Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Тюнинг сигнатур Cisco IDS (aka Sourcefire / FireSIGHT / FirePOWER )

Аватар пользователя merced2001
Автор: Агеев Артем, itsec.pro
(0)
()
У меня особое отношение к Сиско идскам. Я их нелюблю. Они полны багов (тупых, хронических и "катастрофических"), вебинтерфейс ужасно тормознутый (даже на топовой модели с 40 ядрами и нулевой загрузкой) и порог входа чрезвычайно высок - нужно суметь найти среди десятков страниц настроек маленькую кнопочку, дабы всё, наконец, заработало.

Особая боль - это отсутствие RMB опции "Copy" и невозможность быстрого экспорта событий в csv.
 
"Cisco, за что??" 

Однако Gartner киску любит, а джунипер еще большее дерьмо.



 Рабочий уровень false positive событий на IDSке - 80%+ (если, конечно, для вас детект важнее блокировки). После обработки SIEM/MSSP уровень FP падает до ~50%. После включения трюка, о котором я расскажу ниже - будет в районе 30%, что уже можно назвать отличным результатом.

Допустим, есть у вас одиноко стоящий публичный вебсервер, который атакуют все кому ни попадя. Прилетело на него 20 атак - ИДСка создала 20 ивентов, несмотря на то, что сервер выдал 404 на каждую попытку. К сожалению, ни одно правило Cisco не сконфигурировано таким образом, чтобы сохранять ответы сервера. 

Но мы это можем исправить. 

1. берем ID того правила, которое нам нужно модифицировать
 
 2. Кликаем маленький карандашик справа в углу
 
3. В самом низу добавляем опцию и сохраняем новое правило


Благодаря ей 3 следующих пакета в течении одной сессии будут сохранены в pcap. Можно немного поиграть с настройками здесь, но будьте осторожны: железка может не потянуть, или место под pcap'ы закончится

 4. Теперь нужно сходить в настройки Intrusion Policy ( Policies > Access Control > Intrusion, затем выбрать нужную политику и кликнуть "карандашик" ), найти старое правило и выключить, найти новое правило и включить

5. Закомиттить изменения и задеплоить политику на устройство


Работает :)


Теперь о недостатках - редактировать правила в Cisco IDS нельзя, каждый раз вы будете создавать новое правило, а значит терять возможность автообновления и тюнинга с помощью FireSIGHT рекомендаций. Поменять опции разом у нескольких правил тоже нельзя, поэтому эту операцию вам придётся вручную проводить для каждого правила индивидуально. 

Оцените материал:
Total votes: 126
 
Комментарии в Facebook
 

Рассылка BISA

Подпишитесь на новости информационной безопасности и актуальные статьи экспертов

Ищите нас также:
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.