.

Het tabblad Event Variables verschijnt.
Klik op Add om een variabele te maken.

Het dialoogvenster Variabele toevoegen verschijnt.
Typ in het veld Naam een naam voor deze variabele.

Opmerking: de geldige naam mag alleen cijfers of letters bevatten. U kunt ook een koppelteken (-) of een onderstreepteken (_) gebruiken.
Voer in het veld Waarde de waarden voor deze variabele in.

Geef het volledige IP-adres of bereik of een reeks bereik op. Voorbeeld:
- 10.89.10.10-10.89.10.23
- 10.90.1.1
- 192.168.10.1-192.168.10.255
Opmerking: u kunt komma's als scheidingstekens gebruiken. Zorg dat er na de komma geen spaties achterblijven. Anders ontvangt u een foutmelding voor validatie mislukt.

Tip: Klik op Annuleren om uw wijzigingen ongedaan te maken en het dialoogvenster Variabele voor gebeurtenis toevoegen te sluiten.
Klik op OK.

De nieuwe variabele verschijnt in de lijst op het tabblad Variabelen van het evenement.
Kies de bestaande variabele in de lijst om deze te bewerken en klik vervolgens op Bewerken.

Het dialoogvenster Variabele bewerken verschijnt.
Voer in het veld Waarde uw wijzigingen in de waarde in.
Klik op OK.

De bewerkte gebeurtenisvariabele verschijnt nu in de lijst op de Variabelen van de Gebeurtenis tabblad.

Tip: Kies Reset om uw wijzigingen te verwijderen.
Klik op Toepassen om uw wijzigingen toe te passen en de herziene configuratie op te slaan.