Cisco Secure IPS -除了假善意告警

下载选项

  • PDF     (571.6 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (339.0 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (352.9 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2009 年 10 月 26 日
文档 ID:13876

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

简介

本文档介绍如何排除思科安全入侵防御系统(IPS)的误报警报。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于Cisco Secure Intrusion Prevention System (IPS) 7.0版和Cisco IPS Manager Express 7.0。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则。

错误肯定和错误否定警告

当给定数据包或数据包序列与Cisco安全IPS签名中定义的已知攻击配置文件特征匹配时,Cisco安全IPS会触发警报。一个关键的IPS特征码设计标准是最大限度地减少误报和漏报警报的发生。

当IPS报告某些良性活动为恶意活动时,就会发生误报(良性触发器)。这需要人类干预来诊断该事件。大量误报会大量消耗资源,并且分析这些误报所需的专业技能成本高昂且难以找到。

当IPS无法检测到并报告实际的恶意活动时,就会出现漏报。其结果可能是灾难性的,并且随着新漏洞和黑客技术的发现,必须不断更新签名。最大程度减少漏报的优先级非常高,有时以误报率较高为代价。

由于IPS用来检测恶意活动的特征码的特性,要想在不严重损害IPS有效性或严重破坏组织计算基础设施(如主机和网络)的情况下完全消除误报和漏报几乎是不可能的。部署IPS时的自定义调整可最大限度地减少误报。当计算环境发生变化时(例如,部署新系统和应用时),需要定期重新调整。Cisco Secure IPS提供灵活的调整功能,可最大限度地减少稳态操作期间的误报。

Cisco Secure IPS排除机制

Cisco Secure IPS能够排除来自或流向特定主机或网络地址的特定签名。从通过此机制专门排除的主机或网络触发已排除的签名时,不会生成警报图标或日志记录。例如,网络管理站可以通过运行ping扫描执行网络发现,该扫描会触发带回声签名的ICMP网络扫描(签名ID 2100)。如果排除该签名,则无需在每次运行网络发现进程时分析警报并删除该警报。

屏蔽主机

完成以下步骤以排除特定主机(源IP地址)生成特定签名警报:

  1. 选择Configuration > Corp-IPS > Policies > Event Action Rules > rules0,然后单击Event Action Filters选项卡。

    f_pos-01.gif

  2. 单击 Add

  3. 在相应的字段中键入过滤器名称、签名ID、攻击者的IPv4地址和要减去的操作,然后单击OK

    f_pos-02.gif

    注意:如果需要从不同网络中排除多个IP地址,可以使用逗号作为分隔符。但是,如果使用逗号,请避免使用逗号后面的空格;否则,可能会收到错误。

    注意:此外,您还可以使用“事件变量”选项卡中定义的变量。当必须在多个事件操作过滤器中重复相同的值时,这些变量非常有用。必须使用美元符号($)作为变量的前缀。变量可以是以下格式之一:

    • 完整的IP地址;例如10.77.23.23。

    • IP地址范围;例如10.9.2.10-10.9.2.155。

    • IP地址范围的集合;例如172.16.33.15-172.16.33.100、192.168.100.1-192.168.100.11。

屏蔽网络

Event Action Filter(事件操作过滤器)还排除根据源或目标网络地址发出警报的特定签名。

完成以下步骤以排除网络生成特定签名警报:

  1. 点击Event Action Filters选项卡。

    f_pos-03.gif

  2. 单击 Add

  3. 在相应的字段中键入过滤器名称、签名ID、带子网掩码的网络地址和要减去的操作,然后单击OK

    f_pos-04.gif

全局禁用签名

您可能希望在任何时候都禁止对签名发出警报。要启用、禁用和停用签名,请完成以下步骤:

  1. 使用具有管理员或操作员权限的帐户登录到IME。

  2. 选择Configuration > sensor_name > Policies > Signature Definitions > sig0 > All Signatures。

  3. 要查找签名,请从过滤器(Filter)下拉列表中选择排序选项。例如,如果要搜索ICMP网络扫描签名,请在sig0下选择All Signatures,然后按签名ID或名称搜索。sig0窗格将刷新并仅显示与您的分类标准匹配的签名。

  4. 要启用或禁用现有签名,请选择签名并完成以下步骤:

    1. 查看“已启用”列以确定签名的状态。已启用的签名已选中该复选框。

    2. 要启用已禁用的签名,请选中Enabled复选框。

    3. 要禁用已启用的签名,请取消选中Enabled复选框。

    4. 要撤销一个或多个签名,请选择签名,右键单击,然后单击Change Status To > Retired

  5. 单击Apply以应用更改并保存修改后的配置。

f_pos-05.gif

相关信息

修订历史记录

版本 发布日期 备注
1.0
10-Dec-2001
初始版本

此文档是否有帮助?

Feedback反馈

联系我们

本文档适用于以下产品