Comprendo che la maggior parte dei NIP in questi giorni ha regole o firme incorporate e forse la raccolta di informazioni prima della distribuzione può aiutare a mettere a punto le regole / firma una volta che l'IPS è stato distribuito, attivo e funzionante.
Quale tipo di informazioni dobbiamo raccogliere prima di distribuire un NIPS (ad esempio, OS-es su una rete, segmenti di rete)?
Opinioni, pensieri e suggerimenti sarebbero molto apprezzati.
Nella situazione ideale dovresti mettere insieme un elenco di tutti i beni e i vettori di minacce sulla tua rete, inclusi ma non limitati a:
Con ciò potresti raccogliere tutte le firme disponibili e includere solo quelle che ti riguardano. Ad esempio, se Solaris non esiste sulla rete, probabilmente non c'è motivo di includere una firma per CVE-2007-0882 (il bypass di telnet auth). In questo caso puoi determinare, con un certo grado di accuratezza, quali classi di regole devono essere abilitate prima ancora di inserire il tuo primo sensore. Tenendo presente che queste firme vengono costantemente aggiornate e aggiunte, è meglio pensare in termini di tipi di firma anziché di firme specifiche.
Se disponi di una rete strettamente regolamentata, passa al CMDB per creare queste informazioni. Se non hai un CMDB questo potrebbe essere un buon momento per iniziare. Se sei non in una rete strettamente controllata, puoi iniziare facendo analisi del flusso o riesaminando le acquisizioni di pacchetti. Un buon strumento di valutazione della vulnerabilità potrebbe anche aiutarti a fornirti un elenco di ciò che è là fuori.
In entrambi i casi, dovresti assumere che qualunque immagine tu sviluppi sia incompleta. Consiglierei errare sul lato di abilitare troppe regole e pianificare solo una sintonizzazione iniziale piuttosto intensa.
Non dimenticare mai che un sistema IPS / IDS ha una buona quantità di manutenzione continua. Man mano che le firme vengono aggiornate e i sistemi / applicazioni vengono aggiunti / sottratti, dovrai valutare ciò che stai cercando.
Oltre al post di Scott che ha una guida tecnica eccellente, dal punto di vista della politica assicurati di avere un registro dei rischi o almeno un qualche tipo di classificazione dei rischi per ciascuna delle risorse sulla tua rete. Ciò sarà inestimabile quando si tratta di definire la protezione necessaria e potrebbe semplificare la gestione richiedendo all'IPS di monitorare meno traffico o escludendo completamente alcuni host o segmenti di rete.
Un vantaggio per l'esecuzione di un SIEM sono le capacità di correlazione prima che le azioni, incluse le azioni automatizzate, siano applicate.
Q1 Labs QRadar, ArcSight ESM e OSSIM hanno tutti capacità di inventario e risorse. OSSIM è costituito da molte app open-source che sono grandi per IDS e IPS. Il fornitore di inventario predefinito è NG di inventario OCS . Nel portale Web OSSIM, i menu a discesa Analisi e Intelligenza generano Eventi / Anomalie (provider predefiniti con snort, PADS, p0f e Ntop) e controlli di correlazione.
snort-inline può essere utilizzato come provider IPS da OSSIM. OSSIM ha anche una capacità di risposta, che può essere utilizzata per modificare le configurazioni di firewall / router / switch / IPS. Esistono plugin per OpenVAS (il plugin predefinito per la gestione delle vulnerabilità) e Nessus, che possono essere utilizzati per testare l'IPS una volta bloccato. Un articolo PDF sul thread della rivista ISSA, toolsmith può essere trovato qui su [PDF] [OpenVAS-4] 3 .
Funzionalità simile è comune nella maggior parte dei pacchetti SIEM.
Leggi altre domande sui tag monitoring network ids intrusion