Подписи с сохранением информации в IPS
Обычно проверка пакетов с отслеживанием состояния является отраслевым стандартом сетевой безопасности. для устранения злонамеренного поведения злоумышленников. Поскольку вы используете асимметричную сеть, в которой пакеты могут входить и выходить в разных сегментах сети, ваша IPS, вероятно, не может поддерживать состояние для всех транзакций, очень вероятно, что атаки не будут идентифицированы и смогут продолжить свой путь к доставить свой груз до места назначения. Так что в основном это будет скорее лейбл, чем исправление с множеством ложных надежд.
Поскольку проверки с отслеживанием состояния не только проверяют информацию заголовков, они также проверяют все содержимое пакета (вплоть до уровня приложения), они определяют больше контекста о пакет за пределами информации об источнике и получателе. В большинстве случаев проверка с отслеживанием состояния также отслеживает состояние соединения и компилирует историческую информацию в таблице состояний / сеансов. В результате решения динамической фильтрации могут быть расширены за пределы обычных правил, определенных администратором, которые просто блокируют известные IP-адреса или порты TCP (как при статической фильтрации пакетов), чтобы учесть контекст пакета, который был установлен пакетами, которые ранее прошли через IPS.
Без включенной проверки состояния вы в основном выполняете обычную блокировку брандмауэра и оставляете большую часть вашего трафика без контроля. Я не уверен, в какой временной шкале вы находитесь, но я бы установил блок IDS в вашей сети, подключил его к вашему главному коммутатору через зеркальный порт на несколько недель, чтобы сначала понять, как и кто вы выявить предполагаемые угрозы безопасности, а затем спланировать действия.
Мы используем Snorby или Security Onion в нашей сети, и он очень хорошо работает для выявления потенциальных угроз. Я даже настроил его для отправки мне по электронной почте еженощных отчетов за предыдущие дни, где он выявляет, какие локальные IP-адреса имеют наиболее подозрительный трафик и какие подписи они поражают. Затем мы можем выполнить резервное копирование и исследовать, являются ли совпадения сигнатур действительными или ложными. Затем поработайте над устранением проблемы.
Надеюсь, это поможет
Я не уверен, в какой временной шкале вы находитесь, но я бы установил блок IDS в вашей сети, подключил его к вашему главному коммутатору через зеркальный порт на несколько недель, чтобы сначала понять, как и кто вы выявить предполагаемые угрозы безопасности, а затем спланировать действия.Мы используем Snorby или Security Onion в нашей сети, и это очень хорошо работает для выявления потенциальных угроз. Я даже настроил его для отправки мне по электронной почте еженощных отчетов за предыдущие дни, где он выявляет, какие локальные IP-адреса имеют наиболее подозрительный трафик и какие подписи они поражают. Затем мы можем выполнить резервное копирование и исследовать, являются ли совпадения сигнатур действительными или ложными. Затем поработайте над устранением проблемы.
Надеюсь, это поможет
Я не уверен, в какой временной шкале вы находитесь, но я бы установил блок IDS в вашей сети, подключил его к вашему главному коммутатору через зеркальный порт на несколько недель, чтобы сначала понять, как и кто вы выявить предполагаемые угрозы безопасности, а затем спланировать действия.Мы используем Snorby или Security Onion в нашей сети, и это очень хорошо работает для выявления потенциальных угроз. Я даже настроил его для отправки мне по электронной почте еженощных отчетов за предыдущие дни, где он выявляет, какие локальные IP-адреса имеют наиболее подозрительный трафик и какие подписи они поражают. Затем мы можем выполнить резервное копирование и исследовать, являются ли совпадения сигнатур действительными или ложными. Затем поработайте над устранением проблемы.
Надеюсь, это поможет
подключите его к главному коммутатору через зеркальный порт на несколько недель сначала, чтобы получить представление о том, как и кто является вашими основными предполагаемыми угрозами безопасности, а затем спланировать курс действий.Мы используем Snorby или Security Onion в нашей сети и он очень хорошо работает для выявления потенциальных угроз. Я даже настроил его для отправки мне по электронной почте еженощных отчетов за предыдущие дни, где он выявляет, какие локальные IP-адреса имеют наиболее подозрительный трафик и какие подписи они поражают. Затем мы можем выполнить резервное копирование и исследовать, являются ли совпадения сигнатур действительными или ложными. Затем поработайте над устранением проблемы.
Надеюсь, это поможет
подключите его к главному коммутатору через зеркальный порт на несколько недель сначала, чтобы получить представление о том, как и кто является вашими основными предполагаемыми угрозами безопасности, а затем спланировать курс действий.Мы используем Snorby или Security Onion в нашей сети и он очень хорошо работает для выявления потенциальных угроз. Я даже настроил его для отправки мне по электронной почте еженощных отчетов за предыдущие дни, где он выявляет, какие локальные IP-адреса имеют наиболее подозрительный трафик и какие подписи они поражают. Затем мы можем выполнить резервное копирование и исследовать, являются ли совпадения сигнатур действительными или ложными. Затем поработайте над устранением проблемы.
Надеюсь, это поможет
Я даже настроил его для отправки мне по электронной почте еженощных отчетов за предыдущие дни, где он выявляет, какие локальные IP-адреса имеют наиболее подозрительный трафик и какие подписи они поражают. Затем мы можем выполнить резервное копирование и исследовать, являются ли совпадения сигнатур действительными или ложными. Затем поработайте над устранением проблемы.Надеюсь, это поможет
Я даже настроил его для отправки мне по электронной почте еженощных отчетов за предыдущие дни, где он выявляет, какие локальные IP-адреса имеют наиболее подозрительный трафик и какие подписи они поражают. Затем мы можем выполнить резервное копирование и исследовать, являются ли совпадения сигнатур действительными или ложными. Затем поработайте над устранением проблемы.Надеюсь, это поможет