入侵检测系统在过去几年有了很大的进步。几乎所有的机构都安装了入侵检测系统(IDS),它们或者运行在网络级别,或者是运行在单机级别,并且几乎每一IDS都能自动报告不良或异常的动作,方式则是经由一个控制台以及e-mail或者寻呼。如果配置正确,IDS对于捕捉它了解的攻击事件可以工作的很好。对于安全人员来说,监视这些事件,有任何问题就向经理或网络管理员报告,的确是再普通不过了。
一旦IDS警告你某些事情正在进行,一般人的反应可能是打电话或者e-mail给一个管理员,并告知这些资料。但在你打电话或者发送那e-mail 之前,花费一分钟来琢磨一下,如何呈递资料效果最好?你需要找到一个办法来翻译这报告,使报告成为详细的信息与可行的建议,从而帮助管理员捍卫公司的网络。
举例来说,你可以这么说:“我们在查看一个来自10.100.64.10的SMB服务扫描,以及来自10.100.55.23的BitTorrent活动”。然而,当这资料看起来是对你很有用处的同时,这些信息来到准备根据你的报告采取行动的管理员面前却毫无价值。
为了真正的受益于IDS,你需要比简单向上级报告事件做得更多。你同样需要提供足够的资料,以便人们对事件作出正确反应。这里是坚实详细报告的两个事例:
例子1:
警报名称:SMB_Service_Sweep
日期:7/20/0614:02EST
源:10.100.26.73
MAC :00-12-F0-3E-BE-32
机器名:N2320-1
用户:不明用户
目的地:10.100.0.0
分析:服务扫描正在整个10.100.0.0范围内进行。这种大量的规模扫描是不常见的,并且在预先通知安全管理团队之前不应发生。
服务器信息组(SMB)服务运行在TCP端口445
推荐操作:物理定位源机器并且中止相应活动,如果没必要,停用集线器的相应端口。
例子2:
警报名称:P2P_Activity
日期:7/20/0614:04EST
源:10.200.59.180
MAC: 00-12-F0-3E-BE-12
机器名:A1320-5
用户:bad.user
目的地:10.1.0.7(代理)
分析:已经在一台内部设备上发现了Peer-to-Peer(点对点)活动。该用户可能为了共享软件而使用了BitTorrent客户端。
BitTorrent需要TCP端口6881到6999. 在本报告被观看的同时,那Bad.user用户正登录在源机器之上。
推荐:对内部网络到因特网的6881-6999TCP端口部署网络阻止,根据报告登录相应电脑,确认软件是否被安装,如果发现有安装则卸掉。
在这两个报告中,你已经提供给系统管理员:
最终想法
IDS在辨认与报告安全事件上已经有了很大的进步。但知道一个事件已经发生并非足够,作为一个安全管理员,你的工作是将IDS状态转化成一个可行的报告,包含足够的资料,从而保证组织能对事件做出适当的响应。这就是为什么你的报告总应该包含有专业的分析,以及推荐采取的动作办法。
欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com |
关注天下网吧微信,了解网吧网咖经营管理,安装维护:
本文来源:techrepublic.com.com 作者:佚名