減少誤報入侵的選項

簡介

入侵防禦系統可能會對某個Snort規則生成過多警報。警報可以是真陽性或假陽性。如果您收到許多誤報警報，有幾種選項可用於減少這些警報。  本文概述了每種選項的優缺點。

減少誤報警報的選項

附註：這些選項通常不是最佳選擇，在特定情況下它們可能是唯一的解決方案。

1.向思科技術支援部門報告

如果您發現觸發良性流量警報的Snort規則，請將其報告給思科技術支援。  報告後，客戶支援工程師將問題上報給漏洞研究團隊(VRT)。VRT研究對規則的可能改進。改進的規則通常在可用後立即可供報告者使用，並且也會新增到下一次正式規則更新中。

2.信任或允許規則

允許受信任流量通過Sourcefire裝置而不進行檢測的最佳選項是啟用Trust或Allow操作而不啟用關聯的入侵策略。要配置Trust或Allow規則，請導航到Policies > Access Control > Add Rule。

附註：未配置為匹配使用者、應用程式或URL的「信任」或「允許」規則的流量匹配將對Sourcefire裝置的整體效能影響最小，因為此類規則可在FirePOWER硬體中處理。

圖：信任規則的配置

3.禁用不必要的規則

您可以禁用針對舊漏洞和已修補漏洞的Snort規則。它提高了效能並減少了誤報。使用FireSIGHT建議可以協助完成此任務。  此外，經常生成低優先順序警報或不可操作的警報的規則可能是從入侵策略中刪除的良好候選項。

4.閾值

您可以使用Threshold減少入侵事件數。這是一個很好的配置選項，可以配置何時規則應定期觸發正常流量上有限數量的事件，但當超過特定數量的資料包與規則匹配時，則可能指示問題。  可以使用此選項減少由干擾規則觸發的事件數。 

圖：  閾值配置

5.壓制

可以使用抑制來完全消除事件通知。其配置與Threshold選項類似。

注意：抑制可能會導致效能問題，因為雖然沒有生成任何事件，但Snort仍然必須處理流量。

附註：抑制不會阻止丟棄規則丟棄流量，因此當流量與丟棄規則匹配時，可能會以靜默方式丟棄流量。

6. Fast-Path規則

與訪問控制策略的信任和允許規則相似，快速路徑規則也可以繞過檢查。  思科技術支援通常不建議使用快速路徑規則，因為它們在Device頁面的Advanced視窗中配置，在訪問控制規則幾乎總是足夠的情況下，很容易被忽略。 

圖：Advanced視窗中的Fast-Path Rules選項。

使用快速路徑規則的唯一優勢是它們可以處理更大的最大流量量。  快速路徑規則在硬體級別（稱為NMSB）處理流量，理論上可以處理高達200 Gbps的流量。  相反，具有信任和允許操作的規則將提升到網路流引擎(NFE)，最多可以處理40 Gbps的流量。

附註：快速路徑規則僅在8000系列裝置和3D9900上可用。

七、 《通行規則》

為了防止特定規則對來自特定主機的流量觸發（而來自該主機的其他流量需要檢查），請使用傳遞類型Snort規則。事實上，這是實現這一目標的唯一途徑。  雖然通行規則有效，但是由於通行規則是手動編寫的，因此很難維護它們。  此外，如果通過規則更新修改了原始的通行規則，則需要手動更新所有相關通行規則。否則，它們可能會變得無效。

8. SNORT_BPF變數

入侵策略中的Snort_BPF變數允許某些流量繞過檢測。  雖然此變數是舊版軟體版本的首批選擇之一，但思科技術支援建議使用訪問控制策略規則來繞過檢查，因為它更精細、更可視且更易於配置。