Особая боль - это отсутствие RMB опции "Copy" и невозможность быстрого экспорта событий в csv.
"Cisco, за что??"
Однако Gartner киску любит, а джунипер еще большее дерьмо.
Рабочий уровень false positive событий на IDSке - 80%+ (если, конечно, для вас детект важнее блокировки ). После обработки SIEM/MSSP уровень FP падает до ~50%. После включения трюка, о котором я расскажу ниже - будет в районе 30%, что уже можно назвать отличным результатом.
Допустим, есть у вас одиноко стоящий публичный вебсервер, который атакуют все кому ни попадя. Прилетело на него 20 атак - ИДСка создала 20 ивентов, несмотря на то, что сервер выдал 404 на каждую попытку. К сожалению, ни одно правило Cisco не сконфигурировано таким образом, чтобы сохранять ответы сервера.
Но мы это можем исправить.
1. берем ID того правила, которое нам нужно модифицировать
2. Кликаем маленький карандашик справа в углу
3. В самом низу добавляем опцию и сохраняем новое правило
Благодаря ей 3 следующих пакета в течении одной сессии будут сохранены в pcap. Можно немного поиграть с настройками здесь, но будьте осторожны: железка может не потянуть, или место под pcap'ы закончится
4. Теперь нужно сходить в настройки Intrusion Policy ( Policies > Access Control > Intrusion, затем выбрать нужную политику и кликнуть "карандашик" ), найти старое правило и выключить, найти новое правило и включить
5. Закомиттить изменения и задеплоить политику на устройство
Работает :)
Теперь о недостатках - редактировать правила в Cisco IDS нельзя, каждый раз вы будете создавать новое правило, а значит терять возможность автообновления и тюнинга с помощью FireSIGHT рекомендаций. Поменять опции разом у нескольких правил тоже нельзя, поэтому эту операцию вам придётся вручную проводить для каждого правила индивидуально.
