SIEMの質問：過剰なファイアウォール拒否/ルール編集の質問

これはQRadarルールのように見えます。 IBM開発者フォーラム で質問するのが良いでしょう。QRadar管理者の目がさらに注がれるからです。

そうは言っても、DMZを持っている場合、ファイアウォールの拒否は避けられません。多くの人がファイアウォールの拒否だけを見て、ファイアウォールの許可を見ていないという欠点があります。拒否は、あなたが見たいものだけを肯定している。許可は本当の危険があるところです。

誤って構成されたサービスの場合：

拒否が関連する設定ミスまたは既知のサービスである場合は、サービスを修正するか、それらを誤検知リストに追加します。

非正規のサービスまたは悪意のあるネットワークスキャナーの場合：

X分間にXを超える数のファイアウォール拒否をキャッチするルールを作成します（これらは適切な数です）。次に、そのルールを使用して、問題のあるソースIPを参照セットに追加します（たとえば、Reference Set: Malicious Scannerと呼び出します）。最後に、BB:CategoryDefinition: Firewall or ACL Acceptをチェックするルールを作成し（許可をログに記録していると想定）、Reference Set: Malicious Scannerをチェックします。ファイアウォールの許可がReference Set: Malicious ScannerのIPからログに記録されると、新しい攻撃が発動するはずです。このようにして、既知の疑わしいIPアドレスがファイアウォールを通過するのに成功した場合を捕捉します。

許可をログに記録していないが、ネットフローデータを使用している場合は、DMZネットワークにヒットしないすべてのトラフィックについてReference Set: Malicious Scannerをチェックするフロールールを作成します。これは、IPがファイアウォールをバイパスできるかどうかを識別するのに役立ちます。 Netflowデータはログほど正確ではありません。

Qradar SIEMを使用していると思います。ファイアウォールがDMZに配置されている場合、これは通常のイベントです。しかし、問題のあるIPが複数のポートを100回クエリする場合、それは明らかにポートスキャンです。ただし、1つまたは2つのポートしか含まれていない場合は、ファイアウォールの設定に誤りがある可能性があります。

私のルールはFirewall or ACL Denies with the same source IP more than 100 times, across exactly 1 destination IP within 5 minutes.です

すべてファイアウォールで拒否してもリスクはないと思います。すでに軽減されています。攻撃者はそれを回避することはできませんが、IPS/WAFからのエクスプロイトの試みを検出できることも確認する必要があります。これは、ファイアウォール側で問題のあるIPをブロックする必要がある場合です。

DMZファイアウォールで許可されているポート（80や443など）のみを指定するので、境界攻撃を簡単に封じ込めることができます。 EDR /エンドポイント保護をデプロイして、DMZサーバー/エンドポイントも監視している場合は、さらに優れています。 （多層防御/多層防御）