每周og体育app官网趣闻-思科火力入侵入侵事件刷新   

2019年4月5日,
每周og体育app官网趣闻-思科火力入侵入侵事件刷新   

这一珍闻是一个更新看思科火力入侵事件日志和每日报告. 具体地说, 我想再给大家回顾一下这两个关键栏目的意义, “影响”和“内联结果”列

的火力 影响规模 是为了帮助接受者了解应该首先把稀缺资源集中在哪里. 把它们看作优先事项,然后按照这个顺序去理解和解决它们.

  • 影响1 -目标主机可能容易受到攻击
    •已知主机正在运行被攻击服务
    •主机上的服务运行脆弱版本
    •攻击者对该服务执行了已知的配置文件攻击
    •主机显示出“妥协迹象”(过去的攻击)

这种级别的事件值得优先调查,并在适当的情况下进行补救. 至少,你需要完全了解是什么触发了这个事件,以及你今天是否需要采取任何行动来防止新的或持续的妥协

  • 影响2 -不容易受到攻击的目标主机
    •已知主机正在运行被攻击服务
    •主机上的服务没有运行脆弱版本
    •攻击者对该服务执行了已知的配置文件攻击

对于这种级别的事件,通常不需要采取任何行动. IPS已经完成了探测和终止流量的工作, 但在这种情况下,主机被确定为不容易受到特定攻击企图的攻击

  • 冲击3 -目标不容易受到攻击
    •主机未运行被攻击服务
    •攻击者对该服务执行了已知的配置文件攻击
    •如果攻击者是在内部网络,这应该调查

我们在这类事件上看到的大多数动作都是因为子项目#3. 我们看到大多数此类事件的源主机都在受保护的网络中, 大多数事件被记录在案,被阻止出站DNS请求. 我们通常忽略它们,因为系统已经完成了防止不必要的DNS查找的工作, 但如果你看到其他内部来源的影响3事件, 再一次,你要确保你理解它们是什么确保它们是良性的.

还有一些其他可能的事件影响级别,我们很少在日常事件评论中看到:

  • 影响4 -目标主机未知
    •攻击者或目标都在内部网络中
    •没有主机配置文件的设备-以前在网络上看不见的主机
  • 影响0—攻击者和目标都不在被监控的(内部)网络中
    •可能的网络/主机配置问题

我都不记得上次见到撞击4是什么时候了, 通常情况下,当系统学习到内部主机时,它们会自行清除. 持久性影响0事件需要进行调查,因为它可能表明您的网络中的某个地方出现了某些配置错误.

对于火力事件 内联的结果,我们有一些选项,您将看到在日志或报告中的每个事件:

  • 下降或黑色向下箭头-相当不言自明,IPS下降流量
  • “0”或空—IPS不阻断或丢弃流量. IPS规则设置为只生成事件,不阻断流量. 您可能会认为这些事件在本质上具有更多的信息,但仍然需要回顾和理解
  • “将已经下降”或灰色向下箭头-这个结果显示,如果一个下降规则被击中,但“下降时内联”策略选项是不启用您的IPS. 如果IPS过载,这些偶尔也会出现. 如果您经常看到这种内联结果,则需要使用IPS系统进行调查.

一如既往,请随时og体育滚球app的办公室,以了解您在您的火力IPS入侵事件日志或您的每日IPS报告中看到的任何帮助.