Opções para reduzir falsas invasões positivas

Opções de download

  • PDF     (196.7 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (177.7 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (163.0 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:10 de Julho de 2014
ID do documento:117909

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

Um sistema de prevenção de intrusão pode gerar alertas excessivos em uma determinada regra de Snort. Os alertas podem ser verdadeiros positivos ou falsos positivos. Se você estiver recebendo muitos alertas falsos positivos, há várias opções disponíveis para reduzi-los.  Este artigo fornece um resumo das vantagens e desvantagens de cada opção.

Opções para reduzir alertas falsos positivos

Note: Essas opções geralmente não são a melhor opção, elas podem ser a única solução em circunstâncias específicas.

1. Informar ao Suporte Técnico da Cisco

Se você encontrar uma regra Snort que aciona alertas sobre tráfego benigno, informe-a ao Suporte Técnico da Cisco.  Uma vez relatado, um engenheiro de suporte ao cliente encaminha o problema para a Equipe de pesquisa de vulnerabilidade (VRT). A VRT pesquisa possíveis melhorias na regra. Normalmente, regras aprimoradas estão disponíveis para o repórter assim que estiverem disponíveis e também são adicionadas à próxima atualização oficial de regras.

2. Confiar ou Permitir Regra

A melhor opção para permitir que o tráfego confiável passe por um dispositivo Sourcefire sem inspeção é ativar a Confiança ou Permitir ação sem uma Política de Intrusão associada. Para configurar uma regra Confiar ou Permitir, navegue para Políticas > Controle de acesso > Adicionar regra.

Note: A correspondência de tráfego entre regras Trust ou Allow que não estão configuradas para corresponder usuários, aplicativos ou URLs terá um impacto mínimo no desempenho geral de um dispositivo Sourcefire porque essas regras podem ser processadas no hardware FirePOWER.

Figura: Configuração de uma regra de confiança

3. Desabilitar regras desnecessárias

Você pode desabilitar as regras do Snort que visam vulnerabilidades antigas e corrigidas. Ele melhora o desempenho e reduz falsos positivos. O uso de recomendações do FireSIGHT pode ajudar nessa tarefa.  Além disso, as regras que frequentemente geram alertas de baixa prioridade ou alertas que não podem ser ativados podem ser bons candidatos para remoção de uma política de intrusão.

4. Limite

Você pode usar o Limite para reduzir o número de eventos de invasão. Essa é uma boa opção para configurar quando se espera que uma regra dispare regularmente um número limitado de eventos no tráfego normal, mas pode ser uma indicação de um problema se mais de um determinado número de pacotes corresponder à regra.  Você pode usar essa opção para reduzir o número de eventos disparados por regras ruidosas. 

Figura: Configuração do limite

5. Supressão

Você pode usar a Supressão para eliminar completamente a notificação de eventos. Ele é configurado de forma semelhante à opção Limite.

Caution: A supressão pode levar a problemas de desempenho, porque enquanto nenhum evento é gerado, o Snort ainda precisa processar o tráfego.

Note: A supressão não impede que as regras de descarte descartem o tráfego, portanto, o tráfego pode ser descartado silenciosamente quando corresponder à regra de descarte.

6. Regras de caminho rápido

Semelhante às regras Trust e Allow de uma política de controle de acesso, as regras Fast-Path também podem ignorar a inspeção.  O Suporte Técnico da Cisco geralmente não recomenda o uso de regras de caminho rápido porque elas são configuradas na janela Avançado da página Dispositivo e podem ser facilmente ignoradas enquanto as regras de Controle de Acesso são quase sempre suficientes. 

Figura: Opção Regras de caminho rápido na janela Avançado.

A única vantagem de usar regras de caminho rápido é que elas podem lidar com um maior volume máximo de tráfego.  As regras de caminho rápido processam o tráfego no nível do hardware (conhecido como NMSB) e podem, teoricamente, lidar com até 200 Gbps de tráfego.  Em contrapartida, as regras com Trust e Allow são promovidas ao Network Flow Engine (NFE) e podem lidar com um máximo de 40 Gbps de tráfego.

Note: As regras de caminho rápido estão disponíveis somente em dispositivos da série 8000 e 3D9900.

7. Regras de aprovação

Para evitar que uma regra específica dispare no tráfego de um determinado host (enquanto outro tráfego desse host precisa ser inspecionado), use uma regra de Snort do tipo pass. Na verdade, esta é a única forma de o conseguir.  Embora as regras de aprovação sejam eficazes, elas podem ser muito difíceis de manter porque as regras de aprovação são escritas manualmente.  Além disso, se as regras originais de passagem forem modificadas por uma atualização de regra, todas as regras de passagem relacionadas precisarão ser atualizadas manualmente. Caso contrário, poderão tornar-se ineficazes.

8. Variável SNORT_BPF

A variável Snort_BPF em uma política de invasão permite que certos tráfegos ignorem a inspeção.  Embora essa variável tenha sido uma das primeiras opções em versões de software legado, o Suporte Técnico da Cisco recomenda o uso de uma regra de política de controle de acesso para ignorar a inspeção, pois ela é mais granular, mais visível e muito mais fácil de configurar.

TAC Authored

Colaborado por engenheiros da Cisco

  • Nazmul Rajib
    Cisco TAC Engineer
  • Nathan Jones
    Cisco TAC Engineer

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos