Отсутствии записи для IPS

14 0 0 0

Устранение неполадок при отсутствии записи для IPS - анализ сетевой безопасности / анализ журнала для решения eSight (V300R002C00SPC303)

 

[Описание]

После настройке  info-center для межсетевого экрана (USG6300 V100R001C30SPC100). Для IPS нет никаких записей - Анализ сетевой безопасности / Анализ журнала для решения eSight, даже если есть атака для IPS.

15-12-29 15:12:59 CZS_WROCLAW_USG6380_1 %IPS/4/DETECT(l): Intrusion was detected. (SyslogId=3878486016, VSys="root", Policy="CZS_ADMINS do INTERNET", SrcIp= XXX.XXX.XXX.XXX, DstIp=XXX.XXX.XXX.XXX, SrcPort=64540, DstPort=80, SrcZone=CZS_ADMINS, DstZone=INTERNET, User="unknown", Protocol=TCP, Application="HTTP", Profile="default", SignName="CGI Escape Character Directory Traversal", SignId=1490, EventNum=1, Target=server, Severity=high, Os=both, Category=Code-execution, Action=Alert)

 

 

1. Конфигурация для IPS отсутствует.

2. Профиль IPS должен применяться между интерзонами.

3. Модуль для IPS не установлен как включенный.

 

[Процесс]

1. Проверьте trapbuffer. Существует запись для IPS, как показано ниже:

15-12-29 15:12:59 CZS_WROCLAW_USG6380_1 %IPS/4/DETECT(l): Intrusion was detected. (SyslogId=3878486016, VSys="root", Policy="CZS_ADMINS do INTERNET", SrcIp= XXX.XXX.XXX.XXX, DstIp=XXX.XXX.XXX.XXX, SrcPort=64540, DstPort=80, SrcZone=CZS_ADMINS, DstZone=INTERNET, User="unknown", Protocol=TCP, Application="HTTP", Profile="default", SignName="CGI Escape Character Directory Traversal", SignId=1490, EventNum=1, Target=server, Severity=high, Os=both, Category=Code-execution, Action=Alert)

 

 

2. Проверьте запись на IPS. Путь, как показано ниже:

eSight -> Bussines –> LogCenter -> Log Analysis -> Network Security -> IPS

Запись для IPS.

 

3. Проверьте, отправил ли брандмауэр запись IPS в eSight. Команды, как показано ниже:

[USG6300] diagnose

[USG6300-diagnose]display info-center statistics

 

Найдите ModuleName - IPS для этого 0.

Это означает, что хотя IPS бывают, но брандмауэр не отправляет журнал в LogCenter.

 

4. Проверьте конфигурацию брандмауэра. Конфигурация такая же, как показано ниже:

#

rule name "CZS_ADMINS do INTERNET"

  policy logging

  session logging

  source-zone CZS_ADMINS

  destination-zone INTERNET

  profile ips default

  action permit

#

 

Есть настройка для профиля IPS.

5. Добавьте профиль IPS и примените его между интерзонами. Деталь, как показано ниже:

#

profile type ips name AAAAA

capture-packet enable

signature-set name BBBBB

  action block

  target both

  severity low medium high

  protocol all

#

 

 

Отправьте конфигурацию для security policy

 

#

engine configuration commit

#

 

Примените ips для interzone.

#

security-policy

rule name policy_sec_CZS_ADMINS _INTERNET

policy logging

  session logging

  source-zone CZS_ADMINS

  destination-zone INTERNET

  profile ips AAAAA

  action permit

rule name policy_sec_ INTERNET_CZS_ADMINS

  policy logging

  session logging

  source-zone INTERNET

  destination-zone CZS_ADMINS

  profile ips AAAAA

  action permit

#

 

6. Установите модуль для состояния IPS. Отправьте весь журнал на уровень выше информации.

#

info-center source IPS channel loghost log state on

info-center source IPS channel loghost log level informational

#

 

7. Генерируйте IPS и блокируйте случиться. Проверьте журнал для IPS в eSight.

164305iuy03z***8uq8zf0.png

 

Найдена запись для IPS.

 


  • x

Ответ

Отправить
Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация

Внимание Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Политика конфиденциальности..”
Если кнопка вложения недоступна, обновите Adobe Flash Player до последней версии.
Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход