Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1
RSS
Настройка системы обнаружения атак
 
Вопрос к спецам эксплуатирующим IDS.
Как грамотно настроить ее чтобы было меньше ложных срабатываний и что вообще делать с предупреждениями.
Если оставить включенными сигнатуры поставщиков то может быть по несколько сотен тысяч сообщений в день.
Имеет ли смысл хранить alertы или нужно чистить базу?
Какие вообще есть подходы?
Где можно почитать?
У кого какой опыт в этом деле?
 
Смотря какую IDS и под какую ось. Сдались тебе все алерты, парсим нужное. Читать можно в Гуле!
 
1. ну вообще подход один: настроить IDS так, чтобы ложных срабатываний не было. Для этого нужно:
выключить ненужные сигнатуры
оттюнинговать нужные сигнатуры
ВСЕ сигнатуры включать не нужно.
2. alertы нужно хранить, если планируется "разбор полетов", alertы нужно чистить только для того чтобы диск не переполнялся - а так хоть алерты за всю жизнь храни. Если алерты не хранить, тогда непонятно зачем вам вообще IDS.

Могу представить Вас просматривающим сто тысяч сообщений в день в течение хотя бы месяца.
IPS надо ставить нормальную, а вы похоже Snort установили.
 
если используешь Snort, то почитай статейку ;)
http://noonv.h1.ru/se/snortalert.htm

уж не сочтите за рекламу :)))
Страницы: 1
Читают тему