Dit document beschrijft hoe u de handtekening kunt afstemmen met het Event Action Filter in Cisco Inbraakpreventiesysteem (IPS) met de Command Line Interface (CLI) en IDS Device Manager (IDM).
Dit document gaat ervan uit dat Cisco IPS is geïnstalleerd en correct werkt.
De informatie in dit document is gebaseerd op het Cisco 4200 Series IDS/IPS-apparaat dat softwareversie 5.0 en hoger uitvoert.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Gebeurtenis actiefilters worden verwerkt als een geordende lijst en u kunt filters omhoog of omlaag in de lijst verplaatsen.
De filters laten de sensor bepaalde acties in reactie op de gebeurtenis uitvoeren zonder de sensor te vereisen om alle acties uit te voeren of de gehele gebeurtenis te verwijderen. Filters werken door de handelingen van een evenement te verwijderen. Een filter die alle acties van een gebeurtenis verwijdert verbruikt effectief de gebeurtenis.
N.B.: Wanneer u sweep handtekeningen filtert, raadt Cisco u aan de doeladressen niet te filteren. Als er meerdere doeladressen zijn, wordt alleen het laatste adres gebruikt om de filter aan te passen.
U kunt gebeurtenisactiefilters configureren om specifieke acties van een gebeurtenis te verwijderen of om een gehele gebeurtenis te negeren en verdere verwerking door de sensor te voorkomen. U kunt de variabelen van de gebeurtenisactie gebruiken die u aan groepsadressen voor uw filters bepaalde. Zie het gedeelte Event Action Variables toevoegen, bewerken en verwijderen voor informatie over de procedure voor het configureren van variabelen voor gebeurtenissen.
Opmerking: U moet de variabele vooraf met een dollarteken ($) aangeven dat u een variabele in plaats van een string gebruikt. Anders, ontvangt u de Slechte bron en bestemmingsfout.
Voltooi deze stappen om de filters van de gebeurtenisactie te vormen:
Meld u aan bij de CLI met een account met beheerdersrechten.
Voer actieregels in voor de submodus:
sensor#configure terminal sensor(config)#service event-action-rules rules1 sensor(config-eve)#
De filternaam maken:
sensor(config-eve)#filters insert name1 begin
Gebruik name1, name2, enzovoort om uw gebeurtenisactiefilters een naam te geven. Gebruik het startpunt | doel | inactive | voor | na trefwoorden om aan te geven waar u het filter wilt invoegen.
Specificeer de waarden voor dit filter:
Specificeer het bereik van de handtekeningsidentificatie:
sensor(config-eve-fil)#signature-id-range 1000-1005
De standaardinstelling is 900 tot 65535.
Specificeer het bereik van de onderhandse-id:
sensor(config-eve-fil)#subsignature-id-range 1-5
De standaardinstelling is 0 tot 255.
Specificeer het bereik van het aanvallen adres:
sensor(config-eve-fil)#attacker-address-range 10.89.10.10-10.89.10.23
De standaardinstelling is 0.0.0 t/m 255.255.255.255.
Geef het bereik van het adres van het slachtoffer op:
sensor(config-eve-fil)#victim-address-range 192.56.10.1-192.56.10.255
De standaardinstelling is 0.0.0 t/m 255.255.255.255.
Specificeer het bereik van de slachtofferpoort:
sensor(config-eve-fil)#victim-port-range 0-434
De standaardinstelling is 0 tot 65535.
Specificeer de relevantie van het besturingssysteem:
sensor(config-eve-fil)#os-relevance relevant
De standaardinstelling is 0 tot 100.
Geef het risicoclassificatiebereik op.
sensor(config-eve-fil)#risk-rating-range 85-100
De standaardinstelling is 0 tot 100.
Specificeer de te verwijderen acties:
sensor(config-eve-fil)#actions-to-remove reset-tcp-connection
Als u een deny-actie filtert, stelt u het percentage van deny-acties in dat u wilt:
sensor(config-eve-fil)#deny-attacker-percentage 90
De standaardwaarde is 100.
Specificeer de status van het filter om deze uit te schakelen of in te schakelen.
sensor(config-eve-fil)#filter-item-status {enabled | disabled}
De standaardinstelling is ingeschakeld.
Specificeer de stop op de parameter van de gelijke.
sensor(config-eve-fil)#stop-on-match {true | false}
True vertelt de sensor om te stoppen met het verwerken van filters als dit item overeenkomt. Fout vertelt de sensor om verder te gaan met het verwerken van filters zelfs als dit item overeenkomt.
Voeg eventuele opmerkingen toe die u wilt gebruiken om dit filter uit te leggen:
sensor(config-eve-fil)#user-comment NEW FILTER
Controleer de instellingen voor het filter:
sensor(config-eve-fil)#show settings NAME: name1 ----------------------------------------------- signature-id-range: 1000-10005 default: 900-65535 subsignature-id-range: 1-5 default: 0-255 attacker-address-range: 10.89.10.10-10.89.10.23 default: 0.0.0.0-255.255.255.255 victim-address-range: 192.56.10.1-192.56.10.255 default: 0.0.0.0-255.255.255.255 attacker-port-range: 0-65535 <defaulted> victim-port-range: 1-343 default: 0-65535 risk-rating-range: 85-100 default: 0-100 actions-to-remove: reset-tcp-connection default: deny-attacker-percentage: 90 default: 100 filter-item-status: Enabled default: Enabled stop-on-match: True default: False user-comment: NEW FILTER default: os-relevance: relevant default: relevant|not-relevant|unknown ------------------------------------------------ senor(config-eve-fil)#
Zo bewerkt u een bestaand filter:
sensor(config-eve)#filters edit name1
Bewerk de parameters en zie Stappen 4a tot en met 4l voor meer informatie.
Zo verplaatst u een filter naar boven of beneden in de filterlijst:
sensor(config-eve-fil)#exit sensor(config-eve)#filters move name5 before name1
Controleer of u de filters hebt verplaatst:
sensor(config-eve-fil)#exit sensor(config-eve)#show settings ----------------------------------------------- filters (min: 0, max: 4096, current: 5 - 4 active, 1 inactive) ----------------------------------------------- ACTIVE list-contents ----------------------------------------------- NAME: name5 ----------------------------------------------- signature-id-range: 900-65535 <defaulted> subsignature-id-range: 0-255 <defaulted> attacker-address-range: 0.0.0.0-255.255.255.255 <defaulted> victim-address-range: 0.0.0.0-255.255.255.255 <defaulted> attacker-port-range: 0-65535 <defaulted> victim-port-range: 0-65535 <defaulted> risk-rating-range: 0-100 <defaulted> actions-to-remove: <defaulted> filter-item-status: Enabled <defaulted> stop-on-match: False <defaulted> user-comment: <defaulted> ----------------------------------------------- ----------------------------------------------- NAME: name1 ----------------------------------------------- signature-id-range: 900-65535 <defaulted> subsignature-id-range: 0-255 <defaulted> attacker-address-range: 0.0.0.0-255.255.255.255 <defaulted> victim-address-range: 0.0.0.0-255.255.255.255 <defaulted> attacker-port-range: 0-65535 <defaulted> victim-port-range: 0-65535 <defaulted> risk-rating-range: 0-100 <defaulted> actions-to-remove: <defaulted> filter-item-status: Enabled <defaulted> stop-on-match: False <defaulted> user-comment: <defaulted> ----------------------------------------------- ----------------------------------------------- NAME: name2 ----------------------------------------------- signature-id-range: 900-65535 <defaulted> subsignature-id-range: 0-255 <defaulted> attacker-address-range: 0.0.0.0-255.255.255.255 <defaulted> victim-address-range: 0.0.0.0-255.255.255.255 <defaulted> attacker-port-range: 0-65535 <defaulted> victim-port-range: 0-65535 <defaulted> risk-rating-range: 0-100 <defaulted> actions-to-remove: <defaulted> filter-item-status: Enabled <defaulted> stop-on-match: False <defaulted> user-comment: <defaulted> ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- INACTIVE list-contents ----------------------------------------------- ----------------------------------------------- sensor(config-eve)#
Zo verplaatst u een filter naar de inactieve lijst:
sensor(config-eve)#filters move name1 inactive
Controleer of het filter naar de inactieve lijst is verplaatst:
sensor(config-eve-fil)#exit sensor(config-eve)#show settings ----------------------------------------------- INACTIVE list-contents ----------------------------------------------- ----------------------------------------------- NAME: name1 ----------------------------------------------- signature-id-range: 900-65535 <defaulted> subsignature-id-range: 0-255 <defaulted> attacker-address-range: 0.0.0.0-255.255.255.255 <defaulted> victim-address-range: 0.0.0.0-255.255.255.255 <defaulted> attacker-port-range: 0-65535 <defaulted> victim-port-range: 0-65535 <defaulted> risk-rating-range: 0-100 <defaulted> actions-to-remove: <defaulted> filter-item-status: Enabled <defaulted> stop-on-match: False <defaulted> user-comment: <defaulted> ----------------------------------------------- ----------------------------------------------- sensor(config-eve)#
Actieregels voor gebeurtenis bij uitgang in submodus:
sensor(config-eve)#exit Apply Changes:?[yes]:
Druk op Enter om uw wijzigingen toe te passen of druk op nee om ze te verwijderen.
