本文档介绍如何排除思科安全入侵防御系统(IPS)的误报警报。
本文档没有任何特定的要求。
本文档中的信息基于Cisco Secure Intrusion Prevention System (IPS) 7.0版和Cisco IPS Manager Express 7.0。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
有关文档规则的详细信息,请参阅 Cisco 技术提示规则。
当给定数据包或数据包序列与Cisco安全IPS签名中定义的已知攻击配置文件特征匹配时,Cisco安全IPS会触发警报。一个关键的IPS特征码设计标准是最大限度地减少误报和漏报警报的发生。
当IPS报告某些良性活动为恶意活动时,就会发生误报(良性触发器)。这需要人类干预来诊断该事件。大量误报会大量消耗资源,并且分析这些误报所需的专业技能成本高昂且难以找到。
当IPS无法检测到并报告实际的恶意活动时,就会出现漏报。其结果可能是灾难性的,并且随着新漏洞和黑客技术的发现,必须不断更新签名。最大程度减少漏报的优先级非常高,有时以误报率较高为代价。
由于IPS用来检测恶意活动的特征码的特性,要想在不严重损害IPS有效性或严重破坏组织计算基础设施(如主机和网络)的情况下完全消除误报和漏报几乎是不可能的。部署IPS时的自定义调整可最大限度地减少误报。当计算环境发生变化时(例如,部署新系统和应用时),需要定期重新调整。Cisco Secure IPS提供灵活的调整功能,可最大限度地减少稳态操作期间的误报。
Cisco Secure IPS能够排除来自或流向特定主机或网络地址的特定签名。从通过此机制专门排除的主机或网络触发已排除的签名时,不会生成警报图标或日志记录。例如,网络管理站可以通过运行ping扫描执行网络发现,该扫描会触发带回声签名的ICMP网络扫描(签名ID 2100)。如果排除该签名,则无需在每次运行网络发现进程时分析警报并删除该警报。
完成以下步骤以排除特定主机(源IP地址)生成特定签名警报:
选择Configuration > Corp-IPS > Policies > Event Action Rules > rules0,然后单击Event Action Filters选项卡。
单击 Add。
在相应的字段中键入过滤器名称、签名ID、攻击者的IPv4地址和要减去的操作,然后单击OK。
注意:如果需要从不同网络中排除多个IP地址,可以使用逗号作为分隔符。但是,如果使用逗号,请避免使用逗号后面的空格;否则,可能会收到错误。
注意:此外,您还可以使用“事件变量”选项卡中定义的变量。当必须在多个事件操作过滤器中重复相同的值时,这些变量非常有用。必须使用美元符号($)作为变量的前缀。变量可以是以下格式之一:
完整的IP地址;例如10.77.23.23。
IP地址范围;例如10.9.2.10-10.9.2.155。
IP地址范围的集合;例如172.16.33.15-172.16.33.100、192.168.100.1-192.168.100.11。
Event Action Filter(事件操作过滤器)还排除根据源或目标网络地址发出警报的特定签名。
完成以下步骤以排除网络生成特定签名警报:
您可能希望在任何时候都禁止对签名发出警报。要启用、禁用和停用签名,请完成以下步骤:
使用具有管理员或操作员权限的帐户登录到IME。
选择Configuration > sensor_name > Policies > Signature Definitions > sig0 > All Signatures。
要查找签名,请从过滤器(Filter)下拉列表中选择排序选项。例如,如果要搜索ICMP网络扫描签名,请在sig0下选择All Signatures,然后按签名ID或名称搜索。sig0窗格将刷新并仅显示与您的分类标准匹配的签名。
要启用或禁用现有签名,请选择签名并完成以下步骤:
查看“已启用”列以确定签名的状态。已启用的签名已选中该复选框。
要启用已禁用的签名,请选中Enabled复选框。
要禁用已启用的签名,请取消选中Enabled复选框。
要撤销一个或多个签名,请选择签名,右键单击,然后单击Change Status To > Retired。
单击Apply以应用更改并保存修改后的配置。
版本 | 发布日期 | 备注 |
---|---|---|
1.0 |
10-Dec-2001 |
初始版本 |