最近、Forefront TMGログに膨大な数(1日あたり60万から200万)のFWX_E_TCP_NOT_SYN_PACKET_DROPPED、0xc0040017エントリを受信し始めました。
上位3つの送信元IPが何らかの兆候である場合、これらのスキャンを開始するIPとの間の正当なトラフィックはありません。これらがForefrontによってログに記録されないようにするにはどうすればよいですか?
残念ながら、標準の抑制ルールを使用しても機能しません。マルチキャスト範囲を含む特定のトラフィックに対して、すでに抑制リストを用意しました。これは私のルールセットの一番上にありました。リストされているルールは、トラフィックが抑制されている場合でも、「なし-結果コードを参照」です。
Fwengmonツールが置き換えられたようで、netshtmgコマンドはこれらのアラートを抑制するための準備ができた方法を提供していません。私は食物連鎖を上に移動しました-これらのログをSplunkに収集し、Syslog-NGをフィルターとして使用できるようにします。 0xc0040017コードをブロックすることにより、syslog-ngレベルでこれらのスプリアスイベントを抑制しました。
アクセスルールを作成します。
拒否/すべてのトラフィック/差出人->新しいコンピュータセット「ログなしでブロック」->このリストにIP(「コンピュータ」)を追加/どこにでも/すべてのユーザー/終了。
リストの最初に注文してから、[全般]タブの[このルールに一致するリクエストをログに記録する]設定をメモリから無効にします。