Voltooi deze stappen om gebeurtenisactiefilters toe te voegen, te bewerken, te verwijderen, in te schakelen, uit te schakelen en te verplaatsen:
Log in bij IDM met een account met administrateur- of exploitantrechten.
Kies Configuratie > Beleid > Regels van de Actie van het Gebeurtenis > Rules0 > de Filters van de Actie van het Gebeurtenis als de softwareversie 6.x is. Voor softwareversie 5.x, kies Configuratie > de Regels van de Actie van het Gebeurtenis > Filters van de Actie van het Gebeurtenis.
Het tabblad Event Action Filters wordt weergegeven zoals aangegeven in de afbeelding.
Klik op Add om een gebeurtenisactiefilter toe te voegen.
Het dialoogvenster Actiefilter voor gebeurtenissen toevoegen verschijnt.
Voer in het veld Naam een naam in als naam1 voor het filter van de gebeurtenisactie.
Er wordt een standaardnaam opgegeven, maar u kunt deze wijzigen in een betekenisvollere naam.
Klik in het veld Actief op de knop Ja om dit filter aan de lijst toe te voegen, zodat het effect heeft op filtergebeurtenissen.
Klik in het veld Ingeschakeld op de knop Ja om het filter in te schakelen.
Opmerking: U moet ook het aanvinkvakje Event Action Filters op het tabblad Event Action Filters controleren of geen van de gebeurtenisactiefilters ingeschakeld wordt, ongeacht of u het aanvinkvakje Ja in het dialoogvenster Add Event Action Filter aanvinkt.
Voer in het veld Handtekening-ID de handtekening-ID’s in van alle handtekeningen waarop dit filter moet worden toegepast.
U kunt een lijst, bijvoorbeeld, 1000, 1005, of een bereik, bijvoorbeeld, 1000-1005 gebruiken of een van de SIG variabelen als u ze hebt gedefinieerd op het tabblad Event Variables. Voorwoord de variabele met $.
Voer in het veld Subhandtekening-ID de subhandtekeningen in van de onderhandtekeningen waarop dit filter moet worden toegepast. Bijvoorbeeld, 1-5.
Voer in het veld Attacker Address het IP-adres van de bronhost in.
U kunt een van de variabelen gebruiken als u deze hebt gedefinieerd op het tabblad Variabelen van gebeurtenissen. Voorwoord de variabele met $. U kunt ook een reeks adressen opgeven, bijvoorbeeld 10.89.10.10-10.89.10.23. Standaard wordt 0.0.0.0-255.255.255.255 weergegeven.
Voer in het veld Aanvalpoort het poortnummer in dat door de aanvaller wordt gebruikt om het aanstootgevende pakket te verzenden.
Voer in het veld Victim Address het IP-adres van de ontvangende host in.
U kunt een van de variabelen gebruiken als u deze hebt gedefinieerd op het tabblad Variabelen van gebeurtenissen. Voorwoord de variabele met $. U kunt ook een reeks adressen opgeven, bijvoorbeeld 192.56.10.1-192.56.10.255. Standaard wordt 0.0.0.0-255.255.255.255 weergegeven.
Voer in het veld Victim Port het poortnummer in dat door de slachtofferhost wordt gebruikt om het beledigende pakket te ontvangen. Bijvoorbeeld: 0-434.
Voer in het veld Risicowaardering een RR-bereik voor dit filter in. Bijvoorbeeld, 85-100.
Als de RR voor een gebeurtenis binnen het door u opgegeven bereik valt, wordt de gebeurtenis verwerkt volgens de criteria van dit filter.
Kies in de vervolgkeuzelijst Acties om af te trekken de acties die u wilt dat dit filter uit het evenement verwijdert. Kies bijvoorbeeld TCP-verbinding opnieuw instellen.
Tip: Houd de Ctrl-toets ingedrukt om meerdere gebeurtenisacties in de lijst te kiezen.
Kies in de vervolgkeuzelijst OS Relevance of u wilt weten of de waarschuwing relevant is voor het besturingssysteem dat voor het slachtoffer is geïdentificeerd. Kies bijvoorbeeld Relevant.
In het veld Percentage negeren voert u het percentage van pakketten in om aanvallen te ontkennen. Bijvoorbeeld 90.
De standaardinstelling is 100 procent.
Kies een van de volgende radioknoppen in het veld Stop bij overeenkomst:
Ja—Als u wilt dat de component Event Action Filters ophoudt met verwerken nadat de handelingen van dit specifieke filter zijn verwijderd
Alle filters die overblijven worden niet verwerkt; daarom kunnen geen extra acties worden verwijderd van de gebeurtenis.
