Cisco Secure IPS - Excluindo alarmes falsos positivos

Opções de download

  • PDF     (449.2 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (342.1 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (356.7 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:26 de outubro de 2009
ID do documento:13876

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento descreve a exclusão de alarmes falsos positivos para o Cisco Secure Intrusion Prevention System (IPS).

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas no Cisco Secure Intrusion Prevention System (IPS) versão 7.0 e no Cisco IPS Manager Express 7.0.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Alarmes falso positivo e falso negativo

O Cisco Secure IPS aciona um alarme quando um determinado pacote ou sequência de pacotes corresponde às características de perfis de ataque conhecidos definidos nas assinaturas do Cisco Secure IPS. Um critério crítico de design de assinatura de IPS é minimizar a ocorrência de alarmes falsos positivos e falsos negativos.

Falsos positivos (disparadores benignos) ocorrem quando o IPS relata certas atividades benignas como mal-intencionadas. Isso requer intervenção humana para diagnosticar o evento. Um grande número de falsos positivos pode drenar recursos de forma significativa, e as habilidades especializadas necessárias para analisá-los são caras e difíceis de encontrar.

Falsos negativos ocorrem quando o IPS não detecta e relata atividades mal-intencionadas reais. A consequência disso pode ser catastrófica e as assinaturas devem ser continuamente atualizadas à medida que novas explorações e técnicas de invasão são descobertas. Minimizar negativos falsos tem uma prioridade bem alta, às vezes, a custa de ocorrências mais altas de positivos falsos.

Devido à natureza das assinaturas que os IPSs usam para detectar atividades mal-intencionadas, é quase impossível eliminar completamente falsos positivos e negativos sem degradar seriamente a eficácia do IPS ou interromper severamente a infraestrutura de computação de uma organização (como hosts e redes). O ajuste personalizado quando um IPS é implantado minimiza os falsos positivos. O reajuste periódico é necessário quando o ambiente de computação muda (por exemplo, quando novos sistemas e aplicativos são implantados). O Cisco Secure IPS oferece um recurso de ajuste flexível que pode minimizar falsos positivos durante operações de estado estacionário.

O mecanismo de exclusão do Cisco Secure IPS

O Cisco Secure IPS oferece a capacidade de excluir uma assinatura específica de ou para um host específico ou endereços de rede. As assinaturas excluídas não geram ícones de alarme nem registros de log quando são disparadas de hosts ou redes excluídas especificamente por meio desse mecanismo. Por exemplo, uma estação de gerenciamento de rede pode executar a descoberta de rede executando varreduras de ping, que acionam a Varredura de Rede ICMP com assinatura de Eco (ID da assinatura 2100). Se você excluir a assinatura, não precisará analisar o alarme e excluí-lo sempre que o processo de descoberta de rede for executado.

Excluir um host

Conclua estes passos para excluir um host específico (um endereço IP de origem) da geração de um alarme de assinatura específico:

  1. Escolha Configuration > Corp-IPS > Policies > Event Action Rules > rules0 e clique na guia Event Action Filters.

    f_pos-01.gif

  2. Clique em Add.

  3. Digite o nome do filtro, a ID de assinatura, o endereço IPv4 do invasor e a ação a ser subtraída nos campos apropriados e clique em OK.

    f_pos-02.gif

    Observação: se precisar excluir vários endereços IP de redes diferentes, você poderá usar a vírgula como delimitador. No entanto, se você usar uma vírgula, evite o espaço à direita após a vírgula; caso contrário, você poderá receber um erro.

    Observação: Além disso, você pode usar as variáveis definidas na guia Variáveis de Evento. Essas variáveis são úteis quando o mesmo valor deve ser repetido em vários filtros de ação de evento. Você deve usar um cifrão ($) como um prefixo para a variável. A variável pode ter um destes formatos:

    • Endereço IP completo; por exemplo, 10.77.23.23.

    • Intervalo de endereços IP; por exemplo, 10.9.2.10-10.9.2.155.

    • Conjunto de intervalos de endereços IP; por exemplo, 172.16.33.15-172.16.33.100,192.168.100.1-192.168.100.11.

Excluir uma rede

O filtro de ação de evento também exclui assinaturas específicas para disparar um alarme com base em um endereço de rede de origem ou destino.

Conclua estes passos para excluir uma rede da geração de um alarme de assinatura específico:

  1. Clique na guia Event Action Filters.

    f_pos-03.gif

  2. Clique em Add.

  3. Digite o nome do filtro, a ID de assinatura, o endereço de rede com máscara de sub-rede e a ação a ser subtraída nos campos apropriados e clique em OK.

    f_pos-04.gif

Desabilitar Assinaturas Globalmente

Talvez você queira desativar uma assinatura de alarme a qualquer momento. Para habilitar, desabilitar e desabilitar assinaturas, siga estas etapas:

  1. Faça login no IME usando uma conta com privilégios de Administrador ou Operador.

  2. Escolha Configuration > sensor_name > Policies > Signature Definitions > sig0 > All Signatures.

  3. Para localizar uma assinatura, escolha uma opção de classificação na lista suspensa Filtro. Por exemplo, se estiver procurando uma assinatura de varredura de rede ICMP, escolha Todas as assinaturas em sig0 e, em seguida, pesquise por ID ou nome de assinatura. O painel sig0 é atualizado e exibe apenas as assinaturas que correspondem aos critérios de classificação.

  4. Para habilitar ou desabilitar uma assinatura existente, escolha a assinatura e conclua estas etapas:

    1. Exiba a coluna Habilitado para determinar o status da assinatura. A caixa de seleção de uma assinatura ativada está marcada.

    2. Para habilitar uma assinatura desabilitada, marque a caixa de seleção Habilitado.

    3. Para desabilitar uma assinatura habilitada, desmarque a caixa de seleção Habilitado.

    4. Para desativar uma ou mais assinaturas, escolha a(s) assinatura(s), clique com o botão direito do mouse e clique em Alterar Status para > Desativado.

  5. Clique em Apply para aplicar suas alterações e salvar a configuração revisada.

f_pos-05.gif

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
10-Dec-2001
Versão inicial

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos