Domanda SIEM: Nega Firewall eccessiva / Domanda di modifica delle regole

5

Abbiamo un SIEM nel nostro ambiente che stiamo attualmente accordando e parte di quel processo sta riducendo il rumore nella nostra console.

Un reato su cui stavo lavorando è: Il firewall eccessivo si nega agli host che contengono la sessione negata

La regola che si attiva dal traffico e genera il reato è: Anomalia: il firewall eccessivo si nega da una singola fonte . La regola è costruita come segue:

- and when any of these BB:CategoryDefinition: Firewall or ACL Denies with the same source IP more than 400 times, across exactly 1 destination IP within 10 minutes

Ho preso un campione di 10/20 reati e ho esaminato il traffico e confermato che il traffico sta colpendo la nostra interfaccia esterna nella DMZ e viene negato dai nostri firewall. Nessun permesso.

Dato che stiamo generando molto rumore nella nostra console, ho aumentato la soglia di temporizzazione nella regola da 10 minutes a 15 minutes che stava ancora attivando i reati. L'ho poi aumentato da 15 minutes a 30 minutes . + La mia domanda è, dal momento che i negazioni che stiamo vedendo sono negazioni legittime, dovrei aumentare la soglia di tempo e / o le istanze perché la regola inneschi un reato, quindi vedo solo un attacco prolungato al nostro IP pubblico di fronte? Quali rischi incorrerebbero se apportassi questo cambiamento, se esiste?

Grazie per l'assistenza!

    
posta seaweed 20.10.2015 - 15:56
fonte

3 risposte

1

Sembra una regola QRadar. Sarebbe opportuno porre la domanda sullo sviluppatore IBM forum in quanto avrai più occhi di amministratore QRadar su di esso.

Detto questo, i firewall negati sono inevitabili se hai una DMZ. Il difetto è che molte persone guardano solo i firewall respingono, ma non guardano i permessi del firewall. Nega affermano solo ciò che speri di vedere. I permessi sono dove si trova il vero pericolo.

Per servizi configurati in modo errato:

Se le negazioni sono errate correlazioni o servizi noti, risolvi i servizi o aggiungili all'elenco dei falsi positivi.

Per qualsiasi servizio non legittimo o scanner di rete dannoso:

Crea una regola che cattura più del numero X di firewall negato in X minuti (Questi sono i numeri con i quali dovresti sentirti a tuo agio). Quindi utilizzare tale regola per aggiungere l'IP sorgente offendente a un set di riferimento (ad esempio, chiamarlo: Reference Set: Malicious Scanner ). Infine, crea un'altra regola che controlla BB:CategoryDefinition: Firewall or ACL Accept (presupponendo che tu stia registrando i permessi) e controlli contro Reference Set: Malicious Scanner . Quando un permesso del firewall viene registrato da un IP in Reference Set: Malicious Scanner , deve essere attivato un nuovo reato. In questo modo, stai recuperando quando un indirizzo IP noto e sospetto riesce a superare il firewall.

Se non si stanno registrando i permessi, ma si stanno utilizzando i dati netflow, creare una regola di flusso che controlli contro Reference Set: Malicious Scanner per qualsiasi traffico che non colpisca la rete DMZ. Questo può aiutare a identificare se un IP riesce a bypassare il firewall. I dati di Netflow non sono accurati come i log.

    
risposta data 20.10.2015 - 17:58
fonte
0

Credo che tu stia utilizzando Qradar SIEM. Questo è solo un evento normale se il tuo firewall è posizionato sulla DMZ. Ma dipende dalla tua analisi, se l'IP incriminato interroga più porte su 100 volte che è chiaramente una scansione delle porte. Ma se coinvolge solo 1 o 2 porte, potresti avere una configurazione errata sul tuo firewall.

La mia regola è Firewall or ACL Denies with the same source IP more than 100 times, across exactly 1 destination IP within 5 minutes.

Penso che non ci siano rischi se è tutto Firewall Deny, è già stato mitigato. L'attaccante non può ignorarlo, ma dovresti anche assicurarti di poter rilevare i tentativi di exploit dal tuo IPS / WAF. In quel momento dovresti bloccare l'IP incriminato sul firewall.

Gli attacchi perimetrali sono facili da contenere poiché specifichi solo le porte consentite sul tuo DMZ Firewall come 80 o 443. È meglio se si esegue il monitoraggio anche sui server / endpoint DMZ mediante la distribuzione della protezione EDR / Endpoint. (Protezione approfondita / Protezione a strati)

    
risposta data 14.09.2018 - 16:28
fonte
-1

Penso che invece di aumentare il tempo Frame sarebbe meglio se aumentassi il numero di colpi verso il tuo IP pubblico. In questo modo puoi ottenere un reato sostenibile.

E più tardi puoi creare un set di riferimento come suggerito prima per IP dannoso e puoi creare una regola per verificare se qualcuno dei tuoi IP interni sta tentando di comunicare con loro.

    
risposta data 21.10.2015 - 20:56
fonte

Leggi altre domande sui tag