Valse positieven identificeren
Het Threat Detection System op UniFi-gateways heeft duizenden handtekeningen die in categorieën zijn gegroepeerd. Elk van deze categorieën dient een uniek doel bij het detecteren van afwijkend verkeer dat door de gateway-interfaces stroomt. Sommige van deze categorieën zijn agressiever in het afgeven van waarschuwingen voor goedaardig verkeer. Als een UniFi-beheerder niet voorzichtig is bij het inschakelen van categorieën, kunnen de waarschuwingen zich opstapelen voor verkeer dat niet bijzonder schadelijk is.
Het type gebeurtenis of waarschuwing dat hierboven wordt beschreven, staat bekend als een "fout-positief". Het verkeer kan onschadelijk zijn, maar wordt als potentieel gevaarlijk geactiveerd door een of meer van de handtekeningpatronen die worden gecontroleerd voordat het verkeer er doorheen kan bij het uitvoeren van inbraakpreventie. Om deze reden kunnen sommigen ervoor kiezen om detectie te gebruiken boven preventie .
Om een vals positief te kunnen identificeren, stelt u de volgende vragen:
Een dreigingshandtekening onderdrukken
Met de functie voor het onderdrukken van handtekeningen van de Threat Detection Engine kan een UniFi-beheerder de waarschuwing / blokkering uitschakelen voor bepaalde handtekeningen waarvan niet bekend is dat ze schadelijk zijn. Volg deze stappen om een handtekening te onderdrukken:
1. Navigeer naar het tabblad
IPS Dashboard > Verkeerslogboek in de controllerinterface.
Onderdrukte handtekeningen beheren
Om onderdrukte handtekeningen te beheren, gaat u naar Instellingen> IPS> Handtekeningonderdrukking .
Houd er rekening mee dat:
Blacklisting en Blocking
1. Ga naar het gedeelte IPS Dashboard
en selecteer het tabblad "Verkeerslogboek" bovenaan om blokkeren en zwarte lijsten te beheren .
2. Nadat een verkeersalarm is geïdentificeerd voor actie, selecteert u de waarschuwing. Er verschijnt een gedetailleerde pop-up met opties die betrekking hebben op de melding.
Terminologie
Zwarte lijst: deze optie in het IPS-dashboard blokkeert verkeer van het bron-IP-adres dat de handtekening heeft geactiveerd.
Blokkeren: deze optie in het IPS-dashboard blokkeert verkeer naar het doel-host-IP en vanaf het bronhost-IP.
brandmuur
Blocking en Blacklisting worden als regels in de firewall ingevoegd. Navigeer naar Instellingen> Routing en Firewall> Firewall> WAN_IN of WAN_OUT om te zien.
WAN_IN
WAN_OUT
Het Threat Detection System op UniFi-gateways heeft duizenden handtekeningen die in categorieën zijn gegroepeerd. Elk van deze categorieën dient een uniek doel bij het detecteren van afwijkend verkeer dat door de gateway-interfaces stroomt. Sommige van deze categorieën zijn agressiever in het afgeven van waarschuwingen voor goedaardig verkeer. Als een UniFi-beheerder niet voorzichtig is bij het inschakelen van categorieën, kunnen de waarschuwingen zich opstapelen voor verkeer dat niet bijzonder schadelijk is.
Het type gebeurtenis of waarschuwing dat hierboven wordt beschreven, staat bekend als een "fout-positief". Het verkeer kan onschadelijk zijn, maar wordt als potentieel gevaarlijk geactiveerd door een of meer van de handtekeningpatronen die worden gecontroleerd voordat het verkeer er doorheen kan bij het uitvoeren van inbraakpreventie. Om deze reden kunnen sommigen ervoor kiezen om detectie te gebruiken boven preventie .
Om een vals positief te kunnen identificeren, stelt u de volgende vragen:
- Komt de waarschuwing van een enkele IP of meerdere op het netwerk?
- Zijn er recent nieuwe en / of potentieel verdachte clients aan het netwerk toegevoegd?
- Zijn er recente updates voor het client-besturingssysteem die mogelijk de waarschuwing veroorzaken?
- Geeft de waarschuwing enig inzicht in wat voor soort verkeer dit kan zijn?
Info
Het is een goede gewoonte om inbraakdetectie als een levend systeem te beschouwen. Met nieuwe soorten aanvallen en kwetsbaarheden is het het beste om dit type systeem regelmatig te controleren en te controleren.
Een dreigingshandtekening onderdrukken
Met de functie voor het onderdrukken van handtekeningen van de Threat Detection Engine kan een UniFi-beheerder de waarschuwing / blokkering uitschakelen voor bepaalde handtekeningen waarvan niet bekend is dat ze schadelijk zijn. Volg deze stappen om een handtekening te onderdrukken:
1. Navigeer naar het tabblad
Info
Handtekeningonderdrukking met fijnere korreligheid kan ook worden uitgevoerd vanuit het instellingengedeelte "IPS", door te navigeren naar Instellingen> IPS .
Onderdrukte handtekeningen beheren
Om onderdrukte handtekeningen te beheren, gaat u naar Instellingen> IPS> Handtekeningonderdrukking .
Houd er rekening mee dat:
- Als u een regel voor het onderdrukken van handtekeningen toevoegt voor al het verkeer, wordt de handtekening onderdrukt, ongeacht het IP-adres van de host.
- Een handtekeningonderdrukkingsregel toevoegen met pakkettracering op basis van de verkeersrichting en per IP, gedefinieerd UniFi Network of subnet naar keuze.
Blacklisting en Blocking
Info
Blokkering en zwarte lijst discrimineren niet voor interne hosts. Gebruik deze opties met voorzichtigheid omdat ze hosts op uw LAN kunnen blokkeren als die hosts de verkeersbron zijn die een handtekening kan activeren.
1. Ga naar het gedeelte IPS Dashboard
2. Nadat een verkeersalarm is geïdentificeerd voor actie, selecteert u de waarschuwing. Er verschijnt een gedetailleerde pop-up met opties die betrekking hebben op de melding.
Terminologie
Zwarte lijst: deze optie in het IPS-dashboard blokkeert verkeer van het bron-IP-adres dat de handtekening heeft geactiveerd.
Blokkeren: deze optie in het IPS-dashboard blokkeert verkeer naar het doel-host-IP en vanaf het bronhost-IP.
brandmuur
Blocking en Blacklisting worden als regels in de firewall ingevoegd. Navigeer naar Instellingen> Routing en Firewall> Firewall> WAN_IN of WAN_OUT om te zien.
WAN_IN
WAN_OUT
