【实验名称】
告警事件风暴抑制管理
网络安全事件管理
通过本实验熟悉产品的操作,减少系统资源的消耗,对系统进行优化。
【背景描述】
某管理员通过系统的事件归并以及洪波抑制配置,从而达到减少同一安全事件上报的数量,优化系统的目的。 【需求分析】
短时间内某些安全告警事件大量上报,对系统资源造成极大的损耗。管理员通过系统的事件归并以及洪波抑制配置,达到优化系统的目的。
【实验拓扑】
MGT
RG-IDS
172.16.5.128
RG-IDS
172.16.5.100
F0/1
F0/2
F0/3
MON
172.16.5.127
172.16.5.125
【实验设备】
PC 3台
RG-IDS Sensor 1台
直连线 4根
交换机 1台(支持多对一的端口镜像)
【预备知识】
RG-IDS配置
【实验原理】
152
事件归并配置:事件归并的整体配置”是指针对所有安全事件签名设置一种缺省的归并
策略,这个归并策略将会作用在每一个传感器上,也就是说来自不同传感器的告警将不会被 归并在一起。一旦开启这个功能,所有事件的缺省归并策略即是该策略,但是即便用户开启
了整体归并策略,也还可以对每一个安全事件签名在“事件归并”设置中逐一修改归并策略。
因此该功能事实上是对没有设置归并策略的告警的整体配置。事件归并策略的内容包括,是
否启用事件归并,缺省按照事件名称归并(不可更改),然后可以按照事件的源、目的地址
和端口归并。事件归并个别配置指对于某一个或某几个攻击签名以及某一类攻击签名单独配
置,系统只针对个别攻击签名进行归并。
洪波抑制:洪波抑制功能是指,如果短时间内大量相同的告警信息被发送给管理控制台,
影响了用户对网络事件的分析,可以在洪波抑制界面设置洪波抑制功能,以防止短时间内产
生大量相同的告警。
【实验步骤】
第一步:事件归并配置
1、事件归并整体配置
进入“策略” “告警策略”窗口。右键点击“一般事件树”的树根节点“package”(也
可以选中某个Backend或者Package节点配置,这样响应只针对该节点下面的子节点生效)。
在出现的菜单中选择“事件归并整体配置”。在弹出的窗口中选中选中“启用事件归并”,
然后设置归并条件。
点击“确定”,事件归并整体配置完成。
2、事件归并个别配置
153
进入“策略”----“告警策略”窗口。展开“一般事件树”,选中某一个“攻击签名”,在右侧的“事件归并”窗口中设置归并条件。
第二步:验证事件归并配置
1、归并前后的事件信息
归并结果在表达上与非归并事件有一些细节的差别。我们以“icmp:pingofdeath:pingofdeath_alert”事件为例,首先看看该事件的归并策略配置。
从上图中我们可以看到为“icmp:pingofdeath:pingofdeath_alert”事件配置归并参数为“把来自相同的源IP、源端口的同类事件划分为一组”。过滤条件是“当队列深度达
到20时则触发归并产生结果”。归并前后事件的详细信息窗口中会有明显差异。
“icmp:pingofdeath:pingofdeath_alert”归并前的事件详细信息(在事件窗口双击事件)如下。
154
针对“icmp:pingofdeath:pingofdeath_alert”归并后的详细信息(在事件窗口双击事
件)如下。
155
由于在定义归并策略时没有选择“对目的IP地址和目的端口进行归并”因此在同一分组中的事件可能是去往不同目的IP和不同的目的端口,为了避免歧义在归并结果中目的地址和目的端口的统计信息被“0.0.0.0和0”替代。同时诸如LogDB,与防火墙互动的等响应方式也不会出现在归并的结果中。
2、归并前事件显示
启动“事件归并”功能前,所有事件全部罗列在事件窗口中,当事件风暴发生时,会对系统带来很大的压力,并会很快淹没其他告警信息。
3、归并后事件显示
根据上面对“icmp:pingofdeath:pingofdeath_alert”设置归并参数后,启动“事件归并”功能后,20条事件类型相同的告警事件将被归并为一条事件,从而大大降低事件风暴对系统的冲击。下图中显示的事件数量为12,是由于“事件过滤条件”中默认归并事件时间深度为10秒。当第一条事件产生后,10秒内系统没有收到20条以上的事件,故系统将已收到的事件(12条)归并为一条事件。另外,当某一事件第一次出现(或归并计数器复位),系统会立即将该事件提交并立刻出现在事件窗口中,这样做的目的是为了消除事件归并对系统实时性的影响。
156
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议