入侵检测系统在过去几年有了很大的进步。几乎所有的机构都安装了入侵检测系统(IDS)，它们或者运行在网络级别，或者是运行在单机级别，并且几乎每一IDS都能自动报告不良或异常的动作，方式则是经由一个控制台以及e-mail或者寻呼。如果配置正确，IDS对于捕捉它了解的攻击事件可以工作的很好。对于安全人员来说，监视这些事件，有任何问题就向经理或网络管理员报告，的确是再普通不过了。
　　
　　一旦IDS警告你某些事情正在进行，一般人的反应可能是打电话或者e-mail给一个管理员，并告知这些资料。但在你打电话或者发送那e-mail 之前，花费一分钟来琢磨一下，如何呈递资料效果最好？你需要找到一个办法来翻译这报告，使报告成为详细的信息与可行的建议，从而帮助管理员捍卫公司的网络。
　　
　　举例来说，你可以这么说：“我们在查看一个来自10.100.64.10的SMB服务扫描，以及来自10.100.55.23的BitTorrent活动”。然而，当这资料看起来是对你很有用处的同时，这些信息来到准备根据你的报告采取行动的管理员面前却毫无价值。
　　
　　为了真正的受益于IDS，你需要比简单向上级报告事件做得更多。你同样需要提供足够的资料，以便人们对事件作出正确反应。这里是坚实详细报告的两个事例:
　　
　　例子1:
　　警报名称:SMB_Service_Sweep
　　日期:7/20/0614:02EST
　　源:10.100.26.73
　　MAC :00-12-F0-3E-BE-32
　　机器名:N2320-1
　　用户:不明用户
　　目的地:10.100.0.0
　　分析:服务扫描正在整个10.100.0.0范围内进行。这种大量的规模扫描是不常见的，并且在预先通知安全管理团队之前不应发生。
　　服务器信息组(SMB)服务运行在TCP端口445
　　推荐操作:物理定位源机器并且中止相应活动，如果没必要，停用集线器的相应端口。
　　
　　例子2:
　　警报名称:P2P_Activity
　　日期:7/20/0614:04EST
　　源:10.200.59.180
　　MAC: 00-12-F0-3E-BE-12
　　机器名:A1320-5
　　用户:bad.user
　　目的地:10.1.0.7(代理)
　　分析:已经在一台内部设备上发现了Peer-to-Peer（点对点）活动。该用户可能为了共享软件而使用了BitTorrent客户端。
　　BitTorrent需要TCP端口6881到6999. 在本报告被观看的同时，那Bad.user用户正登录在源机器之上。
　　推荐:对内部网络到因特网的6881-6999TCP端口部署网络阻止，根据报告登录相应电脑,确认软件是否被安装，如果发现有安装则卸掉。
　　
　　在这两个报告中，你已经提供给系统管理员:

• 警报类型
• 活动发生时间
• 源地址的有关的消息(帮助定位那设备)
• 警报期间登录的用户
• 活动的方向
• 对于发生了什么事提供你的专业意见
• 建议对事件采取的相应反应建议

      最终想法

　　IDS在辨认与报告安全事件上已经有了很大的进步。但知道一个事件已经发生并非足够，作为一个安全管理员，你的工作是将IDS状态转化成一个可行的报告，包含足够的资料，从而保证组织能对事件做出适当的响应。这就是为什么你的报告总应该包含有专业的分析，以及推荐采取的动作办法。

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com

关注天下网吧微信,了解网吧网咖经营管理，安装维护: