加强安全事件报告 充分利用IDS

互联网 | 编辑: 杨剑锋 2006-10-01 00:00:00转载

入侵检测系统在过去几年有了很大的进步。几乎所有的机构都安装了入侵检测系统(IDS),它们或者运行在网络级别,或者是运行在单机级别,并且几乎每一IDS都能自动报告不良或异常的动作,方式则是经由一个控制台以及e-mail或者寻呼。如果配置正确,IDS对于捕捉它了解的攻击事件可以工作的很好。对于安全人员来说,监视这些事件,有任何问题就向经理或网络管理员报告,的确是再普通不过了。

一旦IDS警告你某些事情正在进行,一般人的反应可能是打电话或者e-mail给一个管理员,并告知这些资料。但在你打电话或者发送那e-mail 之前,花费一分钟来琢磨一下,如何呈递资料效果最好?你需要找到一个办法来翻译这报告,使报告成为详细的信息与可行的建议,从而帮助管理员捍卫公司的网络。

举例来说,你可以这么说:“我们在查看一个来自10.100.64.10的SMB服务扫描,以及来自10.100.55.23的BitTorrent活动”。然而,当这资料看起来是对你很有用处的同时,这些信息来到准备根据你的报告采取行动的管理员面前却毫无价值。

为了真正的受益于IDS,你需要比简单向上级报告事件做得更多。你同样需要提供足够的资料,以便人们对事件作出正确反应。这里是坚实详细报告的两个事例:

例子1:
警报名称:SMB_Service_Sweep
日期:7/20/0614:02EST
源:10.100.26.73
MAC :00-12-F0-3E-BE-32
机器名:N2320-1
用户:不明用户
目的地:10.100.0.0
分析:服务扫描正在整个10.100.0.0范围内进行。这种大量的规模扫描是不常见的,并且在预先通知安全管理团队之前不应发生。
服务器信息组(SMB)服务运行在TCP端口445
推荐操作:物理定位源机器并且中止相应活动,如果没必要,停用集线器的相应端口。

例子2:
警报名称:P2P_Activity
日期:7/20/0614:04EST
源:10.200.59.180
MAC: 00-12-F0-3E-BE-12
机器名:A1320-5
用户:bad.user
目的地:10.1.0.7(代理)
分析:已经在一台内部设备上发现了Peer-to-Peer(点对点)活动。该用户可能为了共享软件而使用了BitTorrent客户端。
BitTorrent需要TCP端口6881到6999. 在本报告被观看的同时,那Bad.user用户正登录在源机器之上。
推荐:对内部网络到因特网的6881-6999TCP端口部署网络阻止,根据报告登录相应电脑,确认软件是否被安装,如果发现有安装则卸掉。

在这两个报告中,你已经提供给系统管理员:

  • 警报类型
  • 活动发生时间
  • 源地址的有关的消息(帮助定位那设备)
  • 警报期间登录的用户
  • 活动的方向
  • 对于发生了什么事提供你的专业意见
  • 建议对事件采取的相应反应建议

    最终想法

    IDS在辨认与报告安全事件上已经有了很大的进步。但知道一个事件已经发生并非足够,作为一个安全管理员,你的工作是将IDS状态转化成一个可行的报告,包含足够的资料,从而保证组织能对事件做出适当的响应。这就是为什么你的报告总应该包含有专业的分析,以及推荐采取的动作办法。

  • 相关阅读

    每日精选

    点击查看更多

    首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