Abbiamo un SIEM nel nostro ambiente che stiamo attualmente accordando e parte di quel processo sta riducendo il rumore nella nostra console.
Un reato su cui stavo lavorando è: Il firewall eccessivo si nega agli host che contengono la sessione negata
La regola che si attiva dal traffico e genera il reato è: Anomalia: il firewall eccessivo si nega da una singola fonte . La regola è costruita come segue:
- and when any of these BB:CategoryDefinition: Firewall or ACL Denies with the same source IP more than 400 times, across exactly 1 destination IP within 10 minutes
Ho preso un campione di 10/20 reati e ho esaminato il traffico e confermato che il traffico sta colpendo la nostra interfaccia esterna nella DMZ e viene negato dai nostri firewall. Nessun permesso.
Dato che stiamo generando molto rumore nella nostra console, ho aumentato la soglia di temporizzazione nella regola da 10 minutes
a 15 minutes
che stava ancora attivando i reati. L'ho poi aumentato da 15 minutes
a 30 minutes
.
+
La mia domanda è, dal momento che i negazioni che stiamo vedendo sono negazioni legittime, dovrei aumentare la soglia di tempo e / o le istanze perché la regola inneschi un reato, quindi vedo solo un attacco prolungato al nostro IP pubblico di fronte? Quali rischi incorrerebbero se apportassi questo cambiamento, se esiste?
Grazie per l'assistenza!