Este documento descreve a exclusão de alarmes falsos positivos para o Cisco Secure Intrusion Prevention System (IPS).
Não existem requisitos específicos para este documento.
As informações neste documento são baseadas no Cisco Secure Intrusion Prevention System (IPS) versão 7.0 e no Cisco IPS Manager Express 7.0.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
O Cisco Secure IPS aciona um alarme quando um determinado pacote ou sequência de pacotes corresponde às características de perfis de ataque conhecidos definidos nas assinaturas do Cisco Secure IPS. Um critério crítico de design de assinatura de IPS é minimizar a ocorrência de alarmes falsos positivos e falsos negativos.
Falsos positivos (disparadores benignos) ocorrem quando o IPS relata certas atividades benignas como mal-intencionadas. Isso requer intervenção humana para diagnosticar o evento. Um grande número de falsos positivos pode drenar recursos de forma significativa, e as habilidades especializadas necessárias para analisá-los são caras e difíceis de encontrar.
Falsos negativos ocorrem quando o IPS não detecta e relata atividades mal-intencionadas reais. A consequência disso pode ser catastrófica e as assinaturas devem ser continuamente atualizadas à medida que novas explorações e técnicas de invasão são descobertas. Minimizar negativos falsos tem uma prioridade bem alta, às vezes, a custa de ocorrências mais altas de positivos falsos.
Devido à natureza das assinaturas que os IPSs usam para detectar atividades mal-intencionadas, é quase impossível eliminar completamente falsos positivos e negativos sem degradar seriamente a eficácia do IPS ou interromper severamente a infraestrutura de computação de uma organização (como hosts e redes). O ajuste personalizado quando um IPS é implantado minimiza os falsos positivos. O reajuste periódico é necessário quando o ambiente de computação muda (por exemplo, quando novos sistemas e aplicativos são implantados). O Cisco Secure IPS oferece um recurso de ajuste flexível que pode minimizar falsos positivos durante operações de estado estacionário.
O Cisco Secure IPS oferece a capacidade de excluir uma assinatura específica de ou para um host específico ou endereços de rede. As assinaturas excluídas não geram ícones de alarme nem registros de log quando são disparadas de hosts ou redes excluídas especificamente por meio desse mecanismo. Por exemplo, uma estação de gerenciamento de rede pode executar a descoberta de rede executando varreduras de ping, que acionam a Varredura de Rede ICMP com assinatura de Eco (ID da assinatura 2100). Se você excluir a assinatura, não precisará analisar o alarme e excluí-lo sempre que o processo de descoberta de rede for executado.
Conclua estes passos para excluir um host específico (um endereço IP de origem) da geração de um alarme de assinatura específico:
Escolha Configuration > Corp-IPS > Policies > Event Action Rules > rules0 e clique na guia Event Action Filters.
Clique em Add.
Digite o nome do filtro, a ID de assinatura, o endereço IPv4 do invasor e a ação a ser subtraída nos campos apropriados e clique em OK.
Observação: se precisar excluir vários endereços IP de redes diferentes, você poderá usar a vírgula como delimitador. No entanto, se você usar uma vírgula, evite o espaço à direita após a vírgula; caso contrário, você poderá receber um erro.
Observação: Além disso, você pode usar as variáveis definidas na guia Variáveis de Evento. Essas variáveis são úteis quando o mesmo valor deve ser repetido em vários filtros de ação de evento. Você deve usar um cifrão ($) como um prefixo para a variável. A variável pode ter um destes formatos:
Endereço IP completo; por exemplo, 10.77.23.23.
Intervalo de endereços IP; por exemplo, 10.9.2.10-10.9.2.155.
Conjunto de intervalos de endereços IP; por exemplo, 172.16.33.15-172.16.33.100,192.168.100.1-192.168.100.11.
O filtro de ação de evento também exclui assinaturas específicas para disparar um alarme com base em um endereço de rede de origem ou destino.
Conclua estes passos para excluir uma rede da geração de um alarme de assinatura específico:
Clique na guia Event Action Filters.
Clique em Add.
Digite o nome do filtro, a ID de assinatura, o endereço de rede com máscara de sub-rede e a ação a ser subtraída nos campos apropriados e clique em OK.
Talvez você queira desativar uma assinatura de alarme a qualquer momento. Para habilitar, desabilitar e desabilitar assinaturas, siga estas etapas:
Faça login no IME usando uma conta com privilégios de Administrador ou Operador.
Escolha Configuration > sensor_name > Policies > Signature Definitions > sig0 > All Signatures.
Para localizar uma assinatura, escolha uma opção de classificação na lista suspensa Filtro. Por exemplo, se estiver procurando uma assinatura de varredura de rede ICMP, escolha Todas as assinaturas em sig0 e, em seguida, pesquise por ID ou nome de assinatura. O painel sig0 é atualizado e exibe apenas as assinaturas que correspondem aos critérios de classificação.
Para habilitar ou desabilitar uma assinatura existente, escolha a assinatura e conclua estas etapas:
Exiba a coluna Habilitado para determinar o status da assinatura. A caixa de seleção de uma assinatura ativada está marcada.
Para habilitar uma assinatura desabilitada, marque a caixa de seleção Habilitado.
Para desabilitar uma assinatura habilitada, desmarque a caixa de seleção Habilitado.
Para desativar uma ou mais assinaturas, escolha a(s) assinatura(s), clique com o botão direito do mouse e clique em Alterar Status para > Desativado.
Clique em Apply para aplicar suas alterações e salvar a configuração revisada.
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
10-Dec-2001 |
Versão inicial |