Opties om valse positieve inbraken te beperken

Downloadopties

  • PDF     (349.3 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (195.3 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (162.3 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:10 juli 2014
Document-id:117909

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Een inbraakpreventiesysteem kan buitensporige waarschuwingen op een bepaalde snelregel genereren. De waarschuwingen kunnen waarheidsgetrouw positief of vals positief zijn. Als u veel valse positieve waarschuwingen ontvangt, zijn er verschillende opties beschikbaar om deze te verminderen.  Dit artikel geeft een overzicht van de voor- en nadelen van elke optie.

Opties om valse positieve meldingen te verminderen

Opmerking: Deze opties zijn meestal niet de beste keuze, zij kunnen de enige oplossing zijn onder specifieke omstandigheden.

1. Rapport aan Cisco Technical Support

Als u een Snelregel vindt die waarschuwingen op zwak verkeer activeert, dient u dit te melden aan Cisco Technical Support.  Nadat dit is gemeld, escaleert een Customer Support Engineer het probleem naar de Vulnerability Research Team (VRT). VRT onderzoekt mogelijke verbeteringen van de regel. De verbeterde regels zijn typisch beschikbaar aan de verslaggever zodra zij beschikbaar zijn, en worden ook toegevoegd aan de volgende officiële regelgevingsupdate.

2. Vertrouwen of regel toestaan

De beste optie voor het toestaan van vertrouwd verkeer om door een Sourcefire applicatie zonder inspectie over te gaan laat Vertrouwen toe of staat actie toe zonder een geassocieerd Inbraakbeleid. Om een Vertrouwen te vormen of regel toe te staan, navigeer aan Beleid > Toegangsbeheer > Regel toevoegen.

Opmerking: Traffic matching Trust of Allow-regels die niet zijn geconfigureerd om Gebruikers, toepassingen of URL’s te matchen, zullen minimale invloed hebben op de algehele prestaties van een Sourcefire-applicatie omdat dergelijke regels kunnen worden verwerkt in de FirePOWER-hardware.

117909-config-sourcefire-00-00.png

Afbeelding: Configuratie van een vertrouwensregel

3. Onnodige regels uitschakelen

U kunt Snortregels uitschakelen die zich richten op oude en patched kwetsbaarheden. Het verbetert de prestaties en vermindert vals positieven. Het gebruik van FireSIGHT-aanbevelingen kan u helpen bij deze taak.  Bovendien kunnen regels die vaak waarschuwingen met een lage prioriteit of waarschuwingen opleveren waartegen geen actie kan worden ondernomen, goede kandidaten zijn voor verwijdering uit een inbraakbeleid.

4. Drempel

U kunt Drempelwaarde gebruiken om het aantal inbraakgebeurtenissen te beperken. Dit is een goede optie om te vormen wanneer een regel wordt verwacht om regelmatig een beperkt aantal gebeurtenissen op normaal verkeer te veroorzaken, maar zou een aanwijzing van een probleem kunnen zijn als meer dan een bepaald aantal pakketten de regel aanpassen.  U kunt deze optie gebruiken om het aantal gebeurtenissen te verminderen die door lawaaierige regels worden teweeggebracht. 

117909-config-sourcefire-00-01.png

Afbeelding:  Configuratie van drempelwaarde

5. Onderdrukking

U kunt Onderdrukking gebruiken om het bericht van gebeurtenissen volledig te elimineren. De instellingen zijn vergelijkbaar met de optie Drempelwaarde.

Voorzichtig: De onderdrukking kan prestatieskwesties leiden, omdat terwijl geen gebeurtenissen worden geproduceerd, Snort nog het verkeer moet verwerken.

Opmerking: De onderdrukking verhindert geen dalingsregels verkeer te laten vallen, zodat kan het verkeer stil worden gelaten vallen wanneer het met dalingsregel aanpast.

6. Fast Path-regels

Net als Vertrouwen en Toestaan regels van een Access Control beleid, kunnen Fast-Path regels ook inspectie omzeilen.  Cisco Technical Support raadt het gebruik van Fast-Path regels over het algemeen niet aan, omdat ze in het venster Advanced op de pagina Apparaat zijn geconfigureerd en gemakkelijk over het hoofd kunnen worden gezien terwijl toegangscontroleregels vrijwel altijd voldoende zijn. 

117909-config-sourcefire-00-02.png

Afbeelding: Fast-Path Rules optie in het venster Geavanceerd.

Het enige voordeel aan het gebruik van fast-path regels is dat ze een groter maximaal verkeersvolume kunnen verwerken.  Fast-path rules verwerken verkeer op hardwareniveau (bekend als NMSB) en kunnen theoretisch tot 200 Gbps verkeer verwerken.  Regels met Vertrouwen en toestaan worden daarentegen gepromoot op de Network Flow Engine (NFE) en kunnen maximaal 40 Gbps verkeer verwerken.

Opmerking: Fast-Path regels zijn alleen beschikbaar op 8000 Series apparaten en de 3D9900.

7. Regels goedkeuren

Gebruik een snelregel van het toegangstype Snort om te voorkomen dat een specifieke regel verkeer van een bepaalde host activeert (terwijl ander verkeer van die host moet worden geïnspecteerd). In feite is dit de enige manier om het te bereiken.  Terwijl de pas regels efficiënt zijn, kunnen zij zeer moeilijk zijn te handhaven omdat de pas regels manueel worden geschreven.  Bovendien, als de originele regels van pas regels door een regelupdate worden gewijzigd, moeten alle verwante pas regels handmatig worden bijgewerkt. Anders kunnen ze ineffectief worden.

8. SNORT_BPF-variabele

De variabele Snort_BPF in een inbraakbeleid maakt het mogelijk dat bepaald verkeer de inspectie kan omzeilen.  Terwijl deze variabele een van de eerste keuzes was op oudere softwareversies, raadt Cisco Technical Support aan een toegangscontroleregel te gebruiken om inspectie te omzeilen, omdat deze meer korrelig, zichtbaarder en eenvoudiger te configureren is.

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
10-Jul-2014
Eerste vrijgave
TAC Authored

Bijgedragen door Cisco-engineers

  • Nazmul Rajib
    Cisco TAC Engineer
  • Nathan Jones
    Cisco TAC Engineer

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten