• No results found

Aangepaste lokale korte regels voor een Cisco FireSIGHT-systeem

N/A
N/A
Info
Downloaden
Protected

Academic year: 2022

Share "Aangepaste lokale korte regels voor een Cisco FireSIGHT-systeem"

Copied!
5
0
0

Bezig met laden.... (Bekijk nu de volledige tekst)

Download het nu ( 5 pagina )

Hele tekst

(1)

Aangepaste lokale korte regels voor een Cisco FireSIGHT-systeem

Inhoud

Inleiding Voorwaarden Vereisten

Gebruikte componenten

Werken met aangepaste lokale regels Lokale regels importeren

Lokale regels bekijken Lokale regels inschakelen

Bekijk de Verwijderde lokale regels Nummering van de plaatselijke regels

Inleiding

Een aangepaste lokale regel op een FireSIGHT System is een aangepaste standaardregel van de Snort die u in een ASCII tekstformaat van een lokale machine importeert. Met een FireSIGHT System kunt u lokale regels importeren via de webinterface. De stappen om lokale regels in te voeren zijn heel eenvoudig. Om echter een optimale lokale regel te kunnen schrijven, heeft een gebruiker diepgaande kennis nodig over SNA- en netwerkprotocollen.

Het doel van dit document is om u een aantal tips en hulp te bieden bij het schrijven van een aangepaste lokale regel. De instructies voor het maken van lokale regels zijn beschikbaar in de gebruikershandleiding van de snort, die op snort.org beschikbaar is. Cisco raadt u aan de

gebruikershandleiding te downloaden en te lezen voordat u een aangepaste lokale regel schrijft. 

Opmerking: De regels die in een pakket Sourcefire-regel (SRU) zijn meegeleverd, worden gecreëerd en getest door de Cisco Talos Security Intelligence and Research-groep, en ondersteund door Cisco Technical Assistance Center (TAC). De Cisco TAC biedt geen assistentie bij het schrijven of afstemmen van een aangepaste lokale regel. Als u echter problemen ondervindt met de functies voor regelinvoer van uw FireSIGHT System, neem dan contact op met de Cisco TAC.

Waarschuwing: Een slecht geschreven lokale wet kan de prestaties van een FireSIGHT System beïnvloeden dat kan leiden tot verslechtering van de prestaties van het gehele netwerk. Als u prestatiekaarten in uw netwerk ervaart en er bepaalde aangepaste lokale regels van de Snort die op uw systeem FireSIGHT zijn toegelaten, raadt Cisco u aan om die lokale regels uit te schakelen.

(2)

Voorwaarden

Vereisten

Cisco raadt u aan om kennis te hebben over kortregels en het FireSIGHT System.

Gebruikte componenten

De informatie op dit document is gebaseerd op deze hardware- en softwareversies:

FireSIGHT Management Center (ook bekend als Defense Center)

Software, versie 5.2 of hoger

Werken met aangepaste lokale regels

Lokale regels importeren

Voordat u begint, moet u ervoor zorgen dat de regels in het bestand geen ontsnappingstekens bevatten. De regel importeur vereist dat alle douaneregels worden ingevoerd met behulp van ASCII of UTF-8 encodering.

De volgende procedure legt uit hoe u lokale standaardtekstregels uit een lokale machine importeert:

1. Toegang tot de pagina Lijst met redacteuren door te navigeren naar beleid > Inbraaklegging >

Regeleditor.

2. Klik op importregels. De pagina Regelupdates verschijnt.

(3)

Afbeelding: Een screenshot van de pagina Regelupdates

3. Selecteer Regel update of tekstregelbestand om te uploaden en te installeren en klik op Bladeren om het regelbestand te selecteren.

Opmerking: Alle geüploade regels worden in de categorie lokale regels opgeslagen.

4. Klik op Importeren. Het regelbestand wordt geïmporteerd.

Voorzichtig: De FireSIGHT-systemen gebruiken de nieuwe regel niet die voor inspectie is ingesteld. Om een lokale regel in werking te stellen, moet u deze in het Inbraakbeleid inschakelen en het beleid vervolgens toepassen.

Lokale regels bekijken

Als u het revisienummer voor een huidige lokale regel wilt weergeven, navigeer dan naar de pagina Regeleditor (Beleid > Inbraakbeleid > Regeleditor).

Klik in de pagina Lijst met lettertypen op de categorie Lokale regel op om de map uit te vouwen en klik vervolgens op Bewerken naast de regel.

Alle geïmporteerde lokale regels worden automatisch opgeslagen in de categorie lokale regels.

Lokale regels inschakelen

Standaard stelt het FireSIGHT-systeem de lokale regels in een uitgeschakeld toestand in. U moet de status van de lokale regels handmatig instellen voordat u deze in het inbraakbeleid kunt gebruiken.

Om een lokale regel mogelijk te maken, navigeer dan naar de pagina Policy Editor (Politiek >

Inbraakbeleid > Inbraakbeleid). Selecteer Regels in het linker paneel. Selecteer onder Category de lokale. Alle lokale regels moeten verschijnen, indien beschikbaar.

(4)

Selecteer na het selecteren van de gewenste lokale regels een status voor de regels.

Zodra de regelstaat is geselecteerd, klikt u in het linker paneel op de optie Gegevens beleid.

Selecteer de knop Aankondigen verandert. Het inbraakbeleid is gevalideerd.

Opmerking: De beleidsvalidatie faalt als u een geïmporteerde lokale regel toestaat die het afgekeurde drempelsleutelwoord in combinatie met de vodden van de inbraakgebeurtenis in een inbraakbeleid gebruikt.

Bekijk de Verwijderde lokale regels

(5)

Alle verwijderde lokale regels worden verplaatst van de lokale categorie naar de verwijderde categorie.

Als u het revisienummer van een verwijderde lokale regel wilt weergeven, gaat u naar de pagina Regeleditor, klikt u op in de verwijderde categorie om de map uit te vouwen en vervolgens klikt u op het potlood pictogram om de details van de regel in de pagina Regeleditor te bekijken.

Nummering van de plaatselijke regels

U hoeft geen generator (GID) te specificeren. Als u dit wel doet, kunt u alleen GID 1 voor een standaard tekstregel of 138 voor een gevoelige gegevensregel specificeren.

Geef bij het importeren van een regel voor het eerst geen enkele ID (SID) of een

herzieningsnummer op; Dit vermijdt botsingen met SID’s van andere regels, waaronder verwijderde regels.

Het FireSIGHT Management Center kent automatisch de volgende beschikbare aangepaste regel SID van 1000000 of meer toe, en een herzieningsnummer van 1.

Als u probeert een inbraakregel met een SID groter dan 2147483647 in te voeren, zal een valideringsfout optreden.

U moet de SID omvatten die door IPS is toegewezen en een revisienummer groter dan het huidige revisienummer wanneer u een bijgewerkte versie van een lokale regel invoert die u eerder hebt geïmporteerd.

U kunt een lokale regel opnieuw installeren die u hebt verwijderd door de regel te importeren die door IPS is toegewezen en een revisienummer groter dan het huidige revisienummer.

Merk op dat het FireSIGHT Management Center automatisch het revisienummer verhoogt wanneer u een lokale regel verwijdert; dit is een apparaat waarmee je lokale regels kunt herstellen .

Referenties

Download het nu ( PDF - 5 pagina - 220.40 KB )

GERELATEERDE DOCUMENTEN

De rij u u u u …

De leugendetector moet worden verbeterd zo dat de kans dat hij van tien mensen die de waarheid spreken er minstens één als leugenaar aanwijst, hoogstens 50% is.. 5p 12 Bereken

Lokale overlegplatforms

In 4 LOP’s (van de 29 LOP’s SO) waar dergelijke afspraken bestaan werden deze ook geëvalueerd op hun effectiviteit en hun efficiëntie.. In 12 van de 29 LOP’s secundair onderwijs

Lokale overlegplatforms

In totaal hebben elf van de 29 LOP’s voor het secundair onderwijs of 38% afspraken om elders de- finitief uitgesloten leerlingen te kunnen weigeren (in de grootsteden twee, in

Lokale overlegplatforms

Dat gebeurt telkens in overleg met de ouders; maar wordt niet ge- steund door de wetgeving (wat een oncomfortabel gevoel geeft). De basisscholen voor het buitengewoon onderwijs

Lokale overlegplatforms

Onder de lokale niet-decre- tale partners die participeerden aan werkgroepen van het LOP, noteerden we vooral een sterke aanwezigheid van Kind & Gezin (in 32% van de LOP’s) en

de lokale aanpak in

Súdwest-Fryslân heeft alle programma’s en projecten gericht op preventie geplot op de levensloopkaart en kwam tot de conclusie dat er voor de jeugd een goede basis ligt, maar dat

Vrijwilligerskwadrant-MOVISIE-vragenlijst.doc 618 KB

Ik vind het niet zo belangrijk dat iedereen precies weet wat hij/zij moet doen, dat regelt zich vanzelf wel binnen mijn organisatie4. Ik vind het belangrijk dat iedereen in

vrijwilligerskwadrant-checklist.doc 33.5 KB

[r]