...
| Предупреждение |
|---|
Для правил IPS/IDS, загружаемых из внешних источников, на маршрутизаторах ESR выделена отдельная область энергозависимой памяти. Размер этой области зависит от модели ESR:
Для всех остальных моделей – 100 МБ. Если настроить слишком много источников правил или загружать правила, превышающие указанные лимиты, то маршрутизатор будет выдавать сообщения об ошибке %STORAGE_IPS_MGR-I-ERR: There no free space in rules directory. |
| Scroll Pagebreak |
|---|
Рекомендуемые открытые источники обновления правил
...
| Предупреждение |
|---|
Отпечатки JA3, внесённые в чёрный список SSLBL, были собраны путём анализа более 25 000 000 PCAP-файлов с образцами вредоносного ПО. Эти отпечатки ещё не были протестированы на известном безопасном трафике и могут привести к значительному количеству ложных срабатываний. |
| Scroll Pagebreak |
|---|
Feodo Tracker
Feodo Tracker – это проект abuse.ch, целью которого является обмен информацией о серверах управления ботнетами, связанными с Dridex, Emotet (также известным как Heodo), TrickBot, QakBot (также известным как QuakBot/Qbot) и BazarLoader (также известным как BazarBackdoor).
https://feodotracker.abuse.ch/downloads/feodotracker.rules – набор правил используется для обнаружения и/или блокировки сетевых подключений к хост-серверам (комбинация IP-адреса и порта).
Набор правил генерируется каждые 5 минут. Рекомендуется обновлять набор правил IDS не реже, чем каждые 15 минут (а лучше – каждые 5 минут)5–15 минут, чтобы обеспечить наилучшую лучшую защиту от Dridex, Emotet, TrickBot, QakBot и BazarLoader.
...
https://feodotracker.abuse.ch/downloads/feodotracker_aggressive.rules
Если вы хотите получить полный список – набор правил IDS с полным списком всех C2-серверов ботнетов, которые когда-либо видел Feodo Tracker, вы можете воспользоваться набором правил IDS, приведённым выше. Однако, поскольку IP-адреса используются повторно используются, количество ложных срабатываний в этом наборе данных правил намного выше.
| Предупреждение | ||
|---|---|---|
| ||
Настоятельно не Не рекомендуется использовать агрессивную версию индикаторов компрометации ботнета C2 (IOC), так как она определённо вызовет ложные срабатывания. |
Travis Green
Набор Travis Green – набор правил для поиска угроз от специалиста по кибер безопасности кибербезопасности Тревиса Грина.
https://raw.githubusercontent.com/travisbgreen/hunting-rules/master/hunting.rules
Etnetera Core
Набор правил с "агрессивными" ip«агрессивными» IP-адресами от центра кибер безопасности кибербезопасности компании Etnetera Core.
https://security.etnetera.cz/feeds/etn_aggressive.rulesscroll-pagebreak
Пример настройки IPS/IDS с автообновлением правил
...
| Блок кода |
|---|
esr(config)# object-group network LAN esr(config-object-group-network)# ip prefix 192.168.1.0/24 esr(config-object-group-network)# exit |
| Scroll Pagebreak |
|---|
Настроим на ESR DNS-клиента для разрешения имен источников обновления правил IPS/IDS:
...
| Блок кода |
|---|
esr(config-ips)# perfomance max |
| Scroll Pagebreak |
|---|
Настроим автообновление правил с сайтов etnetera.cz и Abuse.ch:
...
| Блок кода |
|---|
esr(config)# security ips-category user-defined USER |
| Scroll Pagebreak |
|---|
Создадим правило:
| Блок кода |
|---|
esr(config-ips-category)# rule 10 esr(config-ips-category-rule)# description "Content-Filter Block" |
...