Nee—Als u wilt doorgaan met het verwerken van extra filters
Voer in het veld Opmerkingen alle opmerkingen in die u met dit filter wilt opslaan, zoals het doel van dit filter of waarom u dit filter op een bepaalde manier hebt geconfigureerd. Bijvoorbeeld, NIEUW FILTER.
Tip: Klik op Annuleren om uw wijzigingen ongedaan te maken en het dialoogvenster Filter voor gebeurtenissen toevoegen te sluiten.
Klik op OK.
De nieuwe filter van de gebeurtenisactie verschijnt nu in de lijst op het tabblad van de Filters van de Actie van de Gebeurtenis zoals getoond.
Selecteer het aanvinkvakje Event Action Overrides gebruiken zoals aangegeven op de afbeelding.
Opmerking: U moet het aanvinkvakje Use Event Action Overrides aanvinken op het tabblad Event Action Overrides of geen van de gebeurtenisacties wordt ingeschakeld ongeacht de waarde die u in het dialoogvenster Add Event Action Filter instelt.
Kies een bestaand gebeurtenisactiefilter in de lijst om het te bewerken en klik vervolgens op Bewerken.
Het dialoogvenster Gebeurtenisfilter bewerken verschijnt.
Verander om het even welke waarden in de velden die u moet wijzigen.
Zie stappen 4 tot en met 18 voor informatie over het invullen van de velden.
Tip: Klik op Annuleren om uw wijzigingen ongedaan te maken en het dialoogvenster Gebeurtenisfilter bewerken te sluiten.
Klik op OK.
De bewerkte filter van de gebeurtenisactie verschijnt nu in de lijst op het tabblad van de Filters van de Actie van de Gebeurtenis.
Schakel het aanvinkvakje Event Action Overrides gebruiken in.
Opmerking: U moet het aanvinkvakje Gebeurtenisactie overrides gebruiken op het tabblad Gebeurtenisactie overrides aanvinken of geen van de gebeurtenisactie overrides is ingeschakeld, ongeacht de waarde die u instelt in het dialoogvenster Gebeurtenisfilter bewerken.
Kies een gebeurtenisactiefilter in de lijst om deze te verwijderen en klik vervolgens op Verwijderen.
De gebeurtenisactiefilter verschijnt niet meer in de lijst op het tabblad Event Action Filters.
Filter op of neer in de lijst om een gebeurtenisactie te verplaatsen, kies het, en klik vervolgens op Omhoog of Omlaag.
Tip: Klik op Beginwaarden om de wijzigingen te verwijderen.
Klik op Toepassen om uw wijzigingen toe te passen en de herziene configuratie op te slaan.
Voltooi deze stappen om gebeurtenisvariabelen toe te voegen, te bewerken en te verwijderen:
Inloggen. Gebruik bijvoorbeeld een account met de rechten van een beheerder of een operator.
Kies Configuratie > Beleid > Regels van de Actie van de Gebeurtenis > regels0 > Variabelen van de Gebeurtenis als de softwareversie 6.x is. Voor softwareversie 5.x, kies Configuratie > de Regels van de Actie van de Gebeurtenis > Variabelen van de Gebeurtenis.
Het tabblad Event Variables verschijnt.
Klik op Add om een variabele te maken.
Het dialoogvenster Variabele toevoegen verschijnt.
Typ in het veld Naam een naam voor deze variabele.
Opmerking: de geldige naam mag alleen cijfers of letters bevatten. U kunt ook een koppelteken (-) of een onderstreepteken (_) gebruiken.
Voer in het veld Waarde de waarden voor deze variabele in.
Geef het volledige IP-adres of bereik of een reeks bereik op. Voorbeeld:
10.89.10.10-10.89.10.23
10.90.1.1
192.168.10.1-192.168.10.255
Opmerking: u kunt komma's als scheidingstekens gebruiken. Zorg dat er na de komma geen spaties achterblijven. Anders ontvangt u een foutmelding voor validatie mislukt.
Tip: Klik op Annuleren om uw wijzigingen ongedaan te maken en het dialoogvenster Variabele voor gebeurtenis toevoegen te sluiten.
Klik op OK.
De nieuwe variabele verschijnt in de lijst op het tabblad Variabelen van het evenement.
Kies de bestaande variabele in de lijst om deze te bewerken en klik vervolgens op Bewerken.
Het dialoogvenster Variabele bewerken verschijnt.
Voer in het veld Waarde uw wijzigingen in de waarde in.
Klik op OK.
De bewerkte gebeurtenisvariabele verschijnt nu in de lijst op de Variabelen van de Gebeurtenis tabblad.
Tip: Kies Reset om uw wijzigingen te verwijderen.
Klik op Toepassen om uw wijzigingen toe te passen en de herziene configuratie op te slaan.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
16-May-2007 |
Eerste vrijgave |