Come trovare gli eventi IPS in syswall sonicwall

Naviga le tue risposte
2

Ho un firewall os di sonicwall e il cruscotto di sicurezza mostra circa 9 eventi di prevenzione delle intrusioni nell'ultimo mese. La maggior parte sono chiamati "traffico CIFS sospetto 4". Ho installato i server syslog con la funzione locale 0 per la registrazione centralizzata remota.

Non riesco a vedere alcun segno degli eventi IPS in syslog. Vedo quasi tutto il resto a cui riesco a pensare, ogni connessione aperta / chiusa, siti web bloccati a causa di contenuti, tentativi di password errati, tentativi di amplificazione di Smurf bloccati, ecc ...

La mia unica ipotesi è che ho bisogno di cambiare l'impostazione della struttura, ma i pochi risultati che trovo sembrano dire usare quello che ho.

Sonicwall mantiene quegli eventi fuori dal syslog per costringermi ad acquistare i loro strumenti di registrazione? O sono solo più debole del solito?

    
posta beauk 04.01.2013 - 07:08
fonte

1 risposta

1

Silly me.

Ho avuto eventi "Low Priority" non registrati.
Per coloro che potrebbero avere un'esperienza simile, Avevo dimenticato che c'erano così tanti eventi registrati (attività di navigazione, ecc.) Che non sembrava giustificato mantenere gli eventi a bassa priorità registrati. Detto questo, non sono sicuro del perché cose come questo "IPS Detection Alert: FILE-TYPES-HTTP Image - JPEG 1A (HTTP Download)" sarebbero considerate un'intrusione di basso livello, ma non sono un esperto di firewall. Sul cruscotto, sembrano essere categorizzati in modo diverso rispetto al CIFS sospetto che stavo cercando in primo luogo. Trovo che sia un po 'frustrante e curioso, ma non ha senso sfogare qui.

Il CIFS sospetto è considerato una minaccia a bassa priorità secondo sonicwall.com

    
risposta data 04.01.2013 - 15:48
fonte

Leggi altre domande sui tag

Reverse shell attack e proxy intercettazioni ... c'è qualcosa che non va? Come definire diverse regole del firewall per diversi utenti sullo stesso computer in esecuzione su Windows 7?