Opzioni per ridurre le intrusioni false positive

Opzioni per il download

  • PDF     (349.5 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (194.8 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (161.9 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:10 luglio 2014
ID documento:117909

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

Un sistema di prevenzione delle intrusioni può generare allarmi eccessivi su una determinata regola Snort. Gli avvisi possono essere veri positivi o falsi positivi. Se si ricevono molti avvisi di falso positivo, sono disponibili diverse opzioni per ridurli.  In questo articolo viene fornito un riepilogo dei vantaggi e degli svantaggi di ciascuna opzione.

Opzioni per ridurre gli avvisi falsi positivi

Nota: Queste opzioni solitamente non sono la scelta migliore, possono essere l'unica soluzione in circostanze specifiche.

1. Segnala al supporto tecnico Cisco

Se si trova una regola Snort che attiva avvisi sul traffico benigno, segnalarla al supporto tecnico Cisco.  Una volta segnalato, un tecnico dell'assistenza inoltra il problema al team Vulnerability Research Team (VRT). La tecnologia VRT ricerca possibili miglioramenti alla regola. Le regole migliorate sono in genere disponibili per il reporter non appena sono disponibili e vengono anche aggiunte al successivo aggiornamento ufficiale delle regole.

2. Regola di attendibilità o autorizzazione

L'opzione migliore per consentire al traffico attendibile di passare attraverso un accessorio Sourcefire senza ispezione consiste nell'abilitare l'azione Trust o Allow senza un criterio di intrusione associato. Per configurare una regola di attendibilità o di autorizzazione, passare a Criteri > Controllo di accesso > Aggiungi regola.

Nota: Le regole Trust o Allow (Consenti corrispondenza traffico) non configurate per utenti, applicazioni o URL avranno un impatto minimo sulle prestazioni complessive di un accessorio Sourcefire in quanto possono essere elaborate nell'hardware FirePOWER.

117909-config-sourcefire-00-00.png

Figura: Configurazione di una regola di trust

3. Disabilita regole non necessarie

È possibile disabilitare le regole di tipo Snort per la gestione delle vulnerabilità obsolete e a cui è stata applicata la patch. Migliora le prestazioni e riduce i falsi positivi. L'uso dei consigli di FireSIGHT può essere utile per questa attività.  Inoltre, le regole che generano spesso avvisi a bassa priorità o avvisi che non sono utilizzabili possono essere idonee per essere rimosse da una policy sulle intrusioni.

4. Soglia

È possibile utilizzare Soglia per ridurre il numero di eventi di intrusione. Questa è una buona opzione per configurare quando si prevede che una regola attivi regolarmente un numero limitato di eventi sul traffico normale, ma potrebbe essere un'indicazione di un problema se più di un certo numero di pacchetti soddisfano la regola.  È possibile utilizzare questa opzione per ridurre il numero di eventi attivati da regole di disturbo. 

117909-config-sourcefire-00-01.png

Figura:  Configurazione della soglia

5. Soppressione

È possibile utilizzare l'opzione Soppressione per eliminare completamente la notifica degli eventi. È configurato in modo simile all'opzione Soglia.

Attenzione: L'eliminazione può causare problemi di prestazioni in quanto, anche se non vengono generati eventi, Snort deve comunque elaborare il traffico.

Nota: L'eliminazione non impedisce alle regole di rilascio di eliminare il traffico, pertanto è possibile che il traffico venga automaticamente eliminato quando corrisponde alla regola di rilascio.

6. Regole di Fast-Path

Analogamente alle regole di attendibilità e autorizzazione di un criterio di controllo dell'accesso, anche le regole di Fast-Path possono ignorare l'ispezione.  In genere, il supporto tecnico Cisco non consiglia di utilizzare le regole di Fast-Path perché sono configurate nella finestra Avanzate della pagina Dispositivo e possono essere facilmente ignorate, mentre le regole di controllo di accesso sono quasi sempre sufficienti. 

117909-config-sourcefire-00-02.png

Figura: Fast-Path Rules nella finestra Advanced.

L'unico vantaggio delle regole per percorsi rapidi consiste nella possibilità di gestire un volume di traffico massimo maggiore.  Le regole a percorso rapido elaborano il traffico a livello hardware (noto come NMSB) e possono in teoria gestire fino a 200 Gb/s di traffico.  Al contrario, le regole con azioni Trust e Allow vengono promosse al Network Flow Engine (NFE) e possono gestire un massimo di 40 Gb/s di traffico.

Nota: Le regole di Fast-Path sono disponibili solo sui dispositivi serie 8000 e 3D9900.

7. Regole di accettazione

Per impedire che una regola specifica venga attivata sul traffico proveniente da un determinato host, mentre è necessario ispezionare altro traffico proveniente da tale host, utilizzare una regola Snort del tipo di passaggio. In realtà, questo è l'unico modo per raggiungerlo.  Anche se le regole di accesso sono valide, possono essere molto difficili da gestire perché vengono scritte manualmente.  Inoltre, se le regole di superamento originali vengono modificate da un aggiornamento delle regole, tutte le regole di superamento correlate devono essere aggiornate manualmente. Altrimenti possono diventare inefficaci.

8. Variabile SNORT_BPF

La variabile Snort_BPF in un criterio di intrusione consente a determinati traffici di ignorare l'ispezione.  Sebbene questa variabile sia stata una delle prime scelte nelle versioni software legacy, il supporto tecnico Cisco consiglia di utilizzare una regola di controllo dell'accesso per ignorare l'ispezione, in quanto è più granulare, visibile e facile da configurare.

Cronologia delle revisioni

Revisione Data di pubblicazione Commenti
1.0
10-Jul-2014
Versione iniziale
TAC Authored

Contributo dei tecnici Cisco

  • Nazmul Rajib
    Cisco TAC Engineer
  • Nathan Jones
    Cisco TAC Engineer

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci

Questo documento si applica a questi prodotti