Pregunta de SIEM: Firewall excesivo niega / Pregunta de edición de regla

5

Tenemos un SIEM en nuestro entorno que actualmente estamos sintonizando y parte de ese proceso es reducir el ruido en nuestra consola.

Una ofensa en la que he estado trabajando es: el firewall excesivo niega entre los hosts que contienen sesión denegada.

La regla que se está activando desde el tráfico y que genera la ofensiva es: Anomalía: el firewall excesivo se niega de una fuente única . La regla se construye de la siguiente manera:

- and when any of these BB:CategoryDefinition: Firewall or ACL Denies with the same source IP more than 400 times, across exactly 1 destination IP within 10 minutes

Tomé una muestra de infracciones 10/20, observé el tráfico y confirmé que el tráfico está afectando nuestra interfaz externa en la DMZ y que nuestros servidores de seguridad lo están negando. No permite.

Ya que estamos generando mucho ruido en nuestra consola, elevé el umbral de tiempo en la regla de 10 minutes a 15 minutes , que aún estaba generando ofensas. Luego lo subí de 15 minutes a 30 minutes . + Mi pregunta es que, dado que las negaciones que estamos viendo son legítimas, ¿debería aumentar el umbral de tiempo y / o instancias para que la regla genere una ofensa, por lo que solo veo un ataque sostenido a nuestro IP público? ¿En qué riesgos incurriría si hiciera este cambio, si lo hubiera?

¡Gracias por la ayuda!

    
pregunta seaweed 20.10.2015 - 15:56
fuente

3 respuestas

1

Esto parece una regla de QRadar. Sería bueno hacer la pregunta en la desarrollador de IBM foros ya que tendrá más ojos de administrador de QRadar en él.

Dicho esto, el firewall niega que sea inevitable si tienes una DMZ. La falla es que muchas personas solo ven el firewall, pero no miran los permisos del firewall. Las negaciones solo están afirmando lo que esperas ver. Los permisos son donde se encuentra el verdadero peligro.

Para servicios mal configurados:

Si las denegaciones están relacionadas con configuraciones erróneas o servicios conocidos, corrija los servicios o agréguelos a la lista de falsos positivos.

Para cualquier servicio no legítimo o escáner de red malicioso:

Cree una regla que atrape más de X números de firewall rechazados en X minutos (estos son números con los que debería sentirse cómodo). Luego use esa regla para agregar una IP de origen ofensiva a un conjunto de referencia (por ejemplo, llámelo: Reference Set: Malicious Scanner ). Finalmente, cree otra regla que verifique BB:CategoryDefinition: Firewall or ACL Accept (asumiendo que está registrando permisos) y verifique contra Reference Set: Malicious Scanner . Cuando se registra un permiso de firewall desde una IP en Reference Set: Malicious Scanner , debe dispararse un nuevo delito. De esta manera, está detectando cuando una dirección IP conocida y sospechosa se las arregla para superar el firewall.

Si no está registrando permisos, pero está utilizando datos de flujo de red, cree una regla de flujo que verifique contra el Reference Set: Malicious Scanner para cualquier tráfico que no llegue a la red DMZ. Esto puede ayudarlo a identificar si una dirección IP logra evitar el firewall. Los datos de Netflow no son tan precisos como los registros.

    
respondido por el pr- 20.10.2015 - 17:58
fuente
0

Creo que estás usando Qradar SIEM. Eso es solo un evento normal si su firewall está ubicado en la DMZ. Pero depende de su análisis, si la IP ofensiva consulta varios puertos en 100 veces, eso es claramente un escaneo de puertos. Pero si solo involucra 1 o 2 puertos, es posible que tenga una mala configuración en su firewall.

Mi regla es Firewall or ACL Denies with the same source IP more than 100 times, across exactly 1 destination IP within 5 minutes.

Creo que no hay riesgos si todo es Firewall Deny, ya se ha mitigado. El atacante no puede pasar por alto eso, pero también debe asegurarse de que puede detectar los intentos de explotación de su IPS / WAF. Ahí es cuando debe bloquear la IP ofensiva en el extremo del firewall.

Los ataques perimetrales son fáciles de contener, ya que solo especifica los puertos permitidos en su DMZ Firewall, como 80 o 443 solamente. Es mejor si también tiene supervisión en sus servidores / puntos finales DMZ al implementar EDR / Endpoint Protection. (Defensa en profundidad / Protección en capas)

    
respondido por el vulnerableuser 14.09.2018 - 16:28
fuente
-1

Creo que, en lugar de aumentar el marco de tiempo, sería mejor si aumentas el número de aciertos en tu IP de cara al público. De esa manera u puede obtener un delito sostenible.

Y luego, u puede crear un conjunto de referencia como se sugirió antes para una IP maliciosa y puede crear una regla para verificar si alguna de sus IP internas está intentando comunicarse con ellos.

    
respondido por el santosh407 21.10.2015 - 20:56
fuente

Lea otras preguntas en las etiquetas