这个花絮是一个回顾查看思科火力入侵事件日志和每日报告. 具体地说, 我想再给大家复习一下两个关键列的含义, 影响和内联结果列
的火力 影响规模 旨在帮助受助人了解首先将稀缺资源集中在哪里. 将它们视为优先级,并按此顺序理解和解决它们.
- 影响1 -目标主机很容易受到攻击
•已知主机正在运行被攻击的服务
•主机上的服务版本存在漏洞
•攻击者对该服务执行了已知的配置攻击
•主机显示出“妥协的迹象”(过去的攻击)
这种级别的事件应该优先进行调查,并在适当的情况下进行补救. 至少,您需要完全了解触发此事件的原因,以及今天是否需要采取任何措施来防止新的或持续的妥协
- 影响2 -目标主机不太可能受到攻击
•已知主机正在运行被攻击的服务
•主机上的服务没有运行脆弱版本
•攻击者对该服务执行了已知的配置攻击
对于这种级别的事件,通常不需要采取任何行动. IPS已经完成了嗅出和终止流量的工作, 但在这种情况下,主机被确定不容易受到特定攻击的攻击
- 效果3 -目标不容易受到攻击
•主机没有运行被攻击的服务
•攻击者对该服务执行了已知的配置攻击
•如果攻击者在内部网络,这应该进行调查
我们在这类事件中看到的大多数动作都是因为子项目#3. 我们看到大多数这些类型事件的源主机都在受保护的网络内, 大多数被记录的事件被阻止了出站DNS请求. 我们通常只是忽略它们,因为系统已经完成了防止不必要的DNS查找的工作, 但如果你看到其他类型的内部来源的影响3事件, 你要确保你了解它们是什么以确保它们是良性的.
还有一些其他可能的事件影响级别,我们很少在日常事件评论中看到:
- 影响4 -目标主机未知
•攻击者或目标在内部网络中
•没有主机配置文件的设备-以前看不见的主机在网络上 - 影响0 -攻击者和目标都不在被监控的(内部)网络中
•可能的网络/主机配置问题
我都不记得上次看到撞击4号是什么时候了, 一般来说,当系统学习内部主机时,这些问题会自行清除. 需要调查持久性影响0事件,因为它可能是网络中某些地方配置错误的指示.
对于火力事件 内联的结果,我们有一些选项,您将在日志或报告中看到每个事件:
- 下降或黑色向下箭头-相当不言自明,IPS下降的流量
- “0”或空白- IPS没有阻断或丢弃流量. 当IPS规则被设置为只生成事件而不阻塞流量时,就会出现这种结果. 你可能会认为这些事件在本质上更具信息性,但仍然需要回顾和理解
- “会掉落”或灰色向下箭头-如果掉落规则被击中,但“内联掉落”策略选项未在IPS上启用,则会显示此结果. 如果IPS过载,这些问题偶尔也会出现. 如果始终看到这种内联结果,就需要对IPS系统进行一些调查.
如往常一样,随时与我们的办公室联系,以帮助理解您在火力IPS入侵事件日志或每日IPS报告中看到的任何内容.
最近的评论