Сравнение версий

Старая версия 27

changes.mady.by.user Шарипова Людмила Дамировна

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Шарипова Людмила Дамировна

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Предупреждение

Для правил IPS/IDS, загружаемых из внешних источников, на маршрутизаторах ESR выделена отдельная область энергозависимой памяти.

Размер этой области зависит от модели ESR:

  • ESR-1X – 25 МБ;
  • ESR-2X – 50 МБ;

Для всех остальных моделей – 100 МБ.

Если настроить слишком много источников правил или загружать правила, превышающие указанные лимиты, то маршрутизатор будет выдавать сообщения об ошибке %STORAGE_IPS_MGR-I-ERR: There no free space in rules directory.
В этом случае стоит уменьшить объем запрашиваемых правил или использовать внешнее хранилище.

Scroll Pagebreak

Рекомендуемые открытые источники обновления правил

...

Предупреждение

Отпечатки JA3, внесённые в чёрный список SSLBL, были собраны путём анализа более 25 000 000 PCAP-файлов с образцами вредоносного ПО. Эти отпечатки ещё не были протестированы на известном безопасном трафике и могут привести к значительному количеству ложных срабатываний.

Scroll Pagebreak

Feodo Tracker

Feodo Tracker – это проект abuse.ch, целью которого является обмен информацией о серверах управления ботнетами, связанными с Dridex, Emotet (также известным как Heodo), TrickBot, QakBot (также известным как QuakBot/Qbot) и BazarLoader (также известным как BazarBackdoor).

https://feodotracker.abuse.ch/downloads/feodotracker.rules – набор правил используется для обнаружения и/или блокировки сетевых подключений к хост-серверам (комбинация IP-адреса и порта). Набор правил генерируется каждые 5 минут. Рекомендуется обновлять набор правил IDS каждые 5–15 минут, чтобы обеспечить наилучшую лучшую защиту от Dridex, Emotet, TrickBot, QakBot и BazarLoader.

...

https://feodotracker.abuse.ch/downloads/feodotracker_aggressive.rules
Если вы хотите получить полный список – набор правил IDS с полным списком всех C2-серверов ботнетов, которые когда-либо видел Feodo Tracker, вы можете воспользоваться набором правил IDS, приведённым выше. Однако, поскольку IP-адреса используются повторно используются, количество ложных срабатываний в этом наборе данных правил намного выше.

Предупреждение
titleОсторожно

Настоятельно не Не рекомендуется использовать агрессивную версию индикаторов компрометации ботнета C2 (IOC), так как она определённо вызовет ложные срабатывания.

Travis Green

Набор Travis Green – набор правил для поиска угроз от специалиста по кибер безопасности кибербезопасности Тревиса Грина.

https://raw.githubusercontent.com/travisbgreen/hunting-rules/master/hunting.rules

Etnetera Core

Набор правил с "агрессивными" ip«агрессивными» IP-адресами от центра кибер безопасности кибербезопасности компании Etnetera Core.

https://security.etnetera.cz/feeds/etn_aggressive.rules

Scroll Pagebreak

Пример настройки IPS/IDS с автообновлением правил

...

Блок кода
esr(config)# object-group network LAN
esr(config-object-group-network)# ip prefix 192.168.1.0/24
esr(config-object-group-network)# exit

Scroll Pagebreak

Настроим на ESR DNS-клиента для разрешения имен источников обновления правил IPS/IDS:

...

Блок кода
esr(config-ips)# perfomance max

Scroll Pagebreak

Настроим автообновление правил с сайтов  etnetera.cz и Abuse.ch:

...

Блок кода
esr(config)# security ips-category user-defined USER

Scroll Pagebreak

Создадим правило:

Блок кода
esr(config-ips-category)# rule 10
esr(config-ips-category-rule)# description "Content-Filter Block"

...