Opções para reduzir intrusões de falsos positivos

Opções de download

  • PDF     (350.6 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (195.7 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (163.0 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:10 de julho de 2014
ID do documento:117909

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Um Sistema de prevenção contra invasões pode gerar alertas excessivos em uma determinada regra do Snort. Os alertas podem ser verdadeiro positivo ou falso positivo. Se você estiver recebendo muitos alertas de falsos positivos, há várias opções disponíveis para reduzi-los.  Este artigo fornece um resumo das vantagens e desvantagens de cada opção.

Opções para reduzir alertas de falsos positivos

Note: Essas opções geralmente não são a melhor opção, elas podem ser a única solução em circunstâncias específicas.

1. Relatar ao Suporte Técnico da Cisco

Se você encontrar uma regra do Snort que dispare alertas sobre tráfego benigno, relate-a ao Suporte Técnico da Cisco.  Depois de informado, um engenheiro de suporte ao cliente encaminha o problema para a Equipe de pesquisa de vulnerabilidade (VRT). A VRT investiga possíveis melhorias na regra. Regras aprimoradas geralmente estão disponíveis para o repórter assim que estiverem disponíveis, e também são adicionadas à próxima atualização de regras oficial.

2. Regra de Confiança ou Permissão

A melhor opção para permitir que o tráfego confiável passe por um dispositivo Sourcefire sem inspeção é habilitar a ação Trust ou Allow sem uma Política de intrusão associada. Para configurar uma regra de Confiança ou Permissão, navegue até Políticas > Controle de acesso > Adicionar regra.

Note: As regras de permissão ou confiabilidade de correspondência de tráfego que não estiverem configuradas para corresponder a usuários, aplicativos ou URLs terão um impacto mínimo no desempenho geral de um dispositivo Sourcefire, pois essas regras podem ser processadas no hardware do FirePOWER.

117909-config-sourcefire-00-00.png

Figura: Configuração de uma Regra de Confiança

3. Desativar Regras Desnecessárias

Você pode desativar as regras de Snort que têm como alvo vulnerabilidades antigas e corrigidas. Ele melhora o desempenho e reduz os falsos positivos. O uso das recomendações do FireSIGHT pode ajudar nessa tarefa.  Além disso, as regras que frequentemente geram alertas de baixa prioridade ou alertas que não são acionáveis podem ser boas candidatas para remoção de uma política de intrusão.

4. Limiar

Você pode usar Threshold para reduzir o número de eventos de invasão. Essa é uma boa opção para configurar quando se espera que uma regra acione regularmente um número limitado de eventos no tráfego normal, mas pode ser uma indicação de um problema se mais de um determinado número de pacotes corresponder à regra.  Você pode usar essa opção para reduzir o número de eventos disparados por regras de ruído. 

117909-config-sourcefire-00-01.png

Figura:  Configuração de Limite

5. Supressão

Você pode usar Supressão para eliminar completamente a notificação de eventos. Ele é configurado de forma semelhante à opção Threshold.

Caution: A supressão pode levar a problemas de desempenho, pois enquanto nenhum evento é gerado, o Snort ainda tem que processar o tráfego.

Note: A supressão não impede que as regras de descarte descartem o tráfego; portanto, o tráfego pode ser descartado silenciosamente quando corresponder à regra de descarte.

6. Regras do canal horário rápido

Semelhante às regras Confiar e Permitir de uma política de Controle de Acesso, as regras de Caminho Rápido também podem ignorar a inspeção.  O Suporte Técnico da Cisco geralmente não recomenda o uso de regras de caminho rápido porque elas são configuradas na janela Avançado da página Dispositivo e podem ser facilmente ignoradas, enquanto as regras de controle de acesso são quase sempre suficientes. 

117909-config-sourcefire-00-02.png

Figura: Opção Regras de caminho rápido na janela Avançado.

A única vantagem de usar regras de caminho rápido é que elas podem lidar com um volume máximo maior de tráfego.  As regras de caminho rápido processam o tráfego no nível de hardware (conhecido como NMSB) e podem, teoricamente, lidar com até 200 Gbps de tráfego.  Por outro lado, as regras com as ações Trust e Allow são promovidas para o Network Flow Engine (NFE) e podem lidar com um máximo de 40 Gbps de tráfego.

Note: As regras de caminho rápido estão disponíveis apenas em dispositivos da série 8000 e na 3D9900.

7. Regras de Aprovação

Para evitar que uma regra específica seja acionada no tráfego de um determinado host (enquanto outro tráfego desse host precisa ser inspecionado), use uma regra de passagem do tipo Snort. Na verdade, essa é a única maneira de fazer isso.  Embora as regras de aprovação sejam eficazes, elas podem ser muito difíceis de manter porque são escritas manualmente.  Além disso, se as regras originais de aprovação forem modificadas por uma atualização de regra, todas as regras de aprovação relacionadas precisarão ser atualizadas manualmente. Caso contrário, eles podem se tornar ineficazes.

8. Variável SNORT_BPF

A variável Snort_BPF em uma política de intrusão permite que determinado tráfego ignore a inspeção.  Embora essa variável tenha sido uma das primeiras opções em versões de software herdadas, o Suporte Técnico da Cisco recomenda o uso de uma regra de política de Controle de Acesso para ignorar a inspeção, pois ela é mais granular, mais visível e muito mais fácil de configurar.

Histórico de revisões

Revisão Data de publicação Comentários
1.0
10-Jul-2014
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

  • Nazmul Rajib
    Engenheiro do Cisco TAC
  • Nathan Jones
    Engenheiro do Cisco TAC

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos