web-dev-qa-db-ja.com

管理者はどのSnortルールを有効にするかをどのように選択できますか?

目的は、SnortをIDSとして構成してネットワークアクティビティを監視し、IDSが警告する標準的なセットに対して警告することです->バッファオーバーフロー攻撃、インジェクション攻撃、ポートスキャン、情報漏えいなど。脆弱性の検出/悪用、機密データの漏洩、ポリシーの回避の試み。

ネットワーク管理者は、どのSnortルールを自分のネットワークで有効にする必要があると決定するとどうしますか?

使用する.rulesファイルの1つの候補リストと(それらの)ルールを有効にするにはどうすればよいですか?

9
pnp

検出に大きな影響を与える最も決定的な質問をしました。特に大規模ネットワークでは、IDSを最適に微調整するのは面倒(かなり興味深い)で継続的なフルタイムの仕事です。

一般的なルール

  • とても重要です。あなたの環境をよく理解してください!この要件の言い訳はありません。保護対象、ネットワーク範囲、アプリケーション、アプリケーションの実行方法、およびWebサーバーの種類(iis、Apacheなど)、オペレーティングシステム(Linux、windows、Ciscoものなど)、テクノロジーを含む開発方法を知っている必要があります。 (asp、php、Javaなど)、その他の製品(erp、データベースなど)、そして最も重要なのはどのタイプのデータ(ssn、銀行情報、PIIなど)ですか。
  • 上記のすべての情報、およびそれらが存在する適切なネットワークセグメントのリストを調べてコンパイルします。すべてのWebサーバーが実行されている場合、本当に必要な署名の明確なマップが得られますIIS ASP .netの場合、phpシグネチャは必要ありません。銀行の場合、ほとんどのデータリークシグネチャをオンにする必要があります。ルールの種類をこの分類と並べ替えにする必要がありますあなたが必要です。
  • ポートスキャン、悪意のあるアクティビティ、主要なワーム/ウイルスなどの標準の署名をIDSでアクティブのままにしておくと、常に役立ちます。
  • リストを定期的に改善および更新し、環境の変更を追跡し、新しく追加されたソフトウェア/アプリケーションを最新の署名リストにして、新しい署名の更新を選択します。
3
Kapish M