Valse positieven identificeren
Het bedreigingsdetectiesysteem op UniFi-gateways heeft duizenden handtekeningen die in categorieën zijn gegroepeerd. Elk van deze categorieën dient een uniek doel bij het detecteren van afwijkend verkeer dat door de gateway-interfaces stroomt. Sommige van deze categorieën zijn agressiever in het afgeven van waarschuwingen voor goedaardig verkeer. Als een UniFi-beheerder niet voorzichtig is bij het inschakelen van categorieën, kunnen de waarschuwingen zich opstapelen voor verkeer dat niet bijzonder schadelijk is.
Het type gebeurtenis of waarschuwing dat hierboven wordt beschreven, staat bekend als een "fout-positief". Het verkeer kan onschadelijk zijn, maar wordt als potentieel gevaarlijk geactiveerd door een of meer van de handtekeningpatronen die worden gecontroleerd voordat het verkeer er doorheen kan bij het uitvoeren van inbraakpreventie. Om deze reden kunnen sommigen ervoor kiezen om detectie te gebruiken boven preventie .
Om een vals positief te kunnen identificeren, stelt u de volgende vragen:
Een dreigingshandtekening onderdrukken
Met de functie voor het onderdrukken van handtekeningen van de Threat Detection Engine kan een UniFi-beheerder waarschuwingen (IDS / IPS) en blokkering (IPS) uitschakelen voor bepaalde handtekeningpatronen waarvan bekend is dat ze niet schadelijk zijn. Volg deze stappen om een handtekening te onderdrukken:
1. Navigeer naar het tabblad
Bedreigingsbeheer > Verkeerslogboek in de controllerinterface.
Dit artikel bevat informatie over onderdrukken, blokkeren en op de zwarte lijst zetten. Zie voor meer informatie over Whitelisting: het gedeelte Whitelisting in het artikel UniFi - USG / UDM: Internet Security Settings configureren .
Onderdrukte handtekeningen beheren
Om onderdrukte handtekeningen te beheren, ga naar Instellingen> Bedreigingsbeheer> Handtekeningonderdrukking .
Houd er rekening mee dat:
Blacklisting en Blocking
1. Ga naar het gedeelte IPS Dashboard
en selecteer het tabblad "Verkeerslogboek" bovenaan om blokkeren en zwarte lijsten te beheren .
2. Nadat een verkeersalarm is geïdentificeerd voor actie, selecteert u de waarschuwing. Er verschijnt een gedetailleerde pop-up met opties die betrekking hebben op de melding.
Terminologie
Zwarte lijst: deze optie in het IPS-dashboard blokkeert verkeer van het bron-IP-adres dat de handtekening heeft geactiveerd. Dit is een regelrechte blokkade voor verkeer afkomstig van dit IP. Verkeer van dit bron-IP-adres mag het LAN niet via internet binnenkomen.
Blokkeren: deze optie in het IPS-dashboard blokkeert verkeer naar het doelhost-IP en vanaf het bronhost-IP. Met deze optie blijft verkeer naar andere host-IP's op het LAN mogelijk.
firewall
Blocking en Blacklisting worden als regels in de firewall ingevoegd. Navigeer naar Instellingen> Routing en Firewall> Firewall> WAN_IN of WAN_OUT om te zien.
WAN_IN
WAN_OUT
bron: ui.com
Het bedreigingsdetectiesysteem op UniFi-gateways heeft duizenden handtekeningen die in categorieën zijn gegroepeerd. Elk van deze categorieën dient een uniek doel bij het detecteren van afwijkend verkeer dat door de gateway-interfaces stroomt. Sommige van deze categorieën zijn agressiever in het afgeven van waarschuwingen voor goedaardig verkeer. Als een UniFi-beheerder niet voorzichtig is bij het inschakelen van categorieën, kunnen de waarschuwingen zich opstapelen voor verkeer dat niet bijzonder schadelijk is.
Het type gebeurtenis of waarschuwing dat hierboven wordt beschreven, staat bekend als een "fout-positief". Het verkeer kan onschadelijk zijn, maar wordt als potentieel gevaarlijk geactiveerd door een of meer van de handtekeningpatronen die worden gecontroleerd voordat het verkeer er doorheen kan bij het uitvoeren van inbraakpreventie. Om deze reden kunnen sommigen ervoor kiezen om detectie te gebruiken boven preventie .
Om een vals positief te kunnen identificeren, stelt u de volgende vragen:
- Komt de waarschuwing van een enkele IP of meerdere op het netwerk?
- Zijn er recent nieuwe en / of potentieel verdachte clients aan het netwerk toegevoegd?
- Zijn er recente updates voor het client-besturingssysteem die mogelijk de waarschuwing veroorzaken?
- Geeft de melding enig inzicht in wat voor soort verkeer dit kan zijn?
Info
Het is een goede gewoonte om inbraakdetectie te zien als een levend systeem. Met nieuwe soorten aanvallen en kwetsbaarheden kunt u dit type systeem het beste regelmatig controleren en auditen.
Een dreigingshandtekening onderdrukken
Met de functie voor het onderdrukken van handtekeningen van de Threat Detection Engine kan een UniFi-beheerder waarschuwingen (IDS / IPS) en blokkering (IPS) uitschakelen voor bepaalde handtekeningpatronen waarvan bekend is dat ze niet schadelijk zijn. Volg deze stappen om een handtekening te onderdrukken:
1. Navigeer naar het tabblad
Info
Handtekeningonderdrukking met fijnere korreligheid kan ook worden uitgevoerd vanuit het instellingengedeelte "IPS", door te navigeren naar Instellingen> Bedreigingsbeheer .
Dit artikel bevat informatie over onderdrukken, blokkeren en op de zwarte lijst zetten. Zie voor meer informatie over Whitelisting: het gedeelte Whitelisting in het artikel UniFi - USG / UDM: Internet Security Settings configureren .
Onderdrukte handtekeningen beheren
Om onderdrukte handtekeningen te beheren, ga naar Instellingen> Bedreigingsbeheer> Handtekeningonderdrukking .
Houd er rekening mee dat:
- Als u een onderdrukkingsregel voor handtekeningen toevoegt voor al het verkeer, wordt de handtekening onderdrukt, ongeacht het IP-adres van de host.
- Een handtekeningonderdrukkingsregel toevoegen met pakkettracering op basis van de verkeersrichting en per IP, gedefinieerd UniFi Network of subnet naar keuze.
Blacklisting en Blocking
Info
Blokkering en zwarte lijst discrimineren niet voor interne hosts. Gebruik deze opties met voorzichtigheid, omdat ze hosts op uw LAN kunnen blokkeren als die hosts de verkeersbron zijn die een handtekening kan activeren.
1. Ga naar het gedeelte IPS Dashboard
2. Nadat een verkeersalarm is geïdentificeerd voor actie, selecteert u de waarschuwing. Er verschijnt een gedetailleerde pop-up met opties die betrekking hebben op de melding.
Terminologie
Zwarte lijst: deze optie in het IPS-dashboard blokkeert verkeer van het bron-IP-adres dat de handtekening heeft geactiveerd. Dit is een regelrechte blokkade voor verkeer afkomstig van dit IP. Verkeer van dit bron-IP-adres mag het LAN niet via internet binnenkomen.
Blokkeren: deze optie in het IPS-dashboard blokkeert verkeer naar het doelhost-IP en vanaf het bronhost-IP. Met deze optie blijft verkeer naar andere host-IP's op het LAN mogelijk.
firewall
Blocking en Blacklisting worden als regels in de firewall ingevoegd. Navigeer naar Instellingen> Routing en Firewall> Firewall> WAN_IN of WAN_OUT om te zien.
WAN_IN
WAN_OUT
bron: ui.com
