सभी को शुभ दिन!

खुद ही कोलम्बिया थीम लोकप्रिय रही है। इन प्रणालियों की जटिल जटिलता के मद्देनजर, उनके उपयोग से जुड़े मुद्दे गहरे और स्वैच्छिक हैं। कई लेख (Habré पर और केवल) पर नहीं हैं, जो कि CRM को समर्पित हैं। हालांकि, उनमें से अधिकांश प्रक्रियाओं के निर्माण के लिए सिद्धांत, कार्यप्रणाली और सामान्य सिद्धांतों के संदर्भ में विषय पर स्पर्श करते हैं। लेकिन इन प्रणालियों के अनुप्रयोग / विन्यास के व्यावहारिक पहलुओं का वर्णन करने वाले कुछ भयावह रूप से कुछ लेख ~~नहीं~~ हैं। यह आलेख वर्णन करता है कि सिस्को IPS और Prelude का उपयोग करते हुए IPS और Siem मित्र को कैसे बनाया जाए, साथ ही साथ सहसंबंध नियम का एक उदाहरण जो हाल के दिनों में दर्दनाक हो चुके HeartBleed भेद्यता के सफल संचालन का खुलासा करता है।

1. समस्या का परिचय / विवरण

तो, हमने इनलाइन में IPS लागू किया है , आगे क्या है?

जाहिर है, अगला कदम किसी भी तरह की निगरानी करना है कि आईपीएस क्या पकड़ता है, किस मात्रा में, किस और कहां से हमला किया जाता है, आदि।

अधिक विशिष्ट होने के लिए:

संरक्षित मेजबानों के लिए प्रासंगिक सक्रिय हस्ताक्षर का एक सेट बनाए रखना आवश्यक है।
आईपीएस-सेंसर के प्रभावी संचालन के लिए, आपको लगातार "बराबर रखना" चाहिए: आपको लगातार विशिष्ट नेटवर्क और ट्रैफ़िक के लिए सेंसर को अनुकूलित करना होगा। यह अपवादों के साथ नियम स्थापित करके प्राप्त किया जाता है।
IPS से प्राप्त कई अलर्ट के बीच, वास्तव में महत्वपूर्ण और महत्वपूर्ण को उजागर करना आवश्यक है।
महत्वपूर्ण सूचनाओं के लिए, संवेदक द्वारा किए गए आक्रामक कार्यों (अवरुद्ध यातायात, रीसेटिंग सत्र, आईपी प्रतिबंध, आदि) का सही सेट प्रदान करने के साथ-साथ उनके बारे में व्यवस्थापक को सूचित करना भी आवश्यक है।
सेंसर की स्थिति की भी निगरानी की जानी चाहिए (स्कैनिंग इंजन का लोड, अपडेट त्रुटियां, लाइसेंस वैधता अवधि, आदि)।

ऐसी समस्याओं को हल करने के लिए, आपको एक सुविधाजनक और एक ही समय में कार्यात्मक उपकरण चुनने की आवश्यकता है।

2. मूल निवासी आईपीएस इवेंट व्यूअर

IPS से घटनाओं को इकट्ठा करने और संसाधित करने के कई तरीके हैं।

सिस्को सेंसर के मानक इवेंट दर्शकों में से, ऐसे विकल्प हैं:

2.1 सेंसर पर स्थानीय रूप से घटनाओं को देखना

यह उपकरण, जिसका सिद्धांत "माथे में" के रूप में वर्णित किया जा सकता है। प्रत्येक सेंसर का अपना स्थानीय इवेंट स्टोर होता है। बेशक, आप इसमें केवल वही देख सकते हैं जो किसी विशेष सेंसर पर सीधे पाया गया था।

किसी भी आधार पर घटनाओं का कोई समूह / एकत्रीकरण प्रदान नहीं किया गया है। अधिकतम जो आप खर्च कर सकते हैं, वह प्रदर्शित किए गए ईवेंट को कई मानदंडों (सिग्नेचर क्रिटिकलिटी, सैंपलिंग टाइम, शो / सेंसर सिस्टम इवेंट्स न दिखाने) के अनुसार फ़िल्टर करने के लिए है। ईवेंट लिस्टिंग स्वयं इस प्रकार है:

दरअसल, इस कार्यक्षमता का उपयोग या तो डिबगिंग (जब बाहरी सिस्टम में घटनाओं को स्थानांतरित करना) के लिए समझ में आता है, या जब कोई संगठन एक एकल संवेदक का उपयोग करता है (हालांकि ऐसी स्थिति के लिए, समाधान, इसे हल्के ढंग से डालने के लिए, सबसे सुविधाजनक नहीं है)।

2.2 सिस्को IPS प्रबंधक एक्सप्रेस

पिछले टूल का अगला "देशी" विकल्प IME है। यह सिस्को का एक निशुल्क समाधान है जो अधिकतम 10 IPS सेंसर के लिए कॉन्फ़िगरेशन और इवेंट मॉनिटरिंग की अनुमति देता है। कॉन्फ़िगरेशन के संदर्भ में, यह ध्यान देने योग्य है कि यहां हम उपकरणों के लिए एक सामान्य कंसोल के बारे में बात कर रहे हैं, अर्थात। कॉन्फ़िगरेशन नीतियों को बनाने का कोई तरीका नहीं है (वैश्विक सहसंबंध, प्रतिष्ठा फ़िल्टरिंग और नेटवर्क भागीदारी सुविधाओं से संबंधित तीन मापदंडों को छोड़कर)।

घटनाओं के संग्रह के लिए, यहां स्थिति बहुत बेहतर है: विभिन्न डेटाबेस से अलर्ट एक आम डेटाबेस में एकत्र किए जाते हैं।

इवेंट संग्रह IPS अनुप्रयोगों / मॉड्यूल और IOS-IPS रूटर्स दोनों से समर्थित है। विभिन्न मानदंड द्वारा घटनाओं को समूह और फ़िल्टर करना संभव है। प्रत्येक घटना में, अधिक विस्तृत जानकारी देखने के लिए आप "विफल" हो सकते हैं:

आईएमई की एक अन्य उपयोगी विशेषता आईपीएस से प्राप्त घटनाओं के बारे में ईमेल के माध्यम से सूचित करने की क्षमता है। अलर्ट चुनने के लिए केवल दो मानदंड हैं: हमला गंभीरता रेटिंग और रिस्करेटिंग।

यद्यपि IME एक काफी कार्यात्मक उपकरण है, लेकिन यह कुछ सीमाओं के बिना नहीं है। महत्वपूर्ण कमियों में से एक यह है कि IME एक क्लाइंट-सर्वर सिस्टम नहीं है, लेकिन अनिवार्य रूप से एक नियमित अनुप्रयोग है जो MySQL डेटाबेस का उपयोग करता है। पिछले संस्करणों में, IME को सर्वर और x64-bit ऑपरेटिंग सिस्टम पर भी समर्थित नहीं किया गया था। इसके अलावा, प्रतिबंध समर्थित उपकरणों की अधिकतम संख्या (10 से अधिक नहीं) और प्रति सेकंड संसाधित घटनाओं की संख्या (100 ईपीएस) हैं।

2.3 सिस्को सुरक्षा प्रबंधक

CSM पहले से ही विभिन्न उपकरणों (IPS, ASA / PIX, IOS राउटर, आदि) के केंद्रीकृत प्रबंधन के लिए डिज़ाइन किए गए पूर्ण-एंटरप्राइज़ समाधान के रूप में तैनात है। नियंत्रित किए जाने वाले उपकरणों की संख्या खरीदे गए लाइसेंस पर निर्भर करती है। प्रबंधन खुद पहले से ही नीतियों के आधार पर किया जाता है: आप सेटिंग्स का एक संदर्भ सेट कर सकते हैं, जिसे बाद में दोहराया जा सकता है।

घटनाओं को एकत्र करने, भंडारण करने और प्रदर्शित करने के मामले में, CSM IME के समान है:

यहां, IME में, विभिन्न मानदंडों के अनुसार प्रदर्शित घटनाओं को समूह / एकत्र करना और फ़िल्टर करना संभव है। IPS की घटनाओं के अलावा, CSM में ASA / FWSM / PIX फायरवॉल से घटनाओं को ट्रैक करने की क्षमता भी है।

अधिक विस्तृत जानकारी देखने के लिए आप प्रत्येक अलर्ट में "विफल" हो सकते हैं:

हालाँकि CSM को एक ही IME के विपरीत एंटरप्राइज सॉल्यूशन के रूप में तैनात किया जाता है, लेकिन यह नहीं जानता कि IOS-IPS से अलर्ट कैसे एकत्र किया जाता है (लेकिन साथ ही उन्हें नीतियों के माध्यम से कॉन्फ़िगर करने का तरीका भी पता है)। इसके अलावा, CSM IPS द्वारा कैप्चर की गई घटनाओं के बारे में ई-मेल अलर्ट नहीं कर सकता है।

CS-मार्स

अभी भी ऐसी CS-MARS प्रणाली थी , लेकिन यह परियोजना काफी समय से बंद है, इसलिए इसे केवल एक ऐतिहासिक संदर्भ के रूप में उल्लेखित किया गया है।

3. सीएमजी

ऊपर वर्णित समाधान अपने तरीके से प्रत्येक अच्छे हैं। लेकिन, घटनाओं को इकट्ठा करने के दृष्टिकोण से, वे काफी संकीर्ण रूप से केंद्रित हैं: IPS (और फ़ायरवॉल से, CSM के मामले में) की घटनाओं के अलावा, हम उनमें कुछ और नहीं देख पाएंगे।

अक्सर, मेरे व्यवहार में, पड़ोसी विभागों के सहयोगियों के प्रश्न हैं:

हमारे यहाँ <चैनल लोडिंग बढ़ी है | सेवा बंद कर दी प्रतिक्रिया | सिस्टम बंद हो गया है | कुछ हुआ> पता नहीं क्या जुड़ा है?
और आपने (आईएस) ने वहां कुछ भी संदिग्ध नहीं देखा?
आदि

यह ऐसे मामलों में है कि राउटर, स्विचेस, यूनिक्स / विंडो से लॉग, विशिष्ट सिस्टम के लॉग, एंटीवायरस, मेल गेटवे आदि से घटनाओं की जांच करना आवश्यक हो जाता है। वास्तव में, सूची पर और पर चला जाता है।

और फिर भी, कुछ मानदंडों के अनुसार एक दूसरे के साथ इस सब की तुलना करें (सहसंबंध बनाएं), आयोजन में भाग लेने वाले मेजबानों के बारे में अतिरिक्त जानकारी प्राप्त करें: यह किस तरह का संसाधन है, यह कमजोर है या नहीं, कौन से बंदरगाह खुले हैं, आदि।

यह वह जगह है जहां सीमेंस सिस्टम बचाव के लिए आते हैं। वे उपरोक्त सभी करने में सक्षम हैं, और उचित परिश्रम के साथ - स्वचालित भी।

इस तरह की प्रणालियों में से एक प्रीलेड नाम के रनेट बीस्ट में एक अल्पज्ञात है। इस पर चर्चा होगी।

उसके बारे में बिल्कुल क्यों?

मैं उसे पसंद करता हूं।
यह काम करता है (और कुछ समय के लिए)।
उसके पास एक ओएसएस संस्करण है।
अन्य OSS सिस्टम के साथ देशी अनुकूलता है ।
यदि वांछित है, तो आप लॉग लिखने वाले किसी भी स्रोत को कनेक्ट कर सकते हैं।
इससे आप घटनाओं की पहचान, जांच और जवाब देने के अपने कार्यों के लिए अपने स्वयं के "स्विस चाकू" को इकट्ठा कर सकते हैं।
सहसंबंध मॉड्यूल को पायथन में प्लग-इन स्क्रिप्ट के रूप में लागू किया जाता है, जिसका अर्थ है शब्द के पूर्ण अर्थों में लचीलापन। एक पूर्ण प्रोग्रामिंग भाषा किसी भी सहसंबंध नियम लिखने की क्षमता प्रदान करती है।
एक सुविधाजनक Prewikka इंटरफ़ेस है।

प्रस्तावना IDMEF प्रारूप पर आधारित है, जो प्राप्त संदेशों में फ़ील्ड को पूर्वनिर्धारित करता है। पूर्वनिर्धारित क्षेत्रों के अतिरिक्त, आप अपना नाम और प्रारूप (अतिरिक्त डेटा) भी बना सकते हैं, जहां आप वह सब कुछ लिख सकते हैं जो मानक क्षेत्रों में फिट नहीं होता है। विभिन्न क्षेत्रों में दर्ज आंकड़ों के आधार पर, घटनाओं को फ़िल्टर करना, एकत्रीकरण और सहसंबंध किया जा सकता है।

३.१ प्रस्तावना वास्तुकला

एक सरलीकृत संस्करण में, सिस्टम आर्किटेक्चर को निम्नानुसार दर्शाया जा सकता है:

प्रबंधक - सिस्टम का मूल है। यह एलएमएल एजेंटों, सहसंबंध मॉड्यूल, थर्ड-पार्टी सिस्टम या अधीनस्थ प्रबंधकों (वाणिज्यिक संस्करण में उपलब्ध) से पहले से ही सामान्यीकृत (अप्रकाशित) घटनाएं प्राप्त करने के लिए जिम्मेदार है। प्राप्त संदेशों को डेटाबेस में लिखा जाता है। वह ईमेल अलर्ट के लिए भी जिम्मेदार है।

LML एक सिस्टम एजेंट और एक प्राथमिक ईवेंट प्रदाता है। यह विभिन्न प्रणालियों से लॉग प्राप्त करता है (एक स्थानीय फ़ाइल के माध्यम से या एक UDP पोर्ट के लिए syslog के माध्यम से)। यह नियमित अभिव्यक्तियों से युक्त नियमों के एक सेट के आधार पर प्राप्त लॉग को पार्स / सामान्य करता है। सामान्यीकृत घटनाओं को प्रबंधक को दिया जाता है। LML स्थानीय रूप से (प्रबंधक के समान सर्वर पर) और दूरस्थ रूप से दोनों काम कर सकती है।

सहसंबंधक - सहसंबंध मॉड्यूल। एजेंट के रूप में प्रबंधक से जुड़ता है। पाइथन लिपियों के रूप में कार्यान्वित प्लगइन्स के आधार पर प्रबंधक द्वारा प्राप्त घटनाओं को सहसंबंधित करता है।

DataBase स्वयं डेटाबेस है, जहाँ सिस्टम द्वारा संसाधित सभी घटनाओं को संग्रहीत किया जाता है।

3 ^rd पार्टी सिस्टम - IDMEF समर्थन के साथ तृतीय-पक्ष सिस्टम, आपको सीधे प्रबंधक से कनेक्ट करने की अनुमति देता है।

प्रिविका वेब पर लागू मुख्य प्रणाली इंटरफ़ेस है। संसाधित घटनाओं, उनके एकत्रीकरण / फ़िल्टरिंग, सांख्यिकी आउटपुट आदि को प्रदर्शित करने के लिए डिज़ाइन किया गया है।

यह सब इस तरह दिखता है:

घटनाओं को तालिका में प्रदर्शित किया जाता है, जिसके कॉलम में / के बारे में जानकारी स्थित है:

अलर्ट का वर्गीकरण (वर्गीकरण), घटना के नाम के साथ फ़ील्ड्स, इसके (असफल) पूर्ण होने का संकेत, आईडी-ईवेंट (हस्ताक्षर संख्या, CVE द्वारा भेद्यता संख्या, आदि), घटना की आलोचनात्मकता आदि।
स्रोत / लक्ष्य (स्रोत / लक्ष्य) जिसमें आईपी-पता, मैक-पता (यदि यह घटना में मौजूद था), मूल उपयोगकर्ता नाम, प्रक्रिया, फ़ाइल, आदि वाले फ़ील्ड हैं।
विश्लेषक (विश्लेषक - घटना स्रोत) जिसमें आईपी-पता, विश्लेषक वर्ग, आदि के साथ फ़ील्ड हैं।

प्रदर्शित IDMEF फ़ील्ड की संख्या घटना के प्रकार और इसे संसाधित करने के लिए नियम पर निर्भर करती है। कुछ क्षेत्रों को अनुक्रमित किया जा सकता है, अर्थात्। कई मान शामिल हैं। उदाहरण के लिए, दो userid.name फ़ील्ड हो सकते हैं, जिनमें से एक में samaccountname मान होगा, और दूसरा - उसी खाते का SID। और, उदाहरण के लिए, स्रोत और लक्ष्य जानकारी में फ़ाइलों की अखंडता की जांच के लिए सिस्टम से एक घटना की स्थिति में, न तो पता, न ही पोर्ट, और न ही प्रोटोकॉल प्रदर्शित किया जाएगा - इन फ़ील्ड्स को परिवर्तित फ़ाइल, चेकसम और अन्य अतिरिक्त जानकारी के बारे में जानकारी के साथ कब्जा कर लिया जाएगा।

किसी भी घटना में, अधिक विस्तृत जानकारी देखने के लिए आप "विफल" हो सकते हैं:

4. सेंसर से घटनाओं को कैसे उठाएं?

एक स्रोत के रूप में हमारे सिस्टम से IPS को जोड़ने से पहले, आपको यह समझने की आवश्यकता है कि आप IPS से इसमें मौजूद अलर्ट कैसे प्राप्त कर सकते हैं।

सिस्को सेंसर से घटनाओं को भेजने के लिए दो तरीके हैं (और IOS-IPS के लिए एक अर्ध-विधि) बाहरी सिस्टम में:

1) एसएनएमपी ट्रैप के माध्यम से , जो सेंसर को स्वयं हस्ताक्षर या सिस्टम इवेंट के तथ्य पर भेजता है।

सेंसर द्वारा भेजे गए गैंगवे निम्नानुसार हैं:

#012iso.3.6.1.2.1.1.3.0 15:1:47:08.58#011iso.3.6.1.6.3.1.1.4.1.0 iso.3.6.1.4.1.9.9.383.0.1#011iso.3.6.1.4.1.9.9.383.1.1.1.0 6822393729640#011iso.3.6.1.4.1.9.9.383.1.1.2.0 "07 DE 04 0A 0B 2C 0E 00 "#011iso.3.6.1.4.1.9.9.383.1.1.3.0 "07 DE 04 0A 07 2C 0E 00 "#011iso.3.6.1.4.1.9.9.383.1.1.4.0 "IPS-SENSOR-01"#011iso.3.6.1.4.1.9.9.383.1.2.2.0 2147516416#011iso.3.6.1.4.1.9.9.383.1.2.3.0 "Heartbleed"#011iso.3.6.1.4.1.9.9.383.1.2.4.0 "OpenSSL Information Disclosure"#011iso.3.6.1.4.1.9.9.383.1.2.5.0 4187#011iso.3.6.1.4.1.9.9.383.1.2.6.0 0#011iso.3.6.1.4.1.9.9.383.1.2.7.0 "S785"#011iso.3.6.1.4.1.9.9.383.1.2.13.0 0#011iso.3.6.1.4.1.9.9.383.1.2.14.0 "iBCRX+m57XRkOtzSnz0MSIw/CJWscqWUKqhEjadJYMWue6yLZAgTFpc8+LuL#012H/4o5rulPzbm1D9tQZ2tnoY/qfwSZ3H1VE2Wt2/rwUHcjVaKjGue9I0FdGZN#012JgpdbIcOOiBxB0T0JJ0qsqAzTMO37pf6GNOcByoHVgcgubBM2x148331MWSP#012O4hROt/p8Zpk8ZmNBIfUwy4yA0ByxPANY4e+ixHoPOe0aJGk1GUthnyAhKn8#012ztzv/kfCXHyPH5X7DBXTTXYZN+Xv6vnWYJV3tojoaOIpv6shRYLjeg84qeO5#012vY3P0uXwcYSCj1YY4rdgQpQvL8PkOxYDAgAEDgAAAA=="#011iso.3.6.1.4.1.9.9.383.1.2.15.0 "FgMCANwBAADYAwJTQ1uQnZtyC7wMvCuSqEiXz705BMwWCoUDkJ93BDPU3gAA#012ZsAUwArAIsAhADkAOACIAIfAD8AFADUAhMASwAjAHMAbABYAE8ANwAMACsAT#012wAnAH8AeADMAMgCaAJkARQBEwA7ABAAvAJYAQcARwAfADMACAAUABAAVABIA#012CQAUABEACAAGAAMA/wEAAEkACwAEAwABAgAKADQAMgAOAA0AGQALAAwAGAAJ#012AAoAFgAXAAgABgAHABQAFQAEAAUAEgATAAEAAgADAA8AEAARACMAAAAPAAEB#012GAMCAAMBQAAYAwIAAwFAAA=="#011iso.3.6.1.4.1.9.9.383.1.2.16.0 "192.168.1.1:51716"#011iso.3.6.1.4.1.9.9.383.1.2.17.0 "osIdSource=\"unknown\" osRelevance=\"relevant\" osType=\"unknown\" 10.10.10.1:443"#011iso.3.6.1.4.1.9.9.383.1.2.21.0 "InterfaceAttributes: context=\"single_vf\" physical=\"Unknown\" backplane=\"PortChannel0/0\" ; "#011iso.3.6.1.4.1.9.9.383.1.2.25.0 70#011iso.3.6.1.4.1.9.9.383.1.2.26.0 5#011iso.3.6.1.4.1.9.9.383.1.2.27.0 6#011iso.3.6.1.4.1.9.9.383.1.2.42.0 70#011iso.3.6.1.4.1.9.9.383.1.2.49.0 "vs0"#011iso.3.6.1.4.1.9.9.383.1.3.1.0 "high"

2) एसडीईई मानक के माध्यम से। इस स्थिति में, IPS- सेंसर वेब सर्वर के रूप में कार्य करता है, और बाहरी सिस्टम इसे स्वतंत्र रूप से कनेक्ट करते हैं और नए अलर्ट एकत्र करते हैं। इस विधि का उपयोग CSM और IME उत्पादों में किया जाता है। सिस्को के SDEE CIDEE एक्सटेंशन का उपयोग करता है, जो अतिरिक्त क्षेत्रों का वर्णन करता है।

आप ब्राउज़र में https: // <सेंसर-आईपी-एड्रेस> / cgi-bin / sdee-server टाइप करके "शुद्ध रूप" में एसडीईई अलर्ट देख सकते हैं।

अलर्ट खुद इस तरह दिखते हैं:

 <sd:evIdsAlert eventId="6821065810849" vendor="Cisco" severity="informational" cid:alarmTraits="2147483648"> <sd:originator> <sd:hostId>IPS-SENSOR-01</sd:hostId> <cid:appName>sensorApp</cid:appName> <cid:appInstanceId>27106</cid:appInstanceId> </sd:originator> <sd:time offset="240" timeZone="GMT+04:00">1392668796044445000</sd:time> <sd:signature description="TCP Drop - Segment out state order" id="1330" cid:version="S642" cid:type="anomaly" cid:created="20050304"> <cid:subsigId>17</cid:subsigId> <cid:sigDetails>TCP segment is out of state order</cid:sigDetails> </sd:signature> <sd:interfaceGroup>vsx</sd:interfaceGroup> <sd:vlan>302</sd:vlan> <sd:participants> <sd:attacker> <sd:addr cid:locality="Inside">192.168.0.1</sd:addr> <sd:port>443</sd:port> </sd:attacker> <sd:target> <sd:addr cid:locality="AS_Inside">10.10.10.1</sd:addr> <sd:port>24479</sd:port> <cid:os idSource="learned" type="windows-nt-2k-xp" relevance="relevant" /> </sd:target> </sd:participants> <sd:actions> <cid:snmpTrapRequested>true</cid:snmpTrapRequested> </sd:actions> <cid:riskRatingValue targetValueRating="medium" attackRelevanceRating="relevant">25</cid:riskRatingValue> <cid:threatRatingValue>25</cid:threatRatingValue> <cid:interface>ge0_3</cid:interface> <cid:protocol>tcp</cid:protocol> </sd:evIdsAlert>

थोड़ा आगे बढ़ते हुए, यह तुरंत ध्यान देने योग्य है कि एसडीईई के उपयोग के अपने पेशेवरों और विपक्ष हैं। SDEE के माध्यम से प्राप्त डेटा में SNMP ट्रैप की तुलना में अलर्ट के बारे में अधिक जानकारी होती है। उदाहरण के लिए, सेंसर द्वारा किए गए कार्यों के बारे में जानकारी है। लेकिन डेटा को एसडीईई के माध्यम से सिएम में निर्यात करने के लिए, एक विशेष कनेक्टर की आवश्यकता होती है (प्रस्तावना में यह केवल व्यावसायिक संस्करण में है)।

3) Via syslog (केवल IOS-IPS के लिए)। पूर्णता के लिए, यह आईओएस-आईपीएस की कुछ विशेषताओं को भी ध्यान देने योग्य है। वे SDEE का भी समर्थन करते हैं, लेकिन वे SNMP के माध्यम से अलर्ट नहीं भेज सकते। अपने "पुराने" भाइयों के विपरीत, आईओएस-आईपीएस राउटर के स्थानीय सिसोगल रिपॉजिटरी को अलर्ट के बारे में जानकारी लिख सकते हैं। राउटर का syslog, बदले में, एक बाहरी सर्वर में स्थानांतरित किया जा सकता है। हालाँकि, जो डेटा syslog को लिखा गया है, वह बेहद दुर्लभ है:

IOS 12.x के लिए :

 Aug 20 14:21:35 MSK: %IPS-4-SIGNATURE: Sig:15002 Subsig:1 Sev:50 [192.168.1.1:1066 -> 10.10.10.1:5938] RiskRating:30

यहां तक कि हस्ताक्षर का नाम भी गायब है। केवल उसकी SingatureID और SubsibgnatureID।

IOS 15.x के लिए :

 Mar 3 11:15:24 MSK: %IPS-4-SIGNATURE: Sig:11020 Subsig:0 Sev:25 BitTorrent Client Activity [192.168.1.1:62809 -> 10.10.10.1:6881] VRF:NONE RiskRating:25

लेकिन एसडीईई के माध्यम से समान अलर्ट "सामान्य" रूप में प्रस्तुत किए जाएंगे, अर्थात विस्तृत जानकारी के साथ:

 <sd:evIdsAlert eventId="139779925140" vendor="Cisco" severity="informational"> <sd:originator> <sd:hostId>IOS-IPS-ROUTER</sd:hostId> </sd:originator> <sd:time offset="0" timeZone="UTC">1397799251079951920</sd:time> <sd:signature description="Jabber Activity" id="11204" version="S588"> <cid:subsigId>0</cid:subsigId> <cid:sigDetails>jabber:</cid:sigDetails> </sd:signature> <cid:protocol>tcp</cid:protocol> <cid:riskRatingValue>25</cid:riskRatingValue> <sd:participants> <sd:attacker> <sd:addr>192.168.1.1</sd:addr> <sd:port>61208</sd:port> </sd:attacker> <sd:target> <sd:addr>10.10.10.1</sd:addr> <sd:port>5222</sd:port> </sd:target> <sd:vrf_name>NONE</sd:vrf_name> </sd:participants> <sd:actions /> <cid:interface>Fa0/1</cid:interface> <cid:vrf_name>NONE</cid:vrf_name> </sd:evIdsAlert>

5. सेटअप

ओएसएस पर कल्पना की गई संस्करण को लागू करने के लिए, केवल एसएनएमपी जाल के साथ विकल्प उपयुक्त है।

कनेक्शन आरेख इस तरह दिखेगा:

आईपीएस हमले को पकड़ता है और इसके बारे में एसएनएमपी-ट्रैप भेजता है। (IOS-IPS तुरंत rsyslogd पर लॉग भेजता है)।
हम एसएनएमपी-ट्रैप को स्वीकार करते हैं और इसे सिसलॉग को भेजते हैं।
rsyslogd प्राप्त सीढ़ी को एक फ़ाइल में लिखता है।
LML लॉग को पार्स करता है, इसे सामान्य करता है, हमारे लिए ब्याज के क्षेत्रों से मान निकालता है, और उन्हें संबंधित IDMEF फ़ील्ड (मैपिंग) पर लिखता है।
सामान्यीकृत घटना प्रबंधक को भेजी जाती है, जिसे वह डेटाबेस में लिखता है। उसके बाद, घटना प्रीविक्का के माध्यम से देखने के लिए उपलब्ध हो जाती है।
आईपीएस से आने वाली घटनाओं को सहसंबंध मॉड्यूल के लिए भी भेजा जा सकता है (इस चरण को अलग से माना जाएगा)।

५.१ तैयारी

आपको पहले Prelude को स्थापित और कॉन्फ़िगर करना होगा। ऐसा कैसे करें यह पहले ही यहां वर्णित किया गया है ।

Prewikka और prelude-manager के अलावा, हमें prelude -lml और prelude-correlator की आवश्यकता होगी।

अतिरिक्त जानकारी आधिकारिक प्रस्तावना वेबसाइट पर भी देखी जा सकती है।

स्नैम्प ट्रैप को संभालने के लिए , आपको स्नैपट्रैप और rsyslogd डेमॉन (या समान) को कॉन्फ़िगर करने की आवश्यकता होगी।

मुख्य कार्य स्नाप जाल लेना और उन्हें एक फ़ाइल में लिखना है।

आप ऐसा कर सकते हैं, उदाहरण के लिए, इस तरह:

snmptrapd.conf

 donotlogtraps no printeventnumbers yes ignoreauthfailure yes authCommunity log,execute public traphandle default /usr/sbin/snmptthandler

rsyslog.conf

 if $programname == 'snmptrapd' \ then /var/log/snmptrapd & ~

5.2 सेंसर साइड सेटिंग

अगला कदम है कि हमारे सेंसर को हर बार हस्ताक्षर-ट्रिगर भेजने के लिए, साथ ही साथ हस्ताक्षर चालू होने पर त्रुटियों के मामले में भी भेजा जाए। ऐसा करने के लिए, विश्व स्तर पर एसएनएमपी जाल को सक्षम करें और लक्ष्य सर्वर और समुदाय को निर्दिष्ट करें जहां उन्हें भेजना है:

इसके अलावा, सभी रिस्करेटिंग श्रेणियों के लिए इवेंट एक्शन ओवरराइड के माध्यम से "अनुरोध एसएनएमपी ट्रैप" को असाइन करना आवश्यक है (हम कुछ भी नहीं देखना चाहते हैं):

इन सेटिंग्स के बाद, जब IPS ट्रिगर हो जाता है, तो घटनाओं को हमारे / var / log / snmptrapd लॉग में दिखाई देना चाहिए:

 Apr 18 16:01:59 prelude-server snmptrapd[11106]: 2014-04-18 16:01:59 10.0.0.1 [UDP: [10.0.0.1]:60457->[192.168.0.1]]:#012iso.3.6.1.2.1.1.3.0 24:12:04:52.86#011iso.3.6.1.6.3.1.1.4.1.0 iso.3.6.1.4.1.9.9.383.0.1#011iso.3.6.1.4.1.9.9.383.1.1.1.0 6822393753725#011iso.3.6.1.4.1.9.9.383.1.1.2.0 "07 DE 04 13 16 01 3B 00 "#011iso.3.6.1.4.1.9.9.383.1.1.3.0 "07 DE 04 13 12 01 3B 00 "#011iso.3.6.1.4.1.9.9.383.1.1.4.0 "IPS-SENSOR-01"#011iso.3.6.1.4.1.9.9.383.1.2.2.0 2147516416#011iso.3.6.1.4.1.9.9.383.1.2.3.0 "[ \\x26=?.]/etc/passwd[ \\x26=?]"#011iso.3.6.1.4.1.9.9.383.1.2.4.0 "Unix Password File Access Attempt"#011iso.3.6.1.4.1.9.9.383.1.2.5.0 3201#011iso.3.6.1.4.1.9.9.383.1.2.6.0 1#011iso.3.6.1.4.1.9.9.383.1.2.7.0 "S238"#011iso.3.6.1.4.1.9.9.383.1.2.13.0 0#011iso.3.6.1.4.1.9.9.383.1.2.15.0 "R0VUIC9uZXdzL2luZGV4LnBocD9FTEVNRU5UX0lEPS4uLy4uLy4uLy4uLy4u#012Ly4uLy4uLy4uLy4uL2V0Yy9wYXNzd2QgSFRUUC8xLjENCkhvc3Q6IA=="#011iso.3.6.1.4.1.9.9.383.1.2.16.0 "192.168.1.1:22238"#011iso.3.6.1.4.1.9.9.383.1.2.17.0 "osIdSource=\"unknown\" osRelevance=\"relevant\" osType=\"unknown\" 10.10.10.1:80"#011iso.3.6.1.4.1.9.9.383.1.2.21.0 "InterfaceAttributes: context=\"single_vf\" physical=\"Unknown\" backplane=\"PortChannel0/0\" ; "#011iso.3.6.1.4.1.9.9.383.1.2.25.0 65#011iso.3.6.1.4.1.9.9.383.1.2.26.0 5#011iso.3.6.1.4.1.9.9.383.1.2.27.0 6#011iso.3.6.1.4.1.9.9.383.1.2.42.0 65#011iso.3.6.1.4.1.9.9.383.1.2.49.0 "vs0"#011iso.3.6.1.4.1.9.9.383.1.3.1.0 "medium"

यहाँ 10.0.0.1 IPS-SENSOR-01 सेंसर एड्रेस है, 192.168.0.1 प्रिल्यूड-सर्वर का एड्रेस है जहाँ Prelude और snmptrapd वास्तव में स्थापित हैं।

5.3 एलएमएल को कॉन्फ़िगर करना

अब आपको उस हिस्से को कॉन्फ़िगर करने की आवश्यकता है जहां संवेदक से प्राप्त एसएनएमपी-ट्रैप को चालू करने के सभी "जादू" को एक घटना में आसानी से प्रस्तुत किया जाएगा। प्रील्यूड-एलएमएल मॉड्यूल इसके लिए जिम्मेदार है। इसे उसी सर्वर पर स्थापित किया जाना चाहिए जहां SNMP जाल आते हैं और प्रस्तावक-प्रबंधक में एक एजेंट के रूप में पंजीकृत होते हैं।

इसे कई चरणों में कॉन्फ़िगर किया गया है।

1) हम मूल लॉग के प्रारूप (और, यदि आवश्यक हो, तो एन्कोडिंग) का निर्धारण करते हैं। यह प्रस्तावना- lml.conf फ़ाइल में किया जाता है:

 [format=Cisco-IPS] time-format = "%b %d %H:%M:%S" prefix-regex = "^(?P<timestamp>.{15}) (?P<hostname>\S+) (?:(?P<process>\S+?)(?:\[(?P<pid>[0-9]+)\])?: )?" file = /var/log/snmptrapd

इस सेटिंग के साथ, हम पहले से निर्दिष्ट करते हैं कि लॉग में आने वाली घटनाओं का समय प्रारूप कैसा दिखता है, विश्लेषक का नाम और पता (इस मामले में, स्वयं सर्वर का पता), लॉग प्राप्त करने वाली प्रक्रिया का नाम और संख्या।

बाद में, घटना के प्रत्यक्ष विश्लेषण के साथ, इन सभी मूल्यों को फिर से परिभाषित किया जा सकता है। यदि घटना को नियमों के एक सेट द्वारा पार्स नहीं किया जा सकता है, तो इस स्तर पर परिभाषित मूल्य बने रहेंगे।

2) हम संकेत करते हैं कि आने वाली घटनाओं में से कौन सा लागू करने के लिए लॉग विश्लेषण नियमों का सेट है। यह pcre.rules फ़ाइल में किया गया है और हमारे उदाहरण के लिए इस तरह दिखता है:

 regex=snmptrapd; include = cisco-ips.rules;

3) आपको नियमों का निर्दिष्ट सेट बनाना होगा: सिस्को-ips.rules । वास्तव में, यह अनुच्छेद इसके लिए एक अलग लेख समर्पित करने का हकदार है। लेख का आकार दोगुना न करने के लिए, मैं केवल मुख्य बिंदुओं को सूचीबद्ध करूंगा:

नियमों के एक समूह में नियमित अभिव्यक्तियों का क्रम होता है;
हम उनके प्रसंस्करण के क्रम को प्रभावित कर सकते हैं, साथ ही विभिन्न घोंसलों के "उप-नियम" बना सकते हैं;
प्रत्येक नियम में, हम एक चर के रूप में लॉग से वांछित मूल्य को "बाहर" खींच सकते हैं और इसे संबंधित IDMEF फ़ील्ड में दर्ज कर सकते हैं। इस प्रक्रिया को मैपिंग कहा जाता है;
"उप-नियम" को वैकल्पिक रूप से कहा जा सकता है, जो उनकी संरचना के आधार पर घटनाओं में मूल्यों को बदलने की अनुमति देता है।

उदाहरण: डिफ़ॉल्ट रूप से, हम सभी घटनाओं को "सूचनात्मक" के बराबर "गंभीरता" स्तर का मान देते हैं। इसके अलावा, यदि सेंसर द्वारा भेजे गए अलर्ट में एक अलग हमला गंभीरता रेटिंग मूल्य है, तो हम अपनी विशेषता को फिर से लिखते हैं। यह आपको किसी भी पैरामीटर के लिए सामान्य रूप से बांधने और डेटाबेस को ईवेंट लिखने की अनुमति देता है जैसा कि हम कृपया। इनकमिंग (सुधारात्मक कार्रवाइयों के साथ या बिना) के लिए किस स्तर पर महत्वपूर्ण भूमिका निभानी चाहिए। नियमों का उपयोग करके, आप किसी भी सुविधाजनक / पसंद किए गए विकल्प को लागू कर सकते हैं।

नियमों का निम्नलिखित सेट आनुभविक रूप से विकसित किया गया था:

सिस्को-ips.rules

 ##### # Copyright (C) 2013 Vladimir Lapshin <vmlapshin at gmail dot com> # Copyright (C) 2013 lei_wulong # # This file is part of the Prelude-LML program. # # This program is free software; you can redistribute it and/or modify # it under the terms of the GNU General Public License as published by # the Free Software Foundation; either version 2, or (at your option) # any later version. # # This program is distributed in the hope that it will be useful, # but WITHOUT ANY WARRANTY; without even the implied warranty of # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the # GNU General Public License for more details. # # You should have received a copy of the GNU General Public License # along with this program; see the file COPYING. If not, write to # the Free Software Foundation, 675 Mass Ave, Cambridge, MA 02139, USA. # ##### #<<ALERT<< #SIG POOL: 5000-5039 regex=011iso\.3\.6\.1\.4\.1\.9\.9\.383\.1\.2\.4(?:\.0)? "(.+)".011iso\.3\.6\.1\.4\.1\.9\.9\.383\.1\.2\.5(?:\.0)?; \ id=5000; \ classification.text=$1; \ assessment.impact.description=This event was generated by the Cisco IPS; \ classification.reference(0).origin=vendor-specific; \ classification.reference(0).meaning=ips_id; chained; silent; regex=011iso\.3\.6\.1\.4\.1\.9\.9\.383\.1\.[23]\.1(?:\.0)? "(info|low|medium|high)(rmational)?"; \ id=5001; \ assessment.impact.severity=$1; chained; silent; regex=011iso\.3\.6\.1\.4\.1\.9\.9\.383\.1\.2\.(?:17(?:\.0)? "osIdSource=\\+?"(\S+?)\\+?" osRelevance=\\+?"(\S+?)\\+?" osType=\\+?"(\S+?)\\+?)?" (?:0\.0\.0\.0 \[)?([\w:]+?|\d+?\.\d+?\.\d+?\.\d+?)(?:\])?(?::([\d\,]+?))?"; \ id=5002; \ target(0).node.address(0).category=ipv4-addr; \ target(0).node.address(0).address=$4; \ target(0).service.port=$5; \ target(0).service.portlist=$5; \ additional_data(0).type=string; \ additional_data(0).meaning=osIdSource:; \ additional_data(0).data=$1; \ additional_data(1).type=string; \ additional_data(1).meaning=osRelevance:; \ additional_data(1).data=$2; \ additional_data(2).type=string; \ additional_data(2).meaning=osType:; \ additional_data(2).data=$3; chained; silent; regex=011iso\.3\.6\.1\.4\.1\.9\.9\.383\.1\.2\.5(?:\.0)? (\d+).011iso.3.6.1.4.1.9.9.383.1.2.6(?:\.0)? (\d+); \ id=5003; \ classification.reference(0).origin=vendor-specific; \ classification.reference(0).meaning=ips_id; \ classification.reference(0).name=$1.$2; \ classification.reference(0).url=http://tools.cisco.com/security/center/viewIpsSignature.x?signatureId=$1&signatureSubId=$2; \ additional_data(>>).type=string; \ additional_data(-1).meaning=Cisco Signature Template:; \ additional_data(-1).data=http://tools.cisco.com/security/center/viewIpsSignature.x?signatureId=$1&signatureSubId=$2; chained; silent; regex=011iso\.3\.6\.1\.4\.1\.9\.9\.383\.1\.2\.13(?:\.0)? (\d+); \ id=5004; \ target(0).node.address(0).vlan_name=$1; chained; silent; regex=011iso\.3\.6\.1\.4\.1\.9\.9\.383\.1\.2\.16(?:\.0)? "(?:0\.0\.0\.0 \[)?([\w:]+?|\d+?\.\d+?\.\d+?\.\d+?)(?:\])?(?::(\d+?))?"; \ id=5005; \ source(0).node.address(0).category=ipv4-addr; \ source(0).node.address(0).address=$1; \ source(0).service.port=$2; chained; silent; #ANOMALY DETECTION regex=011iso.3.6.1.4.1.9.9.383.1.2.16(?:\.0)? "[\d\.\:]+"\#011iso\.3\.6\.1\.4\.1\.9\.9\.383\.1\.2\.21(?:\.0)? ".\s+adExtraData: numDestIps=\d+\S currentThreshold=\d+\S protocol=\d+; \ id=5006; \ target(0).node.address(0).category=ipv4-addr; \ target(0).node.address(0).address=0.0.0.0; \ target(0).service.port=0; \ target(0).service.portlist=0; \ additional_data(0).type=string; \ additional_data(0).meaning=osIdSource:; \ additional_data(0).data=unknown; \ additional_data(1).type=string; \ additional_data(1).meaning=osRelevance:; \ additional_data(1).data=unknown; \ additional_data(2).type=string; \ additional_data(2).meaning=osType:; \ additional_data(2).data=unknown; chained; silent; regex=\[UDP: \[([^\]]+)\]:\d+->\[[^\]]+\]\]:.012iso\.3\.6\.1\.2\.1\.1\.3\.0 \d?\d?\d?:?\d\d:\d\d:\d\d\.\d\d.011iso\.3\.6\.1\.6\.3\.1\.1\.4\.1\.0 iso\.3\.6\.1\.4\.1\.9\.9\.383\.0\.1.011iso\.3\.6\.1\.4\.1\.9\.9\.383\.1\.1\.1 \d+.011iso\.3\.6\.1\.4\.1\.9\.9\.383\.1\.1\.2 "[\d\w\s]+".011iso\.3\.6\.1\.4\.1\.9\.9\.383\.1\.1\.3 "[\d\w\s]+".011iso\.3\.6\.1\.4\.1\.9\.9\.383\.1\.1\.4 "(\S+)".011iso\.3\.6\.1\.4\.1\.9\.9\.383\.1\.2\.1 "(info|low|medium|high)(?:rmational)?".011iso\.3\.6\.1\.4\.1\.9\.9\.383\.1\.2\.2 \d+.011iso\.3\.6\.1\.4\.1\.9\.9\.383\.1\.2\.3 "([^"]+)"#011iso\.3\.6\.1\.4\.1\.9\.9\.383\.1\.2\.4 "([^"]+)".011iso\.3\.6\.1\.4\.1\.9\.9\.383\.1\.2\.5 (\d+).011iso\.3\.6\.1\.4\.1\.9\.9\.383\.1\.2\.6 (\d+).011iso\.3\.6\.1\.4\.1\.9\.9\.383\.1\.2\.7 "[^"]+".011iso\.3\.6\.1\.4\.1\.9\.9\.383\.1\.2\.12 \d+.011iso\.3\.6\.1\.4\.1\.9\.9\.383\.1\.2\.13 \d+.011iso\.3\.6\.1\.4\.1\.9\.9\.383\.1\.2\.16 "([^"]+)".011iso\.3\.6\.1\.4\.1\.9\.9\.383\.1\.2\.21 "\.\s+adExtraData: numDestIps=(\d+). currentThreshold=(\d+). protocol=(\d+) . ".011iso\.3\.6\.1\.4\.1\.9\.9\.383\.1\.2\.25 \d+.011iso\.3\.6\.1\.4\.1\.9\.9\.383\.1\.2\.26 \d+.011iso\.3\.6\.1\.4\.1\.9\.9\.383\.1\.2\.27 \d+.011iso\.3\.6\.1\.4\.1\.9\.9\.383\.1\.2\.42 \d+; \ id=5030; \ revision=1; \ classification.text=$5; \ classification.reference(0).origin=vendor-specific; \ classification.reference(0).name=$6.$7; \ classification.reference(0).meaning=ips_id; \ classification.reference(0).url=http://tools.cisco.com/security/center/viewIpsSignature.x?signatureId=$6&signatureSubId=$7; \ assessment.impact.severity=$3; \ assessment.impact.type=other; \ assessment.impact.description=$4; \ source(0).node.address(0).category=ipv4-addr; \ source(0).node.address(0).address=$8; \ target(0).node.address(0).category=ipv4-addr; \ target(0).node.address(0).address=0.0.0.0; \ analyzer(0).node.address(0).address=$1; \ analyzer(0).node.name=$2; \ analyzer(0).manufacturer=Cisco; \ analyzer(0).class=IPS; \ analyzer(0).name=Cisco IPS; \ last; #>>ALERT>> #<<ERROR<< #SIG POOL: 5040-5079 regex=011iso.3.6.1.4.1.9.9.383.1.3.1 "(\w+)"; \ id=5040; \ classification.text=IPS $1 message; \ classification.reference(0).origin=vendor-specific; \ additional_data(0).type=string; \ additional_data(0).meaning=$1:; chained; silent; regex=011iso\.3\.6\.1\.4\.1\.9\.9\.383\.1\.3\.2 1#; \ id=5041; \ classification.reference(0).name=errAuthenticationTokenExpired; chained; silent; regex=011iso\.3\.6\.1\.4\.1\.9\.9\.383\.1\.3\.2 2#; \ id=5042; \ classification.reference(0).name=errConfigCollision; chained; silent; regex=011iso\.3\.6\.1\.4\.1\.9\.9\.383\.1\.3\.2 3#; \ id=5043; \ classification.reference(0).name=errInUse; chained; silent; regex=011iso\.3\.6\.1\.4\.1\.9\.9\.383\.1\.3\.2 4#; \ id=5044; \ classification.reference(0).name=errInvalidDocument; chained; silent; regex=011iso\.3\.6\.1\.4\.1\.9\.9\.383\.1\.3\.2 5#; \ id=5045; \ classification.reference(0).name=errLimitExceeded; chained; silent; regex=011iso\.3\.6\.1\.4\.1\.9\.9\.383\.1\.3\.2 6#; \ id=5046; \ classification.reference(0).name=errNotAvailable; chained; silent; regex=011iso\.3\.6\.1\.4\.1\.9\.9\.383\.1\.3\.2 7#; \ id=5047; \ classification.reference(0).name=errNotFound; chained; silent; regex=011iso\.3\.6\.1\.4\.1\.9\.9\.383\.1\.3\.2 8#; \ id=5048; \ classification.reference(0).name=errNotSupported; chained; silent; regex=011iso\.3\.6\.1\.4\.1\.9\.9\.383\.1\.3\.2 9#; \ id=5049; \ classification.reference(0).name=errPermissionDenied; chained; silent; regex=011iso\.3\.6\.1\.4\.1\.9\.9\.383\.1\.3\.2 10#; \ id=5050; \ classification.reference(0).name=errSyslog; chained; silent; regex=011iso\.3\.6\.1\.4\.1\.9\.9\.383\.1\.3\.2 11#; \ id=5051; \ classification.reference(0).name=errSystemError; chained; silent; regex=011iso\.3\.6\.1\.4\.1\.9\.9\.383\.1\.3\.2 12#; \ id=5052; \ classification.reference(0).name=errTransport; chained; silent; regex=011iso\.3\.6\.1\.4\.1\.9\.9\.383\.1\.3\.2 13#; \ id=5053; \ classification.reference(0).name=errUnacceptableValue; chained; silent; regex=011iso\.3\.6\.1\.4\.1\.9\.9\.383\.1\.3\.2 14#; \ id=5054; \ classification.reference(0).name=errUnclassified; chained; silent; regex=011iso\.3\.6\.1\.4\.1\.9\.9\.383\.1\.3\.2 15#; \ id=5055; \ classification.reference(0).name=errWarning; chained; silent; regex=011iso\.3\.6\.1\.4\.1\.9\.9\.383\.1\.3\.3 "(A global correlation update failed: Receive HTTP response failed \[\S+\].012Messages, like this one, in the category - Reputation update failure - were logged \d+ times in the last \d+ seconds\.|No installable auto update package found on server|SNMP could not get statistical value\.|error getting config)"; \ id=5070; \ assessment.impact.severity=info; chained; silent; regex=011iso\.3\.6\.1\.4\.1\.9\.9\.383\.1\.3\.3 "(autoUpdate successfully selected a package \S+ from the cisco\.com locator service, however, package download failed: .+|AutoUpdate exception: Receive HTTP response failed \[\S+\])"; \ id=5071; \ assessment.impact.severity=low; chained; silent; regex=011iso\.3\.6\.1\.4\.1\.9\.9\.383\.1\.3\.3 "(Target system does not have a valid license to process the config with the version \S+)"; \ id=5072; \ assessment.impact.severity=med; chained; silent; #>>ERROR>> #<<MESSAGE TYPE<< #SIG POOL: 5080-5089 optgoto=5000-5006; regex=011iso\.3\.6\.1\.6\.3\.1\.1\.4\.1\.0 iso\.3\.6\.1\.4\.1\.9\.9\.383\.0\.1; \ id=5080; \ classification.text=IPS alert message; \ assessment.impact.description=This event was generated by the Cisco IPS; \ classification.reference(0).origin=vendor-specific; \ classification.reference(0).meaning=ips_id; \ assessment.impact.severity=high; chained; silent; optgoto=5040-5055; optgoto=5070-5072; regex=011iso\.3\.6\.1\.6\.3\.1\.1\.4\.1\.0 iso\.3\.6\.1\.4\.1\.9\.9\.383\.0\.2; \ id=5081; \ classification.text=IPS system message; \ assessment.impact.description=This event was generated by the Cisco IPS; \ classification.reference(0).origin=vendor-specific; \ classification.reference(0).meaning=ips_id; \ assessment.impact.severity=high; chained; silent; regex=011iso\.3\.6\.1\.4\.1\.9\.9\.383\.1\.1\.1(?:\.0)? (\d+); \ id=5082; chained; silent; regex=011iso\.3\.6\.1\.4\.1\.9\.9\.383\.1\.1\.4(?:\.0)? "([\w\d-]+)"; \ id=5083; \ analyzer(0).node.name=$1; \ analyzer(0).name=Cisco IPS; \ analyzer(0).manufacturer=Cisco; \ analyzer(0).class=IPS; chained; silent; ### TURN OFF FLOOD ### regex=.012iso\.3\.6\.1\.2\.1\.1\.3\.0 (\S+).011iso\.3\.6\.1\.6\.3\.1\.1\.4\.1\.0 iso.3\.6\.1\.4\.1\.9\.9\.138\.2\.0\.1(?:\.0)?.011iso\.3\.6\.1\.4\.1\.9\.9\.138\.1\.3\.3\.1\.3(?:\.0)? (\d+).011iso\.3\.6\.1\.4\.1\.9\.9\.138\.1\.3\.3\.1\.4(?:\.0)? (\d+).011iso\.3\.6\.1\.4\.1\.9\.9\.138\.1\.3\.3\.1\.5(?:\.0)? (\d+).011iso\.3\.6\.1\.4\.1\.9\.9\.138\.1\.3\.3\.1\.6(?:\.0)? (\d+); silent; last; #>>MESSAGE TYPE>> #<<MAIN RULE<< #SIG POOL: 5090-5099 optgoto=5080-5083; regex=snmptrapd\[\d+\]: \d+-\d+-\d+ \d+:\d+:\d+ \d+.\d+.\d+.\d+ \[UDP: \[(\d+\.\d+\.\d+\.\d+)]:\d+->\[(\d+.\d+.\d+.\d+)\]\]:; \ classification.text=snmp unknown message; \ classification.reference(0).origin=vendor-specific; \ id=5090; \ revision=1; \ assessment.impact.severity=high; \ assessment.impact.type=other; \ assessment.impact.description=This event was generated by snmptrapd; \ source(0).node.address(0).address=$1; \ analyzer(0).node.address(0).address=$2; \ last; #>>MAIN RULE>> #EOF

इस नियम सेट में निम्नलिखित सिद्धांत शामिल हैं:

इनकमिंग लॉग पहले IPS इवेंट के सामान्य हस्ताक्षर के अंतर्गत आता है: नियम 5090;
वैकल्पिक रूप से चेक किया गया संदेश प्रकार - त्रुटि / सिस्टम संदेश / अलर्ट: 5080 से 5089 तक नियम;
यदि प्राप्त संदेश किसी त्रुटि से संबंधित है, तो हम उसका प्रकार निर्धारित करते हैं: 5040 से 5079 तक के नियम;
यदि प्राप्त संदेश एक हस्ताक्षर ट्रिगर है, तो हम उस सब कुछ को निकालते हैं जो हमें रुचिकर बनाता है: 5000 से 5039 तक के नियम;

यानी नियम से लॉग प्रसंस्करण ऊपर से नीचे तक जाती है। लेकिन जंजीरों की चाबी के साथ नियमों का हिस्सा ; मूक; वे इस प्रसंस्करण में तब तक भाग नहीं लेते हैं जब तक कि उन्हें स्पष्ट रूप से एक अधीनस्थ नियम ( ऑप्टगोटो कुंजी के साथ) से एक लिंक नहीं दिया जाता है।

IOS-IPS के लिए, आप हमारे सर्वर पर लॉग को रीडायरेक्ट कर सकते हैं और इसी तरह नियमों के इस सेट को लागू कर सकते हैं:

सिस्को-ios-ips.rules

 # # Copyright (C) 2013 lei_wulong # # This file is part of the Prelude-LML program. # # This program is free software; you can redistribute it and/or modify # it under the terms of the GNU General Public License as published by # the Free Software Foundation; either version 2, or (at your option) # any later version. # # This program is distributed in the hope that it will be useful, # but WITHOUT ANY WARRANTY; without even the implied warranty of # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the # GNU General Public License for more details. # # You should have received a copy of the GNU General Public License # along with this program; see the file COPYING. If not, write to # the Free Software Foundation, 675 Mass Ave, Cambridge, MA 02139, USA. # ##### ##RULES FOR CISCO IOS-IPS### ## id pool = [580-599] regex=Subsig\:\d+\s+Sev\:25; \ id=580; \ assessment.impact.severity=info; \ silent regex=Subsig\:\d+\s+Sev\:50; \ id=581; \ assessment.impact.severity=low; \ silent regex=Subsig\:\d+\s+Sev\:75; \ id=582; \ assessment.impact.severity=medium; \ silent regex=Subsig\:\d+\s+Sev\:100; \ id=583; \ assessment.impact.severity=high; \ silent ### For IOS 12.4(11)### regex=(\d+\.\d+\.\d+\.\d+)\s+\d+\:\s+(.+?)\:.+?\%IPS-4-SIGNATURE\: Sig\:(\d+)\s+Subsig\:(\d+)\s+Sev\:(\d+)\s+\[([\d\.]+)\:(\d+)\s+\-\>\s+([\d\.]+)\:(\d+)\]\s+RiskRating\:(\d+); \ classification.text=$3.$4; \ classification.reference(0).origin=vendor-specific; \ classification.reference(0).meaning=cisco_id; \ classification.reference(0).name=$3.$4; \ classification.reference(0).url=http://tools.cisco.com/security/center/viewIpsSignature.x?signatureId=$3&signatureSubId=$4; \ id=584; \ revision=2; \ analyzer(0).name=Cisco IPS; \ analyzer(0).manufacturer=Cisco; \ analyzer(0).class=IPS; \ analyzer(0).node.address(0).address=$1; \ analyzer(0).node.name=$2; \ assessment.impact.type=other; \ source(0).node.address(0).category=ipv4-addr; \ source(0).node.address(0).address=$6; \ target(0).node.address(0).category=ipv4-addr; \ target(0).node.address(0).address=$8; \ source(0).service.port=$7; \ target(0).service.port=$9; \ additional_data(0).type=integer; \ additional_data(0).meaning=Signature Severity; \ additional_data(0).data=$5; \ additional_data(1).type=integer; \ additional_data(1).meaning=Risk Rating; \ additional_data(1).data=$10; \ ###FOR IOS 15.1 ### regex=(\d+\.\d+\.\d+\.\d+)\s+\d+\:\s+(.+?)\:.+?\%IPS-4-SIGNATURE\: Sig\:(\d+)\s+Subsig\:(\d+)\s+Sev\:(\d+)\s+(.+?)\s+\[([\d\.]+)\:(\d+)\s+\-\>\s+([\d\.]+)\:(\d+)\]\s+VRF\:(.+?)\s+RiskRating\:(\d+); \ classification.text=$6; \ classification.reference(0).origin=vendor-specific; \ classification.reference(0).meaning=cisco_id; \ classification.reference(0).name=$3.$4; \ classification.reference(0).url=http://tools.cisco.com/security/center/viewIpsSignature.x?signatureId=$3&signatureSubId=$4; \ id=585; \ revision=2; \ analyzer(0).name=Cisco IPS; \ analyzer(0).manufacturer=Cisco; \ analyzer(0).class=IPS; \ analyzer(0).node.address(0).address=$1; \ analyzer(0).node.name=$2; \ assessment.impact.type=other; \ source(0).node.address(0).category=ipv4-addr; \ source(0).node.address(0).address=$7; \ target(0).node.address(0).category=ipv4-addr; \ target(0).node.address(0).address=$9; \ source(0).service.port=$8; \ target(0).service.port=$10; \ additional_data(0).type=integer; \ additional_data(0).meaning=Signature Severity; \ additional_data(0).data=$5; \ additional_data(1).type=integer; \ additional_data(1).meaning=Risk Rating; \ additional_data(1).data=$12; \ additional_data(2).type=string; \ additional_data(2).meaning=VRF; \ additional_data(2).data=$11; \ last;

उपरोक्त सभी जोड़तोड़ के बाद, हमें निम्नलिखित परिणाम मिलते हैं:

सभी IPS सेंसर से ट्रिगर कंसोल में दिखाई देता है। ऊपर दिया गया स्क्रीनशॉट स्रोत और गंतव्य पते द्वारा समूहीकरण दिखाता है। यहाँ IPS- मॉड्यूल और अनुप्रयोगों के साथ-साथ IOS-IPS सक्षम होने वाले राउटर्स से घटनाएं होती हैं (यह "ऑब्सफिकेशन" तकनीकों के कारण स्क्रीनशॉट में दिखाई नहीं देता है)। हम उन सभी मूल्यों को समूह / फ़िल्टर कर सकते हैं जो हमारे नियमों के सेट द्वारा प्रसंस्करण के दौरान निर्धारित किए गए थे।

तदनुसार, किसी भी घटना में, आप "विफल" हो सकते हैं और विवरण देख सकते हैं:

6. सहसंबंध दिल खून बहाना

सेटअप में अंतिम स्पर्श वह हिस्सा होगा जो इवेंट व्यूअर्स को कोलम्बिया से अलग करता है: सहसंबंध।

सहसंबंध नियम स्थापित करने के एक उदाहरण के लिए, आइए ओपनएसएसएल पुस्तकालय में हाल ही में भेद्यता लें - हार्टलेड ।

सिस्को के पास एक हस्ताक्षर है जो इस भेद्यता का फायदा उठाने का प्रयास कर सकता है: tools.cisco.com/security/center/viewIpsSignature.x?signatureId=4187&signatureSubId=0

हस्ताक्षर संख्या 4187.0 है, इसे "ओपनएसएसएल सूचना प्रकटीकरण" कहा जाता है।

अपने आप से, इस हस्ताक्षर को ट्रिगर करने का मतलब यह नहीं होगा कि भेद्यता का शोषण किया गया है, क्योंकि IPS को यह नहीं पता है कि हमला किया गया हमला कमजोर है या नहीं। लेकिन सिएम इस सवाल का अच्छी तरह से जवाब दे सकता है

सहसंबंध नियम का सामान्य सिद्धांत इस प्रकार है: यदि आईपीएस से ऊपर की घटना, कोलम्बिया में आती है, तो स्वयं टारगेट होस्ट पर हार्टब्लीड भेद्यता के लिए जाँच करता है। यदि मेजबान कमजोर है, तो एक अलग सहसंबंध घटना उत्पन्न होगी।

नियम स्वयं इस प्रकार है:

 # # Copyright (C) 2014 Vladimir Lapshin <vmlapshin at gmail dot com> # Copyright (C) 2014 lei_wulong # # This program is free software; you can redistribute it and/or modify # it under the terms of the GNU General Public License as published by # the Free Software Foundation; either version 2, or (at your option) # any later version. # # This program is distributed in the hope that it will be useful, # but WITHOUT ANY WARRANTY; without even the implied warranty of # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the # GNU General Public License for more details. # # You should have received a copy of the GNU General Public License # along with this program; see the file COPYING. If not, write to # the Free Software Foundation, 675 Mass Ave, Cambridge, MA 02139, USA. # import re from PreludeCorrelator.pluginmanager import Plugin from PreludeCorrelator.context import Context import time import subprocess localtime = time.localtime() timestamp = time.strftime('%d %b %H:%M:%S', localtime) print str(timestamp) + ' HeartBleed plugin (correlator) INFO: Starting...' class heartbleed(Plugin): def run(self, idmef): if not idmef.match('alert.classification.text', re.compile('^OpenSSL Information Disclosure$|^Other security event$')): return addr = idmef.Get('alert.target(*).node.address(*).address') if not addr: return port = idmef.Get('alert.target(0).service.port') if not port: port='443' script = str('python2.6 /etc/prelude-correlator/heartbleed.py ') + str(addr).strip('[\'\']') + str(' -p ') + str(port) print script PIPE = subprocess.PIPE p = subprocess.Popen(script, shell=True, stdin=PIPE, stdout=PIPE, stderr=subprocess.STDOUT, close_fds=True) while True: s = p.stdout.readline() if not s: break if re.findall('server is vulnerable', s): ctx = Context(("HEART_BLEED", addr), update=True, idmef=idmef) ctx.Set("alert.classification.text", "HeartBleed vulnerability detected") ctx.Set("alert.correlation_alert.name", "HeartBleed vulnerability detected") ctx.Set("alert.assessment.impact.severity", "high") ctx.Set("alert.classification.reference(0).origin", "vendor-specific") ctx.Set("alert.classification.reference(0).name", "CVE-2014-0160") ctx.alert() ctx.destroy() print 'Vulnerable!' return

इस उदाहरण में, भेद्यता की जांच करने के लिए, इस स्क्रिप्ट का उपयोग किया जाता है: gist.github.com/sh1n0b1/10100394 । यह सहसंबंध प्लगइन के समान निर्देशिका में स्थित होना चाहिए। उपरोक्त उदाहरण के लिए, यह पथ /etc/prelude-correlator/heartbleed.py है।

इसके अलावा, IPS सेंसर पर 4187.x हस्ताक्षर और स्रोत पते जहां Prelude स्थापित है , के लिए एक अपवाद बनाने के लिए मत भूलना , अन्यथा हम एक पुनरावर्तन प्राप्त करेंगे: हमले -> सहसंबंध नियम। जो IPS द्वारा भी पता लगाया जाता है (हम अनिवार्य रूप से समान हार्दिक का उपयोग करते हैं) -> नए IPS अलर्ट -> सहसंबंध -> आदि। यह इवेंट एक्शन फ़िल्टर के माध्यम से किया जा सकता है।

या आप स्वयं को जोड़कर नियम में पुनरावृत्ति को बाहर कर सकते हैं:

 if idmef.match("alert.source(0).node.address(0).address", re.compile("0\.0\.0\.0")) # <- Prelude-Correlator addr return

लेकिन अगर आप ईवेंट एक्शन फ़िल्टर को कॉन्फ़िगर नहीं करते हैं, तो हमारा आईपीएस स्वयं द्वारा किए गए सत्यापन का जवाब देगा। यदि इसका सेंसर (जांच) इसे अवरुद्ध करता है, तो हम एक भेद्यता की जांच नहीं कर पाएंगे।

नियम सेट करने के बाद, जब सिस्को 4187.0 हस्ताक्षर ट्रिगर होता है, तो हमें निम्न परिणाम मिलता है:

वास्तव में, इसका मतलब है कि इस हमले के लिए अतिसंवेदनशील एक मेजबान पर हमला किया गया है। उदाहरण में सहसंबंध नियम '^ ओपनएसएसएल सूचना प्रकटीकरण $ | ^ अन्य सुरक्षा घटना $' नामक घटनाओं की प्रतीक्षा करता है । बेशक, आप सिस्को IPS से एक घटना तक सीमित नहीं हो सकते। इसी सिद्धांत का उपयोग करते हुए, सिस्टम से जुड़े किसी भी अन्य विक्रेताओं के आईपीएस सहसंबंध का प्रदर्शन किया जा सकता है।

आप वेब सर्वर पर लॉगिन इवेंट में भी बाँध सकते हैं। यदि यह असुरक्षित है, तो लॉग इन करने के लिए उपयोग किए जाने वाले खाते में संभावित समझौता किया जाता है।

इस आलेख में वर्णित नियम नवीनतम वर्तमान घटनाओं के लिए आवेदन के एक विशेष मामले का एक उदाहरण है। अन्य सभी विशलिस्ट केवल कल्पना और अजगर द्वारा सीमित हैं (पढ़ें - कुछ भी सीमित नहीं)। उदाहरण के लिए, प्रस्तावित स्क्रिप्ट में, आप विभिन्न परिदृश्यों को हरा सकते हैं: केवल अपने संसाधनों (केवल ग्रे पते / बाहरी पते के पूल) के अनुसार जांच करें, "पीड़ित" के आईपी और पोर्ट को बदल दें यदि हमारा संसाधन NAT के पीछे है, आदि।

7. उपसंहार

निष्कर्ष में, एसडीईई के माध्यम से घटनाओं को इकट्ठा करने की संभावना के बारे में भी ध्यान देने योग्य है।

क्योंकिइस आलेख में, Prelude के OSS संस्करण के लिए कॉन्फ़िगरेशन पर विचार किया गया था, तब IPS और Prelude को SNMP (IPS मॉड्यूल / एप्लिकेशन के लिए) और syslog (IOS-IPS के लिए) के माध्यम से मित्र होना था। लेकिन, जैसा कि 4 वें खंड में बताया गया है , ये सभी डिवाइस एसडीईई के माध्यम से काम कर सकते हैं। इसी समय, आईपीएस से घटनाओं को एक समान रूप में प्राप्त करना संभव हो जाता है, प्रत्येक अलर्ट के बारे में सबसे संपूर्ण जानकारी के साथ। ऐसा करने के लिए, आपको एक एसडीईई कनेक्टर की आवश्यकता है, जो केवल प्रिल्यूड के व्यावसायिक संस्करण में मौजूद है।

PreludePro के व्यावसायिक संस्करण के बीच अन्य अंतर:

प्रदर्शन;
दास प्रबंधकों को जोड़ने की क्षमता;
ext। प्रीविक्का में कार्य (एलडीएपी के माध्यम से प्रमाणीकरण, वेब-इंटरफ़ेस, आदि में अपने स्वयं के आदेशों को एम्बेड करने की क्षमता);
अतिरिक्त मॉड्यूल (लॉग-मैनेजमेंट, इन्वेंट्री सिस्टम, आदि)

फिर से यह स्वेच्छा से निकला, सबसे अच्छा "निचोड़ने" की कोशिश की।

आशा है कि यह दिलचस्प और उपयोगी था।

घटनाओं की पहचान करने में गुड लक!

_____

लेख में प्रयुक्त सामग्री:

सीएसएम उपयोगकर्ता गाइड www.cisco.com/c/en/us/td/docs/security/security_management/cisco_security_manager/security_manager/4-6-user/guide/CSMUserGuide.html

IME अधिसूचना उदाहरण: www।

IME के माध्यम से cisco.com/c/en/us/support/docs/security/ips-4200-series-sensors/111659-ips-email-ime-config.html IOS इवेंट: www.cisco.com/c /us/support/docs/security/intrusion-prevention-system/113576-ptn-113576.html

प्रस्तावना ओएसएस आधिकारिक पृष्ठ www.prelude-ids.org

समीक्षा Prewikka इंटरफ़ेस: is-systems.org/siem/interface